ad 配置

好的，请说明您具体需要配置 Active Directory (AD) 中的哪一部分？AD 配置涵盖的范围非常广，为了给您提供更精准的中文指南，请告知您具体的需求或场景。

以下是 AD 中一些常见配置任务的中文说明，您可以根据需要参考或进一步询问细节：

一、基础配置

安装 Active Directory 域服务 (AD DS)
- 目标： 将服务器提升为域控制器，创建新林或向现有域添加域控制器。
- 步骤：
  - 在 Windows Server 上打开“服务器管理器”。
  - 点击“添加角色和功能”。
  - 选择“基于角色或基于功能的安装”，点击下一步。
  - 选择目标服务器，点击下一步。
  - 在角色列表中勾选 Active Directory 域服务。
  - 添加所需的功能，点击下一步。
  - 确认信息，点击安装。
  - 安装完成后，在服务器管理器仪表板右上角会出现警告标志，点击它，选择“将此服务器提升为域控制器”。
  - 在“部署配置”中：选择“添加新林”（创建新域和新林）或“将域控制器添加到现有域”（向现有域添加额外DC）。输入根域名（例如：contoso.com）。
  - 在“域控制器选项”中：设置 林功能级别 和 域功能级别（通常选择支持您环境中最老操作系统的最新可用级别），设置 目录服务还原模式 (DSRM) 密码。
  - 在“DNS 选项”中：通常会自动处理，确保警告可以忽略或按指示处理。
  - 在“其他选项”中：输入 NetBIOS 域名（自动生成，通常不需要改）。
  - 指定 AD DS 数据库、日志文件和 SYSVOL 的位置（默认即可）。
  - 查看配置摘要，点击下一步运行先决条件检查。
  - 如果检查通过，点击安装。服务器将重启。
配置 DNS 与 AD 集成
- 目标： 确保域控制器能正确解析域名，客户端能找到域控制器。
- 关键：
  - 域控制器本身应该也是 DNS 服务器，或者指向一个集成 AD 区域的 DNS 服务器。
  - 在提升域控制器时，通常会自动安装 DNS 服务器角色并创建与 AD 集成的正向查找区域（如 contoso.com）。要确保其正确配置。
  - AD 域控制器的网络适配器的 TCP/IPv4 设置中，DNS 服务器地址必须指向正确的 DNS 服务器（通常是本机或其他域控制器的 IP，优先指向自己）。
  - 在 DNS 管理器中，验证 _msdcs.<域名> 和 <域名> 区域的 SRV 记录是否齐全（_ldap, _kerberos, _gc 等）。

二、核心对象管理

创建与管理组织单位 (OU)
- 工具： 服务器管理器 > 工具 > Active Directory 用户和计算机
- 步骤：
  - 右键点击域名或现有 OU > 新建 > 组织单位。
  - 输入 OU 名称。
  - 勾选“防止容器被意外删除”（强烈建议）。
  - 点击确定。
  - 作用： 逻辑容器，用于组织用户、组、计算机等对象，便于应用组策略和管理委派。
创建与管理用户账户
- 工具： Active Directory 用户和计算机
- 步骤：
  - 导航到目标 OU（如 Users 或您创建的 OU）。
  - 右键点击空白处或 OU > 新建 > 用户。
  - 输入姓名、用户登录名（如 zhangsan@contoso.com）。
  - 点击下一步，设置强密码和密码策略选项（用户下次登录须改密码、用户不能改密码、密码永不过期）。
  - 点击下一步完成。
- 重要属性（后续修改）： 双击用户，在“账户”选项卡设置登录时间、登录到哪些计算机；在“隶属于”选项卡管理用户所在组。
创建与管理组
- 工具： Active Directory 用户和计算机
- 步骤：
  - 右键点击目标 OU > 新建 > 组。
  - 输入组名。
  - 选择组作用域：
    - 全局组 (Global)： 包含来自本域的用户和全局组。常用于组织具有相同特性的用户，然后添加到域本地组以获取权限。
    - 域本地组 (Domain Local)： 包含来自林内任何域的用户、全局组、通用组和其他域本地组。主要在授予对本域资源的访问权限时使用。
    - 通用组 (Universal)： 包含来自林内任何域的用户、全局组和通用组。跨域访问资源时有用，但其成员变更会触发全局编录复制。
  - 选择组类型：
    - 安全组 (Security)： 用于分配对资源的权限（最常见）。
    - 通讯组 (Distribution)： 仅用于电子邮件分发列表。
  - 点击确定。
- 添加成员： 双击组 > 成员选项卡 > 添加。
创建与管理计算机账户
- 通常客户端加入域时自动创建：
  - 在要加入域的计算机上打开系统属性（sysdm.cpl）。
  - 在“计算机名”选项卡点击“更改”。
  - 选择“域”，输入域名（如 contoso.com）。
  - 输入有权限将计算机加入域的账户（如域管理员）。
  - 加入成功后重启。
- 手动创建预置账户（可选）：
  - 在 Active Directory 用户和计算机的目标 OU（如 Computers 或专用 OU）中，右键 > 新建 > 计算机。
  - 输入计算机名。
  - 点击确定。该计算机加入域时账户将关联。

