如何在windows系统的域控制器中打开和使用组策略

在域内域控制器中的组策略对于系统管理员来说至关重要，它能够有效管理局域网，使管理工作更加轻松和高效。

创新互联自2013年起，先为华蓥等服务建站，华蓥等地企业，进行企业商务咨询服务。为华蓥企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。

Windows2000/XP/2003系统默认已经安装了组策略组件，以一台运行WindowsServer2003（SP1）系统的域控制器为例，在开始菜单中单击“运行”菜单项，然后在“打开”编辑框中输入gpedit.msc命令并按回车键，打开“组策略编辑器”窗口。

打开“组策略编辑器”窗口后，其默认的编辑对象是本地计算机。用户如果想在本地计算机中将其他计算机作为组策略编辑对象，则需要将组策略作为独立的控制台管理程序来打开，具体操作步骤如下所述：

第1步，在开始菜单中单击“运行”菜单项，然后在“打开”编辑框中输入MMC命令并按回车键。

第2步，打开“控制台1”窗口，依次单击“文件”→“添加/删除管理单元”菜单命令，打开“添加/删除管理单元”对话框。在“独立”选项卡中单击“添加”按钮，如图2008112619所示。

图2008112619“添加/删除管理单元”对话框

第3步，打开“添加独立管理单元”对话框，在“可用的独立管理单元”列表中选中“组策略对象编辑器”选项，并单击“添加”按钮，如图2008112620所示。

第4步，在打开的“选择组策略对象”对话框中单击“浏览”按钮，打开“浏览组策略”对象对话框。切换到“计算机”选项卡并选中“另一台计算机”单选框，单击“浏览”按钮

第5步，打开“选择计算机”对话框，通过高级查找功能在域中找到并选中目标计算机。然后依次单击“确定”→“完成”→“关闭”按钮返回“添加/删除管理单元”对话框

第6步，在“添加/删除管理单元”对话框中单击“确定”按钮，即可在“控制台1”窗口中看到已经添加进来的组策略对象。依次单击“文件”→“保存”菜单命令可以保存该窗口，方便以后使用

通过上述步骤，用户可以借助ActiveDirectory域和组策略的强大功能有效管理局域网，使管理工作更加轻松和高效。

Windows Server 2012 R2怎么配置域控制器

1首先，打开“服务器管理器”，点击“添加功能和角色”。

2

进入“添加角色和功能向导”，检查到静态IP地址（为192.168.100.100）已配置完成，管理员帐户使用的是强密码和最新的安全更新在实验中可以忽略，点击“下一步”。

3

我们在本地运行的物理计算机上安装，故安装类型选择第一项“基于角色或基于功能的安装”。

4

服务器选择服务器池中的本地服务器“dc”。

5

服务器角色中确保已安装了“DNS服务器”，如果没有安装将“DNS服务器”勾选上。然后勾选上“Active Directory域服务”，同时也在该服务器上安装域服务管理工具。

6

在Windows Server 2012 R2上Active Directory域服务的安装不需要添加额外的功能，直接点击“下一步”。

确认选择无误，点击“安装”按钮开始安装。

“Active Directory域服务”安装完成之后，点击“将此服务器提升为域控制器”。如果不慎点了“结束”按钮关闭了向导，也可以在“服务器管理器”中找到，如图所示。

进入“Active Directory域服务配置向导”，部署操作选择“添加新林”并输入根域名，必须使用允许的 DNS 域命名约定。

创建新林，“域控制器选项”页将显示以下选项。

默认情况下，林和域功能级别设置为 Windows Server 2012。

在

Windows Server 2012 域功能级别提供了一个新的功能：“支持动态访问控制和 Kerberos 保护”的 KDC

管理模板策略具有两个需要 Windows Server 2012 域功能级别的设置（“始终提供声明”和“未保护身份验证请求失败”）。

Windows

Server 2012 林功能级别不提供任何新功能，但可确保在林中创建的任何新域都自动在 Windows Server 2012

域功能级别运行。除了支持动态访问控制和 Kerberos 保护之外，Windows Server 2012

域功能级别不提供任何其他新功能，但可确保域中的任何域控制器都能运行 Windows Server 2012。

超过功能级别时，运行

Windows Server 2012 的域控制器将提供运行早期版本的 Windows Server 的域控制器不提供的附加功能。例如，运行

Windows Server 2012 的域控制器可用于虚拟域控制器克隆，而运行早期版本的 Windows Server 的域控制器则不能。

创建新林时，默认情况下选择 DNS 服务器。林中的第一个域控制器必须是全局目录 (GC) 服务器，且不能是只读域控制器 (RODC)。

需要目录服务还原模式 (DSRM) 密码才能登录未运行 AD DS 的域控制器。指定的密码必须遵循应用于服务器的密码策略，且默认情况下无需强密码；仅需非空密码。总是选择复杂强密码或首选密码。

