1. 什么是 Active Directory
Active Directory(AD)是微软 Windows Server 平台的核心身份认证与目录服务,为企业网络提供集中化的用户、计算机、资源管理和策略控制能力。
从 Windows Server 2000 首次引入,到如今 Windows Server 2025,AD 已成为企业级 IT 基础设施不可或缺的基础组件。
AD 能做什么
- 集中身份认证:一次登录,访问全网资源(SSO 单点登录)
- 统一资源管理:用户、计算机、打印机、共享文件夹集中管理
- 组策略控制:通过 GPO 批量配置客户端策略
- 域级别安全:Kerberos 认证、NTLM、LDAP 加密传输
- 组织结构映射:用 OU(组织单位)模拟企业组织架构
2. AD 核心概念
| 概念 | 说明 | 关键文件/标识 |
|---|---|---|
| 域(Domain) | AD 的基本管理单元,同一域内共享账户和策略 | iehang.cn |
| 林(Forest) | AD 的最顶层边界,林内共享架构和配置 | iehang.cn |
| 树(Tree) | 连续命名空间形成的域层次结构 | child.iehang.cn |
| 组织单位(OU) | 域内的逻辑容器,用于分组和管理 | OU=IT信息部,DC=iehang,DC=cn |
| 域控制器(DC) | 存储 AD 数据库,运行 AD DS 服务的服务器 | ntds.dit |
| 全局编录(GC) | 林范围内跨域对象查询 | 端口 3268/3269 |
| FSMO 角色 | 5 种操作主控角色(Schema、Domain Naming、PDC、RID、Infrastructure) | 每林/每域唯一 |
AD 数据库文件 ntds.dit 默认位于 %SystemRoot%\NTDS\,日志文件在同一目录。生产环境建议将数据库和日志分别放在不同物理磁盘以提高性能。
3. 实验环境规划
本系列全部教程基于以下统一实验环境,请在开始之前完成搭建。
| 项目 | 配置 |
|---|---|
| 虚拟化平台 | VMware ESXi 8.0 |
| 域控 DC01(主机名) | Windows Server 2022 Datacenter,4核8G,240G 磁盘 |
| 域控 DC02(主机名) | Windows Server 2022 Datacenter,4核8G,240G 磁盘 |
| 客户端 Client01 | Windows 10 LTSC 2021,2核4G,40GB 磁盘 |
| 域名 | iehang.cn |
| DC01 IP 地址 | 192.168.10.254/24(静态) |
| DC02 IP 地址 | 192.168.10.253/24(静态) |
| Client01 IP | 192.168.10.10/24(DHCP 或静态) |
| 默认网关 | 192.168.10.1 |
| 首选 DNS | 192.168.10.254(指向 DC01) |
| 管理员密码 | P@ssw0rd!2024 |
| 服务器 OS | Windows Server 2022 Datacenter(评估版) |
| 客户端 OS | Windows 10 LTSC 2021 |
- 实验环境域名统一为
iehang.cn,所有后续教程均基于此域名 - 域控 IP 固定为
192.168.10.254,不设为 DHCP 动态获取 - 实验网络使用
192.168.10.0/24段,不要与生产网络冲突 - 所有 PowerShell 和图形化操作均基于 Windows Server 2022,部分命令兼容 2019 和 2025
4. VMware WorkStation 17 安装
下载 VMware WorkStation 17:访问 VMware 官网,下载最新版本(约 600MB)
运行安装程序 → 选择"典型安装" → 设置安装路径 → 输入许可证密钥(可选)→ 完成安装
安装完成后启动 VMware WorkStation 17,创建新虚拟机
新建虚拟机向导:选择"典型" → 加载 Windows Server 2022 ISO 镜像 → 选择 Windows Server 2022 Datacenter GUI
设置磁盘大小 240G(生产推荐 100GB+)→ 选择"将虚拟磁盘拆分为多个文件" → 完成
编辑虚拟机设置:内存 4GB(推荐 8GB)、CPU 2核、网络适配器选择 NAT 或桥接模式、挂载 Windows Server 2022 ISO
# 查看 VMware 安装版本(通过注册表)
Get-ItemProperty "HKLM:\SOFTWARE\Wow6432Node\VMware, Inc.\VMware Workstation" `
-ErrorAction SilentlyContinue | Select-Object InstallPath, Version
# 验证 Hyper-V 未启用(VMware 与 Hyper-V 不兼容)
Get-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All
# 检查网络适配器(VMware 虚拟网络)
Get-NetAdapter | Where-Object { $_.Name -match "VMnet|Virtual" } | Format-Table Name, Status, MacAddress5. 创建虚拟机模板
# 查看当前网络适配器
Get-NetAdapter
# 设置 DC01 静态 IP 地址
New-NetIPAddress -InterfaceAlias "Ethernet0" `
-IPAddress "192.168.10.254" `
-PrefixLength 24 `
-DefaultGateway "192.168.10.1"
# 设置首选 DNS(指向自己)
Set-DnsClientServerAddress -InterfaceAlias "Ethernet0" `
-ServerAddresses "192.168.10.254"
# 重命名计算机为 DC01
Rename-Computer -NewName "DC01" -Restart
# 验证配置
ipconfig /all
Test-NetConnection -ComputerName "www.baidu.com"6. 网络基础配置
在安装 AD 之前,确保满足以下前置条件:
- ✅ 计算机名已改为
DC01(重启生效) - ✅ IP 地址已设为
192.168.10.254/24(静态) - ✅ DNS 服务器指向
127.0.0.1或192.168.10.254 - ✅ 网络连通性正常(可 ping 通网关
192.168.10.1) - ✅ 系统已激活或使用评估版(180 天有效期)
- ✅ 磁盘空间充足(至少 20GB 可用空间用于 AD 数据库)
# 一键检查 AD 安装前置条件
Write-Host "计算机名: $env:COMPUTERNAME"
Get-NetIPAddress -InterfaceAlias "Ethernet0" | Format-Table IPAddress, PrefixLength
Get-DnsClientServerAddress -InterfaceAlias "Ethernet0" | Format-Table ServerAddresses
Test-NetConnection -ComputerName "192.168.10.1" -Count 2
Get-Volume -DriveLetter C | Select-Object DriveLetter, @{N='Free(GB)';E={[math]::Round($_.SizeRemaining/1GB,1)}}7. 常见问题
确保 BIOS 中已启用虚拟化技术(Intel VT-x 或 AMD-V),并关闭 Hyper-V 功能。运行 Get-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All 检查 Hyper-V 状态。
检查 VMware 网络设置:如果使用 NAT 模式,确保所有虚拟机在同一个 NAT 子网。推荐使用仅主机模式(Host-Only)来搭建 AD 实验环境,避免与宿主机网络冲突。
可以。Windows Server 评估版有 180 天有效期,功能与正式版完全一致,非常适合学习和实验。过期后重新激活或重新安装即可。