本主题介绍如何使用以下任一方法在 Windows Server 中安装 Active Directory 域服务(AD DS):
Windows PowerShell
服务器管理器
使用 GUI 的 RODC 安装
Prerequisites
需要以下凭据才能运行 Adprep.exe 和安装 AD DS。
若要安装新林,必须以该计算机的本地管理员身份登录。
若要安装新子域或新域树,必须以 Enterprise Admins 组成员身份登录。
若要在现有域中安装其他域控制器,必须是 Domain Admins 组的成员。
Note
如果未单独运行 adprep.exe 命令,且要在现有域或林中安装运行 Windows Server 的第一个域控制器,系统会提示你提供凭据以运行 Adprep 命令。 凭据要求如下:
若要在林中推出第一个 Windows Server 域控制器,需要提供托管架构主机的域中的企业管理员组、架构管理员组和域管理员组的成员凭据。 若要在域中引入第一个 Windows Server 域控制器,需要为域管理员组的成员提供凭据。 若要在林中推出第一个只读域控制器 (RODC),需要提供 Enterprise Admins 组的成员凭据。
使用 Windows PowerShell 安装 AD DS
开始使用 Windows PowerShell 添加角色。 此命令安装 AD DS 服务器角色并安装 AD DS 和 Active Directory 轻型目录服务(AD LDS)服务器管理工具,包括基于 GUI 的工具(如 Active Directory 用户和计算机)和命令行工具(如 dcdia.exe)。 使用 Windows PowerShell 时,默认情况下不会安装服务器管理工具。 需要指定 “IncludeManagementTools 来管理本地服务器或安装 远程服务器管理工具 来管理远程服务器。
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
在 AD DS 安装完成后,无需重新启动。
接着,可以运行此命令来查看 ADDSDeployment 模块中的可用 cmdlet。
Get-Command -Module ADDSDeployment
若要查看可为 cmdlet 指定的参数及其语法的列表,请执行下列操作:
Get-Help <cmdlet name>
例如,若要查看用于创建未占用的只读域控制器 (RODC) 帐户的参数,请键入
Get-Help Add-ADDSReadOnlyDomainControllerAccount
你也可以下载 Windows PowerShell cmdlet 的最新帮助示例和概念。 有关详细信息,请参阅 about_Updatable_Help。
你可以针对远程服务器运行 Windows PowerShell cmdlet:
在 Windows PowerShell 中,将 Invoke-Command 与 ADDSDeployment cmdlet 配合使用。 例如,若要在 contoso.com 域中名为 ConDC3 的远程服务器上安装 AD DS,请键入:
Invoke-Command { Install-ADDSDomainController -DomainName contoso.com -Credential (Get-Credential) } -ComputerName ConDC3
-or-
- 在服务器管理器中,创建包括远程服务器的服务器组。 右键单击远程服务器的名称,然后选择 Windows PowerShell。
若要查看 Windows PowerShell 中 ADDSDeployment cmdlet 的完整列表,请参阅 ADDSDeployment 参考。
指定 Windows PowerShell 凭据
可以使用 Get-credential 指定凭据,而无需在屏幕上以纯文本形式显示凭据。
-SafeModeAdministratorPassword 和 LocalAdministratorPassword 参数的操作特殊:
如果未指定为参数,cmdlet 将提示你输入并确认掩蔽密码。 以交互方式运行 cmdlet 时,这是首选用法。
如果指定值,则该值必须是安全字符串。 在以交互方式运行 cmdlet 时,这不是首选用法。
例如,可以使用 Read-Host cmdlet 手动提示输入密码,提示用户输入安全字符串
-SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString)
Warning
前面的选项未确认密码,请谨慎使用。 密码不可见。
你也可以提供安全字符串作为转换的明文变量,尽管强烈不建议这样做:
-SafeModeAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Warning
不建议提供或存储明文密码。 任何在脚本中运行此命令或从旁观察的人都可以知道该域控制器的目录服务还原模式(DSRM)密码。 知道密码后,他们就可以模拟域控制器本身并将权限提升到 Active Directory 林中的最高级别。
使用测试 cmdlet
每个 ADDSDeployment cmdlet 都具有对应的测试 cmdlet。 测试 cmdlet 仅针对安装操作运行先决条件检查;不会配置任何安装设置。 每个测试 cmdlet 的参数与相应的安装 cmdlet 的参数相同,但 “SkipPreChecks 不适用于测试 cmdlet。
| 测试 cmdlet | Description |
|---|---|
| Test-ADDSForestInstallation | 运行安装新 Active Directory 林的前提条件。 |
| Test-ADDSDomainInstallation | 运行在 Active Directory 中安装新域的先决条件。 |
| Test-ADDSDomainControllerInstallation | 运行在 Active Directory 中安装域控制器的先决条件。 |
| Test-ADDSReadOnlyDomainControllerAccountCreation | 运行添加只读域控制器 (RODC) 帐户的先决条件。 |
使用 Windows PowerShell 安装新的林根域
cmdlet Install-ADDSForest 安装新林。
例如,若要安装名为 corp.contoso.com 的新林并让系统安全提示提供 DSRM 密码,请键入:
Install-ADDSForest -DomainName "corp.contoso.com"
Note
运行 Install-ADDSForest 时,默认情况下会安装 DNS 服务器。
若要安装名为 corp.contoso.com 的新林,请在 contoso.com 域中创建 DNS 委派,将域功能级别设置为 Windows Server,并将林功能级别设置为 Windows Server 2025,在 D:\ 驱动器上安装 Active Directory 数据库和 SYSVOL,在 E:\ 驱动器上安装日志文件,并提示提供目录服务还原模式密码和类型:
Install-ADDSForest -DomainName corp.contoso.com -CreateDNSDelegation -DomainMode Win2008 -ForestMode Win2025 -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
使用 Windows PowerShell 安装新的子域或树域
使用 cmdlet Install-ADDSDomain 安装新域。
Note
仅当当前未以企业管理员组成员身份登录时,才需要 -credential 参数。
如果要根据 DNS 域名前缀更改自动生成的 15 个字符名称,或者名称超过 15 个字符,则需要 -NewDomainNetBIOSName 参数。
例如,若要使用 corp\EnterpriseAdmin1 的凭据创建新的名为 子域的子域,父域名为 corp.contoso.com,请安装 DNS 服务器,在 corp.contoso.com 域中创建 DNS 委派,将域功能级别设置为 Windows Server 2025,使域控制器成为名为 休斯顿的站点中的全局目录服务器,请使用 DC1.corp.contoso.com 作为复制源域控制器,在 D:\ 驱动器上安装 Active Directory 数据库和 SYSVOL,在 E:\ 驱动器上安装日志文件,并提示提供目录服务还原模式密码,但未提示确认命令,键入:
