文章目錄
1.檢查DNS服務器內的記錄是否完備
域控會將自己扮演的角色註冊到DNS服務器內,以便讓其他計算機能夠通過DNS服務器來找到域控,因此先檢查DNS服務器內是否已經存在這些記錄。需要用域控管理員賬戶來登錄contoso\administrator。
1.1 檢查主機記錄
控制面板=>系統和安全=>管理工具=>DNS
默認會有一個contoso.com的區域,主機記錄表示域控dc1.contoso.com已經正確的將其主機名與IP地址註冊到DNS服務器內
如果域控制器已經正確的將角色註冊到DNS服務器,應該還會有_tcp_udp等文件夾。單擊_tcp文件夾後可以看到數據類型爲服務位置(SRV)的_ldap記錄,表示dc1.contoso.com已經正確的註冊爲域控制器。還能看到_gc記錄全局編錄也是由dc1.contoso.com所扮演。
1.2 排除註冊失敗的問題
如果域成員本身的設置或者網絡問題,會造成無法將數據註冊到DNS服務器。
如果有成員計算機的主機與ip沒有正確註冊到DNS服務器,可以到此機器上運行ipconfig /registerdns來手動註冊。完成後,到DNS服務器檢查是否已有正確記錄,例如server1.contoso.com,ip地址192.168.100.13則堅持區域contoso.com是否有對應的a記錄和ip。
如果發現域控制器沒有將其扮演的角色註冊到DNS服務器,也就是沒有_tcp文件夾與記錄,到服務器中重啓netlogon服務。
我的電腦=>管理=>工具=>服務=>Netlogon=>重新啓動
2.創建組織單位與域用戶賬戶
可以將用戶賬戶創建到任何一個容器或組織單位(OU)內,先創建業務部的OU,然後再創建用戶。
2.1 創建組織單位
創建Active Directory**快捷方式,點擊Active Directory管理中心
Active Directory管理中心=>contoso(本地)=>新建=>組織單位
輸入名稱,操作虛擬機,輸入法存在問題,不能輸入中文,使用拼音代替
2.2 創建用戶
yewubu=>新建用戶
用戶UPN登錄: 用戶可以利用這個域電子郵箱格式相同的名稱([email protected])來登錄域,此名稱被成爲 User Principal Name(UPN)。此名在林中是唯一的。
用戶名SamAccuntName登錄: 用戶也可以利用此名稱(contoso\zhangsan)來登錄。其中zhangsan是NetBios名。同一個域中此名稱必須是唯一的。Windows NT Windows 98等舊版系統不支持UPN,因此這些計算機上登錄時,只能使用此登錄名。
2.3 使用新賬戶登錄域
我們使用兩種方法登錄域
3.利用新用戶賬戶登錄域控
除了域Administrators等少數組內的成員外,其他一般域賬戶默認無法登錄到域控上,除非另外開放。
3.1 賦予用戶在域控登錄權限
一般用戶必須在域控上擁有“允許本地登錄”的權限,才能在域控上登錄。此權限可以用過組策略來開放。控制面板=>系統和安全=>管理工具=>組策略管理
GPEDIT.MSC
計算機配置-策略-windows設置-安全設置-本地策略-用戶權限分配-允許本地登錄,然後將用戶或組加入到列表內
組策略配置完成需要應用到域控纔有效,應用方法有三種:
- 將域控制器重啓
- 等域控制器自動應用此策略,可能需要等待5分鐘或更久
- 手動應用:到域控制器上運行gpupdate或gpupdate\force
參考:
https://www.cnblogs.com/wanggege/p/4605678.html