目录

准备工作

一、新建域控制器

二、提升为域控制器添加新林

三、新建组织单位（OU），用户

四、将计算机加域

五、在域控中管理计算机

六、在域控中配置组策略

七、域内计算机验证组策略配置

---

准备工作

安装域前，如果有DNS服务器要先卸载，域有自己的DNS服务器，会冲突。安装AD域后DNS也会相应安装上。

一、新建域控制器

1、打开服务器管理，选择添加“角色和功能”

2、连续选择3个下一步

3、服务器角色页面，选择中“Active Directory域服务“，下一步

4、一直选择下一步，选择安装，等待安装完成。

二、提升为域控制器添加新林

1.在服务器管理器页面点击小旗子的图标，选择“将此服务器提升为域控制器“

2.选择添加新林，输入根域名lbtz.com，自己随便起一个。下一步。

3.林功能级别和域功能级别根据自己的服务器版本选择。输入密码。下一步。

4.DNS选项这里直接下一步就行。

5.其他选项这里保持默认。下一步

6.路径保持默认。下一步。下一步。

7.通过先决条件检查，安装。

8.安装完成后，需重启。

三、新建组织单位（OU），用户

1、重启后，选择工具>Active Directory用户和计算机

2、选择刚刚建的lbtz.com域右击>新建>组织单位，起个名为“用户“，确定。

3、在“用户”下，新建不同的部门组织单位（OU），如图新建 01 IT 部、02财务部、03销售部

4、在IT部下，新建用户zhangsan。选择新建>用户。这里就不是组织单位了，这里创建用户。输入用户名、登录名等信息。下一步>输入密码，下面的选项全都不选。    下一步，完成创建。

5、观察域内的计算机，展开Computers组，发现没有任何计算机，因为我们没有将计算机加入当前的域。

四、将计算机加域

1、登录 windows 客户端，注意这里是windows客户端不是域服务器了，并修改 DNS 服务器地址为域控服务器的IP。因为，将客户端计算机加入目标域时，需要将目标域名，解析成 IP 地址，但解析动作只有目标域控上的 DNS 服务才能完成。DNS地址一定要设置正确。

2、将客户端计算机加入域
此电脑，右键属性>更改设置>计算机名-更改>隶属于-域。注意windows家庭版好像不能加入域。域名输入我们上面创建的那个域名我这里是lbtz.com

3、输入域管理员账号密码，也就是windows server域控制器的管理员用户密码（这里输入上面创建的zhangsan用户密码也可以，因为他也是域内的成员）。成功加入域。重启。

4、重启后用户名前面就带上了域名。

5、然后我们这里不使用自己的用户登录，刚刚我们在域控服务器里面创建了一个zhangsan的用户，我们使用域用户zhangsan登录。

6、成功登录进去后查看计算机属性，已经加入了lbtz.com域。

五、在域控中管理计算机

1、登录域控服务器，打开“Active Directory用户和计算机”工具

2、查看 Computers 容器，刚才加域的计算机已经出现

六、在域控中配置组策略

1、打开组策略管理工具, 学习域的管理功能，我们使用域的组策略管理工具，给域用户 zhangsan下发策略

2、展开 OU 到 IT 部，新建 GPO 并链接

3、输入策略名

4、编辑组策略

5、使用组策略功能，禁用任务管理器功能依次展示组策略的用户配置–>策略–>管理模板–>系统–>Ctrl+Alt+Del 选项

6、右边双击“删除任务管理器“选择启用。域控服务器这边的组策略就配好了。

七、域内计算机验证组策略配置

1、切换到windows客户端，按下 alt+ctrl+del观察发现，此时仍然有任务管理器这个选项。

2、因为组策略生效需要刷新策略，重启后还使用域用户zhangsan登录，再次按下 alt+ctrl+del，发现此时已经没有任务管理器选项，组策略已经生效。

简单学习下！！