Active Directory（AD）是美国服务器中Windows Server生态系统的核心，如同企业IT基础设施的"数字神经系统"。它不仅是用户身份认证的中心，更是整个企业网络资源管理的基石。掌握AD的部署与管理，是每个Windows系统管理员必备的核心技能。

一、部署前规划：构建坚实的AD基础

环境评估与需求分析

硬件需求规划

text

复制

下载

最低配置（小型环境）：
- CPU：2核心以上
- 内存：4GB（8GB推荐）
- 磁盘：50GB可用空间（SSD推荐）
- 网络：千兆网卡

推荐配置（企业环境）：
- CPU：4核心以上
- 内存：16GB
- 磁盘：100GB+ SSD（操作系统+AD数据库）
- 冗余电源和网卡绑定

命名策略设计

bash

复制

下载

# 域名规划示例主域名：company.com
NetBIOS名：COMPANY
AD前缀：DC=company,DC=com# 服务器命名规范DC01-COMPANY（主域控制器）
DC02-COMPANY（备份域控制器）
FS01-COMPANY（文件服务器）

网络配置准备

bash

复制

下载

# 静态IP配置要求IP地址：192.168.1.10
子网掩码：255.255.255.0
默认网关：192.168.1.1
首选DNS：127.0.0.1（自身IP）
备用DNS：另一台DC的IP或留空

二、通过服务器管理器图形化安装

步骤1：服务器基础配置

设置静态IP地址

powershell

复制

下载

# 通过PowerShell设置静态IPNew-NetIPAddress -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1 -InterfaceAlias "Ethernet"Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses "127.0.0.1"

修改计算机名

powershell

复制

下载

# 重命名计算机Rename-Computer -NewName "DC01-COMPANY" -Restart

步骤2：安装AD DS角色

通过服务器管理器安装

1. 打开服务器管理器

2. 点击"添加角色和功能"

3. 安装类型：选择"基于角色或基于功能的安装"

4. 服务器选择：从服务器池中选择当前服务器

5. 服务器角色：勾选"Active Directory域服务"

6. 功能：保持默认，点击"下一步"

7. AD DS说明：阅读后点击"下一步"

8. 确认安装：点击"安装"

安装后配置
安装完成后不要关闭窗口，点击"将此服务器提升为域控制器"

步骤3：域服务配置向导

部署配置

bash

复制

下载

部署操作：① 添加新林
根域名：company.com

域控制器选项

bash

复制

下载

林功能级别：Windows Server 2016域功能级别：Windows Server 2016指定域控制器功能：
✓ 域命名系统(DNS)服务器
✓ 全局编录(GC)目录服务还原模式(DSRM)密码：设置强密码

DNS选项

• 如果出现DNS委派警告，点击"下一步"继续

其他选项

bash

复制

下载

NetBIOS域名：COMPANY（自动生成，可保持默认）

路径配置

bash

复制

下载

数据库文件夹：C:\Windows\NTDS
日志文件文件夹：C:\Windows\NTDS
SYSVOL文件夹：C:\Windows\SYSVOL

先决条件检查
系统自动检查所有先决条件，确保全部通过后点击"安装"

完成安装
系统将自动重启，完成域控制器的安装。

三、通过PowerShell自动化安装

完整的PowerShell安装脚本

powershell

复制

下载

# AD DS自动化部署脚本# 保存为 Deploy-ADDS.ps1# 参数定义$DomainName = "company.com"$NetBIOSName = "COMPANY"$SafeModePassword = ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force$IPAddress = "192.168.1.10"$SubnetMask = "24"$Gateway = "192.168.1.1"Write-Host "开始部署Active Directory域服务..." -ForegroundColor Green# 步骤1：安装AD DS角色Write-Host "安装AD DS和DNS角色..." -ForegroundColor YellowInstall-WindowsFeature -Name AD-Domain-Services -IncludeManagementToolsInstall-WindowsFeature -Name DNS -IncludeManagementTools# 步骤2：配置网络Write-Host "配置静态IP地址..." -ForegroundColor YellowRemove-NetIPAddress -InterfaceAlias "Ethernet" -Confirm:$falseNew-NetIPAddress -IPAddress $IPAddress -PrefixLength $SubnetMask -DefaultGateway $Gateway -InterfaceAlias "Ethernet"Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses "127.0.0.1"# 步骤3：提升为域控制器Write-Host "配置域控制器..." -ForegroundColor YellowImport-Module ADDSDeploymentInstall-ADDSForest `    -DomainName $DomainName `    -DomainNetbiosName $NetBIOSName `    -SafeModeAdministratorPassword $SafeModePassword `    -InstallDns:$true `    -NoRebootOnCompletion:$false `    -Force:$trueWrite-Host "Active Directory域服务部署完成！" -ForegroundColor Green

