Active Directory Domain Services(ADDS)
Windows PowerShell 安裝 AD DS
檢查
# 檢查是否已安裝 AD DS 功能
Get-WindowsFeature AD-Domain-Services
# 列出所有 Active Directory 相關功能
Get-WindowsFeature *AD*
結果解讀: Installed : True → 已安裝 Installed : False → 尚未安裝 Install State : Available 代表「可以被安裝,但尚未安裝」
安裝
你要讓它變成 DC(Domain Controller),就要執行:
在 AD DS 安裝完成之前,不需要重新啟動安裝完畢後開啟 Active Directory 使用者和電腦
應該會顯示該訊息
為什麼會出現「需要網域系統管理權限」?
當你安裝完 AD-Domain-Services 之後,這台機器變成了一個 Domain Controller (DC)。 DC 不再使用「本機使用者帳號」模型,而是切換成「網域使用者」模型。
換句話說:
原本的「本機帳號」只存在本機 SAM (Security Accounts Manager) 安裝 AD 後,這台機器的 SAM 其實被取代成 AD 資料庫 (NTDS.dit) 所以「本機使用者」這概念在 DC 上不再存在。
建立第一個管理帳號
跑完 Install-WindowsFeature AD-Domain-Services 之後, 你還要跑 AD 安裝嚮導(或用 PowerShell Promote 成 DC):
這個動作會:
建立新的網域(例如 corp.local)
自動建立:
內建的 Administrator(網域層級) 內建群組如 Domain Admins、Enterprise Admins 你會設定一組新的 DSRM 密碼(目錄服務修復模式)
執行完後你要 重新登入系統:
這時你才正式是「網域系統管理員」。
如果發現網域名稱錯誤,需要進行更改,AD 是不支援「直接改域名」,需要重建AD
重建
最推薦的方式,尤其是你現在剛建好沒資料:
先移除現有的 AD: 這步驟也會更動到密碼,已變成P@ssw0rd
Uninstall-ADDSDomainController -DemoteOperationMasterRole -ForceRemoval -LocalAdministratorPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force)
移除 AD(Demote Domain Controller)之後,這台機器會恢復成「一般伺服器」,重新啟用本機使用者帳號模型(Local SAM)
系統會做這些事:
降級(Demote)這台機器,移除它的 DC 身份。 刪除 AD DS 服務與目錄資料庫(NTDS.dit)。 自動重新建立一個本機 SAM 資料庫。 建立一個新的本機 Administrator 帳號(使用你在上面那段指令指定的密碼)。 重新啟動後,這台機器重新變成 Workgroup 模式。
登入畫面變回