Как установить и настроить active directory

Когда вы уже поставили windows server 2008R2 все обновили настроили статику назвали свой компьютер как нужно (об этом тут), у меня это будет для примера DC, то можно приступать.

Как установить active directory

Открываем Диспетчер сервера, это централизованный и краеугольный инструмент Microsoft по добавлению ролей, но все тоже самое можно сделать и через powershell. Нажимаем добавить роли

Откроется мастер со справочной информацией, жмем далее. Советую сразу поставить снизу галку, пропустить эту страницу, я сомневаюсь, что вы будите ее читать.

как установить active directory

Выбираем Доменные службы Active Directory.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-03

Дальше мастер скажет, что нужно поставить компоненты NET.Framework 3.5.1, жмем добавить

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-04

Жмем далее.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-05

В следующем окне нас подробно познакомят c Active directory, жмем ДАлее

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-06

Жмем установить. Процесс быстрый буквально пару минут.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-07

Видим, что Active Directory установилась успешно

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-08

После установки в диспетчере ролей мы видим ошибку и ее текст, мол введите в пуске dcpromo.exe и будут вам счастье, так и поступим.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-09

Открываем пуск и пишем dcpromo.exe

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-10

Дальше нас поприветствует мастер установки Active directory. Жмахаем Далее.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-11

Щелкаем далее.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-12

Создаем новый домен в новом лесу.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-13

Придумываем имя нашего домена, я выбрал contoso.com в целях тестового тестирования, вам же хочу посоветовать прочитать статью как правильно выбрать имя домена Active Directory,

Начнется проверка уникальности имени нового леса.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-15

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-16

Выбираем режим работы домена windows server 2003 , я выбрал этот режим для того чтобы показать как поднимается режим работы, вы же выбирайте сразу 2008R2, чтобы получить все его преимущества о которых позже.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-17

Выбираем уровень леса тоже windows server 2003 по тем же причинам.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-18

Дальше нам скажут, что вам еще поставят DNS сервер. Жмем далее.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-19

Спросят про делегирование, жмем ДА.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-20

В следующем окне, нам покажут и предложат папки размещения Базы данных.

Попросят придумать и ввести пароль Администратор, пароль должен включать в себя большую букву, маленькую и цифру и быть не менее 6 символов.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-22

Дальше мы можем посмотреть настройки и экспортировать их, могут пригодиться для файла автоматической установки, ставим галку перезагрузиться после выполнения.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-24

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-25

После перезагрузки посмотрим в диспетчере сервера какие события произошли и нет ли там ошибок.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-26

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-27

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-28

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-29

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-30

После чего выключим и включим интерфейс, увидим что все ок и сеть определилась как доменная.

Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-31

• На этом роль можно считать полностью развернутой, простейшие вещи с Active directory мы разберем в следующей статье:) Так же если вы изначально задали неправильное имя контроллера домена и хотите его сменить то посмотрите Как переименовать контроллер домена в Windows Server 2008 R2-2 часть через утилиту netdom
• Материал сайта Pyatilistnik.org

Источник: http://pyatilistnik.org/installation-of-the-directory/

Создание контроллера домена Active Directory Domain Services

В статье описан процесс установки Active Directory, настройки контроллера домена и создание пользователей AD на VPS с операционной системой семейства Windows Server.

Что это такое?

Доменные службы Active Directory (AD DS) — это реализация службы каталогов Microsoft, которая предоставляет централизованные службы проверки подлинности и авторизации.

AD DS в Windows Server предоставляет мощную службу каталогов для централизованного хранения и управления безопасностью, например пользователями, группами и компьютерами, а также обеспечивает централизованный и безопасный доступ к сетевым ресурсам.

Active Directory Domain Services используется для организации локальных вычислительных сетей.

Подготовка Windows Server и конфигурация сети

Создание и конфигурация сети

Для начала в панели управления необходимо создать необходимые для сети серверы и один из них будет контроллером домена.

Важно: для работы с Active Directory необходимо при заказе сервера в панели управления отметить галочкой поле “выполнить системную подготовку Windows”.

После создания необходимо объединить все машины в единую частную сеть через панель управления в разделе “Частные сети”, в результате чего они получат локальные IP-адреса.

