Windows Server 2016 AD 域环境部署

1.域控服务部署

1. 部署前准备工作

1.1 服务器硬件与软件要求

• 一台 Windows Server 2016（标准版/数据中心版皆可）

• 内存 ≥ 4GB（建议 8GB）

• 系统已激活或可用评估版本

• 已配置至少一个静态 IP

1.2 网络规划示例

项目	数值
域控服务器名称	DC01
域名	xw.com
服务器IP	192.168.119.136
子网掩码	255.255.255.0
默认网关	192.168.119.2
DNS	192.168.119.136（必须）

 

⚠ 注意：DNS 必须先指向本机，否则无法创建 AD 域

 

1.3 修改服务器主机名

运行 sysdm.cpl → 更改名称 → DC01 → 重启。

2. 配置服务器静态 IP

路径：

控制面板 → 网络与共享中心 → 以太网 → 属性 → IPv4

填写：

• IP：192.168.1.10

• 子网掩码：255.255.255.0

• 默认网关：192.168.1.1

• DNS：192.168.1.10（重点）

---

3. 安装 Active Directory 域服务 AD DS

3.1 打开服务器管理器

点击 “添加角色和功能”

选择：

• 基于角色或基于功能的安装

• 选中当前服务器（DC01）

3.2 勾选“Active Directory 域服务”角色

同时会提示安装 DNS Server → 点击“添加功能”。

3.3 开始安装

一路“下一步”→“安装”。
完成后不要关闭窗口。

点击：“将此服务器提升为域控制器”

---

4. 配置域控制器（提升为域控）

4.1 创建新林

选择：

• 添加新林

• 根域名输入：xw.com

4.2 域控制器选项

• 域功能级别：Windows Server 2016

• 林功能级别：Windows Server 2016

• 勾选：DNS 服务器

• 密码：设置 DSRM（恢复模式）密码

4.3 DNS 设置提示

忽略 IPv6 警告 → 继续。

4.4 完成安装并自动重启

重启后，系统已成为域控制器。

5. 配置组织单位（OU）结构

运行 dsa.msc（Active Directory 用户和计算机）

推荐企业级 OU 结构：

 

contoso.com ├── Company（公司部门） │ ├── HR（人事） │ ├── IT（信息部） │ ├── Finance（财务） │ └── Sales（业务） ├── Computers（客户端管理） │ ├── Office-PC │ ├── Meeting-PC ├── Servers（服务器） └── Groups（权限组）

⚠ 建议：
不要在默认容器（Users、Computers）中放用户和电脑，实际使用 OU 结构管理。

---

6. 创建域用户与安全组

在相应的 OU 上：

右键 → 新建 → 用户

示例：

• 姓名：张三

• 登录名：zhangsan@contoso.com

• 初始密码：P@ssw0rd

• 勾选“用户必须在下次登录时更改密码”

创建安全组：

右键 OU → 新建 → 组
示例：

• FinanceGroup（财务权限组）

• ITAdminGroup（IT 管理员组）

---

7. 配置组策略（GPO）实现策略下发

运行 gpmc.msc（组策略管理器）

策略结构推荐：

 

Group Policy Objects├── GPO_DefaultSecurity├── GPO_DisableUSB├── GPO_DeploySoftware├── GPO_SetWallpaper└── GPO_OfficeComputerPolicy

---

7.1 禁用 USB 存储策略

路径：

计算机配置 → 管理模板 → 系统 → 可移动存储访问

启用：

• 所有可移动存储类：拒绝所有访问

• 可移动磁盘：拒绝读取

• 可移动磁盘：拒绝写入

将此 GPO 链接至：

Office-PC（客户端 OU）

---

7.2 设置统一桌面壁纸下发

1. 将壁纸文件放到：

 

\\DC01\netlogon\wallpaper\wall.jpg

2. 策略路径：

 

用户配置 → 管理模板 → 桌面 → 桌面壁纸

设置：

• 壁纸路径：\\dc01\netlogon\wallpaper\wall.jpg

• 壁纸样式：填充

---

7.3 下发软件安装（MSI）

前提：应用需提供 MSI 安装包。

1. 将 MSI 放到共享目录：

 

\\DC01\software\chrome.msi

2. 策略路径：

 

计算机配置 → 软件设置 → 软件安装

选择：

• 新建 → 包

• 选择网络路径：\\dc01\software\chrome.msi

• 部署方式：分配（Assigned）

⚠ 安装 MSI 必须用网络 UNC 路径，不能使用本地路径。

---

8. 客户端加入域

8.1 客户端配置 DNS

Windows 10 / 11 客户端将 DNS 设置为域控：

 

DNS：192.168.1.10

8.2 加入域

步骤：

1. 右键“此电脑” → 属性 → 更改设置

2. 点击“更改”

3. 选择“域”

4. 输入：contoso.com

5. 输入域管理员账号：Administrator

6. 成功加入 → 重启

重启后登录界面可选择：

 

CONTOSO\zhangsan

---

9. 验证策略是否成功下发

在客户端执行：

 

gpupdate /force

生成策略报告：

 

gpresult /h c:\gpo.html

打开 gpo.html 查看：

• 已应用的 GPO

• 失败原因

• 策略优先级

---

10. 常见问题与排查方案

问题 1：无法加入域

原因：

• DNS 未指向域控

• 时间偏差超过 5 分钟

• 网络不通

解决：

 

w32tm /resync ping dc01 nslookup contoso.com

---

问题 2：组策略不生效（GPO 失效）

检查顺序：

1. 客户端 DNS 是否正确为 DC IP

2. 执行：

 

gpupdate /force gpresult /r

3. GPO 是否已链接到正确的 OU

4. OU 是否包含目标电脑/用户

5. GPO 安全筛选是否包含“Authenticated Users”

6. SYSVOL 是否正常：

 

\\dc01\sysvol

---

问题 3：软件无法自动安装

检查：

• MSI 部署路径必须为 UNC 如：\\dc01\software

• 权限：Everyone → 读取

• 客户端必须重启一次才会安装软件

---

11. 域控日常运维建议

• 定期备份 AD（System State）

• 检查时间同步状态

• 定期清理无用 GPO

• 分级权限管理（普通用户/组/IT 管理员）

• 使用安全策略加固（禁止 USB、限制控制面板等）