使用AD域的好处是什么

· 统一管理管控、减少维护工作量

· 防止普通用户增删改查，用户权限各有不同，域管理员拥有最高权限，可访问域内任意资源，可设置限制策略限制域用户对计算机使用权限权限，例如设置普通用户无法安装软件等，本地管理员拥有计算机全部权限。

· AD域是一个安全边界，创建不同用户可以管理不同的资源，例如域管理员可以访问域内所有资源而普通用户受到域策略权限限制只能范围允许范围的域内资源，计算机已加域情况下用本地管理员，也是域策略优先。

· 每个域用户都要用专属桌面，登录计算机后根据域策略调用相应的桌面，但文件文档需要手动设置跟随用户到任意计算机。

· AD域首先方面管理员管理对计算机和用户进行管控，其次可以通过域策略设置不同的策略，提高安全性。

环境准备：

1、一台Windows server 2019 （AD域控服务器）

2、一台Windows 10（测试普通用户主机，家庭版不支持加域）

3、测试账户：运维部账户FBioit1，测试部账户FBioit2

目录

一、部署AD域控

二、用户端加域及测试

三、创建限制策略案例

一、部署AD域控

1、修改默认计算机名，方便管理及查找。

2、一定要用静态IP和DNS必须填服务器IP

3、进入服务器管理器选择添加角色和功能

4、选择“Active Directory域服务”然后默认到选择安装

5、安装完成后返回服务器仪表板找到小旗子中点击“将此服务器提升为域控制器”

6、这里有三种AD的安装类型：

第一个“将域控制器添加到现有域”意思就为网络部署多台域控制器。

第二个“将新域添加到现有林”意思就是为现有的林中添加一个新域，创建另一棵全新的域树。

第三个“添加新林”意思就是创建新林，新域。

因为我们这个是全新的域，所有我们选择第三个添加新林，然和选择填写根域名，这个很好理解就是这个域的名字

7、此密码（!QAZ2wsx123.）和域管理员密码不同，主要用来还有AD数据库

8、默认下一步到此选“安装”然后自动重启服务器

一、输入net accounts 可以查看计算机角色，如果是Primary，角色根域控制器

二、输入 netdom query fsmo 可以查看Fsmo五大角色是否安装在这个域控制器上面了。

10、服务器管理器仪表板AD DS中选择“Active Directory用户和计算机”

11、创建组织单位

12、创建用户

运维部：FBioit1!QAZ2wsx1

测试部：FBioit2!QAZ2wsx2

二、客户端加入域（dns要改成域服务器的）

1、此电脑右键属性、关于、重命名这台电脑

2、更改、填入域确定

3、输入域用户账号密码

4、用域用户登录

6、打开网络连接测试拦截成功

三、域策略配置案例，策略添加的操作基本类似

1、搜索框输入“组策略管理”点击打开

2、选择测试部右键第一项，填入名称确定