如何在windows系統(tǒng)的域控制器中打開和使用組策略

在域內域控制器中的組策略對于系統(tǒng)管理員來說至關重要，它能夠有效管理局域網，使管理工作更加輕松和高效。

創(chuàng)新互聯自2013年起，先為華鎣等服務建站，華鎣等地企業(yè)，進行企業(yè)商務咨詢服務。為華鎣企業(yè)網站制作PC+手機+微官網三網同步一站式服務解決您的所有建站問題。

Windows2000/XP/2003系統(tǒng)默認已經安裝了組策略組件，以一臺運行WindowsServer2003（SP1）系統(tǒng)的域控制器為例，在開始菜單中單擊“運行”菜單項，然后在“打開”編輯框中輸入gpedit.msc命令并按回車鍵，打開“組策略編輯器”窗口。

打開“組策略編輯器”窗口后，其默認的編輯對象是本地計算機。用戶如果想在本地計算機中將其他計算機作為組策略編輯對象，則需要將組策略作為獨立的控制臺管理程序來打開，具體操作步驟如下所述：

第1步，在開始菜單中單擊“運行”菜單項，然后在“打開”編輯框中輸入MMC命令并按回車鍵。

第2步，打開“控制臺1”窗口，依次單擊“文件”→“添加/刪除管理單元”菜單命令，打開“添加/刪除管理單元”對話框。在“獨立”選項卡中單擊“添加”按鈕，如圖2008112619所示。

圖2008112619“添加/刪除管理單元”對話框

第3步，打開“添加獨立管理單元”對話框，在“可用的獨立管理單元”列表中選中“組策略對象編輯器”選項，并單擊“添加”按鈕，如圖2008112620所示。

第4步，在打開的“選擇組策略對象”對話框中單擊“瀏覽”按鈕，打開“瀏覽組策略”對象對話框。切換到“計算機”選項卡并選中“另一臺計算機”單選框，單擊“瀏覽”按鈕

第5步，打開“選擇計算機”對話框，通過高級查找功能在域中找到并選中目標計算機。然后依次單擊“確定”→“完成”→“關閉”按鈕返回“添加/刪除管理單元”對話框

第6步，在“添加/刪除管理單元”對話框中單擊“確定”按鈕，即可在“控制臺1”窗口中看到已經添加進來的組策略對象。依次單擊“文件”→“保存”菜單命令可以保存該窗口，方便以后使用

通過上述步驟，用戶可以借助ActiveDirectory域和組策略的強大功能有效管理局域網，使管理工作更加輕松和高效。

Windows Server 2012 R2怎么配置域控制器

1首先，打開“服務器管理器”，點擊“添加功能和角色”。

2

進入“添加角色和功能向導”，檢查到靜態(tài)IP地址（為192.168.100.100）已配置完成，管理員帳戶使用的是強密碼和最新的安全更新在實驗中可以忽略，點擊“下一步”。

3

我們在本地運行的物理計算機上安裝，故安裝類型選擇第一項“基于角色或基于功能的安裝”。

4

服務器選擇服務器池中的本地服務器“dc”。

5

服務器角色中確保已安裝了“DNS服務器”，如果沒有安裝將“DNS服務器”勾選上。然后勾選上“Active Directory域服務”，同時也在該服務器上安裝域服務管理工具。

6

在Windows Server 2012 R2上Active Directory域服務的安裝不需要添加額外的功能，直接點擊“下一步”。

確認選擇無誤，點擊“安裝”按鈕開始安裝。

“Active Directory域服務”安裝完成之后，點擊“將此服務器提升為域控制器”。如果不慎點了“結束”按鈕關閉了向導，也可以在“服務器管理器”中找到，如圖所示。