Install-ADDSDomain -SafeModeAdministratorPassword -Credential (get-credential corp\EnterpriseAdmin1) -NewDomainName child -ParentDomainName corp.contoso.com -InstallDNS -CreateDNSDelegation -DomainMode Win2025 -ReplicationSourceDC DC1.corp.contoso.com -SiteName Houston -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs" -Confirm:$False
使用 Windows PowerShell 安装其他(副本)域控制器
使用 Install-ADDSDomainController 安装其他域控制器。
若要在 corp.contoso.com 域中安装域控制器和 DNS 服务器并让系统提示提供域管理员凭据和 DSRM 密码,请键入:
Install-ADDSDomainController -Credential (Get-Credential CORP\Administrator) -DomainName "corp.contoso.com"
如果计算机已加入域且你是 Domain Admins 组的成员,则可以使用:
Install-ADDSDomainController -DomainName "corp.contoso.com"
若要让系统提示提供域名,请键入:
Install-ADDSDomainController -Credential (Get-Credential) -DomainName (Read-Host "Domain to promote into")
以下命令将使用 Contoso\EnterpriseAdmin1 的凭据在名为 Boston 的站点中安装可写域控制器和全局编录服务器,安装 DNS 服务器,在 contoso.com 域中创建 DNS 委派,从存储在 c:\ADDS IFM 文件夹中的媒体安装,在 D:\ 驱动器上安装 Active Directory 数据库和 SYSVOL,在 E:\ 驱动器上安装日志文件,让服务器在 AD DS 安装完成后自动重新启动,以及让系统提示提供目录服务还原模式密码:
Install-ADDSDomainController -Credential (Get-Credential CONTOSO\EnterpriseAdmin1) -CreateDNSDelegation -DomainName corp.contoso.com -SiteName Boston -InstallationMediaPath "c:\ADDS IFM" -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
使用 Windows PowerShell 执行分阶段 RODC 安装
使用 cmdlet Add-ADDSReadOnlyDomainControllerAccount 创建 RODC 帐户。
例如,若要创建名为 RODC1 的 RODC 帐户,请键入:
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName corp.contoso.com -SiteName Boston -DelegatedAdministratorAccountName AdminUser
然后在要连接到 RODC1 帐户的服务器上运行以下命令。 服务器无法加入域。 首先,安装 AD DS 服务器角色和管理工具:
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
然后运行以下命令以创建 RODC:
Install-ADDSDomainController -DomainName corp.contoso.com -SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString) -Credential (Get-Credential Corp\AdminUser) -UseExistingAccount
按 Y 确认或包含 “-Confirm:$false” 参数以防止确认提示。
使用服务器管理器安装 AD DS
