想在简历里放一个有分量的Windows运维项目?亲手搭一套完整的Active Directory域环境,几乎是性价比最高的选择。这篇指南带你走完整个过程:从两台虚拟机开始,最终拥有一个带域控、组策略、DNS、DHCP和域成员工作站的模拟企业环境。
你需要准备:两台Windows虚拟机,每台至少4GB内存。技能要求中级,但每一步都有具体命令,跟着做不会迷路。
先建立整体认知。AD DS是数据库,域控是运行它的服务器,OU是数据库里的文件夹,GPO是挂在这些文件夹上的规则。DNS则是让所有机器能找到域控的基础设施。这四层结构决定了后续每一步的操作逻辑。
实验环境架构很简单:Proxmox宿主机上跑两台VM。DC01装Windows Server 2022,固定IP 192.168.100.27,担任域控;WS01装Windows 11,IP 192.168.100.28,作为域成员加入。网关统一为192.168.100.1,域名定为contoso.local。
第一阶段配置DC01。从Windows Server 2022 ISO启动,选择"Standard (Desktop Experience)"版本完成安装,设置强密码的管理员账户。接着必须改静态IP——域控IP一旦变动,DNS和域加入都会断裂。PowerShell执行:New-NetIPAddress指定接口、IP、子网前缀24、网关192.168.100.1。然后用Rename-Computer改名为DC01并重启。
第二阶段提升为域控。先装角色:Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools。注意这条命令只在Server版存在,如果提示"term not recognised",说明你跑错了机器。确认在DC01上执行后,运行Install-ADDSForest创建新林和域名contoso.local,设置NetBIOS名CONTOSO,指定DSRM密码,-InstallDns开关同时安装DNS。命令结束自动重启,登录界面出现CONTOSO域即表示成功。
远程管理建议启用RDP。从Linux主机可用xfreerdp连接:/v指定IP,/u用Administrator,/d填CONTOSO域,/cert:ignore跳过证书验证,/dynamic-resolution自适应分辨率,/clipboard开启剪贴板共享。Windows用户直接用远程桌面客户端即可。
第三阶段搭建OU结构。组织单元是AD的文件夹系统,设计好坏直接决定组策略能否精准下发。合理的OU层级应该反映管理边界——按部门、按地理位置、或按资源类型,没有标准答案,但混乱的OU会让后期GPO排查变成灾难。
热门跟贴