熱門分類
載入中…
目錄0%

🛡 Windows AD Domain Controller 架設教學(含 PowerShell 自動化)

    🛡 Windows AD Domain Controller 架設教學(含 PowerShell 自動化)

    Active Directory(AD)是企業環境中最核心的身分管理系統。 本篇將以 GUI + PowerShell 的方式完整示範如何架設 Domain Controller(DC),包含 AD DS 角色安裝、Domain 建立、OU 設計原則、Group Policy 管理與常見維運指令。 無論是小型辦公室或大型企業,本篇皆可作為標準規劃指南。

    📌 一、環境需求與版本建議

    • Windows Server 2019 / 2022(建議)
    • 固定 IP(避免 Dynamic IP 導致 DNS 分裂)
    • 至少 4 GB RAM(建議 8 GB)
    • 磁碟至少 60 GB
    • 網路可正常運作,DNS 指向自身(DC 架設後會自動設定)

    🧱 二、Active Directory 架構快速理解

    • Domain:企業身份管理的邏輯邊界
    • Domain Controller:負責身份驗證、授權、管理物件
    • OU(組織單位):管理群組、使用者、電腦的容器
    • Group Policy(GPO):套用安全性與設定的策略中心

    🖥️ 三、GUI 操作:安裝 AD DS 與建立 Domain

    1️⃣ 安裝 AD Domain Services

    Server Manager → Add Roles and Features
    → Roles → Active Directory Domain Services(AD DS)
    → Install
    

    2️⃣ Promote 成 Domain Controller

    Server Manager → 上方通知旗標 → Promote this server to a domain controller
    → Add a new forest
    → Domain Name:corp.local(依企業需求自訂)
    → DSRM 密碼(需妥善保存)
    → Install
    
    PC 將自動重新啟動,之後即可使用 AD Domain Controller 功能。

    💻 四、PowerShell 自動化架設 Domain(完整腳本)

    以下為最完整版本,適合自動化部署與大量 Server 佈建。

    1️⃣ 安裝 AD DS 角色

    Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
    

    2️⃣ 建立新 Domain

    Import-Module ADDSDeployment
    
    Install-ADDSForest `
      -DomainName "corp.local" `
      -DomainNetbiosName "CORP" `
      -SafeModeAdministratorPassword (ConvertTo-SecureString "YourP@ssw0rd" -AsPlainText -Force) `
      -InstallDns `
      -Force
    
    ⚠️ 執行後伺服器會自動重開機。

    📁 五、企業級 OU(組織單位)標準架構

    建議企業遵循最常見的 4 層級:

    corp.local
    ├── _Admins
    ├── _Groups
    ├── _Servers
    ├── _Workstations
    └── _Users
    

    PowerShell 建立 OU(完整可執行)

    New-ADOrganizationalUnit -Name "_Servers" -Path "DC=corp,DC=local"
    New-ADOrganizationalUnit -Name "_Users"   -Path "DC=corp,DC=local"
    New-ADOrganizationalUnit -Name "_Groups"  -Path "DC=corp,DC=local"
    New-ADOrganizationalUnit -Name "_Admins"  -Path "DC=corp,DC=local"
    

    👥 六、建立使用者與群組(GUI 與 PowerShell)

    1️⃣ GUI 建立使用者

    Active Directory Users and Computers(ADUC)
    → 右鍵 OU → New → User
    

    2️⃣ PowerShell 建立使用者

    New-ADUser `
      -Name "John Doe" `
      -SamAccountName "jdoe" `
      -UserPrincipalName "jdoe@corp.local" `
      -Path "OU=_Users,DC=corp,DC=local" `
      -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) `
      -Enabled $true
    

    3️⃣ 建立群組

    New-ADGroup `
      -Name "IT-Admins" `
      -GroupScope Global `
      -Path "OU=_Groups,DC=corp,DC=local"
    

    📌 七、Group Policy(GPO)常見應用

    GPO 控制企業電腦的設定,包含:

    • 密碼策略(Password Policy)
    • 登入/登出腳本
    • 桌面限制
    • 防火牆規則
    • USB 封鎖

    PowerShell 建立 GPO

    New-GPO -Name "Workstation-Security"
    

    連結 GPO 至特定 OU

    New-GPLink -Name "Workstation-Security" -Target "OU=_Workstations,DC=corp,DC=local"
    

    🛠 八、Domain Controller 常見維運指令

    1️⃣ 健康檢查

    dcdiag /v
    

    2️⃣ 複寫狀態

    repadmin /replsummary
    repadmin /showrepl
    

    3️⃣ DNS 重新載入

    ipconfig /registerdns
    

    4️⃣ 所有登入紀錄查詢

    Get-EventLog -LogName Security -InstanceId 4624
    

    🧭 九、建議完整 AD 架構流程(新手也適用)

    1. 固定 IP → 更新系統 → 安裝 AD DS
    2. Promote 成 Domain Controller
    3. 設計 OU、建立使用者/群組
    4. 設定 GPO(密碼、裝置、桌面政策)
    5. 進行 dcdiag、repadmin 健康檢查
    6. 定期備份 AD(System State Backup)
    

    📘 結語

    Active Directory 是企業網路的中心,大多數 Windows 服務都依賴它。 本篇提供架設、OU 架構、群組與 GPO 設定、PowerShell 自動化等完整操作流程。 若你正在規劃企業 AD 架構,此篇可作為完整的導入與維護指南。


    🔗 延伸閱讀

    — WWFandy・Windows 企業架構筆記

    🔗 分享這篇 LINE Facebook X

    沒有留言:

    字級