分步PowerShell安装（推荐用于生产环境）

powershell

复制

下载

# 分步骤安装，便于调试和验证# 1. 安装必要的Windows功能$Features = @(
    "AD-Domain-Services",
    "DNS",
    "RSAT-AD-PowerShell",
    "RSAT-AD-AdminCenter",
    "RSAT-ADDS-Tools",
    "GPMC")foreach ($Feature in $Features) {
    Install-WindowsFeature -Name $Feature -IncludeManagementTools}# 2. 验证网络配置Write-Host "当前网络配置：" -ForegroundColor CyanGet-NetIPAddress | Where-Object {$_.InterfaceAlias -eq "Ethernet"}Get-DnsClientServerAddress -InterfaceAlias "Ethernet"# 3. 执行AD DS安装$InstallParams = @{
    DomainName = "company.com"
    DomainNetbiosName = "COMPANY" 
    SafeModeAdministratorPassword = (ConvertTo-SecureString "YourSecurePassword123!" -AsPlainText -Force)
    InstallDns = $true
    CreateDnsDelegation = $false
    ForestMode = "WinThreshold"
    DomainMode = "WinThreshold"
    NoRebootOnCompletion = $false
    Force = $true}Install-ADDSForest @InstallParams

四、初始配置与优化

验证AD安装状态

powershell

复制

下载

# 检查AD服务状态Get-Service -Name NTDS, DNS, Netlogon# 验证域控制器功能Get-ADDomainController -Identity $env:COMPUTERNAME# 检查DNS区域Get-DnsServerZone | Where-Object {$_.ZoneType -eq "Primary"}# 测试域功能Test-ADDSForestInstallation -DomainName "company.com"

核心AD管理工具加载

powershell

复制

下载

# 安装后建议加载的管理工具Import-Module ActiveDirectoryImport-Module GroupPolicyImport-Module DnsServer# 验证模块加载Get-Module -Name ActiveDirectory, GroupPolicy, DnsServer

五、组织单元（OU）结构设计

创建标准OU结构

powershell

复制

下载

# 定义OU结构$OUs = @(
    "IT",
    "IT/Servers",
    "IT/Workstations", 
    "Departments",
    "Departments/Finance",
    "Departments/HR",
    "Departments/Marketing",
    "ServiceAccounts",
    "Groups",
    "Groups/Security",
    "Groups/Distribution")# 创建OU结构foreach ($OU in $OUs) {
    try {
        New-ADOrganizationalUnit -Name $OU.Split('/')[-1] -Path ("OU=" + $OU.Replace('/', ',OU=') + ",DC=company,DC=com") -ProtectedFromAccidentalDeletion $true
        Write-Host "成功创建OU: $OU" -ForegroundColor Green    }
    catch {
        Write-Host "OU已存在或创建失败: $OU" -ForegroundColor Red    }}# 验证OU创建Get-ADOrganizationalUnit -Filter * | Sort-Object DistinguishedName | Format-Table Name, DistinguishedName

六、用户和组管理配置

创建基础管理账户

powershell

复制

下载

# 创建IT管理员账户New-ADUser `    -Name "ITAdmin" `    -GivenName "IT" `    -Surname "Administrator" `    -SamAccountName "ITAdmin" `    -UserPrincipalName "ITAdmin@company.com" `    -Path "OU=IT,DC=company,DC=com" `    -AccountPassword (ConvertTo-SecureString "TempPassword123!" -AsPlainText -Force) `    -Enabled $true# 将用户添加到管理组Add-ADGroupMember -Identity "Domain Admins" -Members "ITAdmin"

创建安全组结构

powershell

复制

下载

# 创建标准安全组$SecurityGroups = @(
    @{Name="SG_FileServer_Read"; Description="文件服务器只读访问"},
    @{Name="SG_FileServer_Write"; Description="文件服务器写入访问"},
    @{Name="SG_App_Finance"; Description="财务应用访问权限"},
    @{Name="SG_Remote_Users"; Description="远程访问用户"})foreach ($Group in $SecurityGroups) {
    New-ADGroup `        -Name $Group.Name `        -GroupCategory Security `        -GroupScope Global `        -Description $Group.Description `        -Path "OU=Security,OU=Groups,DC=company,DC=com"}

七、组策略基础配置

创建标准GPO结构

powershell

复制

下载

# 定义基础GPO$GPOs = @(
    @{Name="Default Domain Policy - Enhanced"; Description="增强的默认域策略"},
    @{Name="Workstation Security Baseline"; Description="工作站安全基线"},
    @{Name="Server Security Baseline"; Description="服务器安全基线"},
    @{Name="Password Policy"; Description="密码策略强化"})# 创建GPOforeach ($GPO in $GPOs) {
    New-GPO -Name $GPO.Name -Comment $GPO.Description}# 链接GPO到域New-GPLink -Name "Workstation Security Baseline" -Target "DC=company,DC=com"

配置基础安全策略

powershell

复制

下载

# 密码策略配置Set-ADDefaultDomainPasswordPolicy -Identity "company.com" `    -MinPasswordLength 12 `    -MaxPasswordAge 90.00:00:00 `    -MinPasswordAge 1.00:00:00 `    -PasswordHistoryCount 24 `    -ComplexityEnabled $true `    -ReversibleEncryptionEnabled $false# 账户锁定策略Set-ADAccountLockoutPolicy -Identity "company.com" `    -LockoutDuration 00:30:00 `    -LockoutObservationWindow 00:30:00 `    -LockoutThreshold 5

