AD域主要作用就是集中管理，限制域内用户或计算机的所有操作，主要管理公司员工，就像通讯录一样，还能管理了电脑，打印机等， 权限管理，ADhelper 可以实现WEB方式的AD域管理，方便、快捷。其余不懂得还是直接上例子其余自己科普。

 

实操

AD域

1. VMA、VMB虚拟机配置为主辅域，域名为szpdc.com；
2. VMA做为GC、Schema Master、Domain Naming Master，VMB做为PDC、RID、Infrastructure
3. 创建OU、用户、用户组（以神动的组织架构为例，总经办、技术支持部、财务部、一部、二部、三部、四部、五部、七部、商业客户部）；
4. 所有用户登录使用带神动LOGO的画面；
5. 所有非管理员用户登录都不能打开注册表程序；
6. 所有非管理员用户登录不能使用控制面板；
7. 所有非管理员用户登录，打开IE浏览器自动打开神动OA；

五种角色的功能

     架构主控：修改活动目录源数据。

     域名主控：森林的加域脱域

     pdc仿真：密码验证     修改组策略模板   统一域内时间     

    RID主控：防止域控sid重复

    结构主控：更新组的成员列表

 

 

1、VMA、VMB虚拟机配置为主辅域，域名为szpdc.com；

 

安装ad域服务

服务器控制台>管理>添加角色

提升为域控

点击添加新林，并且输入域名。

输入还原密码

布置VMB额外域控

首先VMB安装域控服务同上

固定ip

计算机加入域：我的计算机右键属性>系统属性>更改

如果是克隆虚拟机会有报错，说什么id重复：

解决办法：勾选通用，点击确认重新安装即可

 

 

VMB升级为额外域控

添加现有域

设置还原密码

按默认提示安装即可

2、VMA做为GC、Schema Master、Domain Naming Master，VMB做为PDC、RID、Infrastructure Master；

 

转移角色

移动角色之前状态

首先在ad域服务用户与计算机中点击  操作>更改目录服务器>选择VMB

 

再点击操作>所有任务>操作主机

 

最后查看移动结果

主域控舵机了，辅域控（额外预控）如何切换5个角色。

          在命令行界面输入：ntdsutil：

          然后输入：roles，敲回车：

          然后输入：connection，然后敲回车：

          下面我们输入要转移的操作主机名称，输入：connect to server VMB，然后敲回车：

          quit退出一步：

         输入”？”回车，查询参数帮助，

        然后输入下面图中标识参数切换，比如输入 seize PDC 回车

 

3、创建OU、用户、用户组（以神动的组织架构为例，总经办、技术支持部、财务部、一部、二部、三部、四部、五部、七部、商业客户部）；

创建组织、用户组、用户

 

4、所有用户登录使用带神动LOGO的画面；

新建组策略

    在管理工具>组策略管理>选择林>选择域>组策略对象>新建

  编辑新建>用户配置>策略>管理模板>桌面>active desktop>桌面墙纸>

编辑

上面地址图片一定要注意，由于设置的是其他主机的桌面壁纸，如果写本地路径形式C:\壁纸路径\aaa.jpg，就必须保证每台主机C:\壁纸路径\目录下有aaa.jpg图片，最好的方法是用共享文件夹形式方便。

最后右击神动ou，链接到现有GPO，选择刚刚建立的策略。

 

5、所有非管理员用户登录都不能打开注册表程序；

创建组策略同上

编辑并应用

链接到神动ou

 

6、所有非管理员用户登录不能使用控制面板；

同样创建组策略并编辑

编辑新建>用户配置>策略>管理模板>控制面板>禁止访问控制面板

编辑组策略

最后将此策略链接到神动ou

 

7、所有非管理员用户登录，打开IE浏览器自动打开神动OA；

创建主页组策略

编辑新建>用户配置>控制面板设置>Internet设

 

到此就所有工作就完成了，关键步骤我都写上了，没写的一般默认就好，纯原创纯手打。