在企业级的局域网络中,通常需要对其网络中的所有计算机统一管理,而传统的方式(用户组处于工作组模式)计算机之间互相不信任(不然会导致很明显的安全问题 总不至于要去信任一个黑客的电脑吧?)
为此需要一个统一的机制来让计算机之间能互相信任同时还能进行统一管理
Active Directory域服务(AD DS)存储了有关网络上的用户,计算机和其他的设备信息,在有AD DS的网络里,各个计算机可以加入到该AD DS里,然后其他用户用AD DS里存储的用户进行认证登陆等
然后由管理员统一管理AD DS
有AD DS之后,就能建立起在一个受信任的网络下的各个计算机的管理(同时很多服务器的角色都要基于AD DS才能实现)
在Windows Server 2012里 对AD DS的配置做了很大程度的简化
首先 在服务器管理器里添加 AD DS
选择我这个图里表示为(已安装)的那个 Active Directory 域服务
关于Active Directory还有很多相关服务...其他到底拿来干嘛 如果以后有机会在进行探讨...
然后下一步下一步...添加了AD DS的功能
添加好后就可以进行AD DS的配置
按照如图 AD DS -> 更多 –> 将此服务器提升为域控制器
首先说明下域控制器 这是域角色的一种
域控制器可以理解是域里面的人事管理局 他能管理下面的域成员,同时负责了对所有域用户的认证请求,比如登入 权限检查等
新建域成员等功能在未添加委派的情况下也只能在域控制器里完成
点击 将此服务器提升为域控制器 后 就进入了域服务配置向导
说说这3个选项的区别
将域控制器添加到现有域 如果当前网络已经有了域了并且希望将该服务器添加到现有域同时作为域控制器(做域备份等使用)请选择此项
将新域添加到现有林 当前已经有了林(什么是林等会会说)然后想新建一个域并且加入到林里,就选择此项
添加新林 当前网络没有任何域有关的结构想新建一个域请选择此项
关于林:简单来说最顶级上面的域(根域)就是林,但这样说也不完全准确,准确的说林是一个或者多个没有形成连续明明空间规则的域组成的...
在这里我这选择 添加新林
如果不考虑兼容性问题,建议林功能级别跟域功能级别都选择最高,如果考虑兼容性问题,请参考微软官方说明文档来选择合适自己的功能级别
http://technet.microsoft.com/zh-cn/library/cc771294.aspx
在这里注意键入目录服务器还原密码(注意这里同样受到系统密码复杂性限制)
然后几个下一步之后(因为那几步没什么好配置的就不贴图了)
进入这里最终确认所有配置 如果对powershell感兴趣的可以单击 查看脚本 来查看其powershell的命令
在下一步之后会进行先决条件检查来检查该服务器是否满足所有安装域控制器的要求
×××是警告 反正都是不腰疼的 直接忽略 点安装(如果没有dns委派的话在安装时候会自动把dns那个角色也安装上....这点稍微注意下)
之后就是漫长的坑爹的等待....
配置完成后 系统会提示重启
在这个完成之后 系统会有几个改变
所有网络适配器里的dns都会变成127.0.0.1
因为要用到域控制器的话需要域名解析为域控制器 然后才能进行诸如账号验证等服务(不然客户端怎么知道他们的域控制器是谁?)
重新启动之后
会发现登陆用户那里会多了域的名称(就是形如 domain\username 的格式)
\之前的是域名,之后的是用户名
如果不想用域的账户登录而希望用本机账户的话可以\username(就是\之前不输入任何东西 就是空域也就是不用域)
自此 域的配置就此完成啦.......
好吧 可能会有人问 那客户端如何加入域
顺便说下
在系统属性里 计算机名 –> 更改 默认 隶属于 是选择 工作组 改为选 域 然后输入域名 比如 contoso.com(我新建的那个域的域名)
另外改客户端的dns一定要设置为域控制器那 不然会报找不到域的
