文章目录
- 1.检查DNS服务器内的记录是否完备
- 1.1 检查主机记录
- 1.2 排除注册失败的问题
- 2.创建组织单位与域用户账户
- 2.1 创建组织单位
- 2.2 创建用户
- 2.3 使用新账户登录域
- 3.利用新用户账户登录域控
- 3.1 赋予用户在域控登录权限
1.检查DNS服务器内的记录是否完备
域控会将自己扮演的角色注册到DNS服务器内,以便让其他计算机能够通过DNS服务器来找到域控,因此先检查DNS服务器内是否已经存在这些记录。需要用域控管理员账户来登录contoso\administrator。
1.1 检查主机记录
控制面板=>系统和安全=>管理工具=>DNS
默认会有一个contoso.com的区域,主机记录表示域控dc1.contoso.com已经正确的将其主机名与IP地址注册到DNS服务器内
如果域控制器已经正确的将角色注册到DNS服务器,应该还会有_tcp_udp等文件夹。单击_tcp文件夹后可以看到数据类型为服务位置(SRV)的_ldap记录,表示dc1.contoso.com已经正确的注册为域控制器。还能看到_gc记录全局编录也是由dc1.contoso.com所扮演。
1.2 排除注册失败的问题
如果域成员本身的设置或者网络问题,会造成无法将数据注册到DNS服务器。
如果有成员计算机的主机与ip没有正确注册到DNS服务器,可以到此机器上运行ipconfig /registerdns来手动注册。完成后,到DNS服务器检查是否已有正确记录,例如server1.contoso.com,ip地址192.168.100.13则坚持区域contoso.com是否有对应的a记录和ip。
如果发现域控制器没有将其扮演的角色注册到DNS服务器,也就是没有_tcp文件夹与记录,到服务器中重启netlogon服务。
我的电脑=>管理=>工具=>服务=>Netlogon=>重新启动
2.创建组织单位与域用户账户
可以将用户账户创建到任何一个容器或组织单位(OU)内,先创建业务部的OU,然后再创建用户。
2.1 创建组织单位
创建Active Directory**快捷方式,点击Active Directory管理中心
Active Directory管理中心=>contoso(本地)=>新建=>组织单位
输入名称,操作虚拟机,输入法存在问题,不能输入中文,使用拼音代替
2.2 创建用户
yewubu=>新建用户
用户UPN登录: 用户可以利用这个域电子邮箱格式相同的名称(zhangsan@contoso.com)来登录域,此名称被成为 User Principal Name(UPN)。此名在林中是唯一的。
用户名SamAccuntName登录: 用户也可以利用此名称(contoso\zhangsan)来登录。其中zhangsan是NetBios名。同一个域中此名称必须是唯一的。Windows NT Windows 98等旧版系统不支持UPN,因此这些计算机上登录时,只能使用此登录名。
2.3 使用新账户登录域
我们使用两种方法登录域
3.利用新用户账户登录域控
除了域Administrators等少数组内的成员外,其他一般域账户默认无法登录到域控上,除非另外开放。
3.1 赋予用户在域控登录权限
一般用户必须在域控上拥有“允许本地登录”的权限,才能在域控上登录。此权限可以用过组策略来开放。控制面板=>系统和安全=>管理工具=>组策略管理
GPEDIT.MSC
计算机配置-策略-windows设置-安全设置-本地策略-用户权限分配-允许本地登录,然后将用户或组加入到列表内
组策略配置完成需要应用到域控才有效,应用方法有三种:
- 将域控制器重启
- 等域控制器自动应用此策略,可能需要等待5分钟或更久
- 手动应用:到域控制器上运行gpupdate或gpupdate\force