在 Windows Server 中,可以通过服务器管理器的“添加角色向导”安装 AD DS,然后继续使用自 Windows Server 2012 起新增的 Active Directory 域服务配置向导进行配置。 Active Directory 域服务安装向导 (dcpromo.exe) 从 Windows Server 2012 开始已弃用。
以下几个部分讲解如何创建服务器池以在多台服务器上安装和管理 AD DS,以及如何使用相应向导安装 AD DS。
创建服务器池
只要服务器管理器可从运行其的计算机访问服务器管理器,就可以在网络上共用其他服务器。 共用后,可选择用于远程安装 AD DS 的服务器或服务器管理器内的任何其他可能配置选项。 运行服务器管理器的计算机将自动共用本身。 有关服务器池的详细信息,请参阅将服务器添加到服务器管理器。
Note
为了使用工作组服务器上的服务器管理器管理加入域的计算机,或进行相反的操作,需要执行额外的配置步骤。 有关详细信息,请参阅将服务器添加到服务器管理器中的“在工作组中添加和管理服务器”。
安装 AD DS
采用以下过程来使用 GUI 方法安装 AD DS。 这些步骤可在本地或远程执行。
使用服务器管理器安装 AD DS
在服务器管理器中,选择“管理和添加角色和功能”以启动“添加角色向导”。
在“开始之前”页面上,选择“下一步”。
在“选择安装类型”页面上,选择“基于角色或基于功能的安装”,然后选择“下一步”。
在“ 选择目标服务器 ”页上,从 服务器池中选择服务器,选择要安装 AD DS 的服务器的名称,然后选择“ 下一步”。
若要选择远程服务器,请先创建服务器池,再将远程服务器添加到其中。 有关创建服务器池的详细信息,请参阅将服务器添加到服务器管理器。
在“ 选择服务器角色 ”页上,选择 “Active Directory 域服务”,然后在“ 添加角色和功能向导 ”对话框中,选择“ 添加功能”,然后选择“ 下一步”。
在 “选择功能 ”页上,选择要安装的任何其他功能,然后选择“ 下一步”。
在 “Active Directory 域服务 ”页上,查看信息,然后选择“ 下一步”。
在“确认安装选择”页上,选择“安装”。
在 “结果 ”页上,验证安装是否成功,然后选择“ 将此服务器提升到域控制器 ”以启动 Active Directory 域服务配置向导。
Important
如果此时关闭“添加角色向导”而不启动 Active Directory 域服务配置向导,则可以通过在服务器管理器中选择“任务”来重启它。
在 “部署配置 ”页上,选择以下选项之一:
如果要在现有域中安装其他域控制器,请选择 “将域控制器添加到现有域”,然后键入域的名称(例如,emea.corp.contoso.com),或选择“ 选择...” 以选择域和凭据(例如,指定属于域管理员组成员的帐户),然后选择“ 下一步”。
Note
默认情况下,仅当计算机已加入域且正在执行本地安装时,才会提供域名和当前用户凭据。 如果要在远程服务器上安装 AD DS,则需要根据设计指定凭据。 如果当前用户凭据不足以执行安装,请选择 “更改...” 以指定不同的凭据。
如果要安装新的子域,请选择“ 将新域添加到现有林”,对于 “选择域类型”,选择“ 子域”,键入或浏览到父域 DNS 名称的名称(例如,corp.contoso.com),键入新子域的相对名称(例如 emea),键入用于创建新域的凭据, 然后选择“ 下一步”。
如果要安装新域树,请选择 “将新域添加到现有林”,对于 “选择域类型”,请选择 “树域”,键入根域的名称(例如,corp.contoso.com),键入新域的 DNS 名称(例如,fabrikam.com),键入用于创建新域的凭据,然后选择“ 下一步”。
如果要安装新林,请选择“ 添加新林 ”,然后键入根域的名称(例如,corp.contoso.com)。
在“域控制器选项”页中,选择以下选项之一:
如果要创建新的林或域,请选择域和林功能级别,选择 “域名系统”(DNS)服务器,指定 DSRM 密码,然后选择“ 下一步”。
如果要将域控制器添加到现有域,请选择域名 系统(DNS)服务器、 全局目录(GC)或 只读域控制器(RODC), 选择站点名称,然后键入 DSRM 密码,然后选择“ 下一步”。
有关不同情况下该页面的哪些选项可用或不可用的详细信息,请参阅域控制器选项。
在 “DNS 选项” 页上(仅在安装 DNS 服务器时显示),根据需要选择 “更新 DNS 委派 ”。 如果单击,请提供有权限在父 DNS 区域中创建 DNS 委派记录的凭据。
