wwfandy: 🛡 Windows AD Domain Controller 架設教學（含 PowerShell 自動化）

🛡 Windows AD Domain Controller 架設教學（含 PowerShell 自動化）

Active Directory（AD）是企業環境中最核心的身分管理系統。本篇將以 GUI + PowerShell 的方式完整示範如何架設 Domain Controller（DC），包含 AD DS 角色安裝、Domain 建立、OU 設計原則、Group Policy 管理與常見維運指令。無論是小型辦公室或大型企業，本篇皆可作為標準規劃指南。

📌 一、環境需求與版本建議

Windows Server 2019 / 2022（建議）
固定 IP（避免 Dynamic IP 導致 DNS 分裂）
至少 4 GB RAM（建議 8 GB）
磁碟至少 60 GB
網路可正常運作，DNS 指向自身（DC 架設後會自動設定）

🧱 二、Active Directory 架構快速理解

Domain：企業身份管理的邏輯邊界
Domain Controller：負責身份驗證、授權、管理物件
OU（組織單位）：管理群組、使用者、電腦的容器
Group Policy（GPO）：套用安全性與設定的策略中心

🖥️ 三、GUI 操作：安裝 AD DS 與建立 Domain

1️⃣ 安裝 AD Domain Services

Server Manager → Add Roles and Features
→ Roles → Active Directory Domain Services（AD DS）
→ Install

2️⃣ Promote 成 Domain Controller

Server Manager → 上方通知旗標 → Promote this server to a domain controller
→ Add a new forest
→ Domain Name：corp.local（依企業需求自訂）
→ DSRM 密碼（需妥善保存）
→ Install

PC 將自動重新啟動，之後即可使用 AD Domain Controller 功能。

💻 四、PowerShell 自動化架設 Domain（完整腳本）

以下為最完整版本，適合自動化部署與大量 Server 佈建。

1️⃣ 安裝 AD DS 角色

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

2️⃣ 建立新 Domain

Import-Module ADDSDeployment

Install-ADDSForest `
  -DomainName "corp.local" `
  -DomainNetbiosName "CORP" `
  -SafeModeAdministratorPassword (ConvertTo-SecureString "YourP@ssw0rd" -AsPlainText -Force) `
  -InstallDns `
  -Force

⚠️ 執行後伺服器會自動重開機。

📁 五、企業級 OU（組織單位）標準架構

建議企業遵循最常見的 4 層級：

corp.local
├── _Admins
├── _Groups
├── _Servers
├── _Workstations
└── _Users

PowerShell 建立 OU（完整可執行）

New-ADOrganizationalUnit -Name "_Servers" -Path "DC=corp,DC=local"
New-ADOrganizationalUnit -Name "_Users"   -Path "DC=corp,DC=local"
New-ADOrganizationalUnit -Name "_Groups"  -Path "DC=corp,DC=local"
New-ADOrganizationalUnit -Name "_Admins"  -Path "DC=corp,DC=local"

👥 六、建立使用者與群組（GUI 與 PowerShell）

1️⃣ GUI 建立使用者

Active Directory Users and Computers（ADUC）
→ 右鍵 OU → New → User

2️⃣ PowerShell 建立使用者

New-ADUser `
  -Name "John Doe" `
  -SamAccountName "jdoe" `
  -UserPrincipalName "jdoe@corp.local" `
  -Path "OU=_Users,DC=corp,DC=local" `
  -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) `
  -Enabled $true

3️⃣ 建立群組

New-ADGroup `
  -Name "IT-Admins" `
  -GroupScope Global `
  -Path "OU=_Groups,DC=corp,DC=local"

📌 七、Group Policy（GPO）常見應用

GPO 控制企業電腦的設定，包含：

密碼策略（Password Policy）
登入/登出腳本
桌面限制
防火牆規則
USB 封鎖

PowerShell 建立 GPO

New-GPO -Name "Workstation-Security"

連結 GPO 至特定 OU

New-GPLink -Name "Workstation-Security" -Target "OU=_Workstations,DC=corp,DC=local"

🛠 八、Domain Controller 常見維運指令

1️⃣ 健康檢查

dcdiag /v

2️⃣ 複寫狀態

repadmin /replsummary
repadmin /showrepl

3️⃣ DNS 重新載入

ipconfig /registerdns

4️⃣ 所有登入紀錄查詢

Get-EventLog -LogName Security -InstanceId 4624

🧭 九、建議完整 AD 架構流程（新手也適用）

1. 固定 IP → 更新系統 → 安裝 AD DS
2. Promote 成 Domain Controller
3. 設計 OU、建立使用者/群組
4. 設定 GPO（密碼、裝置、桌面政策）
5. 進行 dcdiag、repadmin 健康檢查
6. 定期備份 AD（System State Backup）

📘 結語

Active Directory 是企業網路的中心，大多數 Windows 服務都依賴它。本篇提供架設、OU 架構、群組與 GPO 設定、PowerShell 自動化等完整操作流程。若你正在規劃企業 AD 架構，此篇可作為完整的導入與維護指南。

🔗 延伸閱讀

— WWFandy・Windows 企業架構筆記

🛡 Windows AD Domain Controller 架設教學（含 PowerShell 自動化）

🛡 Windows AD Domain Controller 架設教學（含 PowerShell 自動化）

📌 一、環境需求與版本建議

🧱 二、Active Directory 架構快速理解

🖥️ 三、GUI 操作：安裝 AD DS 與建立 Domain

1️⃣ 安裝 AD Domain Services

2️⃣ Promote 成 Domain Controller

💻 四、PowerShell 自動化架設 Domain（完整腳本）

1️⃣ 安裝 AD DS 角色

2️⃣ 建立新 Domain

📁 五、企業級 OU（組織單位）標準架構

PowerShell 建立 OU（完整可執行）

👥 六、建立使用者與群組（GUI 與 PowerShell）

1️⃣ GUI 建立使用者

2️⃣ PowerShell 建立使用者

3️⃣ 建立群組

📌 七、Group Policy（GPO）常見應用

PowerShell 建立 GPO

連結 GPO 至特定 OU

🛠 八、Domain Controller 常見維運指令

1️⃣ 健康檢查

2️⃣ 複寫狀態

3️⃣ DNS 重新載入

4️⃣ 所有登入紀錄查詢

🧭 九、建議完整 AD 架構流程（新手也適用）

📘 結語

🔗 延伸閱讀

沒有留言:

張貼留言