進入“Active Directory域服務配置向導”，部署操作選擇“添加新林”并輸入根域名，必須使用允許的 DNS 域命名約定。

創(chuàng)建新林，“域控制器選項”頁將顯示以下選項。

默認情況下，林和域功能級別設置為 Windows Server 2012。

在

Windows Server 2012 域功能級別提供了一個新的功能：“支持動態(tài)訪問控制和 Kerberos 保護”的 KDC

管理模板策略具有兩個需要 Windows Server 2012 域功能級別的設置（“始終提供聲明”和“未保護身份驗證請求失敗”）。

Windows

Server 2012 林功能級別不提供任何新功能，但可確保在林中創(chuàng)建的任何新域都自動在 Windows Server 2012

域功能級別運行。除了支持動態(tài)訪問控制和 Kerberos 保護之外，Windows Server 2012

域功能級別不提供任何其他新功能，但可確保域中的任何域控制器都能運行 Windows Server 2012。

超過功能級別時，運行

Windows Server 2012 的域控制器將提供運行早期版本的 Windows Server 的域控制器不提供的附加功能。例如，運行

Windows Server 2012 的域控制器可用于虛擬域控制器克隆，而運行早期版本的 Windows Server 的域控制器則不能。

創(chuàng)建新林時，默認情況下選擇 DNS 服務器。林中的第一個域控制器必須是全局目錄 (GC) 服務器，且不能是只讀域控制器 (RODC)。

需要目錄服務還原模式 (DSRM) 密碼才能登錄未運行 AD DS 的域控制器。指定的密碼必須遵循應用于服務器的密碼策略，且默認情況下無需強密碼；僅需非空密碼。總是選擇復雜強密碼或首選密碼。

安裝

DNS 服務器時，應該在父域名系統(tǒng) (DNS) 區(qū)域中創(chuàng)建指向 DNS

服務器且具有區(qū)域權限的委派記錄。委派記錄將傳輸名稱解析機構和提供對授權管理新區(qū)域的新服務器對其他 DNS

服務器和客戶端的正確引用。由于本機父域指向的是自己，無法進行DNS服務器的委派，不用創(chuàng)建 DNS 委派。

確保為域分配了NetBIOS名稱。

“路徑”頁可以用于覆蓋 AD DS 數據庫、數據庫事務日志和 SYSVOL 共享的默認文件夾位置。默認位置始終位于 %systemroot% 中，保持默認即可。

“審查” 選項頁可以用于驗證設置并確保在開始安裝前滿足要求。這不是停止使用服務器管理器安裝的最后一次機會。此頁只是讓你先查看和確認設置，然后再繼續(xù)配置。

此頁面上顯示的一些警告包括：

運行 Windows Server 2008 或更高版本的域控制器具有一個用于“允許執(zhí)行兼容 Windows NT 4 加密算法”的默認設置，在建立安全通道會話時它可以防止加密算法減弱。

無法創(chuàng)建或更新 DNS 委派。

點擊“安裝”按鈕開始安裝。

安裝完畢之后系統(tǒng)會自動重啟，重啟之后將以域管理員的身份登錄，到此，域控制器配置完畢。

什么是windows的域（Domain）？

原文鏈接：

Windows域通常用于大型網絡——公司網絡、學校網絡和政府網絡。除非你有雇主或學校提供的筆記本電腦，否則你在家里不會遇到這種情況。

典型的家用計算機是一個孤立的實體。您可以控制計算機上的設置和用戶帳戶。連接到域的計算機是不同的——這些設置是在 域控制器(DC, domain controller) 上控制的。

Windows域為網絡管理員提供了一種方法來管理大量的pc機，并從一個地方控制它們。一個或多個服務器(稱為域控制器)控制域及其上的計算機。

域通常由在同一本地網絡上的計算機組成。但是，連接到某個域的計算機可以通過VPN或Internet連接繼續(xù)與域控制器通信。這使得企業(yè)和學校能夠遠程管理他們提供給員工和學生的筆記本電腦。

當計算機連接到一個域時，它不會使用自己的本地用戶帳戶，用戶帳戶和密碼都是在域控制器上統(tǒng)一管理。當您登錄到該域中的計算機時，計算機將使用域控制器驗證您的用戶帳戶名稱和密碼。這意味著您可以在任何連接到該域的計算機上使用相同的用戶名和密碼登錄。

網絡管理員可以更改“域控制器”上的組策略設置。域上的每臺計算機將從“域控制器”獲得這些設置，它們將覆蓋用戶在其pc上指定的任何本地設置。所有的設置都是從一個地方控制的。這也“鎖定”了計算機。您可能不允許更改連接到域的計算機上的許多系統(tǒng)設置。

換句話說，當計算機是域的一部分時，提供該計算機的組織正在遠程管理和配置它。是遠程的那些人在控制著連接到域的計算機，而不是正在使用這臺計算機的人；

因為域不是為家庭用戶設計的，所以只有運行專業(yè)版或企業(yè)版Windows的計算機才能連接到域。運行Windows RT的設備也不能連接域。

如果你有一臺家用電腦，可以肯定它不是某個域的一部分。你可以在家里設置一個域控制器，但是真的沒有理由這樣做，除非你就是想體驗一把。如果你在工作或學校使用電腦，你正在使用的電腦很有可能是某個域的一部分。如果你的工作或學校給你提供了一臺筆記本電腦，它也可能是某個域的一部分。

