安装 Active Directory 域服务 (AD DS) 时,必须提供与对部署配置(为域控制器选择的)具有足够权限的域用户帐户对应的凭据,如新的林、新的域或现有域的其他域控制器。Active Directory 域服务安装向导还将检查您提供的凭据,以确定将在其中安装域控制器的林。
如果当前用于登录的用户帐户的凭据(或您提供的备用凭据)表明正在安装的域控制器的目标林,则该向导将在“网络凭据”页中指定该林名称。通过在此页面上指定林名称,则该向导随后可以在其“选择域”页上枚举该林的所有域。
该向导无法始终根据提供的凭据检测目标林。例如,如果使用智能卡或使用用户主体名称 (UPN) 提供凭据,则该向导可能无法检测目标林。在这种情况下,必须在“网络凭据”中指定目标林的名称。目标林的名称为该林的林根域的名称。
如果该向导已根据提供的凭据成功检测到目标林名称,则您可以覆盖该向导提供的名称,以指定您有足够权限安装 AD DS 的另一个目标林的名称。
仅在运行 IP 版本 6 (IPv6) 的网络上,必须为用户帐户凭据指定完全限定的域名 (FQDN),而不是单标签域名。例如,必须指定 corp.contoso.com\user_name 或 user_name@corp.contoso.com,而不是 contoso\user_name。
网络凭据要求
对于不同的部署配置,Active Directory 域服务安装向导所需的网络凭据是不同的。例如,若要安装新的 Active Directory 林,您只需作为将成为林的第一个域控制器的服务器上的本地管理员组的成员。但是,若要向现有林中添加新域或删除域,您必须是要添加或删除域的父域中的 Enterprise Admins 组或 Domain Admins 组的成员。Active Directory 域服务安装向导将验证您提供的凭据是否足以实现在向导中指定的部署配置。
下表列出了每个部署配置所需的网络凭据。
注意 | |
如果正在为运行 Windows Server 2008 R2 的域控制器准备现有 Active Directory 环境,则必须运行 Windows Server 2008 R2 安装介质上 support\adprep 文件夹中的 Adprep.exe。运行 Adprep 可能需要下表中未列出的其他凭据。 |
部署配置 | 必需的凭据 |
---|---|
添加新的林 |
正在其中安装 AD DS 的服务器上本地管理员组 |
添加其他子域 |
Enterprise Admins 根据安全设置,Domain Admins 可能还允许添加域。 若要创建域名系统 (DNS) 委派,您还需要使用父域中的 Domain Admins 凭据。 |
添加新的域树 |
Enterprise Admins 根据安全设置,Domain Admins 可能还允许添加域树。 |
向域中添加其他域控制器 |
Enterprise Admins 或 Domain Admins |
在正常安装中添加只读域控制器 (RODC) |
Enterprise Admins 或 Domain Admins Enterprise Admins 凭据是运行 adprep /rodcprep 所必需的。 |
在暂存安装中添加 RODC |
用于创建 RODC 帐户的 Enterprise Admins 或 Domain Admins 用于将服务器连接到 RODC 帐户的 Domain Admins 或委派权限 Enterprise Admins 凭据是运行 adprep /rodcprep 所必需的。 |
从域中删除其他域控制器 |
Enterprise Admins 或 Domain Admins |
删除 RODC |
委派的 RODC 管理员、Enterprise Admins 或 Domain Admins |
删除域 |
Enterprise Admins 根据安全设置,可能还允许 Domain Admins 删除域,但是它们可能无法删除已在父 DNS 域中创建的 DNS 委派。 |
删除林 |
Enterprise Admins |