Windows域是计算机管理区域Windows系统使用基于域的活动目录来管理域中的计算机，活动目录中储存有关网络上对象的信息并使此信息可用于用户和网络管理员，安装Windows域将创建活动目录，通过活动目录进行对一个域内资源统一管理，对网络管理员管理网络十分方便，

一、活动目录域服务器安装步骤

此安装步骤与其他角色的安装步骤类似，此处省略

二、配置AD域服务

1.打开“服务管理器”，展开“角色”

2.单击“Active Directory域服务”

3.在右侧出现“Active Dorectory域服务”对话框，点击“运行Active Directory域服务安装向导”

4.在“选择某一部署配置”，这里因为是第一台DC，选中“在新林中创建域”（因为密码的问题不能创建需要在命令行下输入net user Adminnistrator 密码 /passwordreq：yes命令在新建）

5.在“命名林根域”的对话框中，输入新林域的名称，自定义一个名称，这里将其命名为zy.com

6.分别在“设置域功能级别”和“其他林功能级别”对话框中，选择“Windows Server 2008”

7.在“其他域控制器选项”对话框中，默认即可

8.在“静态IP地址分配”提示对话框中，点击选项：是，该计算机将使用动态IP地址分配：

9.在“数据库，日志文件和SYSVOL位置”对话框中，指定数据库和日志存放的位置

10.在“目录服务还原模式的Administrator密码”对话框中，为目录还原模式的Administrator指定密码，输入密码：zy.com

11.最后完成，重启服务器

三、将计算机加入域

为了实现通过域服务器来管理计算机，需要将其他计算机加入域，此时通常需要在另外一台服务器上安装操作系统，操作系统可以是window XP、Windows 2003等，操作的过程中要将计算机的网卡设置为域控制器IP地址连通，并将DNS配置指向安装域服务的域控制器，并进行假如工作，这里假设域控制器（S1）的IP地址为192.168.1.1/24，要加入域的成员计算机（S2）的IP地址设置为192.168.1.10/24，下面的操作是在成员计算机S2上运行的

1.给S2添加相应的IP地址信息

2.右击计算机选择属性更改隶属于域并输入相应的域名，

3.在出现的“windows 安全”对话框中，输入域中的用户和密码

4.重启计算机

四、管理加入域的成员计算机

使用Active Directory，可以对加入域的成员计算机进行管理，这些管理包括对成员计算机的常规管理监视或对计算机的运行进行控制，对计算机的运行控制往往针对一组计算机做相同配置，此时可以使用Active Directory的组织单元将需要进行相同管理的计算机归结到一起，这里使用的事例域为“zy.com”，在域控制器上进行如下操作：

1.打开域控制器管理工具，依次点击“开始”-“管理工具”-“Active Directory用户和计算机”

2.展开左侧“zy.com”列表，点击“Computer”在右侧列出域成员计算机，在要管理的成员计算机上点右键，选择“计算机管理”可以针对该计算机进行常规管理

3.右击域名“zy.com”在展开的菜单中依次点击“新建”-“组织单位”：

4.在“新建对象-组织单位”对话框中，输入组织单位的名称——“guangli”

5.在“zy.com”选项中找到“computers”展开此选项，可以看到加入域中的所有服务器，可以将相应的服务器移动到相应的组织单位，

6.依次点击“开始”-“管理工具”-“组策略管理”

7.在“组策略管理”依次展开“林”-“域”-“zy.com”的菜单，右击相应的组织单位，选择“在这个域中创建GPO并在此处连接”

8.在新建的GPO对话框的名称处输入GPO名称，例如：“统一管理策略”，然后单击“确定”

9.右击组策略“统一管理策略”在展开的菜单中选择“编辑”

10.在出现的“组策略管理编辑器”对话框中，选择所需要的策略，例如：要关闭S2浏览器的“删除浏览历史记录”功能，依次展开“计算机配置”-“策略”-“管理模板”-“windows组件”-“Internet Explorer”在右侧出现的“Internet Explorer”对话框中，右击“关闭删除浏览器历史记录功能”，在选项设置中选中“已启用”

11.将S2重新启动，并登入到域，打开浏览器，点击“工具”选项，在展开的菜单中就没有“删除浏览历史记录”选项。

五、使用组策略管理域用户

一般情况下，域用户可以在域内的任何计算机上登入，为了规范一些用户的功能，可以将某一类用户加入组织单元，并使用组策略统一管理，在域控制器S1上进行：

1.将需要控制的域用户放到一个组织单位中，并在该组织单位下新建用户，输入相应的用户名和密码，

2.打开组策略管理器，依次展开知道相应的组织结构，右击“统一管理策略”选择编辑，点击组策略管理编辑器对话框中的“用户配置”——“策略”——“管理模板”进行配置

3.在域成员计算机上用创建的域用户进行登陆，查看效果。

六、实现额外域控制器

域控制器是域管理的核心，域控制器的崩溃将导致整个域环境下的计算机系统瘫痪美因茨保证域控制器安全非常重要，生产环境中，需要安排一台服务器作为主域控制器的备份，额外的域控制器与主域控制器处于平等的地位，共享一套活动目录系统，安装和运行的软件及其配置也完全相同，他可以和主域控制器同步数据，所有对额外域控制器的域相关配置均会应用到域，当目标主域控制器出现故障时，通过对域成员的计算机DNS指向的切换，可以是整个域环境继续安全稳定的运行。

1.额外域控制器要和主域控制器在一个网段并且DNS指向主域控制器，在额外域控制器上安装域角色，在“选择某一部署配置”对话框中，依次选择“现有林”-“向现有域添加域控制器”

2.在“网络凭据”选择默认

3.在“选择一个域”选择要添加域控制器的域，该域是要作为额外域控制器的域名称，在“请选择一个站点”对话框中选择域站点直至安装完成。

4.安装完成之后，打开额外域控制器的“Active Directory用户和计算机”，展开“Domain cotroller”可以发现有两台域控制器。在用户列表中列出所有域用户，添加一个域用户账户，在主域控制器马上就可以看到这个账户。

5.打开额外域控制器的DNS管理器，域DNS配置同步正常

6.为了保证在主域控制器出现故障后，成员计算机仍能够正常通信，还需要在成员计算机网卡上对DNS 设置进行配置，在保留原来指向主域控制器DNS指向外，将第二DNS指向额外域控制器

7.为了测试额外域控制器，可以将主域控制器关闭，在额外域控制器上创建新用户账户，并重新启动成员服务器，用新账户测试登入。