Настройка сетевого адаптера контроллера домена

Для начала подключитесь к виртуальному серверу по протоколу RDP.

О том как настроить сетевой адаптер написано в нашей инструкции.

Укажите локальный IP-адрес, маску подсети и шлюз по умолчанию из раздела Сети панели управления. В качестве предпочитаемого DNS-сервера укажите IP-адрес шлюза по умолчанию. Сохраните настройки.

Установка Active Directory Domain Service

Откройте Диспетчер серверов и выберете пункт «Add roles and features».

В качестве типа установки укажите Role-based or feature-based installation.

Выберете ваш сервер из пула.

В следующем окне отметьте Active Directory Domain Services (Доменные службы Active Directory).

Добавьте компоненты.

Установите все отмеченные компоненты на VPS с помощью кнопки Установить.

Настройка

В поиске введите dcpromo и откройте одноименную утилиту.

В открывшемся окне нажмите Ok.

• После этого откройте Диспетчер серверов, в вертикальном меню у вас появится вкладка AD DS.
• В горизонтальном меню нажмите на восклицательный знак и выберете Promote this server to a domain controller (Повысить роль этого сервера до уровня контроллера).

В появившемся окне настроек выберите Добавить новый лес (т.к. действия выполняются впервые) и введите ваше доменное имя.

Примечания: — Имя корневого домена леса не может быть однокомпонентным (например, он должен быть «company.local» вместо «company»); — Домен должен быть уникальным;

— Рекомендуем использовать уникальное имя домена из списка локальных (напр. company.local) во избежание конфликтов разрешения имен DNS в случае идентичных имен. — учетная запись, с которой делают настройки, должна входить в группу администраторов.

1. На следующем шаге введите и подтвердите пароль для режима восстановления служб каталогов.
2. На этом шаге просто нажмите Next.
3. Укажите удобное имя домена NetBIOS.

Укажите пути до базы данных AD DS, файлов журналов и папки SYSVOL. Рекомендуем оставить значения по умолчанию.

• Проверьте настроенные параметры.

Дождитесь проверки предварительных требований после чего нажмите Установить. После установки сервер будет перезагружен.

Создание учетных записей

Для создания новых учетных записей и администраторов откройте оснастку Active Directory Users and Computers, для этого откройте Диспетчер серверов и перейдите в раздел AD DS. В контекстном меню сервера выберете соответствующую оснастку.

В новом окне разверните дерево вашего домена и найдите каталог с пользователями Users. Правой кнопкой мыши нажмите на каталог и выберете Создать -> Пользователь.

1. Для нового пользователя задайте личные данные и имя входа.

Далее введите пароль, который должен быть достаточно сложным и содержать буквы разного регистра и цифры. Дополнительные опции выберите на свое усмотрение.

• Создайте нового пользователя.

Чтобы пользователь мог управлять службами Active Directory, его необходимо добавить в группу Domain Admins. Для этого с помощью правой кнопки мыши откройте свойства пользователя и перейдите во вкладку Member Of. Нажмите кнопку Add для добавления в группу.

Выполните поиск группы Domain Admins с помощью кнопки Check Names. Нажмите OK.

1. Сохраните изменения кнопкой Apply.
2. Теперь созданный пользователь сможет подключиться к контроллеру домена.
3. Рекомендуем сразу убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной/частной сетей — отключен.

 

Источник: https://1cloud.ru/help/windows/active-directory-domain-services-ustanovka-i-nastrojka-windows-server

Как установить MyChat? > Установка клиента > В домене с Active Directory

В статье используется Windows Server 2008 R2. В других версиях серверной ОС все описанные действия выполняются аналогичным образом, могут быть только небольшие различия в интерфейсе операционной системы.

• Скачать MSI-пакет MyChat
• 1.Подготовка групповой политики
• 2.Настройка групповой политики для автоматического развертывания пакета
• 3.Прозрачная авторизация пользователя в домене и настройка сценария для автоматического запуска клиента чата
• 4.Настройка подразделений пользователей
• 5.Импорт пользователей из Active Directory в MyChat

6.Установка и настройка службы AD LDS. Необязательный шаг

1. 1. Подготовка групповой политики
2. Вся настройка Групповой Политики (ГП) будет делаться в «Диспетчере сервера».
3. Для начала откройте домен или поддомен, в котором будет происходить установка чата. Для этого раскройте разделы:
4. «Компоненты» — «Управление групповой политикой» — «Лес: (название вашего леса)» — «Домены» — «название домена, где будет производиться установка».

