1. 简介

用于基础设施中的 LDAP 统一身份授权认证、NTP 服务器、DNS 服务器。

域控配置要求

• 建议至少 2C6G 50G存储

1.1. 域控安装前准备

• 激活操作系统
• 修改计算机名字 （作为域控后不建议随意修改名字）

## powershell 管理员执行 或 终端 管理员执行

Rename-Computer -NewName "AD-S1" -Force -Restart

# 修改计算机名字并立即重启生效。

• 配置固定 IP

• 删除安全服务 （可选）

Remove-WindowsFeature -Name Windows-Defender

2. 域控安装及配置

2.1. 添加域控制器角色

## powershell 管理员执行 或 终端 管理员执行

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

# 关闭防火墙

Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools 

# 安装域控角色

2.2. 将服务器配置为域控制器

## powershell 管理员执行 或 终端 管理员执行，执行后会提示是否继续，回车继续即可。

Install-ADDSForest `
    -DomainName "waringid.local" `
    -ForestMode Win2025 `
    -DomainMode Win2025 `
    -DomainNetbiosName "WARINGID" `
    -SafeModeAdministratorPassword (ConvertTo-SecureString "Waringid.me" -AsPlainText -Force) `
    -InstallDNS

命令详解

-DomainName "waringid.local"

• 该参数指定新的 Active Directory 域的 DNS 名称。
• 这里创建的域名是 waringid.local，可以自行修改。

-ForestMode Win2025

• 该参数用于指定新的 AD 域林的功能级别（Forest Functional Level）。
• 功能级别定义了林中能支持的活动目录功能。
  • Windows2008, Windows2008R2
  • Windows2012, Windows2012R2
  • Windows2016
  • Windows2025

-DomainMode Win2025

• 该参数指定域的功能级别（Domain Functional Level）。
• 与林功能级别类似，定义了该域支持的功能和特性。

-DomainNetbiosName WARINGID

• 指定域的 NetBIOS 名称，NetBIOS 名称是一个15字符以内的短名，主要用于旧的网络浏览、兼容应用等。
• 一般与域名的前缀（主机部分）相同或类似，通常大写。
• 例如 waringid.local 域对应的 NetBIOS 名称是 WARINGID。

-SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "Waringid.me" -Force)

• 该参数指定目录服务恢复模式（DSRM）管理员账号（内建管理员账户）的密码。
• DSRM 是 AD 维护和恢复时使用的特殊模式。
• 命令部分 (ConvertTo-SecureString -AsPlainText "Waringid.me" -Force) 是将明文密码 "Waringid.me" 转换成安全的字符串格式，符合命令要求。

-InstallDNS

• 指示安装过程也安装 DNS 服务器角色，并自动配置DNS。
• 对 Active Directory 域控来说，DNS 服务是必备的，因为 AD 依赖 DNS 进行名称解析和服务定位。

3. 域控配置

3.1. 组策略 - 修改密码过期时间

powershell 执行 gpmc.msc 打开组策略管理。修改最长最短使用期限都为0天。然后让AD执行 gpupdate /force 强制快速应用组策略。

3.2. 修改 DNS 转发器

运行 dnsmgmt.msc，修改所有的转发器为本地网络的公共 DNS 服务器。

3.3. ADSI - 设置普通用户不能自己将计算机加入域控

运行 adsiedit.msc，点击操作 > 连接到 > 确定（连接到默认域控）> 右键 DC=waringid,DC=local 属性进行编辑。

找到“ ms-DS-MachineAccountQuota” ，将其数值由默认的10改成0 。然后点击应用。如上图。 （默认是10次，代表普通用户可以将十台计算机加入域控，但域控管理员不受限制。）

3.4. 组策略 - 只允许本地管理员登录域控计算机 - 可选

powershell 执行 gpmc.msc 打开组策略管理。

添加 Administrators 组 和 Domain Admins组，这样只能添加到本地管理员组的普通用户，或域控管理员用户能进行登录这台计算机。

然后让 AD 执行 gpupdate /force 强制快速应用组策略。

3.5. NTP服务器配置 - 使用公网权威NTP服务器作为上游同步

服务器默认用 COMS 作为时间源，存在时间偏移的情况。

w32tm /config /manualpeerlist:cn.ntp.org.cn,0x8 /syncfromflags:MANUAL /update

#  仅主域控配置公网ntp服务器，并立即同步

w32tm /resync

# 强制同步NTP服务器，最好所有AD中的域控制器，都执行一次。

w32tm /query /status /verbose   

# 查看当前状态，NTP是否配置成功。

Leap 指示符: 0(无警告)
层次: 3 (次引用 - 与(S)NTP 同步)
精度: -23 (每刻度 119.209ns)
根延迟: 0.2056026s
根分散: 4.0711694s
引用 ID: 0xB65C0C0B (源 IP:  182.92.12.11)
上次成功同步时间: 2025/4/29 8:52:14
源: cn.ntp.org.cn,8
轮询间隔: 6 (64s)

相位偏移: -0.2507314s
ClockRate: 0.0156261s
计算机状态: 1 (等候)
时间源标志:0 (无)
服务器角色: 64 (时间服务)
上次同步错误: 0 (成功地执行了命令。)
上次成功同步时间后的时间: 19.3403555s

3.6. 创建额外的域控管理员用户

运行 dsa.msc 打开Active Directory 用户和计算机

进入 Users 组织单位下，右键 Administrator，选择复制创建用户。

3.7. 启用并使用 Active Directory 回收站

## powershell 管理员执行。在主域控制器执行。

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=songxwn,DC=local’ –Scope ForestOrConfigurationSet –Target ‘waringid.local’

# 在主域控上执行，注意修改域名。

已删除的对象，运行 dsac.exe 去 Active Directory 管理中心 > Deleted Objects 下查看并还原。

3.8. 启用数据库 32k 页可选功能 – 可选

# powershell 管理执行，输入Y继续。

$params = @{
    Identity = 'Database 32k pages feature'
    Scope = 'ForestOrConfigurationSet'
    Server = 'AD-S1'
    Target = 'songxwn.local'
}
Enable-ADOptionalFeature @params

# 注意修改域名。

4. 参考

• https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview