一个最简单的windows域包含一台域控制器和一台成员服务器对吗

一个最简单的windows域就是包含一台域控制器和一台成员服务器

一台名称为server1的DHCP服务器和一台名称为server2的应用程序服务器。这两台服务器运行WindowsServer2008R2。DHCP服务器包含一个作用域。

原文链接： https://www.howtogeek.com/194069/what-is-a-windows-domain-and-how-does-it-affect-my-pc/

Windows域通常用于大型网络——公司网络、学校网络和政府网络。除非你有雇主或学校提供的笔记本电脑，否则你在家里不会遇到这种情况。

典型的家用计算机是一个孤立的实体。您可以控制计算机上的设置和用户帐户。连接到域的计算机是不同的——这些设置是在 域控制器(DC, domain controller) 上控制的。

Windows域为网络管理员提供了一种方法来管理大量的pc机，并从一个地方控制它们。一个或多个服务器(称为域控制器)控制域及其上的计算机。

域通常由在同一本地网络上的计算机组成。但是，连接到某个域的计算机可以通过VPN或Internet连接继续与域控制器通信。这使得企业和学校能够远程管理他们提供给员工和学生的笔记本电脑。

当计算机连接到一个域时，它不会使用自己的本地用户帐户，用户帐户和密码都是在域控制器上统一管理。当您登录到该域中的计算机时，计算机将使用域控制器验证您的用户帐户名称和密码。这意味着您可以在任何连接到该域的计算机上使用相同的用户名和密码登录。

网络管理员可以更改“域控制器”上的组策略设置。域上的每台计算机将从“域控制器”获得这些设置，它们将覆盖用户在其pc上指定的任何本地设置。所有的设置都是从一个地方控制的。这也“锁定”了计算机。您可能不允许更改连接到域的计算机上的许多系统设置。

换句话说，当计算机是域的一部分时，提供该计算机的组织正在远程管理和配置它。是远程的那些人在控制着连接到域的计算机，而不是正在使用这台计算机的人；

因为域不是为家庭用户设计的，所以只有运行专业版或企业版Windows的计算机才能连接到域。运行Windows RT的设备也不能连接域。

如果你有一台家用电脑，可以肯定它不是某个域的一部分。你可以在家里设置一个域控制器，但是真的没有理由这样做，除非你就是想体验一把。如果你在工作或学校使用电脑，你正在使用的电脑很有可能是某个域的一部分。如果你的工作或学校给你提供了一台笔记本电脑，它也可能是某个域的一部分。

您可以快速检查您的计算机是否属于某个域。打开【控制面板】，点击【系统和安全类别】，点击【系统】。请看这里的“计算机名称、域和工作组设置”。如果您看到“域”:后面跟着域的名称，您的计算机就连接到域。

如果您看到“工作组”:后面跟着工作组的名称，您的计算机将连接到工作组，而不是域。

没有连接到域的Windows计算机都是工作组的一部分。工作组是同一本地网络上的一组计算机。与域不同的是，工 一起的。工作组也不需要密码。

工作组在以前的Windows版本被用于主文件和打印机共享。您现在可以使用homegroup在家里的pc机之间轻松地共享文件和打印机。工作组现在已经被推到后台，所以您不需要担心它们——只需要保留工作组的默认名称并设置homegroup文件共享。

总之，域限制了你在电脑上可以做什么。当您的计算机是域的一部分时，域控制器负责您所能做的事情。这就是为什么它们被用于大型企业和教育网络——它们为提供计算机的机构提供了一种方法来锁定它们并集中管理它们。

这是核心概念，尽管在域上可以做更多的事情。例如，可以使用组策略在连接到域的计算机上远程安装软件。

首先，打开“服务器管理器”，点击“添加功能和角色”。

2

进入“添加角色和功能向导”，检查到静态IP地址（为192.168.100.100）已配置完成，管理员帐户使用的是强密码和最新的安全更新在实验中可以忽略，点击“下一步”。

3

我们在本地运行的物理计算机上安装，故安装类型选择第一项“基于角色或基于功能的安装”。

4

服务器选择服务器池中的本地服务器“dc”。

5

服务器角色中确保已安装了“DNS服务器”，如果没有安装将“DNS服务器”勾选上。然后勾选上“Active Directory域服务”，同时也在该服务器上安装域服务管理工具。

6

在Windows Server 2012 R2上Active Directory域服务的安装不需要添加额外的功能，直接点击“下一步”。

确认选择无误，点击“安装”按钮开始安装。

“Active Directory域服务”安装完成之后，点击“将此服务器提升为域控制器”。如果不慎点了“结束”按钮关闭了向导，也可以在“服务器管理器”中找到，如图所示。

进入“Active Directory域服务配置向导”，部署操作选择“添加新林”并输入根域名，必须使用允许的 DNS 域命名约定。

创建新林，“域控制器选项”页将显示以下选项。

默认情况下，林和域功能级别设置为 Windows Server 2012。

在 Windows Server 2012 域功能级别提供了一个新的功能：“支持动态访问控制和 Kerberos 保护”的 KDC 管理模板策略具有两个需要 Windows Server 2012 域功能级别的设置（“始终提供声明”和“未保护身份验证请求失败”）。

Windows Server 2012 林功能级别不提供任何新功能，但可确保在林中创建的任何新域都自动在 Windows Server 2012 域功能级别运行。除了支持动态访问控制和 Kerberos 保护之外，Windows Server 2012 域功能级别不提供任何其他新功能，但可确保域中的任何域控制器都能运行 Windows Server 2012。

超过功能级别时，运行 Windows Server 2012 的域控制器将提供运行早期版本的 Windows Server 的域控制器不提供的附加功能。例如，运行 Windows Server 2012 的域控制器可用于虚拟域控制器克隆，而运行早期版本的 Windows Server 的域控制器则不能。

创建新林时，默认情况下选择 DNS 服务器。林中的第一个域控制器必须是全局目录 (GC) 服务器，且不能是只读域控制器 (RODC)。

需要目录服务还原模式 (DSRM) 密码才能登录未运行 AD DS 的域控制器。指定的密码必须遵循应用于服务器的密码策略，且默认情况下无需强密码；仅需非空密码。总是选择复杂强密码或首选密码。

安装 DNS 服务器时，应该在父域名系统 (DNS) 区域中创建指向 DNS 服务器且具有区域权限的委派记录。委派记录将传输名称解析机构和提供对授权管理新区域的新服务器对其他 DNS 服务器和客户端的正确引用。由于本机父域指向的是自己，无法进行DNS服务器的委派，不用创建 DNS 委派。

确保为域分配了NetBIOS名称。

“路径”页可以用于覆盖 AD DS 数据库、数据库事务日志和 SYSVOL 共享的默认文件夹位置。默认位置始终位于 %systemroot% 中，保持默认即可。

“审查” 选项页可以用于验证设置并确保在开始安装前满足要求。这不是停止使用服务器管理器安装的最后一次机会。此页只是让你先查看和确认设置，然后再继续配置。

此页面上显示的一些警告包括：

运行 Windows Server 2008 或更高版本的域控制器具有一个用于“允许执行兼容 Windows NT 4 加密算法”的默认设置，在建立安全通道会话时它可以防止加密算法减弱。

无法创建或更新 DNS 委派。

点击“安装”按钮开始安装。

安装完毕之后系统会自动重启，重启之后将以域管理员的身份登录，到此，域控制器配置完毕。

---