您可以快速檢查您的計算機是否屬于某個域。打開【控制面板】，點擊【系統(tǒng)和安全類別】，點擊【系統(tǒng)】。請看這里的“計算機名稱、域和工作組設置”。如果您看到“域”:后面跟著域的名稱，您的計算機就連接到域。

如果您看到“工作組”:后面跟著工作組的名稱，您的計算機將連接到工作組，而不是域。

沒有連接到域的Windows計算機都是工作組的一部分。工作組是同一本地網絡上的一組計算機。與域不同的是，工 一起的。工作組也不需要密碼。

工作組在以前的Windows版本被用于主文件和打印機共享。您現在可以使用homegroup在家里的pc機之間輕松地共享文件和打印機。工作組現在已經被推到后臺，所以您不需要擔心它們——只需要保留工作組的默認名稱并設置homegroup文件共享。

總之，域限制了你在電腦上可以做什么。當您的計算機是域的一部分時，域控制器負責您所能做的事情。這就是為什么它們被用于大型企業(yè)和教育網絡——它們?yōu)樘峁┯嬎銠C的機構提供了一種方法來鎖定它們并集中管理它們。

這是核心概念，盡管在域上可以做更多的事情。例如，可以使用組策略在連接到域的計算機上遠程安裝軟件。

什么是域控

域控制器（Domain controller，簡稱DC）是指在計算機網絡域內響應安全身份認證請求的網絡服務器，負責允許發(fā)出請求的主機訪問域內資源，以及對用戶進行身份驗證，存儲用戶賬戶信息，并執(zhí)行域的安全策略。

域控制器( Domain controller，DC)是活動目錄的存儲位置,安裝了活動目錄的計算機稱為域控制器。在第一次安裝活動目錄時,安裝活動目錄的那臺計算機就成為域控制器,簡稱“域控”。域控制器存儲著目錄數據并管理用戶域的交互關系,其中包括用戶登錄過程、身份驗證和目錄搜索等。

一個域可以有多個域控制器。為了獲得高可用性和容錯能力,規(guī)模較小的域只需兩個域控制器,一個實際使用,另一個用于容錯性檢査;規(guī)模較大的域可以使用多個域控制器。

在對等網模式下，任何一臺電腦只要接入網絡，其他機器就都可以訪問共享資源，如共享上網等。盡管對等網絡上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，數據的傳輸是非常不安全的。

不過在“域”模式下，至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作，相當于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡寫為DC）”。

域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數據庫。當電腦聯入網絡時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。

如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限保護的資源，他只能以對等網用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網絡上的資源。

要把一臺電腦加入域，僅僅使它和服務器在網上鄰居中能夠相互“看”到是遠遠不夠的，必須要由網絡管理員進行相應的設置，把這臺電腦加入到域中。這樣才能實現文件的共享。

一、軟件

用于運行域控制器的軟件和操作系統(tǒng)通常由幾個跨平臺共享的關鍵組件組成。這包括操作系統(tǒng)（通常是Windows Server或Linux）、LDAP服務（Red Hat Directory Server等）、網絡時間服務（ntpd、chrony等）和計算機網絡身份驗證協(xié)議（通常是Kerberos）。

其他組件，例如公鑰基礎結構（Active Directory 證書服務、DogTag、OpenSSL）服務和域名系統(tǒng)（Windows DNS 或BIND?) 也可能包含在同一臺服務器或另一個加入域的服務器上。

二、實施

域控制器通常部署為集群，以確保高可用性并最大限度地提高可靠性。在 Windows 環(huán)境中，一個域控制器充當主域控制器 (PDC)，而在域服務器中提升為域控制器狀態(tài)的所有其他服務器作為備份域控制器 (BDC)。

在基于 Unix 的環(huán)境中，一臺機器作為主域控制器，其他機器作為副本域控制器，定期從主域控制器復制數據庫信息并以只讀格式存儲。

以上內容參考?百度百科-域控制器

Windows Server2012系統(tǒng)電腦如何安裝域控制器

我們可能對Windows Server2012系統(tǒng)有點陌生，其實這是一款非常有用的服務器端操作系統(tǒng)。我們在使用這個系統(tǒng)時需要安裝域控制器，接下里小編就教大家怎么操作。

