本次实验共包括3个实验。

实验5A，创建计算机帐户并加入到域。

实验5B，管理计算机对象和帐户。

实验5C，执行离线加入域。

==========

实验5A

共有3个练习：

第1个练习，使用Windows界面将计算机加入域。

第2个练习，可靠的计算机加入。

第3个练习，管理计算机帐户的创建。

练习1：使用Windows界面将计算机加入域

任务1：标识和纠正DNS的错误

　　为了验证DNS的效果，我们先来修改网络属性。在本地连接的“属性”中，修改“Internet协议版本4 (TCP/IPv4)”，指定DNS服务器为10.0.0.11 。

　　然后，使用以下方式之一打开“系统”属性：

• 点“开始”，右键点“计算机”，然后选“属性”。
• 从“控制面板”打开“系统”。
• 同时按键盘上的Windows徽标键和Pause键。

　　在“计算机名称、域和工作组设置”区域，点右侧的“更改设置”。弹出“系统属性”对话框。

　　在“计算机名”选项卡，点“更改”。弹出“计算机名/域更改”对话框。

　　在“隶属于”区域，选择“域”，然后在输入框中填写域的FQDN（fully qualified domain name”为contoso.com 。注意：不要用域的NetBIOS名称（即“contoso”）。最后，点“确定”。

　　这时，出现一个对话框，提示找不到域控制器。点“详细信息”可查看更多的信息，显示错误是：“DNS名称不存在”。

　　取消上述变更。

　　修改网络属性。在本地连接的“属性”中，修改“Internet协议版本4 (TCP/IPv4)”，指定DNS服务器为192.168.1.1 。

　　说明：如果你在域名称输入框中填写“contoso”，而不是“contoso.com”，那么你可能成功地加入了域。这是因为在使用FQDN时，系统会强制使用DNS进行名称解析。域名“contoso”是一个单标签的域名称，它可以被NetBIOS名称解析。即使这样可以成功地加入域，但是客户端仍然可能在某些方面存在问题，例如：查找DC、在域中查找其他资源。因此，最好在加入域之前为客户端计算机指定DNS。

任务2：加入域

　　重复上一任务的步骤，将客户端加入到“contoso.com”域。期间会弹出一个“Windows安全”对话框。

　　输入一个普通用户“ZhangS”的帐户和密码，点“确定。完成后会显示一个消息，欢迎加入域。

　　说明：只需使用一个普通用户的帐户。尽管该用户没有特殊的权限和授权，但是他也可以将计算机加入域。

　　注意：此处使用的“ZhangS”用户必须能够在客户端计算机上正常登录。如果该用户帐户指定了“用户下次登录时须更改密码”，那么在将计算机加入域时会报错。

　　加入域之后，会提示你重新启动这台计算机。

　　立即重启这台计算机。

任务3：验证本地的计算机帐户

　　使用管理员的凭据运行“Active Directory用户和计算机”

　　在左侧的树型列表中，展开“contoso.com”域，然后点“Computers”容器（container），验证计算机HQDC2显示在这个容器中。

说明：新加入域的计算机帐户默认都位于“Computers”容器。

任务4：从域中移除计算机帐户

　　以本机管理帐户（HQDC2\administrator）登入HQDC2计算机。

　　参考任务1的操作，打开“计算机名/域更改”对话框，在“隶属于”区域选择“工作组”，然后在输入框中填写“WORKGROUP”。

　　说明：如果是以普通用户帐户登入这台计算机，在更改计算机名称和域的配置时会要求输入管理员凭据。而且在加入工作组时，会弹出提示作息。

　　加入工作组成功之后，会出现提示。

　　然后，还有信息提示你重新这台计算机。

　　重启计算机。

任务5：删除HQDC2帐户

　　转到HQDC1计算机，打开“Active Directory用户和计算机”，找到“Computers”容器。这时候，可以看到计算机帐户HQDC2是禁用状态。

　　在任务4的操作中，在将计算机退出域时没有提示输入域的凭据，计算机帐户只是被重置为“禁用”状态。那么，在这个操作时，使用了什么样的凭据呢？

　　这是一个狡猾的问题！在对域做一些变更时，例如重置并禁用一个计算机帐户，需要具有适当权限的域的凭据；并且需要信任客户端的本地管理员组改变计算机的工作组/域的成员资格。