八、DNS配置优化

检查DNS配置

powershell

复制

下载

# 验证DNS配置Get-DnsServerForwarderGet-DnsServerDiagnostics# 检查DNS区域Get-DnsServerZone | Format-Table ZoneName, ZoneType, IsAutoCreated

配置DNS转发器

powershell

复制

下载

# 设置外部DNS转发器Add-DnsServerForwarder -IPAddress 8.8.8.8Add-DnsServerForwarder -IPAddress 8.8.4.4# 配置根提示（如果不需要转发器）Set-DnsServerRootHint -InternetOnly

九、备份与维护计划

创建系统状态备份脚本

powershell

复制

下载

# AD系统状态备份脚本$BackupPath = "D:\Backups\AD"$Date = Get-Date -Format "yyyyMMdd_HHmmss"# 创建备份目录if (!(Test-Path $BackupPath)) {
    New-Item -ItemType Directory -Path $BackupPath -Force}# 执行系统状态备份wbadmin start systemstatebackup -backupTarget:$BackupPath -quietWrite-Host "AD系统状态备份完成: $BackupPath" -ForegroundColor Green

AD健康检查脚本

powershell

复制

下载

# AD健康检查Write-Host "=== Active Directory 健康检查 ===" -ForegroundColor Cyan# 1. 检查域控制器健康状态Write-Host "`n1. 域控制器状态：" -ForegroundColor YellowGet-ADDomainController -Filter * | Format-Table Name, Site, OperatingSystem, IPv4Address# 2. 检查复制状态Write-Host "`n2. 复制状态检查：" -ForegroundColor Yellow
repadmin /replsummary# 3. 检查DNS健康状况Write-Host "`n3. DNS服务状态：" -ForegroundColor YellowGet-DnsServerZone | Where-Object {$_.ZoneName -like "*company.com*"} | Test-DnsServer# 4. 检查FSMO角色Write-Host "`n4. FSMO角色持有者：" -ForegroundColor Yellow
netdom query fsmo# 5. 检查事件日志中的AD相关错误Write-Host "`n5. 最近AD相关错误：" -ForegroundColor YellowGet-EventLog -LogName "Directory Service" -EntryType Error -After (Get-Date).AddDays(-1) | Select-Object -First 5

十、故障排除与常见问题

AD服务故障诊断

powershell

复制

下载

# AD服务诊断命令dcdiag /s:DC01-COMPANY /v > C:\Diagnostics\dcdiag.txt
repadmin /showrepl DC01-COMPANY
repadmin /replsummary DC01-COMPANY# DNS诊断dnscmd DC01-COMPANY /info
nslookup -type=SRV _ldap._tcp.dc._msdcs.company.com

常见问题解决方案

DNS解析问题

powershell

复制

下载

# 重新注册DNS记录ipconfig /registerdns# 清理并重建DNS区域（极端情况）# 谨慎操作，仅在其他方法无效时使用

复制问题解决

powershell

复制

下载

# 强制复制repadmin /syncall DC01-COMPANY /AdeP# 查看复制伙伴repadmin /showrepl

十一、安全加固建议

安全配置检查清单

powershell

复制

下载

# AD安全基线检查Write-Host "=== AD安全配置检查 ===" -ForegroundColor Cyan# 1. 检查特权组成员Write-Host "`n特权组成员检查：" -ForegroundColor Yellow$PrivilegedGroups = @("Domain Admins", "Enterprise Admins", "Schema Admins", "Administrators")foreach ($Group in $PrivilegedGroups) {
    Get-ADGroupMember -Identity $Group | Select-Object Name, SamAccountName}# 2. 检查密码策略Write-Host "`n密码策略检查：" -ForegroundColor YellowGet-ADDefaultDomainPasswordPolicy | Format-List *# 3. 检查账户锁定策略Write-Host "`n账户锁定策略：" -ForegroundColor Yellow(Get-ADDomain).AccountLockoutDuration(Get-ADDomain).AccountLockoutThreshold(Get-ADDomain).AccountLockoutObservationWindow

结语

Active Directory域服务的安装与配置只是AD管理之旅的起点。一个良好设计的AD基础架构能够为企业提供稳定、安全的身份管理平台。

关键成功要素：

1. 规划先行：充分的规划和设计是成功部署的基础

2. 文档完善：记录所有配置变更和架构决策

3. 监控持续：建立完善的监控和告警机制

4. 备份可靠：确保系统状态备份的完整性和可恢复性

5. 安全加固：遵循最小权限原则，定期审计权限分配

记住，AD是一个动态发展的系统。随着业务需求的变化和技术的发展，你需要持续优化和维护AD环境。建立标准操作流程（SOP），定期进行健康检查，保持系统更新，这些都是确保AD长期稳定运行的关键。

现在，你已经在Windows Server上成功部署了Active Directory域服务。下一步是深入学习和实践更高级的AD功能，如组策略管理、证书服务、 Federation Services等，构建更加完善的企业身份管理平台。