开篇从杂货铺到连锁超市的网络进化想象一下你开了个小公司有5台电脑。每台电脑单独设置账号密码共享文件靠U盘拷来拷去——这就是典型的工作组Workgroup模式像是个体户的杂货铺简单但效率低。当公司发展到50台电脑、100个员工时这种模式就崩溃了。这时你需要的是域Domain——像连锁超市的中央管理系统所有分店统一管理、统一采购、统一策略。今天我就带你用Windows Server 2016和Windows 10从零搭建一个真正的企业域环境第一章核心概念大解析1.1 工作组 vs 域两种管理模式的对决工作组Workgroup——小型网络的自治模式特点1每台电脑都是独立王国自己管自己的用户账户特点2共享资源需要每台电脑单独设置权限特点3没有中央管理适合10台以下电脑缺点用户要在每台电脑上单独创建账户密码可能各不相同域Domain——企业网络的中央集权特点1统一身份认证一个账户全网通行特点2集中策略管理一次设置批量生效特点3资源统一管理权限分配清晰特点4适合中大型企业网络1.2 域的三驾马车① 域控制器Domain Controller简称DC域的大脑和心脏负责所有用户的登录验证② 活动目录Active Directory简称AD域的数据库存储所有用户、计算机、组等信息特别注意AD是服务不是账户域管理员账户通常是Administrator③ 域Domain管理边界相当于一个王国的疆域三者关系域是管理范围DC是执行管理的服务器AD是运行在DC上的目录服务。1.3 域的家族关系树与林域树Domain Tree有连续命名空间的多个域如ysyx.com总部→bj.ysyx.com北京分公司→sh.ysyx.com上海分公司林Forest一个或多个域树的集合林中所有域共享架构和全局编录林根域Forest Root Domain林中创建的第一个域第二章环境准备与规划2.1 实验环境说明服务器端操作系统Windows Server 2016主机名WIN-NVTU1D0KAU0IP地址10.0.0.100/24DNS指向自己10.0.0.100客户端操作系统Windows 10主机名DESKTOP-KVSIMGLIP地址10.0.0.10/24DNS指向域控制器10.0.0.100网络要求确保两台机器能互相ping通关闭防火墙或配置允许规则2.2 升级为域控制器的六大前提操作系统必须是Windows Server版我们用的是Server 2016管理员权限使用本地Administrator账户登录静态IP设置固定IP地址不能是自动获取DNS服务安装DNS服务器角色或指定现有DNS磁盘空间至少250MB用于AD数据库 50MB日志文件NTFS分区系统盘必须是NTFS格式第三章实战搭建域控制器3.1 步骤一配置服务器网络登录Windows Server 2016打开控制面板 → 网络和共享中心 → 更改适配器设置右键以太网 → 属性 → 双击Internet协议版本4(TCP/IPv4)配置IP地址及DNS3.2 步骤二安装Active Directory域服务通过服务器管理器安装打开服务器管理器点击添加角色和功能一路下一步直到服务器角色页面勾选Active Directory域服务点击添加功能 → 下一步 → 下一步 → 安装等待安装完成约5-10分钟3.3 步骤三提升为域控制器在服务器管理器中点击右上角的黄色感叹号选择将此服务器提升为域控制器选择添加新林输入根域名ysyx.com设置目录服务还原模式密码用于AD故障恢复建议与管理员密码不同长度至少7位含大小写字母和数字一路下一步直到先决条件检查通过检查后点击安装系统会自动重启重启后即成为域控制器3.4 步骤四验证安装成功重启后使用域管理员账户登录用户名YSYX\Administrator密码你设置的密码检查AD服务是否正常运行打开服务器管理器 → 工具 → Active Directory用户和计算机或者WinR调出运行输入dsa.msc应该能看到ysyx.com域结构第四章将客户端加入域4.1 客户端网络配置登录Windows 10右键网络图标 → 打开网络和Internet设置点击更改适配器选项 → 右键以太网 → 属性双击Internet协议版本4(TCP/IPv4)配置IP地址10.0.0.10子网掩码255.255.255.0首选DNS10.0.0.100必须指向域控制器4.2 加入域操作步骤右键此电脑 → 属性点击更改设置在计算机名、域和工作组设置区域点击更改按钮选择域输入域名ysyx.com点击确定输入有权限加入域的账户用户名Administrator密码域管理员密码看到欢迎加入ysys.com域提示点击确定提示重启点击立即重新启动4.3 验证加入成功重启后右击此电脑属性查看在域控制器上查看已加入的计算机打开Active