Откройте контекстное меню на названии вашего домена и выберите пункт «Создать объект GPO…», дайте название ГП, например «MyChat».

Теперь нужно настроить только что созданную ГП, в контекстном меню вы берите пункт «Изменить»:

• 2. Настройка групповой политики для автоматического развертывания пакета
• В открывшемся «Редакторе управления групповыми политиками» будем настраивать «Конфигурацию пользователя».
• Сейчас немного отвлечемся от настройки Групповой Политики, редактор не нужно закрывать.

Внимание! Перед тем как продолжим настраивать ГП, расположите пакет mcclient.msi на общедоступном сетевом ресурсе, куда можно зайти с любого компьютера, где будет установлен чат. Например на самом контроллере домена, создайте папку «MyChat_msi» и откройте к ней общий доступ по сети. В нее скопируйте файл mcclient.msi.

Теперь опять вернемся к настройке ГП. Для развертывания MSI нужно создать пакет установки, зайдите в «Конфигурация пользователя» — «Политики» — «Конфигурация программ» — «Установка программ». В правой части в контекстном меню выберите «Создать» — «Пакет…»:

В диалоговом окне выбора пакета укажите Сетевой путь к пакету mcclient.msi, это очень важно. После того как вы выберите пакет, система предложит вам вариант развертывания пакета, выберите пункт «назначенный»:

Теперь в списке пакетов появился MyChat Client. В контекстном меню пакета откройте свойства и перейдите в раздел «Развертывание»:

Установите галочку напротив пункта «Устанавливать это приложение при входе в систему», чтобы пакет автоматически был установлен после авторизации пользователя в системе.

Естественно, доменные пользователи ограничены в правах на установку программного обеспечения, а чат устанавливается в «Program Files», поэтому ему необходимо повысить права на момент установки.

Зайдите в «Конфигурацию пользователя» — «Политики» — «Административные шаблоны» — «Компоненты Windows» — «Установщик Windows» и включаем правило «Всегда устанавливать с повышенными правами» (аналогичное правило необходимо установить и в «Конфигурации компьютера»):

Внимание! Если при установке у вас возникнет на клиентских компьютерах ошибка №108 «Система групповой политики должна вызывать расширения в синхронном, не фоновом режиме обновления», вам нужно установить дополнительное правило, позволяющее избежать возникновению такой ошибки. Вам нужно установить синхронный режим применения политик, для этого откройте: «Конфигурация компьютера» — «Политики» — «Административные шаблоны» — «Система» — «Вход в систему», далее включите параметр «Всегда ждать сеть при запуске и входе в систему».

3. Прозрачная авторизация пользователя в домене и настройка сценария для автоматического запуска клиента чата

Чат должен знать куда подключаться, поэтому ему нужно об этом как-то сообщить. Информацию о домене (название и IP адрес) он ищет в локальном реестре.

1. Чтобы автоматически добавить запись в реестр клиентов, создайте «логин-скрипт», который будет выполнятся при авторизации пользователя в системе.
2. В каталоге сервера есть шаблон файла реестра mcdomain.reg:
3. C:Program Files (x86)MyChat ServerdocActiveDirectorymcdomain.reg
4. Содержимое файла:
5. REGEDIT4
6.  [HKEY_CURRENT_USERSoftwareMyChat Client]
7.    «Domain» = «Domain_name»
8.    «IP» = «IP_adress_MyChat_Server»
9.    «Port» = «PORT_MyChat_Server»
10.    «AlternateIP» = «IP_adress_MyChat_Server2»
11.    «AlternatePort» = «PORT_MyChat_Server2»
12.    «ServerPassword» = «»
13.    «Secured»=»»
14. Domain — имя домена, к которому должен подключаться клиент чата;
15. IP — адрес сервера (IPv4) чата;
16. Port — TCP порт для подключения пользователей (по умолчанию: 2004);
17. AlternateIP — альтернативный (резервный) адрес сервера (IPv4) чата;
18. AlternatePort — TCP порт для подключения пользователей (по умолчанию: 2004) для альтернативного сервера;
19. ServerPassword — пароль к серверу для защиты от публичного доступа, по умолчанию не используется (не путать с паролем пользователя);
20. Secured — «1», если нужно использовать шифрование трафика при подключении к серверу.