如果无法联系托管父区域的 DNS 服务器, 则“更新 DNS 委派 ”选项不可用。
有关是否需要更新 DNS 委派的详细信息,请参阅了解区域委派。 如果尝试更新 DNS 委派并遇到错误,请参阅 DNS 选项。
在 RODC 选项 页上(仅在安装 RODC 时显示),指定将管理 RODC 的组或用户的名称,在“允许”或“拒绝”密码复制组中添加帐户或删除帐户,然后选择“ 下一步”。
有关详细信息,请参阅密码复制策略。
在“ 其他选项” 页上,选择以下选项之一:
如果要创建新域,请键入新的 NetBIOS 名称或验证域的默认 NetBIOS 名称,然后选择“ 下一步”。
如果要将域控制器添加到现有域,请选择要从中复制 AD DS 安装数据的域控制器(或允许向导选择任何域控制器)。 如果要从媒体安装,请选择“ 从媒体路径类型安装 ”并验证安装源文件的路径,然后选择“ 下一步”。
不能使用媒体安装 (IFM) 在域中安装第一个域控制器。 IFM 不适用于不同的作系统版本。 换句话说,若要安装使用 IFM 运行 Windows Server 的其他域控制器,必须在 Windows Server 域控制器上创建备份媒体。 有关 IFM 的详细信息,请参阅使用 IFM 安装其他域控制器。
在 “路径 ”页上,键入 Active Directory 数据库、日志文件和 SYSVOL 文件夹(或接受默认位置)的位置,然后选择“ 下一步”。
Important
不要将 Active Directory 数据库、日志文件或 SYSVOL 文件夹存储在使用弹性文件系统(ReFS)格式化的数据卷上。
在 “准备选项” 页上,输入足以运行 adprep 的凭据。
在“ 审阅选项” 页上,确认选择,如果要将设置导出到 Windows PowerShell 脚本,请选择“ 查看脚本 ”,然后选择“ 下一步”。
在 “先决条件检查 ”页上,确认先决条件验证已完成,然后选择“ 安装”。
在“ 结果 ”页上,验证服务器是否已成功配置为域控制器。 服务器将自动重新启动,以完成 AD DS 安装。
使用图形用户界面执行分阶段 RODC 安装
RODC 分步安装允许你分两步创建 RODC。 在第一步中,Domain Admins 组成员将创建 RODC 帐户。 在第二步中,将服务器连接到 RODC 帐户。 第二步可由 Domain Admins 组成员或委派的域用户或组完成。
使用 Active Directory 管理工具创建 RODC 帐户
你可以使用 Active Directory 管理中心或 Active Directory 用户和计算机创建 RODC 帐户。
选择 “开始”,选择 “管理工具”,然后选择 “Active Directory 管理中心”。
在导航窗格中(左窗格中),选择域的名称。
在“管理”列表(中心窗格)中,选择 域控制器 OU。
在“任务窗格”(右窗格中),选择 “预创建只读域控制器帐户”。
-Or-
选择 “开始”,选择 “管理工具”,然后选择“ Active Directory 用户和计算机”。
右键单击 域控制器 组织单位(OU),或选择 域控制器 OU,然后选择 “作”。
选择 “预创建只读域控制器帐户”。
在“ 欢迎使用 Active Directory 域服务安装向导” 页上,如果要修改默认的密码复制策略(PRP),请选择“ 使用高级模式安装”,然后选择“ 下一步”。
在 “网络凭据 ”页上,在 “指定用于执行安装的帐户凭据”下,选择 “我的当前登录凭据 ”或“ 备用凭据”,然后选择“ 设置”。 在 Windows 安全 对话框中,为可以安装其他域控制器的帐户提供用户名和密码。 若要安装其他域控制器,你必须是 Enterprise Admins 组或 Domain Admins 组的成员。 完成提供凭据后,选择“ 下一步”。
在“指定计算机名”页上,键入将成为 RODC 的服务器的计算机名称。
在 “选择站点 ”页上,从列表中选择一个站点,或选择在站点中安装域控制器的选项,该域控制器对应于运行向导的计算机的 IP 地址,然后选择“ 下一步”。
在“ 其他域控制器选项” 页上,进行以下选择,然后选择“ 下一步” :
DNS 服务器:此选项默认处于选中状态,以便域控制器可以充当域名系统(DNS)服务器。 如果不希望域控制器成为 DNS 服务器,请清除此选项。 但是,如果未在 RODC 上安装 DNS 服务器角色,RODC 是分支机构中唯一的域控制器,则当广域网(WAN)到中心站点处于脱机状态时,分支机构中的用户将无法执行名称解析。