安装

DNS 服务器时，应该在父域名系统 (DNS) 区域中创建指向 DNS

服务器且具有区域权限的委派记录。委派记录将传输名称解析机构和提供对授权管理新区域的新服务器对其他 DNS

服务器和客户端的正确引用。由于本机父域指向的是自己，无法进行DNS服务器的委派，不用创建 DNS 委派。

确保为域分配了NetBIOS名称。

“路径”页可以用于覆盖 AD DS 数据库、数据库事务日志和 SYSVOL 共享的默认文件夹位置。默认位置始终位于 %systemroot% 中，保持默认即可。

“审查” 选项页可以用于验证设置并确保在开始安装前满足要求。这不是停止使用服务器管理器安装的最后一次机会。此页只是让你先查看和确认设置，然后再继续配置。

此页面上显示的一些警告包括：

运行 Windows Server 2008 或更高版本的域控制器具有一个用于“允许执行兼容 Windows NT 4 加密算法”的默认设置，在建立安全通道会话时它可以防止加密算法减弱。

无法创建或更新 DNS 委派。

点击“安装”按钮开始安装。

安装完毕之后系统会自动重启，重启之后将以域管理员的身份登录，到此，域控制器配置完毕。

什么是windows的域（Domain）？

原文链接：

Windows域通常用于大型网络——公司网络、学校网络和政府网络。除非你有雇主或学校提供的笔记本电脑，否则你在家里不会遇到这种情况。

典型的家用计算机是一个孤立的实体。您可以控制计算机上的设置和用户帐户。连接到域的计算机是不同的——这些设置是在 域控制器(DC, domain controller) 上控制的。

Windows域为网络管理员提供了一种方法来管理大量的pc机，并从一个地方控制它们。一个或多个服务器(称为域控制器)控制域及其上的计算机。

域通常由在同一本地网络上的计算机组成。但是，连接到某个域的计算机可以通过VPN或Internet连接继续与域控制器通信。这使得企业和学校能够远程管理他们提供给员工和学生的笔记本电脑。

当计算机连接到一个域时，它不会使用自己的本地用户帐户，用户帐户和密码都是在域控制器上统一管理。当您登录到该域中的计算机时，计算机将使用域控制器验证您的用户帐户名称和密码。这意味着您可以在任何连接到该域的计算机上使用相同的用户名和密码登录。

网络管理员可以更改“域控制器”上的组策略设置。域上的每台计算机将从“域控制器”获得这些设置，它们将覆盖用户在其pc上指定的任何本地设置。所有的设置都是从一个地方控制的。这也“锁定”了计算机。您可能不允许更改连接到域的计算机上的许多系统设置。

换句话说，当计算机是域的一部分时，提供该计算机的组织正在远程管理和配置它。是远程的那些人在控制着连接到域的计算机，而不是正在使用这台计算机的人；

因为域不是为家庭用户设计的，所以只有运行专业版或企业版Windows的计算机才能连接到域。运行Windows RT的设备也不能连接域。

如果你有一台家用电脑，可以肯定它不是某个域的一部分。你可以在家里设置一个域控制器，但是真的没有理由这样做，除非你就是想体验一把。如果你在工作或学校使用电脑，你正在使用的电脑很有可能是某个域的一部分。如果你的工作或学校给你提供了一台笔记本电脑，它也可能是某个域的一部分。

您可以快速检查您的计算机是否属于某个域。打开【控制面板】，点击【系统和安全类别】，点击【系统】。请看这里的“计算机名称、域和工作组设置”。如果您看到“域”:后面跟着域的名称，您的计算机就连接到域。

如果您看到“工作组”:后面跟着工作组的名称，您的计算机将连接到工作组，而不是域。

没有连接到域的Windows计算机都是工作组的一部分。工作组是同一本地网络上的一组计算机。与域不同的是，工 一起的。工作组也不需要密码。

工作组在以前的Windows版本被用于主文件和打印机共享。您现在可以使用homegroup在家里的pc机之间轻松地共享文件和打印机。工作组现在已经被推到后台，所以您不需要担心它们——只需要保留工作组的默认名称并设置homegroup文件共享。

总之，域限制了你在电脑上可以做什么。当您的计算机是域的一部分时，域控制器负责您所能做的事情。这就是为什么它们被用于大型企业和教育网络——它们为提供计算机的机构提供了一种方法来锁定它们并集中管理它们。

这是核心概念，尽管在域上可以做更多的事情。例如，可以使用组策略在连接到域的计算机上远程安装软件。

什么是域控

域控制器（Domain controller，简称DC）是指在计算机网络域内响应安全身份认证请求的网络服务器，负责允许发出请求的主机访问域内资源，以及对用户进行身份验证，存储用户账户信息，并执行域的安全策略。