Заполните эти поля и скопируйте файл mcdomain.reg в общедоступную сетевую папку, где уже лежит установочный пакет mcclient.msi.

Теперь посмотрим на содержимое логин-скрипта mcscript.cmd (шаблон в папке C:Program Files (x86)MyChat ServerdocActiveDirectory) :

regedit.exe /s \[SERVER_NAME][SHARED_FOLDER]mcdomain.reg

SERVER_NAME — сетевое имя (Host) или IP адрес сервера;

regedit.exe /s — ключ «/s» предназначен для записи данных в реестр без вопросов (не показывается диалоговое окно).

• Файл mcscript.cmd скопируйте в каталог для логин-скриптов:
• \[Server_name]SysVol[Domain_name]Policies[CLSID]UserScriptsLogon
• Например:
• \W2008SYSVOLNSSPolicies{4F3B38EA-961E-4D71-8AF6-E6B2C1BC4F0D}UserScriptsLogon
• параметры строки:
• W2008 — сетевое имя сервера;
• NSS — имя домена;
• {4F3B38EA-961E-4D71-8AF6-E6B2C1BC4F0D} — CLUID настраиваемой групповой политики.

После того как вы подготовите файлы mcdomain.reg и mcscript.cmd зайдите в редакторе ГП в «Конфигурация пользователя» — «Политики» — «Конфигурация Windows» — «Сценарии входа /выхода из системы», далее откройте пункт «Вход в систему» и добавьте сценарий mcscript.cmd, указав сетевой путь к нему.

Внимание! Обычно, когда вы открываете менеджер логин-скриптов в редакторе ГП и нажимаете кнопку «Обзор» (4), автоматически открывается каталог, где система будет искать этот скрипт. Можно скопировать путь и использовать для копирования скрипта mcscript.cmd.

1. 4. Настройка подразделений пользователей
2. ГП для развертывания клиента чата в корпоративной сети готова.
3. Теперь нужно связать эту ГП с одним или несколькими подразделениями пользователей Active Directory, которые будут пользоваться чатом.
4. В примере создадим подразделение для пользователей MyChat, а потом свяжем его с подготовленной групповой политикой:

Далее привязываем групповую политику с подразделением, выбираем нужное подразделение и связываем его с ГП MyChat:

• Так как каждая новая групповая политика не привязана ни к одному подразделению — она распространяется на весь домен. Открываем ГП MyChat и выключаем (или удаляем) связь между нашей групповой политикой и корнем домена:
• Закрываем редактор групповой политики MyChat и диспетчер сервера.
• В командной строке выполните команду «GPUPDATE /FORCE» для немедленного применения созданной ГП.
• Пользователи, которые входят в подразделения с данной ГП, после перезагрузки при обновлении политики выполнят условия установки и настройки MyChat Client.
• 5. Импорт пользователей из Active Directory в MyChat
• Импорт пользователей можно выполнить двумя способами:
• •Импорт пользователей по протоколу LDAP
• •Импорт пользователей из файла

6. Установка и настройка службы AD LDS. Необязательный шаг

Внимание! Это необязательный шаг.

MyChat подключается к домену по протоколу LDAP для получения списка пользователей Active Directory и информации о них.

Для этого есть специальный служба AD LDS. Если вы не знаете что это такое, думаю, лучше всего обратиться к Википедии — статья про LDAP на Wikipedia.

