如何像搭积木一样配置服务器支持活动目录？

上周公司新来的实习生小王问我："张哥，老板让我搭个活动目录服务器，这跟普通服务器有啥区别啊？"我笑着递给他一杯咖啡："就像普通住宅和智能家居的区别，活动目录就是给网络装了个智能管家。"

开工前的工具箱准备

就像装修前要买好建材，咱们得先备齐这些家伙事：

• Windows Server 2022光盘（别用家庭版，会哭）
• 至少双核CPU+8G内存的服务器
• 2块500G硬盘（RAID 1更安全）
• 固定IP地址（千万别用自动获取）
• 记密码的小本本（建议用KeePass管理）

硬件配置的黄金分割线

项目	基础配置	推荐配置
CPU核心	4核	8核
内存	8GB	16GB
存储	500GB HDD	1TB SSD×2(RAID 1)
网卡	1Gbps	10Gbps双网卡

手把手安装教学

记得先给服务器取个好名字，比如"AD-001"，比默认的WIN-xxxx顺眼多了。

关键六步走：

1. 装系统时勾选"带桌面体验的服务器"
2. 装完立即更新补丁（安全第一）
3. 设置静态IP（动态IP会出乱子）
4. 重命名计算机（建议用城市+编号）
5. 关闭防火墙临时测试（完事记得打开）
6. 创建恢复快照（后悔药必备）

域控制器配置秘籍

在服务器管理器点"添加角色"，就像给手机装APP：

• 勾选Active Directory域服务
• 顺带装上DNS服务器（捆绑安装有优惠）
• 设置林功能级别选Windows Server 2022
• 恢复密码存到U盘（别放桌面！）

FSMO五大金刚

角色类型	功能说明	存放建议
架构主机	管理目录架构	独立服务器
域命名主机	管理域命名空间	与架构主机共存
PDC模拟器	处理密码策略	高性能服务器
RID主机	分配安全标识	常规域控
基础架构主机	维护跨域引用	非GC服务器

用户管理小技巧

创建组织单元时，可以按部门划分，比如：

• ├── 总经办
• ├── 技术部
• └── 财务部

批量导入用户用CSVDE命令，比手动添加快10倍：

csvde -i -f users.csv -k

安全防护七件套

• 开启LAPS本地管理员密码管理
• 设置账户锁定阈值（建议5次错误）
• 禁用Guest账户（别舍不得）
• 定期审核日志（每周至少1次）
• 启用BitLocker磁盘加密
• 配置组策略密码复杂度
• 设置管理员登录时间限制

组策略配置对比

策略项	宽松模式	严格模式
密码长度	8位	12位
锁定阈值	10次	5次
会话超时	无限制	30分钟
日志保留	7天	90天

机房窗外飘着细雨，看着监控屏幕上平稳运行的绿色状态灯，顺手把操作手册塞进档案柜。这时小王探头进来："张哥，财务部说打印机又认不到人了..."我笑着站起身："走，带你去看看组策略怎么调打印机权限。"