Windows Server 2016 AD 域环境部署搭建及部分策略演示-详细版持续更新
1.域控服务部署
1. 部署前准备工作
1.1 服务器硬件与软件要求
-
一台 Windows Server 2016(标准版/数据中心版皆可)
-
内存 ≥ 4GB(建议 8GB)
-
系统已激活或可用评估版本
-
已配置至少一个静态 IP
1.2 网络规划示例
| 项目 | 数值 |
|---|---|
| 域控服务器名称 | DC01 |
| 域名 | xw.com |
| 服务器IP | 192.168.119.136 |
| 子网掩码 | 255.255.255.0 |
| 默认网关 | 192.168.119.2 |
| DNS | 192.168.119.136(必须) |
⚠ 注意:DNS 必须先指向本机,否则无法创建 AD 域
1.3 AD 域管理流程图
+-------------------+
| 域控制器 (DC) |
| Active Directory |
+-------------------+
|
---------------------------------
| |
+----------------+ +----------------+
| 组织单位 (OU) | | 组策略 (GPO) |
+----------------+ +----------------+
| |
-------------------- --------------------
| | | | | |
HR OU IT OU Finance OU 安全策略 软件下发 桌面策略
| | | | | |
用户账号 用户账号 用户账号 密码/USB MSI 安装 壁纸/宏
计算机对象 计算机对象 计算机对象
1.4 修改服务器主机名
运行 sysdm.cpl → 更改名称 → DC01 → 重启。
2. 配置服务器静态 IP
路径:
控制面板 → 网络与共享中心 → 以太网 → 属性 → IPv4
填写:
-
IP:192.168.1.10
-
子网掩码:255.255.255.0
-
默认网关:192.168.1.1
-
DNS:192.168.1.10(重点)
3. 安装 Active Directory 域服务 AD DS
3.1 打开服务器管理器
点击 “添加角色和功能”
选择:
-
基于角色或基于功能的安装
-
选中当前服务器(DC01)
3.2 勾选“Active Directory 域服务”角色
同时会提示安装 DNS Server → 点击“添加功能”。
3.3 开始安装
一路“下一步”→“安装”。
完成后不要关闭窗口。
点击:“将此服务器提升为域控制器”
4. 配置域控制器(提升为域控)
4.1 创建新林
选择:
-
添加新林
-
根域名输入:
xw.com
4.2 域控制器选项
-
域功能级别:Windows Server 2016
-
林功能级别:Windows Server 2016
-
勾选:DNS 服务器
-
密码:设置 DSRM(恢复模式)密码
4.3 DNS 设置提示
忽略 IPv6 警告 → 继续。
4.4 完成安装并自动重启
重启后,系统已成为域控制器,重启后登录页面
测试解析域名
重启后的网卡状态和ipv4
5. 配置组织单位(OU)结构
运行 dsa.msc(Active Directory 用户和计算机)
推荐企业级 OU 结构:
xw.com(域根,不要操作) ├── Company(公司组织) │ ├── HR(人事部) │ ├── IT(信息部) │ ├── Finance(财务部) │ ├── Sales(业务部) │ └── OtherDept(其他部门,可选) │ ├── Computers(电脑组织) │ ├── Office-PC(办公室电脑) │ ├── Meeting-PC(会议室电脑) │ ├── Public-PC(公共电脑,可选) │ └── Special-PC(专用设备,如收银、考勤) │ ├── Servers(服务器) │ ├── DC(域控) │ ├── FileServer │ ├── AppServer │ ├── DBServer │ └── BackupServer │ └── Groups(权限组) ├── Security Groups(安全组) ├── Distribution Groups(通讯组) └── Project Groups(项目组)
不要在默认容器(Users、Computers)中放用户和电脑,实际使用 OU 结构管理。
6. 创建域用户与安全组
在相应的 OU 上:
右键 → 新建 → 用户
示例:
-
姓名:张三
-
初始密码:P@ssw0rd
-
勾选“用户必须在下次登录时更改密码”
创建安全组:
右键 OU → 新建 → 组
示例:
-
FinanceGroup(财务权限组)
-
ITAdminGroup(IT 管理员组)