1. Службу AD LDS можно установить в «Диспетчере сервера» в разделе «Роли»:
2. В мастере установки новых ролей сервера выберите «Службы Active Directory облегченного доступа к каталогам».
3. После окончания установки службы, откройте ее:
4. В разделе «Сводка» будет сказано, что не установлено ни одного экземпляра службы AD LDS, нажимаем ссылку «Щелкните здесь, чтобы создать экземпляр AD LDS».
5. Далее следуем шагам мастера установки службы AD LDS.
6. Первый шаг, задаем имя службе:
7. Второй шаг, создаем уникальный экземпляр службы AD LDS:

На шаге «Порты» вам будет предложено выбрать порты, на которых будет работать ваша служба AD LDS, если служба облегченного доступа к каталогу Active Directory установлена непосредственно на контроллере домена, мастер установки предложит порты 50000 для LDAP и 50001 для SSL. Стандартные порты по умолчанию в данном случае использоваться не могут, так как служба Active Directory их заняла.

• Следующий шаг «Создание раздела каталога приложений для этого экземпляра AD LDS», выберите первый пункт «Нет, не создавать раздела каталога приложений»:
• На шаге «учетной записи службы» выбираем первый пункт «Учетную запись сетевой службы»:
• Далее выбираем учетную запись или группу, которая будет иметь административные разрешения для нашего экземпляра AD LDS, я выбираю текущего пользователя «Администратор»:
• На последнем шаге «импорт LDIF-файлов» выбираем файл настройки службы AD LDS – файл «MS-User.LDF»:
• На этом мы закончили настройку службы облегченного доступа AD LDS к каталогу Active Directory.

Источник: https://nsoft-s.com/mcserverhelp/howtoinstallactivedirectory.htm

Установка оснастки Active Directory в Windows 7

WinITPro.ru  /  Windows 7  /  Установка оснастки Active Directory в Windows 7

12.08.2011 itpro Windows 7 комментариев 28

В данной статье поговорим о том, как установить оснастки Active Directory в Windows 7. Как вы, наверное, помните, для того, чтобы в Windows XP появилась оснастка Active Directory Users and Computers (сокращенно ADUC), необходимо установить специальный набор утилит от Microsoft – Windows 2003 Admin Pack.  В Windows 7 процесс установки консолей управления Active Directory несколько изменился.

Во-первых, Admin Pak теперь стал называться Remote Server Administration Tools (RSAT). Где найти и скачать RSAT для Windows 7 я уже писал.

Обратите внимание, что существует несколько версий RSAT для Windows 7: версии будут отличаться в зависимости от разрядности вашей ОС (32 ил 64 –битная Window 7) и установленного Service Pack (скачать RSAT для Windows 7 SP1).

Если вы не знаете, какая версия ОС используется у вас, нажмите кнопку Start, щелкните правой кнопочкой мыши по значку «Computer»  и выберите «Properties». Окно с версией системы будет выглядеть примерно так:

В поле «System type:» будет указан тип вашей ОС Windows 7. В том случае, если вы используете 32 битную версию Windows 7, необходимо скачать файл, имя которого начинается с «x86…» (сейчас это «x86fre_GRMRSAT_MSU.

msu», но имя может измениться).  Для пользователей 64-битных систем, необходимо скачать файл, имя которого начинается с «amd64…» (сейчас это «amd64fre_GRMRSATX_MSU.

msu») – это пакет подойдет даже в том случае,  если вы используете процессор, отличный от AMD 64-bit.

После того, как вы скачаете RSAT для Windows 7, его нужно установить (в принципе это обычное обновление Microsoft KB).

Во-вторых, после установки RSAT в Windows 7, по умолчанию большинство дополнительных функций управления отключены, и оснастку управления Active Directory в Windows 7 нужно активировать вручную.

1. Перейдите в панель управления ControlPanel, выберите раздел Programs.
2. В разделе Programs and Features, щелкните по ссылке Turn Windows features on or off.

1. Перейдите в раздел Remote Server Administration Tools > Role Administration Tools, и выберите AD DS and AD LDS Tools.