Directory用户和计算机展开ysyx.com→ Computers容器第五章域用户与组织单位管理5.1 创建第一个域用户场景为销售部员工张三创建账户在域控制器上打开Active Directory用户和计算机右键域名 → 新建 → 组织单位名称销售部右键销售部OU → 新建 → 用户填写用户信息姓张名三用户登录名zhangsan注意显示名在当前容器唯一登录名在域中唯一设置初始密码密码Pssw0rd2026符合复杂性要求取消用户下次登录时须更改密码勾选密码永不过期测试环境用5.2 用户属性深度配置双击用户账户可以配置登录时间限制只能在工作时间登录登录到限制只能从特定计算机登录5.3 组织单位Organizational Unit简称OU设计五种经典设计模式基于部门最常用ysyx.com├── 管理部├── 销售部├── 技术部└── 财务部基于地区ysyx.com├── 北京分公司├── 上海分公司└── 广州分公司基于对象类型ysyx.com├── 用户账户├── 计算机账户├── 安全组└── 联系人混合模式实际最常用ysyx.com├── 用户│ ├── 正式员工│ ├── 临时员工│ └── 实习生├── 计算机│ ├── 台式机│ ├── 笔记本│ └── 服务器└── 组├── 部门组└── 权限组5.4 删除OU注意事项错误做法直接右键OU → 删除会报错正确步骤启用高级功能查看 → 高级功能右键OU → 属性 → 对象取消勾选防止对象被意外删除再去右键删除即可删除掉第六章组策略实战应用6.1 什么是组策略Group Policy通俗理解域环境的自动化管理工具统一配置所有域计算机的系统和软件设置相当于给所有电脑下发统一规章制度两个默认策略默认域策略影响域中所有用户和计算机默认域控制器策略只影响域控制器本身6.2 实战禁止更改桌面背景需求公司要求统一桌面壁纸禁止员工修改配置步骤打开组策略管理服务器管理器 → 工具 → 组策略管理展开林ysyx.com → 域 → ysyx.com右键Default Domain Policy → 编辑在组策略管理编辑器中导航到用户配置 → 策略 → 管理模板 → 控制面板 → 个性化启用阻止更改桌面背景策略关闭编辑器策略会自动保存验证效果在客户端上用普通域用户登录zhangsan右键桌面 → 个性化应该发现背景选项不可用或变灰6.3 组策略的继承机制重要规则默认下级继承上级策略实验验证继承在销售部OU下的用户zhangsan用该用户登录客户端尝试更改桌面背景 → 不能更改继承了域根策略6.4 阻止继承与强制继承实验阻止继承在组策略管理中右键销售部OU → 阻止继承用zhangsan用户登录测试 → 可以更改桌面背景实验强制继承强制生效右键Default Domain Policy → 强制再次测试 → 又不能更改桌面背景了结论强制策略 阻止继承 默认继承6.5 创建自定义GPO场景为销售部单独设置IE主页右键销售部OU → 在这个域中创建GPO并在此处链接名称销售部IE策略右键该GPO → 编辑路径用户配置 → 策略 → 管理模板 → Windows组件 → Internet Explorer → 双击“禁止更改主页设置选择已启用配置主页URLwww.ysyx.com验证效果在客户端上用普通域用户登录zhangsan打开ie浏览器看是否访问www.ysyx.com6.6 策略冲突与优先级冲突规则县官不如现管下级优先验证实验域根策略设置IE主页为www.ysyx.com销售部策略设置IE主页为sales.ysyx.com销售部用户登录后 → 主页显示sales.ysyx.com特殊情况如果域根策略设置了强制则下级无法覆盖第七章日常维护与管理7.1 查看组策略应用结果在客户端上按WinR输入rsop.msc查看策略的结果集7.2 强制更新组策略客户端命令提示符gpupdate /force7.3 常见问题排查问题1客户端无法加入域检查DNS设置是否正确指向域控制器检查网络连通性ping 10.0.0.100检查域名输入是否正确问题2组策略不生效运行gpupdate /force检查策略是否已正确链接到OU检查是否有冲突策略查看事件查看器中的组策略日志问题3用户登录失败检查账户是否被禁用检查密码是否过期检查登录时间限制写在最后搭建Windows域环境就像搭积木掌握了基本模块后你可以构建出任意复杂的企业网络。记住关键点DNS是关键90%的域问题都是DNS问题继承是核心理解策略继承关系测试是必须任何策略先小范围测试动手试试吧在自己的实验环境中操作一遍胜过读十篇文章遇到问题欢迎在评论区交流讨论版权声明本文为技术分享文章转载请注明出处实验建议在虚拟机中进行避免影响生产环境。