登录加域后的新建的域账户,禁用原系统本地管理原账户,找到加域的客户端,鼠标右键,点击管理,禁用管理员用户
7. 客户端加入域
7.1 客户端配置 DNS
Windows 10 / 11 客户端将 DNS 设置为域控:
7.2 加入域
步骤:
-
右键“此电脑” → 属性 → 更改设置
-
点击“更改”
-
选择“域”
-
输入:
xw.com -
输入域管理员账号:
Administrator -
成功加入 → 重启
重启后登录界面可选择:域用户登录,客户端登录后,选择域登录
成功登录域账户admin1,admin1为普通用户权限,
8. 验证策略是否成功下发
在客户端执行:
生成策略报告:
打开 gpo.html 查看:
-
已应用的 GPO
-
失败原因
-
策略优先级
9. 配置组策略(GPO)实现策略下发
运行 gpmc.msc(组策略管理器)
策略结构推荐:
Group Policy Objects
├── GPO_DefaultSecurity
├── GPO_DisableUSB
├── GPO_DeploySoftware
├── GPO_SetWallpaper
└── GPO_OfficeComputerPolicy
9.1 禁用 USB 存储策略
路径:
计算机配置 → 管理模板 → 系统 → 可移动存储访问
启用:
-
所有可移动存储类:拒绝所有访问
-
可移动磁盘:拒绝读取
-
可移动磁盘:拒绝写入
将此 GPO 链接至:
Office-PC(客户端 OU)
9.2 设置统一桌面壁纸下发
-
将壁纸文件放到:
-
策略路径:
设置:
-
壁纸路径:
\\dc01\netlogon\wallpaper\wall.jpg -
壁纸样式:填充
9.3 下发软件安装(MSI)
前提:应用需提供 MSI 安装包。
-
将 MSI 放到共享目录:
-
策略路径:
选择:
-
新建 → 包
-
选择网络路径:
\\dc01\software\chrome.msi -
部署方式:分配(Assigned)
⚠ 安装 MSI 必须用网络 UNC 路径,不能使用本地路径。
9.4 禁止 CMD 命令行
打开域控服务器,执行gpmc.msc ,如下图,找到用户配置 → 管理模板 → 系统 → 禁止访问命令提示符,点击启用,
客户端,执行强制刷新组策略,执行
gpupdate /force
关闭cmd后,重新打开后就会提示如下图,代表策略已生效
9.5 配置单个域用户登录,每个员工账号只能登录自己的主机账号不共享
配置案例说明
新建三个用户:admin1,admin2,admin3,加域主机为DESKTOP-0ANPD4L,DESKTOP-UCJ3KCG 两台,
配置admin1仅能登录DESKTOP-0ANPD4L,admin2仅能登录DESKTOP-UCJ3KCG,admin3无限制
admin1,admin2为测试组,admin3为IT管理员组
将用户和计算机加入测试组和管理员组如下:测试组隶属于Users组,管理员组隶属于Administrators组
测试验证,使用admin1登录DESKTOP-UCJ3KCG,如下提示:
测试验证,使用admin2登录DESKTOP-UCJ3KCG,如下展示:
测试验证,使用admin3登录DESKTOP-UCJ3KCG,如下展示:
9.6 配置本地管理员策略
微软 LAPS(Local Administrator Password Solution)
LAPS(Local Administrator Password Solution,本地管理员密码解决方案) 是微软提供的一套企业级安全工具,专门用于管理 Windows 客户端的本地管理员账户密码。
微软 LAPS工作原理:
-
管理员在 GPO 中配置 LAPS 策略(指定账户、密码长度、复杂度、轮换周期)
-
客户端安装 LAPS CSE(Client Side Extension)
-
客户端 CSE 按策略生成随机密码
-
密码更新后写入 AD,管理员可安全查询
-
系统自动定期轮换密码
9.6.1 下载 LAPS
下载链接:
https://www.microsoft.com/en-us/download/details.aspx?id=46899
安装和配置
执行命令:
regsvr32.exe AdmPwd.dll
更多信息参见,LAPS文档
9.6.2 扩展 AD Schema
-
打开管理员 PowerShell 或 CMD(域控)
-
执行:
Import-Module AdmPwd.PS Update-AdmPwdADSchema
执行结果输入如下参考:
