关于如何用域管理公司网络的

域控的主要作用：添加用户并控制用户登录和访问共享资源权限、集中发布文件及程序、提供用户信息给第三方程序（邮件系统、ERP系统）用于权限控制等。

域控需要对域内机器进行电脑名解析，所以DNS是必须组件。内网计算机要访问内部及外部网络，也需要域控提供DNS解析，因此，不管是计算机加域或者是访问外网，都必须将电脑的主要DNS指向域控才可以，否则不可以加域。

除了DNS地址必须是域控外，其余网络参数可以自行设置。

如题，你将域控地址段（192.168.0.X）添加到路由（192.168.5.1）中去，也就是添加一条路由然后做好NAT，192.168.0.X网段（DNS192.168.0.168，网关192.168.5.1）的就都可以上网了。

举例说明：

直观方法（假设你的路由地址为192.168.0.1，也就是你的网关地址）：

域控192.168.0.168  掩码255.255.255.0  DNS：192.168.0.168 网关192.168.0.1

客户机192.168.0.X 掩码255.255.255.0  网关192.168.0.1  DNS：192.168.0.168

其中X代表（0-254）任意。

域是Windows 2000 活动目录的核心单元，是共享同一活动目录的一组计算机集合；

域是安全的边界，在缺省的情况下，一个域的管理员只能管理他自己的域，一个域的管理员要管理其他的域，需要专门的授权；

域是复制单位，一个域可包含多个域控制器，当某个域控制器的活动目录数据库修改以后，会将此修改复制到其他所有域控制器。

打个比方，如果说工作组是“免费的旅店”那么域（Domain）就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合，势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的，必须要由网络管理员进行相应的设置，把这台电脑加入到域中。这样才能实现文件的共享。

域名“开通”的说法看起来相当的不严密，但的确很多刚接触网络营销的人会提出这样的问题。提出“域名注册之后怎么才能开通”这样问题的人的其实主要是想知道，自己注册了域名之后如何才能看到自己的网站内容，用一个专业术语就叫“域名解析”。

在相关术语解释中已经介绍，域名和网址并不是一回事，域名注册好之后，只说明你对这个域名拥有了使用权，如果不进行域名解析，那么这个域名就不能发挥别的作用，经过解析的域名可以用来作为电子邮箱的后缀，也可以用来作为网址访问自己的网站，因此域名投入使用的必备环节是“域名解析”。

我们知道域名是为了方便记忆而专门建立的一套地址转换系统，要访问一台互联网上的服务器，最终还必须通过IP地址来实现，域名解析就是将域名重新转换为IP地址的过程。一个域名只能对应一个IP地址，而多个域名可以同时被解析到一个IP地址。域名解析需要由专门的域名解析服务器(DNS)来完成。

朋友，老实说，我觉得你需要了解的不是步骤，而是AD域的工作原理，因为基本上懂原理的技术人员是不会问步骤的。首先是你的局域网是否需要用AD域来管理？用域是否适合你的局域网？你得先确认这个问题。其实AD域可以看作是一个内网管理机制，简单点来说是把一台计算机升级为域，然后局域网的机器加入域作统一管理，包括：权限管理、策略管理等。升级域控必须是服务器系统，命令是dcpromo，根据提示升级为域控即可，如果局域网中是第一次做域就选择新林中的域，配置DNS为本地服务器（如果局域网中已有DNS服务器可供解释也可指向其他，但新手建议用本地做DNS服务器），这个需要先把DNS指向自己的IP，而升级为域的这台计算机的IP必须静态，升级为域以后先不急着把内网计算机加入域，先在AD用户与计算机中划分好OU、做好相关域策略、分好服务器上文件的权限，关于这些无法一一详细说明，如果你在操作中遇到问题可以再追问也不迟，最后在客户端我的电脑右键-属性-计算机名-更改里面选择加入该域（需要输入域管理员账号和密码），但这里有个前提，客户端的DNS必须指向域控（或有效DNS服务器）的IP，关于客户端的IP可以是动态，这个最好在路由上调整一下，因为一般的路由默认分配的是ISP所提供的DNS，这个必须注意，因为如果无法解释域名是不能成功加入域的，请楼主先按以上步骤尝试，如果怕有风险推荐用VM虚拟机先测试一下再在实际环境中部署，希望我的回答对你有帮助。

---