🛡 Windows AD Domain Controller 架設教學(含 PowerShell 自動化)
Active Directory(AD)是企業環境中最核心的身分管理系統。 本篇將以 GUI + PowerShell 的方式完整示範如何架設 Domain Controller(DC),包含 AD DS 角色安裝、Domain 建立、OU 設計原則、Group Policy 管理與常見維運指令。 無論是小型辦公室或大型企業,本篇皆可作為標準規劃指南。
📌 一、環境需求與版本建議
- Windows Server 2019 / 2022(建議)
- 固定 IP(避免 Dynamic IP 導致 DNS 分裂)
- 至少 4 GB RAM(建議 8 GB)
- 磁碟至少 60 GB
- 網路可正常運作,DNS 指向自身(DC 架設後會自動設定)
🧱 二、Active Directory 架構快速理解
- Domain:企業身份管理的邏輯邊界
- Domain Controller:負責身份驗證、授權、管理物件
- OU(組織單位):管理群組、使用者、電腦的容器
- Group Policy(GPO):套用安全性與設定的策略中心
🖥️ 三、GUI 操作:安裝 AD DS 與建立 Domain
1️⃣ 安裝 AD Domain Services
Server Manager → Add Roles and Features
→ Roles → Active Directory Domain Services(AD DS)
→ Install
2️⃣ Promote 成 Domain Controller
Server Manager → 上方通知旗標 → Promote this server to a domain controller
→ Add a new forest
→ Domain Name:corp.local(依企業需求自訂)
→ DSRM 密碼(需妥善保存)
→ Install
PC 將自動重新啟動,之後即可使用 AD Domain Controller 功能。
💻 四、PowerShell 自動化架設 Domain(完整腳本)
以下為最完整版本,適合自動化部署與大量 Server 佈建。
1️⃣ 安裝 AD DS 角色
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
2️⃣ 建立新 Domain
Import-Module ADDSDeployment
Install-ADDSForest `
-DomainName "corp.local" `
-DomainNetbiosName "CORP" `
-SafeModeAdministratorPassword (ConvertTo-SecureString "YourP@ssw0rd" -AsPlainText -Force) `
-InstallDns `
-Force
⚠️ 執行後伺服器會自動重開機。
📁 五、企業級 OU(組織單位)標準架構
建議企業遵循最常見的 4 層級:
corp.local
├── _Admins
├── _Groups
├── _Servers
├── _Workstations
└── _Users
PowerShell 建立 OU(完整可執行)
New-ADOrganizationalUnit -Name "_Servers" -Path "DC=corp,DC=local"
New-ADOrganizationalUnit -Name "_Users" -Path "DC=corp,DC=local"
New-ADOrganizationalUnit -Name "_Groups" -Path "DC=corp,DC=local"
New-ADOrganizationalUnit -Name "_Admins" -Path "DC=corp,DC=local"
👥 六、建立使用者與群組(GUI 與 PowerShell)
1️⃣ GUI 建立使用者
Active Directory Users and Computers(ADUC)
→ 右鍵 OU → New → User
2️⃣ PowerShell 建立使用者
New-ADUser `
-Name "John Doe" `
-SamAccountName "jdoe" `
-UserPrincipalName "jdoe@corp.local" `
-Path "OU=_Users,DC=corp,DC=local" `
-AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) `
-Enabled $true
3️⃣ 建立群組
New-ADGroup `
-Name "IT-Admins" `
-GroupScope Global `
-Path "OU=_Groups,DC=corp,DC=local"
📌 七、Group Policy(GPO)常見應用
GPO 控制企業電腦的設定,包含:
- 密碼策略(Password Policy)
- 登入/登出腳本
- 桌面限制
- 防火牆規則
- USB 封鎖
PowerShell 建立 GPO
New-GPO -Name "Workstation-Security"
連結 GPO 至特定 OU
New-GPLink -Name "Workstation-Security" -Target "OU=_Workstations,DC=corp,DC=local"
🛠 八、Domain Controller 常見維運指令
1️⃣ 健康檢查
dcdiag /v
2️⃣ 複寫狀態
repadmin /replsummary
repadmin /showrepl
3️⃣ DNS 重新載入
ipconfig /registerdns
4️⃣ 所有登入紀錄查詢
Get-EventLog -LogName Security -InstanceId 4624
🧭 九、建議完整 AD 架構流程(新手也適用)
1. 固定 IP → 更新系統 → 安裝 AD DS 2. Promote 成 Domain Controller 3. 設計 OU、建立使用者/群組 4. 設定 GPO(密碼、裝置、桌面政策) 5. 進行 dcdiag、repadmin 健康檢查 6. 定期備份 AD(System State Backup)
📘 結語
Active Directory 是企業網路的中心,大多數 Windows 服務都依賴它。 本篇提供架設、OU 架構、群組與 GPO 設定、PowerShell 自動化等完整操作流程。 若你正在規劃企業 AD 架構,此篇可作為完整的導入與維護指南。
🔗 延伸閱讀
- Windows Update 深度解析:USOClient、WaaS、WSUS 行為差異
- PowerShell 建置企業檔案分享環境
- Windows DNS Server 架設完整指南
- Windows DHCP Server 完整架設指南
— WWFandy・Windows 企業架構筆記
沒有留言: