Skip to content

Windows 域(Active Directory)

一个中央管控中心 统一管理

  • 账号
  • 电脑
  • 策略(比如装软件、禁 U 盘、设密码规则)

没有域 = 每台电脑各自为政 有域 = 老板一声令下,全部照做 😄

入门路线图(照着做就能跑)

第 1 步:准备一台“域控制器”(DC)

系统

  • Windows Server 2019 / 2022(推荐)
  • 不要用 Windows 10/11

第 2 步:安装 Active Directory 域服务

  1. 打开 服务器管理器
  2. 添加角色和功能
  3. 勾选 Active Directory 域服务(AD DS)

  4. 安装完成后 👉 点击 “将此服务器提升为域控制器”

  5. 新建林

  6. 域名:

corp.local


ad.test

❗不要用你真实的公网域名

  • 功能级别:默认即可

  • DNS:勾选安装

  • DSRM 密码:记住就行

装完 = 你已经有域了 🎉

第 3 步:理解 3 个必会概念(只要这 3 个)

1️⃣ 域用户(User)

统一账号

  • corp\zhangsan
  • 一次登录,所有域电脑通用

2️⃣ 域电脑(Computer)

加入域的机器

  • Windows 10 / 11 专业版或企业版
  • 家庭版 不能加域

3️⃣ 组织单位(OU)

分组用的文件夹 比如:

公司
 ├─ IT部
 ├─ 财务部
 └─ 研发部

GPO 都是往 OU 上套的

第 4 步:让一台电脑加入域(成就感瞬间拉满)

  1. 客户端设置 DNS 👉 指向域控 IP
  2. 系统 → 关于 → 重命名此电脑(高级)
  3. 选择 加入域
  4. 输入域名 corp.local
  5. 用域管理员账号确认

重启后 登录界面出现:

corp\administrator

恭喜,你已经正式进域世界了 😄

第 5 步:第一个“真正有用”的操作(GPO)

例子:统一禁用 U 盘(5 分钟见效)

  1. 打开 组策略管理
  2. 新建 GPO → 绑定到某个 OU
  3. 编辑:
计算机配置
 → 管理模板
 → 系统
 → 可移动存储访问
  1. 启用:拒绝所有可移动存储

把一台电脑放进这个 OU 👉 重启 👉 U 盘直接废掉

这就是域的威力 💥

强烈建议你的学习顺序(避坑)

❌ 一上来就 SCCM / Intune ❌ 追求“企业最佳实践”

✅ 正确顺序:

  1. AD 用户 / 电脑 / OU
  2. 加域 / 退域
  3. GPO(限制 + 脚本)
  4. 统一装软件
  5. 再考虑高级方案

我可以继续带你一步步来

你只需要告诉我这几个:

  1. 是学习用,还是公司要上?
  2. 有几台电脑?
  3. 有服务器或只能用普通 PC?
  4. 你偏向 GUI 还是愿意写点脚本?

我可以直接给你:

  • 一套 新手实验环境搭建清单
  • 或者 公司落地版最小架构
  • 甚至 每一步该点哪里 的操作清单

慢慢来,域这玩意一旦摸透,会很爽 😄

☁️ 部署建议
如果你打算长期运行项目(博客 / API / 自动化脚本),建议直接用云服务器,会比本地稳定很多。
👉 查看云服务器(新用户优惠)