三、高级配置与策略

配置组策略 (Group Policy)
- 工具： 服务器管理器 > 工具 > 组策略管理
- 核心概念：
  - GPO (组策略对象)： 包含特定配置设置的容器（如：软件安装、安全设置、脚本等）。
  - 链接 (Link)： 将 GPO 应用到站点（Site）、域或 OU。
  - 继承与强制： 子 OU 默认继承父容器的 GPO。可以设置“强制”阻止下级覆盖。
  - 环回处理 (Loopback Processing)： 强制计算机对象配置覆盖用户对象配置（用于终端服务器等）。
- 基本步骤：
  - 打开组策略管理控制台 (GPMC)。
  - 展开域 > 组策略对象。
  - 右键“组策略对象” > 新建一个 GPO，命名。
  - 右键要将该 GPO 应用到的容器（域或某个 OU），选择“链接现有 GPO”，选择刚创建的 GPO。
  - 右键该 GPO > 编辑，打开组策略管理编辑器进行具体配置（计算机配置/用户配置）。
  - 常用设置：安全选项、软件安装、文件夹重定向、驱动器映射、IE 配置等。
  - 在 OU 上使用“阻止继承”或 GPO 上设置“强制”需谨慎。
管理站点和服务 (Sites and Services)
- 目标： 优化不同物理位置的域控制器之间的复制流量。
- 工具： 服务器管理器 > 工具 > Active Directory 站点和服务
- 操作：
  - 创建站点 (Sites) 代表物理位置（如：Site-Beijing, Site-Shanghai）。
  - 创建子网 (Subnets)，并将子网关联到对应的站点。
  - 将域控制器对象从默认的 Default-First-Site-Name 移动到其物理位置对应的站点。
  - 创建并配置站点链接 (Site Links) 以定义复制时间表和成本。
FSMO 角色管理
- 目标： 维护林和域范围内的唯一操作主机角色。
- 工具: 命令行 (netdom 或 ntdsutil) 或 Active Directory 用户和计算机/域和信任/架构管理单元（查看/传输）。
- 五大角色：
  - 林级别：
    - 架构主机 (Schema Master)
    - 域命名主机 (Domain Naming Master)
  - 域级别：
    - PDC 仿真器 (PDC Emulator)
    - RID 主机 (RID Master)
    - 基础结构主机 (Infrastructure Master)
- 查询角色位置： 在命令行输入：netdom query fsmo。
- 转移角色： 正常情况下，使用图形工具（如 ADUC 右键域名->操作主机）或 ntdsutil 工具进行转移。
- 抢夺角色： 仅在原持有者永久离线无法转移时，在联机的域控制器上使用 ntdsutil 进行抢夺 (最后手段)。