　　在上一操作时，你使用了本地管理员HQDC2\administrator登录HQDC2，所以你可以改变计算机的工作组/域的成员资格。通常情况下，你将被提示输入域的凭据；但是HQDC2\administrator和contoso\administrator的密码相同，Windows尝试在后台使用contoso\administrator进行身份验证。因此在这个时候，你当然有权限对域做一些变更。

　　在正式的生产环境，域的Administrator帐户应该使用较长的、复杂的、安全的密码，而且密码应该不同于域成员计算机的Administrator帐户密码。在这种情况下，当本地管理员将计算机退出域时，会提示输入域的凭据。

　　在“Computers”容器删除HQDC2。确认之后，删除这个计算机帐户。

任务总结：

　　通过本次实验，你将熟练将计算机加入到域。

练习2：可靠的计算机加入

任务1：重定向默认的“computer”容器

　　 转到HQDC1，在“contoso.com”域新建一个名为“New Computers”的OU。

　　在命令提示符窗口输入以下命令：

redircmp "OU=New Computers,DC=contoso,DC=com"

　　命令输出信息将显示“重定向成功”。以后新加入域的计算机帐户都将默认位于这个容器。

任务2：限制不受管理的域加入

　　在“管理工具”中选择“ADSI编辑器”。

　　右键点“ADSI编辑器”，点“连接到”，弹出“连接设置”对话框。

　　在“选择一个已知命名上下文”下拉列表中选择“默认命名上下文”，然后点“确定”。

　　点“默认命名上下文[HQDC1.contoso.com] ”，在右侧详细显示区域，右键点
域文件夹“DC=contoso,DC=com”，再点“属性”。

　　在属性对话框找到ms-DS-MachineAccountQuota选项，点“编辑”，将其值改为0 。

　　点“确定”关闭属性对话框。最后关闭“ADSI编辑器”。

任务3：验证ms-DS-MachineAccountQuota的效果

　　以本地管理员帐户登录到HQDC2，尝试将这台计算机加入域。在要求提供域和凭据时，使用普通用户“ZhangS”的帐户。最后，会出现一个报错信息如下：

　　点“确定”关闭消息窗体。然后点“取消”关闭属性对话框。

任务总结：

　　通过这次实验，你将计算机帐户从默认容器重定向到另一个OU，然后限制未被经授权的用户将计算机加入域。

练习3：管理计算机帐户的创建

任务1：预设一个计算机帐户

　　转到HQDC1计算机，在“Active Directory用户与计算机”控制台，找到“Role”OU，新建一个组“AD_Server_Deploy”，并将用户“ZhangS”加入到这个组。

　　为“contoso.com”域新建一个名为“Servers”的OU，然后在这个OU“创建”“计算机”。

　　“计算机名称”输入“HQDC2”，“下列用户或组可以将此计算机加入到域”区域默认为“域管理员”，点“更改”，改为“AD_Server_Deploy”组。然后点“确定”保存。

　　转到HQDC2计算机，将其加入域。

　　重复上述操作，再添加一个名为“CL1”的计算机帐户，同样地更改为“AD_Server_Deploy”组可将此计算机加入到域。

任务2：使用NetDom远程使用预设的帐户将一台计算机加入

　　为了简化操作，请将客户端计算机CL1的防火墙关闭（注意：是在控制面板中关闭防火墙的功能，不是在“服务”中停用防火墙的服务），然后启用本地Administrator帐户，以CL1\Administrator登入CL1计算机。

　　以HQDC2\administrator帐户登录HQDC2。按住Shift键，点“开始”菜单，然后右键点“命令提示符”，点“以其他用户身份运行”。

　　以普通用户“ZhangS”的帐户运行。（该用户是AD_Server_Deploy组的成员，有权限将计算机HQDC2加入到域）

　　在“命令提示符”窗口，请输入命令行：

“whoami /groups ”

　　此命令用于确认该用户属于“AD_Server_Deploy”组，但不属于“Domain Admins”组。

　　然后输入以下命令：

netdom join CL1 /domain:contoso.com /UserO:Administrator /PasswordO:* /UserD:CONTOSO\ZhangS /PasswordD:* /REBoot:5