全局目录:此选项默认处于选中状态。 它会将全局编录、只读目录分区添加到域控制器,并且将启用全局编录搜索功能。 如果不希望域控制器成为全局编录服务器,请清除此选项。 但是,如果不在分支机构中安装全局编录服务器或为包含 RODC 的站点启用通用组成员身份缓存,则分支机构中的用户无法在 WAN 脱机时登录到域。
只读域控制器。 创建 RODC 帐户时,此选项默认处于选中状态,无法清除此选项。
如果你选中了“欢迎使用”页上的“使用高级模式安装”复选框,则会出现“指定密码复制策略”页。 默认情况下,帐户密码不会复制到 RODC,并且明确拒绝安全敏感帐户(如 Domain Admins 组的成员)在任何时候将其密码复制到 RODC。
若要将其他帐户添加到策略,请选择“ 添加”,然后选择“ 允许将帐户的密码复制到此 RODC ”,或从 复制到此 RODC 中选择帐户的“拒绝密码 ”,然后选择帐户。
完成后(或接受默认设置),选择“ 下一步”。
在 “RODC 安装和管理委派” 页上,输入需要将服务器连接到您正在创建的 RODC 帐户的用户或组的名称。 你可以只键入一个安全主体的名称。
若要搜索特定用户或组的目录,请选择“ 设置”。 在“选择用户、计算机或组”中,键入用户或组的名称。 我们建议你将 RODC 安装和管理委派给一个组。
安装之后,该用户或组在此 RODC 上也将具有本地管理权限。 如果未指定用户或组,则只有域管理员组或企业管理员组的成员才能将服务器附加到帐户。
完成后,选择“ 下一步”。
在 “摘要 ”页上,查看所选内容。 根据需要选择 “返回 ”以更改任何选择。
若要将所选设置保存到可用于自动执行后续 AD DS作的应答文件中,请选择“ 导出设置”。 键入答案文件的名称,然后选择“ 保存”。
确定所选内容准确时,请选择“ 下一步 ”以创建 RODC 帐户。
在“ 完成 Active Directory 域服务安装向导 ”页上,选择“ 完成”。
创建 RODC 帐户后,可以将服务器连接到帐户,以完成 RODC 安装。 第二步可在 RODC 所在的分支机构完成。 执行此过程的服务器必须未加入域。 使用服务器管理器中的“添加角色向导”将服务器附加到 RODC 帐户。
使用服务器管理器将服务器附加到 RODC 帐户
以本地管理员身份登录。
在服务器管理器中,选择“ 添加角色和功能”。
在“开始之前”页面上,选择“下一步”。
在“选择安装类型”页面上,选择“基于角色或基于功能的安装”,然后选择“下一步”。
在“ 选择目标服务器 ”页上,从 服务器池中选择服务器,选择要安装 AD DS 的服务器的名称,然后选择“ 下一步”。
在“ 选择服务器角色 ”页上,选择 “Active Directory 域服务”,选择“ 添加功能 ”,然后选择“ 下一步”。
在 “选择功能 ”页上,选择要安装的任何其他功能,然后选择“ 下一步”。
在 “Active Directory 域服务 ”页上,查看信息,然后选择“ 下一步”。
在“确认安装选择”页上,选择“安装”。
在 “结果 ”页上,验证 安装是否成功,然后选择“ 将此服务器提升到域控制器 ”以启动 Active Directory 域服务配置向导。
Important
如果此时关闭“添加角色向导”而不启动 Active Directory 域服务配置向导,则可以通过在服务器管理器中选择“任务”来重启它。
在“ 部署配置 ”页上,选择“ 将域控制器添加到现有域”,键入域的名称(例如,emea.contoso.com)和凭据(例如,指定委托管理并安装 RODC 的帐户),然后选择“ 下一步”。
在 “域控制器选项 ”页上,选择 “使用现有的 RODC 帐户”,键入并确认目录服务还原模式密码,然后选择“ 下一步”。
在“ 其他选项” 页上,如果要从媒体安装,请选择“ 从媒体路径类型安装 ”并验证安装源文件的路径,选择要从中复制 AD DS 安装数据的域控制器(或允许向导选择任何域控制器),然后选择“ 下一步”。
在 “路径 ”页上,键入 Active Directory 数据库、日志文件和 SYSVOL 文件夹的位置,或接受默认位置,然后选择“ 下一步”。
在“ 审阅选项 ”页上,确认所选内容,选择 “查看脚本 ”以将设置导出到 Windows PowerShell 脚本,然后选择“ 下一步”。
在 “先决条件检查 ”页上,确认先决条件验证已完成,然后选择“ 安装”。
若要完成 AD DS 安装,服务器将自动重新启动。