域控制器( Domain controller，DC)是活动目录的存储位置,安装了活动目录的计算机称为域控制器。在第一次安装活动目录时,安装活动目录的那台计算机就成为域控制器,简称“域控”。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索等。

一个域可以有多个域控制器。为了获得高可用性和容错能力,规模较小的域只需两个域控制器,一个实际使用,另一个用于容错性检査;规模较大的域可以使用多个域控制器。

在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的，必须要由网络管理员进行相应的设置，把这台电脑加入到域中。这样才能实现文件的共享。

一、软件

用于运行域控制器的软件和操作系统通常由几个跨平台共享的关键组件组成。这包括操作系统（通常是Windows Server或Linux）、LDAP服务（Red Hat Directory Server等）、网络时间服务（ntpd、chrony等）和计算机网络身份验证协议（通常是Kerberos）。

其他组件，例如公钥基础结构（Active Directory 证书服务、DogTag、OpenSSL）服务和域名系统（Windows DNS 或BIND ) 也可能包含在同一台服务器或另一个加入域的服务器上。

二、实施

域控制器通常部署为集群，以确保高可用性并最大限度地提高可靠性。在 Windows 环境中，一个域控制器充当主域控制器 (PDC)，而在域服务器中提升为域控制器状态的所有其他服务器作为备份域控制器 (BDC)。

在基于 Unix 的环境中，一台机器作为主域控制器，其他机器作为副本域控制器，定期从主域控制器复制数据库信息并以只读格式存储。

以上内容参考 百度百科-域控制器

Windows Server2012系统电脑如何安装域控制器

我们可能对Windows Server2012系统有点陌生，其实这是一款非常有用的服务器端操作系统。我们在使用这个系统时需要安装域控制器，接下里小编就教大家怎么操作。

具体如下：

1. 1. 首先我们打开电脑进入到桌面，然后打开控制面板，进入到控制面板之后，我们点击左侧的启用或关闭Windows功能按钮。

2. 2. 然后我们就会进入到服务器管理器界面，然后我们点击下方的添加角色和功能选项。

3. 3. 进入到下一个界面之后，我们点击下方的下一步按钮。

然后我们在下一个界面中选择基于角色或基于功能的安装选项，然后点击下一步按钮。

4. 4. 然后我们在下一个界面中，选择从服务器池中选择服务器选项，然后继续点击下一步按钮。

5. 5.接下来我们在下拉菜单中找到Active Directory域服务，点击选择。

6. 然后在界面中会弹出一个窗口，我们点击下方的添加功能选项。

7. 6. 添加完成之后，我们就可以点击下一步按钮了。

8. 7. 进入到选择功能界面之后，我们点击下一步按钮。

9. 8. 最后我们会进入到确认界面，我们点击下方的安装按钮。

10. 9. 然后就会进入到安装界面，我们只需要等待安装完成就可以了。

11. 10. 等待进度条完成之后，在下方就会显示安装成功的提示。然后我们点击下方的完成选项。

以上就是在Windows Server2012系统电脑中安装域控制器的方法。

windows域控制器可以实现哪些功能？

域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在 Windows 网络操作系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域;每个域都有自己的安全策略，以及它与其他域的安全信任关系。

域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。

其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。

如果说工作组是“免费的旅店”那么域（Domain）就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合，势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机还是各自管理的，你要访问其中的计算机，还是要到被访问计算机上来实现用户验证的。而域不同，域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可了。

为什么是这样的呢？因为在加入域的时候，管理员为每个计算机在域中（可和用户不在同一域中）建立了一个计算机帐户，这个帐户和用户帐户一样，也有密码保护的。可是大家要问了，我没有输入过什么密码啊，是的，你确实没有输入，计算机帐户的密码不叫密码，在域中称为登录票据，它是由2000的DC（域控制器）上的KDC服务来颁发和维护的。为了保证系统的安全，KDC服务每30天会自动更新一次所有的票据，并把上次使用的票据记录下来。

周而复始。也就是说服务器始终保存着2个票据，其有效时间是60天，60天后，上次使用的票据就会被系统丢弃。如果你的GHOST备份里带有的票据是60天的，那么该计算机将不能被KDC服务验证，从而系统将禁止在这个计算机上的任何访问请求（包括登录），解决的方法呢，简单的方法使将计算机脱离域并重新加入，KDC服务会重新设置这一票据。或者使用2000资源包里的NETDOM命令强制重新设置安全票据。

因此在有域的环境下，请尽量不要在计算机加入域后使用GHOST备份系统分区，如果作了，请在恢复时确认备份是在60天内作的，如果超出，就最好联系你的系统管理员，你可以需要管理员重新设置计算机安全票据，否则你将不能登录域环境。

分享题目：windows系统域控制的简单介绍
分享URL：http://pwwzsj.com/article/hehsso.html