• 
• После этого консоль ADUC и другие оснастки управления AD в Windows 7 появится в панели управления в разделе Administrative Tools.
• 
• Активировать оснастку «Active Directory User and Computer» в  Windows 7 можно и из командной строки, однако в любом случае придется скачать и установить RSAT.
• В командной строке с правами администратора наберите следующие команды, добавляющие оснастки Active Directory:

dism /online /enable-feature /featurename:RemoteServerAdministrationTools-Roles-AD-DS

dism /online /enable-feature /featurename:RemoteServerAdministrationTools-Roles-AD-DS-SnapIns

Предыдущая статья Следующая статья

Источник: http://winitpro.ru/index.php/2011/08/12/ustanovka-osnastki-active-directory-v-windows-7/

Установка доменных служб Active Directory (уровень 100)

• 05/31/2017
• Время чтения: 31 мин

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе объясняется, как установить AD DS в Windows Server 2012 с помощью любого из следующих методов.This topic explains how to install AD DS in Windows Server 2012 by using any of the following methods:

Требования к учетным данным для запуска программы Adprep. exe и установки домен Active Directory ServicesCredential requirements to run Adprep.exe and install Active Directory Domain Services

Для запуска Adprep.exe и установки доменных служб Active Directory необходимы следующие учетные данные.The following credentials are required to run Adprep.exe and install AD DS.

• Чтобы установить новый лес, необходимо войти с учетной записью локального администратора компьютера.To install a new forest, you must be logged on as the local Administrator for the computer.
• Чтобы установить новый дочерний домен или новое доменное дерево, необходимо войти в систему с учетной записью участника группы администраторов предприятия.To install a new child domain or new domain tree, you must be logged on as a member of the Enterprise Admins group.
• Для установки дополнительного контроллера домена в существующем домене необходимо быть членом группы администраторов домена.To install an additional domain controller in an existing domain, you must be a member of the Domain Admins group.

  Примечание
  Если вы не выполняете команду adprep. exe отдельно и устанавливаете первый контроллер домена под управлением Windows Server 2012 в существующем домене или лесу, вам будет предложено ввести учетные данные для выполнения команд Adprep.If you do not run adprep.exe command separately and you are installing the first domain controller that runs Windows Server 2012 in an existing domain or forest, you will be prompted to supply credentials to run Adprep commands. Требуются следующие учетные данные.The credential requirements are as follows:

  • Чтобы ввести первый контроллер домена Windows Server 2012 в лесу, необходимо предоставить учетные данные для члена группы «Администраторы предприятия», группы «Администраторы схемы» и группы «Администраторы домена» в домене, где размещается хозяин схемы.To introduce the first Windows Server 2012 domain controller in the forest, you need to supply credentials for a member of Enterprise Admins group, the Schema Admins group, and the Domain Admins group in the domain that hosts the schema master.
  • Чтобы ввести первый контроллер домена Windows Server 2012 в домене, необходимо предоставить учетные данные для члена группы «Администраторы домена».To introduce the first Windows Server 2012 domain controller in a domain, you need to supply credentials for a member of the Domain Admins group.
  • Для установки первого контроллера домена только для чтения (RODC) в лесу необходимо ввести учетные данные члена группы администраторов предприятия.To introduce the first read-only domain controller (RODC) in the forest, you need to supply credentials for a member of the Enterprise Admins group.

    Примечание
    Если вы уже выполнили команду adprep/родкпреп в Windows Server 2008 или Windows Server 2008 R2, вам не нужно повторно запускать ее для Windows Server 2012.If you have already run adprep /rodcprep in Windows Server 2008 or Windows Server 2008 R2, you do not need to run it again for Windows Server 2012 .

Установка AD DS с помощью Windows PowerShellInstalling AD DS by Using Windows PowerShell

Начиная с Windows Server 2012, можно установить AD DS с помощью Windows PowerShell.Beginning with Windows Server 2012 , you can install AD DS using Windows PowerShell. Dcpromo. exe является устаревшим, начиная с Windows Server 2012, но программу Dcpromo.

exe можно по-прежнему запускать с помощью файла ответов (dcpromo/unattend: или Dcpromo/ансвер: ).Dcpromo.exe is deprecated beginning with Windows Server 2012 , but you can still run dcpromo.exe by using an answer file (dcpromo /unattend: or dcpromo /answer:).

Возможность продолжить выполнение dcpromo.exe с файлом ответов в организациях, в которых инвестированы ресурсы в существующие средства автоматизации, дает им время на преобразование автоматизации с dcpromo.exe на Windows PowerShell.The ability to continue running dcpromo.

exe with an answer file provides organizations that have resources invested in existing automation time to convert the automation from dcpromo.exe to Windows PowerShell. Дополнительные сведения о запуске программы Dcpromo. exe с файлом ответов см. в разделе https://support.microsoft.com/kb/947034.For more information about running dcpromo.exe with an answer file, see https://support.microsoft.com/kb/947034.

