1.檢查DNS服務器內的記錄是否完備

域控會將自己扮演的角色註冊到DNS服務器內，以便讓其他計算機能夠通過DNS服務器來找到域控，因此先檢查DNS服務器內是否已經存在這些記錄。需要用域控管理員賬戶來登錄contoso\administrator。

1.1 檢查主機記錄

控制面板=>系統和安全=>管理工具=>DNS

默認會有一個contoso.com的區域，主機記錄表示域控dc1.contoso.com已經正確的將其主機名與IP地址註冊到DNS服務器內

如果域控制器已經正確的將角色註冊到DNS服務器，應該還會有_tcp_udp等文件夾。單擊_tcp文件夾後可以看到數據類型爲服務位置（SRV）的_ldap記錄，表示dc1.contoso.com已經正確的註冊爲域控制器。還能看到_gc記錄全局編錄也是由dc1.contoso.com所扮演。

1.2 排除註冊失敗的問題

如果域成員本身的設置或者網絡問題，會造成無法將數據註冊到DNS服務器。
如果有成員計算機的主機與ip沒有正確註冊到DNS服務器，可以到此機器上運行ipconfig /registerdns來手動註冊。完成後，到DNS服務器檢查是否已有正確記錄，例如server1.contoso.com，ip地址192.168.100.13則堅持區域contoso.com是否有對應的a記錄和ip。
如果發現域控制器沒有將其扮演的角色註冊到DNS服務器，也就是沒有_tcp文件夾與記錄，到服務器中重啓netlogon服務。
我的電腦=>管理=>工具=>服務=>Netlogon=>重新啓動

2.創建組織單位與域用戶賬戶

可以將用戶賬戶創建到任何一個容器或組織單位（OU）內，先創建業務部的OU，然後再創建用戶。

2.1 創建組織單位

創建Active Directory**快捷方式，點擊Active Directory管理中心

Active Directory管理中心=>contoso(本地)=>新建=>組織單位

輸入名稱，操作虛擬機，輸入法存在問題，不能輸入中文，使用拼音代替

2.2 創建用戶

yewubu=>新建用戶

用戶UPN登錄： 用戶可以利用這個域電子郵箱格式相同的名稱（[email protected]）來登錄域，此名稱被成爲 User Principal Name(UPN)。此名在林中是唯一的。
用戶名SamAccuntName登錄： 用戶也可以利用此名稱（contoso\zhangsan）來登錄。其中zhangsan是NetBios名。同一個域中此名稱必須是唯一的。Windows NT Windows 98等舊版系統不支持UPN，因此這些計算機上登錄時，只能使用此登錄名。

2.3 使用新賬戶登錄域

我們使用兩種方法登錄域

3.利用新用戶賬戶登錄域控

除了域Administrators等少數組內的成員外，其他一般域賬戶默認無法登錄到域控上，除非另外開放。

3.1 賦予用戶在域控登錄權限

一般用戶必須在域控上擁有“允許本地登錄”的權限，才能在域控上登錄。此權限可以用過組策略來開放。控制面板=>系統和安全=>管理工具=>組策略管理

GPEDIT.MSC

計算機配置-策略-windows設置-安全設置-本地策略-用戶權限分配-允許本地登錄，然後將用戶或組加入到列表內

組策略配置完成需要應用到域控纔有效，應用方法有三種：