AD系列:Windows Server 2025 搭建AD域控和初始化
本文最后更新于 2025年4月30日 上午
简介
本教程主要内容为使用Windows Server 2025 部署Active Directory (ADDS\域控制器)服务。
所有操作尽量使用PowerShell,可提高部署效率和自动化操作。
AD 系列文章:https://songxwn.com/categories/AD/
使用目的
用于基础设施中的LDAP统一身份授权认证、NTP 服务器、DNS服务器。
LDAP 系列文章:https://songxwn.com/tags/ldap/
域控配置要求
建议至少 2C6G 50G存储
Windows Server 2025 最新ISO下载
MD5:985096E0D119BD8D2947CC2220986EE2
SHA1:5370F9F768EC31B846B2B7E14DCAF597C649ADEA
SHA256:72E67B86E0F7A000BF33D2CFB2394680E909AB3F880EAB42222177F5F4DF8E8A
BT 磁力 (可用迅雷或qBittorrent 下载):
1 |
|
KMS 安装/激活密钥
安装密钥:D764K-2NDRG-47T6Q-P8T8W-YP6DF
注意:安装的时候选择 Windows Server 2025 Datacenter 桌面体验 版本。
激活命令
1 |
|
域控安装前准备
修改计算机名字 (作为域控后不建议随意修改名字)
1 |
|
配置固定IP
删除安全服务 (可选)
1 |
|
域控安装
添加域控制器角色
1 |
|
如上图,代表安装完成。(安装完成后尽量重启一次。)
将服务器配置为域控制器
1 |
|
注意:执行配置完成后,会自动重启。重启后,要使用 songxwn\administrator 用户登录,密码和之前的本地administrator一样。
以上powershell 配置AD 命令的详细讲解:
-DomainName "songxwn.local"
该参数指定新的 Active Directory 域的 DNS 名称。
这里创建的域名是
songxwn.local
,可以自行修改。
-ForestMode Win2025
该参数用于指定新的 AD 域林的功能级别(Forest Functional Level)。
功能级别定义了林中能支持的活动目录功能。
Windows2008, Windows2008R2
Windows2012, Windows2012R2
Windows2016
Windows2025
-DomainMode Win2025
该参数指定域的功能级别(Domain Functional Level)。
与林功能级别类似,定义了该域支持的功能和特性。
-DomainNetbiosName SONGXWN
指定域的 NetBIOS 名称,NetBIOS 名称是一个15字符以内的短名,主要用于旧的网络浏览、兼容应用等。
一般与域名的前缀(主机部分)相同或类似,通常大写。
例如
songxwn.local
域对应的 NetBIOS 名称是SONGXWN
。
-SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "Songxwn.com" -Force)
该参数指定目录服务恢复模式(DSRM)管理员账号(内建管理员账户)的密码。
DSRM 是 AD 维护和恢复时使用的特殊模式。
命令部分
(ConvertTo-SecureString -AsPlainText "Songxwn.com" -Force)
是将明文密码"Songxwn.com"
转换成安全的字符串格式,符合命令要求。注意,密码应遵循复杂性策略,以保证安全。
-InstallDNS
指示安装过程也安装 DNS 服务器角色,并自动配置DNS。
对 Active Directory 域控来说,DNS 服务是必备的,因为 AD 依赖 DNS 进行名称解析和服务定位。
域控安装后
组策略 - 修改密码过期时间
powershell 执行 gpmc.msc 打开组策略管理。
修改最长最短使用期限都为0天。
然后让AD执行 gpupdate /force
强制快速应用组策略。
修改 DNS 转发器 - 加快DNS查询
运行 dnsmgmt.msc,修改所有的转发器为本地网络的公共DNS服务器。
ADSI - 设置普通用户不能自己将计算机加入域控
运行adsiedit.msc,点击操作 > 连接到 > 确定(连接到默认域控)> 右键 DC=songxwn,DC=local 属性进行编辑。
找到“ ms-DS-MachineAccountQuota” ,将其数值由默认的10改成0 。然后点击应用。如上图。 (默认是10次,代表普通用户可以将十台计算机加入域控,但域控管理员不受限制。)
组策略 - 只允许本地管理员登录域控计算机 - 可选
powershell 执行 gpmc.msc 打开组策略管理。
添加 Administrators 组 和 Domain Admins组,这样只能添加到本地管理员组的普通用户,或域控管理员用户能进行登录这台计算机。
然后让AD执行 gpupdate /force
强制快速应用组策略。
NTP服务器配置 - 使用公网权威NTP服务器作为上游同步
因为默认仅仅会用COMS作为时间源,久了时间会偏移。
1 |
|
创建额外的域控管理员用户
运行dsa.msc 打开Active Directory 用户和计算机
进入 Users 组织单位下,右键 Administrator,选择复制创建用户。
启用并使用 Active Directory 回收站
1 |
|
已删除的对象,运行 dsac.exe 去 Active Directory 管理中心 > Deleted Objects 下查看并还原。
启用数据库 32k 页可选功能 – 可选
1 |
|
微软官方文档
运维技术交流群
发送邮件到 ➡️ [email protected]
或者关注WX公众号:网工格物