Дополнительные сведения об удалении AD DS с помощью Windows PowerShell см. в разделе удаление AD DS с помощью Windows PowerShell.For more information about removing AD DS using Windows PowerShell, see Remove AD DS using Windows PowerShell.

Начните с добавления роли с помощью Windows PowerShell.Start with adding the role using Windows PowerShell.

Эта команда служит для установки роли сервера доменных служб Active Directory и средств администрирования серверов AD DS и AD LDS, включая такие средства на базе графического интерфейса пользователя, как «Пользователи и компьютеры Active Directory», а также программы командной строки (например, dcdia.exe).

Server administration tools are not installed by default when you use Windows PowerShell. Необходимо указать «IncludeManagementTools для управления локальным сервером или средства удаленного администрирования сервера установки для управления удаленным сервером.You need to specify «IncludeManagementTools to manage the local server or install Remote Server Administration Tools to manage a remote server.

Install-windowsfeature -name AD-Domain-Services -IncludeManagementTools

Перезагрузка потребуется только после завершения установки доменных служб Active Directory.There is no reboot required until after the AD DS installation is complete.

После этого можно выполнить данную команду, чтобы просмотреть доступные командлеты в модуле ADDSDeployment.You can then run this command to see the available cmdlets in the ADDSDeployment module.

Get-Command -Module ADDSDeployment

Чтобы просмотреть список аргументов, которые можно указывать для командлетов, и их синтаксис, выполните следующие действия.To see the list of arguments that can be specified for a cmdlets and syntax:

Get-Help

Например, чтобы просмотреть аргументы для создания незанятой учетной записи контроллера домена только для чтения (RODC), введите следующее.For example, to see the arguments for creating an unoccupied read-only domain controller (RODC) account, type

Get-Help Add-ADDSReadOnlyDomainControllerAccount

Дополнительные аргументы приведены в квадратных скобках.Optional arguments appear in square brackets.

Командлеты Windows PowerShell можно выполнять на удаленных серверах:You can run Windows PowerShell cmdlets against remote servers:

• В Windows PowerShell используйте команду Invoke-Command с командлетом Аддсдеплоймент.In Windows PowerShell, use Invoke-Command with the ADDSDeployment cmdlet. Например, чтобы установить доменные службы Active Directory на удаленном сервере с именем ConDC3 в домене contoso.com, введите следующее:For example, to install AD DS on a remote server named ConDC3 in the contoso.com domain, type:
  Invoke-Command { Install-ADDSDomainController -DomainName contoso.com -Credential (Get-Credential) } -ComputerName ConDC3

-или—or-

• В диспетчере серверов создайте группу серверов, включающую удаленный сервер.In Server Manager, create a server group that includes the remote server. Щелкните имя удаленного сервера правой кнопкой мыши и выберите Windows PowerShell.Right-click the name of the remote server and click Windows PowerShell.

В следующем разделе описан способ выполнения командлетов модуля ADDSDeployment для установки доменных служб Active Directory.The next sections explain how to run ADDSDeployment module cmdlets to install AD DS.

Аргументы командлета АддсдеплойментADDSDeployment cmdlet arguments

В следующей таблице перечислены аргументы командлетов ADDSDeployment в Windows PowerShell.The following table lists arguments for the ADDSDeployment cmdlets in Windows PowerShell. Аргументы, выделенные жирным шрифтом, являются обязательными.

Arguments in bold are required. Эквивалентные аргументы для dcpromo.exe указаны в скобках, если в Windows PowerShell они называются по-другому.Equivalent arguments for dcpromo.

exe are listed in parentheses if they are named different in Windows PowerShell.

Допускается использование в параметрах Windows PowerShell аргументов $TRUE и $FALSE.Windows PowerShell switches accept $TRUE or $FALSE arguments. Аргументы, которые $TRUE по умолчанию, указывать не нужно.Arguments that are $TRUE by default do not need to be specified.