　　首先出现提示，要求输入与域用户CONTOSO\ZhangS相关联的密码。

　　接着又提示，要求输入本地用户CL1\Administrator相关联的密码。

　　命令执行成功之后，CL1计算机会在5秒钟内重启（CL1的桌面会提示：由于域成员身份变更引起关闭）。

　　以普通用户“ZhangS”登录到CL1计算机，确认这台计算机成功地加入了域。

任务总结：

　　通过本次练习，你使用一个组的成员帐户将计算机加入到域。

==========

实验5B

共有2个练习：

第1个练习，通过计算机对象的生命周期管理它们。

第2个练习，对计算机对象的管理和排错。

练习1：通过计算机对象的生命周期管理它们

任务1：配置计算机对象的属性

　　转到HQDC1计算机，运行“Active Directory用户和计算机”，“Server”OU找到CL1这个计算机帐户，编辑它的属性，例如，修改它的“管理者”。

　　如果这个OU有多个计算机帐户，可以复选他们，然后编辑他们的共同属性。

任务2：添加计算机帐户到管理组

　　右键单击CL1，选“添加到组”，将其添加到“Special Project”组。

　　另一种方式：找到“Special Project”组，然后编辑它的属性，在“成员”选项卡，添加计算机帐户CL1。

任务3：在OU间移动计算机帐户

　　在“contoso.com”域新建一个名为“Client Computers”的OU。然后将CL1计算机帐户从“Server”OU移动到“Client Computers”OU。

任务4：禁用、启用和删除计算机帐户

　　点CL1这个计算机帐户，右键菜单选“禁用帐户”。这时会出现一个警告信息框。

　　点“是”进行确认，然后会出现一个提示信息：CL1对象已被禁用。

　　在右键菜单中选“启用帐户”，然后会出现一个提示信息：CL1对象已被启用。

　　在右键菜单中选“删除”，则可以删除这个计算机帐户。

任务总结：

　　通过本次练习，你添加了一个计算机帐户，而且将它在OU间移动，以及添加到管理组。

练习2：计算机帐户的管理和排错

任务1：重置一个计算机帐户

　　选中计算机帐户，右键菜单中选“重置帐户”。

任务2：

　　以contoso\ZhangS帐户登入CL1计算机。

　　转到HQDC1，在“Active Directory用户和计算机”中重置CL1这个计算机帐户。完成后，显示信息：CL1对象已经成功重置。

　　由于这时CL1计算机已经正确连接到域，这个操作将中断域的帐户的信任关系不包括CL1。当再次尝试以contoso\ZhangS帐户登入CL1计算机时，显示信息：此工作站和主域之间的信任关系失败。

任务3：重置信任通道

　　转到HQDC1，在“Active Directory用户和计算机”中，右键点CL1，选“重置帐户”。

　　重置成功之后，需要将CL1计算机退回到工作组，然后再加入域。现在，请不要执行这步操作，我们将会在下一个实验中执行。

任务总结：

　　通过本次练习，你解决了信任关系的问题。

==========

实验5C

共1个练习。

练习：执行脱机加入域

任务1：确认客户端计算机没有加入域

　　以CL1\administrator帐户登入CL1，将这台计算机加入到工作组Workgroup。重启计算机。然后再以这个帐户登录。

任务2：预备一个计算机帐户并执行脱机线加入

　　转到HQDC1，删除CL1计算机帐户。

　　然后在“命令提示符”窗口执行下列命令：

djoin /provision /domain contoso.com /machine CL1 /savefile C:\LabFiles\CL1.txt

　　由于我们在前面的实验中已经将默认将新的计算机帐户添加到“New Computers”容器，打开“Active Directory用户和计算机，检查“New Computers”容器是否存在CL1计算机帐户。

　　打开资源管理器，将C:\LabFiles\CL1.txt文件复制到CL1计算机的C:\DJOIN 。

　　转到CL1，以本机管理员的凭据打开“命令提示符”，然后运行以下命令：

djoin /requestodj /loadfile C:\DJOIN\CL1.txt /windowspath %SystemRoot% /localos

　　确认命令已经执行成功之后，重启这台计算机。然后以contoso\ZhangS帐户登录，证明这台计算机已经成功加入域。

任务总结：

　　通过本次实验，你使用脱机加入的技术将一台计算机加入到域。