PS C:\Users\Administrator> Import-module AdmPwd.PS PS C:\Users\Administrator> Update-AdmPwdADSchema Operation DistinguishedName Status --------- ----------------- ------ AddSchemaAttribute cn=ms-Mcs-AdmPwdExpirationTime,CN=Schema,CN=Configuration,DC=x... Success AddSchemaAttribute cn=ms-Mcs-AdmPwd,CN=Schema,CN=Configuration,DC=xw,DC=com Success ModifySchemaClass cn=computer,CN=Schema,CN=Configuration,DC=xw,DC=com Success
9.6.3 配置 OU 权限
客户端计算机需要有权限写入 AD:
# 给 OU 下所有计算机对象自身写入权限 Set-AdmPwdComputerSelfPermission -OrgUnit "OU=IT,DC=domain,DC=com" # 给管理员组读取密码权限 Set-AdmPwdReadPasswordPermission -OrgUnit "OU=IT,DC=domain,DC=com" -AllowedPrincipals "Domain Admins"
执行结果输入如下参考:
PS C:\Users\Administrator> Get-ADOrganizationalUnit -Filter * | Select-Object Name, DistinguishedName Name DistinguishedName ---- ----------------- Domain Controllers OU=Domain Controllers,DC=xw,DC=com Company_xx有限公司 OU=Company_xx有限公司,DC=xw,DC=com HR(人事部) OU=HR(人事部),OU=Company_xx有限公司,DC=xw,DC=com Finance(财务部) OU=Finance(财务部),OU=Company_xx有限公司,DC=xw,DC=com Computers(电脑组织) OU=Computers(电脑组织),DC=xw,DC=com IT(信息部) OU=IT(信息部),OU=Company_xx有限公司,DC=xw,DC=com Sales(业务部) OU=Sales(业务部),OU=Company_xx有限公司,DC=xw,DC=com OtherDept(其他部门,可选) OU=OtherDept(其他部门,可选),OU=Company_xx有限公司,DC=xw,DC=com Office-PC(办公室电脑) OU=Office-PC(办公室电脑),OU=Computers(电脑组织),DC=xw,DC=com Meeting-PC(会议室电脑) OU=Meeting-PC(会议室电脑),OU=Computers(电脑组织),DC=xw,DC=com Public-PC(公共电脑,可选) OU=Public-PC(公共电脑,可选),OU=Computers(电脑组织),DC=xw,DC=com Special-PC(专用设备,如收银、考勤) OU=Special-PC(专用设备,如收银、考勤),OU=Computers(电脑组织),DC=xw,DC=com Servers(服务器) OU=Servers(服务器),DC=xw,DC=com DC(域控) OU=DC(域控),OU=Servers(服务器),DC=xw,DC=com FileServer(文件服务器) OU=FileServer(文件服务器),OU=Servers(服务器),DC=xw,DC=com AppServer(应用服务器) OU=AppServer(应用服务器),OU=Servers(服务器),DC=xw,DC=com DBServer(数据库服务器) OU=DBServer(数据库服务器),OU=Servers(服务器),DC=xw,DC=com BackupServer(备份服务器) OU=BackupServer(备份服务器),OU=Servers(服务器),DC=xw,DC=com Groups(权限组) OU=Groups(权限组),DC=xw,DC=com Security Groups(安全组) OU=Security Groups(安全组),OU=Groups(权限组),DC=xw,DC=com Distribution Groups(通讯组) OU=Distribution Groups(通讯组),OU=Groups(权限组),DC=xw,DC=com Project Groups(项目组) OU=Project Groups(项目组),OU=Groups(权限组),DC=xw,DC=com PrintServer (打印服务器) OU=PrintServer (打印服务器),OU=Servers(服务器),DC=xw,DC=com PS C:\Users\Administrator> Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Computers(电脑组织),DC=xw,DC=com" Name DistinguishedName Status ---- ----------------- ------ Computers(电脑组... OU=Computers(电脑组织),DC=xw,DC=com Delegated PS C:\Users\Administrator> Set-AdmPwdReadPasswordPermission -OrgUnit "OU=Computers(电脑组织),DC=xw,DC=com" -AllowedPri ncipals "Domain Admins" Name DistinguishedName Status ---- ----------------- ------ Computers(电脑组... OU=Computers(电脑组织),DC=xw,DC=com Delegated
9.6.4 打开管理工具(管理员工作站)
打开安装目录的AdmPwd.UI程序,输入客户端的主机名,点击查询,
或者是用命令查询,powershell终端执行,输出结果如下:
PS C:\Users\Administrator> Get-AdmPwdPassword -ComputerName DESKTOP-UCJ3KCG ComputerName DistinguishedName Password ExpirationTimestamp ------------ ----------------- -------- ------------------- DESKTOP-UCJ3KCG CN=DESKTOP-UCJ3KCG,OU=IT(信息部),OU=Comp... LNFGCHEZNT 2026/1/2 14:47:41 PS C:\Users\Administrator>
9.6.5 创建并配置 GPO(组策略)
打开 计算机配置,管理模版 ,LAPS 编辑
密码复杂度:
配置管理员名称
开启本地管理员密码管理
9.6.6 安装客户端 CSE
下载链接安装步骤同服务端安装配置方法
https://www.microsoft.com/en-us/download/details.aspx?id=46899
9.6.7 刷新组策略并验证
客户端执行
gpupdate /force
切换本地管理员用新的密码登录,服务器端查询密码
PS C:\Users\Administrator> Get-AdmPwdPassword -ComputerName DESKTOP-UCJ3K ComputerName DistinguishedName Password ExpirationTimesta ------------ ----------------- -------- ------------------ DESKTOP-UCJ3KCG CN=DESKTOP-UCJ3KCG,OU=IT(信息部),OU=Comp... LNFGCHEZNT 2026/1/2 14:47:4
执行本地用户登录验证
结果:至此本地管理员账户重置密码成功,即使域控失败的情况下,可以查询出管理员密码,进行本地登录,实现登录维护等功能。
9.7 配置域用户为管理员
打开ad域用户和计算机页面
打开Users,打开Domain Users页面,添加it管理员成员
域控服务器端,执行net user admin2查看你用户属性
客户端重启,重新登陆admin2验证用户权限
客户端登录后查看当前用户的组权限 执行:net user admin2 /domain
10. 常见问题与排查方案
问题 1:无法加入域
原因:
-
DNS 未指向域控
-
时间偏差超过 5 分钟
-
网络不通
解决:
问题 2:组策略不生效(GPO 失效)
检查顺序:
-
客户端 DNS 是否正确为 DC IP
-
执行:
-
GPO 是否已链接到正确的 OU
-
OU 是否包含目标电脑/用户
-
GPO 安全筛选是否包含“Authenticated Users”
-
SYSVOL 是否正常:
问题 3:软件无法自动安装
检查:
-
MSI 部署路径必须为 UNC 如:
\\dc01\software -
权限:Everyone → 读取
-
客户端必须重启一次才会安装软件
11. 域控日常运维建议
-
定期备份 AD(System State)
-
检查时间同步状态
-
定期清理无用 GPO
-
分级权限管理(普通用户/组/IT 管理员)
-
使用安全策略加固(禁止 USB、限制控制面板等)
淘宝小店,欢迎你的光临,可定制你的需求
https://shop340822098.taobao.com/
gpupdate /force
浙公网安备 33010602011771号