Для переопределения значений по умолчанию можно указать аргумент со значением $False.To override default values, you can specify the argument with a $False value. Например, если аргумент -installdns не указан, то при установке нового леса он запускается автоматически.

Поэтому единственный способ предотвратить установку DNS при установке нового леса — это использовать следующее:For example, because -installdns is automatically run for a new forest installation if it is not specified, the only way to prevent DNS installation when you install a new forest is to use:

-InstallDNS:$false

Аналогично, поскольку при установке контроллера домена в среде, в которой не размещен DNS-сервер Windows Server, инсталлднс имеет $false значение по умолчанию, для установки DNS-сервера необходимо указать следующий аргумент:Similarly, because «installdns has a default value of $False if you install a domain controller in an environment that does not host Windows Server DNS server, you need to specify the following argument in order to install DNS server:

-InstallDNS:$true

АргументArgument
ОписаниеDescription

Адпрепкредентиал Примечание. Требуется, если вы устанавливаете первый контроллер домена Windows Server 2012 в домене или лесу, и учетные данные текущего пользователя недостаточно для выполнения операции.ADPrepCredential Note: Required if you are installing the first Windows Server 2012 domain controller in a domain or forest and the credentials of the current user are insufficient to perform the operation.	Указывает учетную запись с членством в группе «Администраторы предприятия» и «Администраторы схемы», которые могут подготовить лес в соответствии с правилами Get-Credential и объекта PSCredential.Specifies the account with Enterprise Admins and Schema Admins group membership that can prepare the forest, according to the rules of Get-Credential and a PSCredential object.Если значение не указано, используется значение аргумента Credential .If no value is specified, the value of the «credential argument is used.
AllowDomainControllerReinstallAllowDomainControllerReinstall	Указывает, продолжать ли установку контроллера домена, доступного для записи, в случае обнаружения учетной записи другого контроллера домена, доступного для записи, с тем же именем.Specifies whether to continue installing this writable domain controller, despite the fact that another writable domain controller account with the same name is detected.Используйте значение $True только если полностью уверены, что учетная запись в настоящее время не используется другим контроллером домена, доступным для записи.Use $True only if you are sure that the account is not currently used by another writable domain controller.Значение по умолчанию $False.The default is $False.Этот аргумент неприменим для контроллера домена только для чтения.This argument is not valid for an RODC.
AllowDomainReinstallAllowDomainReinstall	Указывает, воссоздается ли существующий домен.Specifies whether an existing domain is recreated.Значение по умолчанию $False.The default is $False.
AllowPasswordReplicationAccountName AllowPasswordReplicationAccountName	Имена учетных записей пользователей, групп и компьютеров, чьи пароли могут быть реплицированы на данный контроллер домена только для чтения.Specifies the names of user accounts, group accounts, and computer accounts whose passwords can be replicated to this RODC. Используйте пустую строку «», если значение должно быть пустым.Use an empty string «» if you want to keep the value empty. По умолчанию разрешена только группа с разрешением репликации паролей RODC, которая изначально создается пустой.By default, only the Allowed RODC Password Replication Group is allowed, and it is originally created empty.Введите значения в виде строкового массива.Supply values as a string array. Пример:For example:Code-Алловпассвордрепликатионаккаунтнаме «JSmith», «Жсмиспк», «Пользователи ветви»Code -AllowPasswordReplicationAccountName «JSmith»,»JSmithPC»,»Branch Users»
Аппликатионпартитионсторепликате < String [] > Примечание. В пользовательском интерфейсе эквивалентного параметра нет.ApplicationPartitionsToReplicate Note: There is no equivalent option in the UI. Если установка выполняется через пользовательский интерфейс или с носителя, то все разделы приложений будут реплицированы.If you install using the UI, or using IFM, then all application partitions will be replicated.	Указывает разделы каталога приложений, которые следует реплицировать.Specifies the application directory partitions to replicate. Этот аргумент применяется только в том случае, если указан аргумент -InstallationMediaPath для установки с носителя (IFM).This argument is applied only when you specify the -InstallationMediaPath

Источник: https://docs.microsoft.com/ru-ru/windows-server/identity/ad-ds/deploy/install-active-directory-domain-services—level-100-