具體如下：

1. 1. 首先我們打開電腦進入到桌面，然后打開控制面板，進入到控制面板之后，我們點擊左側的啟用或關閉Windows功能按鈕。

2. 2. 然后我們就會進入到服務器管理器界面，然后我們點擊下方的添加角色和功能選項。

3. 3. 進入到下一個界面之后，我們點擊下方的下一步按鈕。

然后我們在下一個界面中選擇基于角色或基于功能的安裝選項，然后點擊下一步按鈕。

4. 4. 然后我們在下一個界面中，選擇從服務器池中選擇服務器選項，然后繼續(xù)點擊下一步按鈕。

5. 5.接下來我們在下拉菜單中找到Active Directory域服務，點擊選擇。

6. 然后在界面中會彈出一個窗口，我們點擊下方的添加功能選項。

7. 6. 添加完成之后，我們就可以點擊下一步按鈕了。

8. 7. 進入到選擇功能界面之后，我們點擊下一步按鈕。

9. 8. 最后我們會進入到確認界面，我們點擊下方的安裝按鈕。

10. 9. 然后就會進入到安裝界面，我們只需要等待安裝完成就可以了。

11. 10. 等待進度條完成之后，在下方就會顯示安裝成功的提示。然后我們點擊下方的完成選項。

以上就是在Windows Server2012系統(tǒng)電腦中安裝域控制器的方法。

windows域控制器可以實現哪些功能？

域既是 Windows 網絡操作系統(tǒng)的邏輯組織單元，也是Internet的邏輯組織單元，在 Windows 網絡操作系統(tǒng)中，域是安全邊界。域管理員只能管理域的內部，除非其他的域顯式地賦予他管理權限，他才能夠訪問或者管理其他的域;每個域都有自己的安全策略，以及它與其他域的安全信任關系。

域：域是一種管理邊界，用于一組計算機共享共用的安全數據庫，域實際上就是一組服務器和工作站的集合。

其實上我們可以把域和工作組聯系起來理解,在工作組上你一切的設置在本機上進行包括各種策略，用戶登錄也是登錄在本機的，密碼是放在本機的數據庫來驗證的。而如果你的計算機加入域的話，各種策略是域控制器統(tǒng)一設定，用戶名和密碼也是放到域控制器去驗證，也就是說你的賬號密碼可以在同一域的任何一臺計算機登錄。

如果說工作組是“免費的旅店”那么域（Domain）就是“星級的賓館”；工作組可以隨便出出進進，而域則需要嚴格控制。“域”的真正含義指的是服務器控制網絡上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴格的控制。所以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下，任何一臺電腦只要接入網絡，其他機器就都可以訪問共享資源，如共享上網等。盡管對等網絡上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，數據的傳輸是非常不安全的。

工作組是一群計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要訪問其中的計算機，還是要到被訪問計算機上來實現用戶驗證的。而域不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經建立了信任關系，在域內訪問其他機器，不再需要被訪問機器的許可了。

為什么是這樣的呢？因為在加入域的時候，管理員為每個計算機在域中（可和用戶不在同一域中）建立了一個計算機帳戶，這個帳戶和用戶帳戶一樣，也有密碼保護的。可是大家要問了，我沒有輸入過什么密碼啊，是的，你確實沒有輸入，計算機帳戶的密碼不叫密碼，在域中稱為登錄票據，它是由2000的DC（域控制器）上的KDC服務來頒發(fā)和維護的。為了保證系統(tǒng)的安全，KDC服務每30天會自動更新一次所有的票據，并把上次使用的票據記錄下來。

周而復始。也就是說服務器始終保存著2個票據，其有效時間是60天，60天后，上次使用的票據就會被系統(tǒng)丟棄。如果你的GHOST備份里帶有的票據是60天的，那么該計算機將不能被KDC服務驗證，從而系統(tǒng)將禁止在這個計算機上的任何訪問請求（包括登錄），解決的方法呢，簡單的方法使將計算機脫離域并重新加入，KDC服務會重新設置這一票據。或者使用2000資源包里的NETDOM命令強制重新設置安全票據。

因此在有域的環(huán)境下，請盡量不要在計算機加入域后使用GHOST備份系統(tǒng)分區(qū)，如果作了，請在恢復時確認備份是在60天內作的，如果超出，就最好聯系你的系統(tǒng)管理員，你可以需要管理員重新設置計算機安全票據，否則你將不能登錄域環(huán)境。

網站欄目：windows系統(tǒng)域控制的簡單介紹
新聞來源：http://chinadenli.net/article30/hehsso.html

成都網站建設公司_創(chuàng)新互聯，為您提供自適應網站、網站制作、網站營銷、App設計、搜索引擎優(yōu)化、微信小程序

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