當您安裝 Active Directory 網域服務 (AD DS) 時,您必須提供對應到具有足夠權限的網域使用者帳戶的認證,以用於您為網域控制站 (例如新樹系、新網域或現有網域的其他網域控制站) 選擇的部署設定。Active Directory 網域服務安裝精靈也會檢查您提供的認證,以判斷將要安裝網域控制站的樹系。
如果您目前用以登入的使用者帳戶認證 (或您提供的替代認證) 為您正在安裝的網域控制站指出目標樹系,精靈便會在 [網路認證] 頁面上自動指定樹系名稱。在這個頁面上指定樹系名稱,稍後就會在精靈的 [選取網域] 頁面上列舉該樹系的所有網域。
精靈不一定每次都能根據您提供的認證來偵測目標樹系。例如,如果您使用智慧卡或使用者主要名稱 (UPN) 提供認證,則精靈可能會偵測不到目標樹系。在此情況下,您必須在 [網路認證] 頁面上指定目標樹系名稱。目標樹系名稱就是該樹系的樹系根網域名稱。
如果精靈能夠根據您提供的認證成功地偵測到目標樹系名稱,您就可以覆寫精靈提供的名稱,另外指定您有足夠權限安裝 AD DS 的其他目標樹系名稱。
在僅執行 IP 第 6 版 (IPv6) 的網路上,您必須為使用者帳戶認證指定完整網域名稱 (FQDN),而不是單一標籤網域名稱。例如,您必須指定 corp.contoso.com\user_name 或 user_name@corp.contoso.com,而不是 contoso\user_name。
網域認證需求
對於不同的部署設定,Active Directory 網域服務安裝精靈所需的網路認證也會不同。例如,只要您在即將做為該樹系中第一個網域控制站的伺服器上具有本機 Administrators 群組的成員身分,即可安裝新的 Active Directory 樹系。不過,您在所要新增或移除網域的父系網域中,必須是 Enterprise Admins 群組或 Domain Admins 群組的成員,才可以將新的網域新增至現有樹系或將網域移除。Active Directory 網域服務安裝精靈會確認您提供的認證是否具有足夠的權限,能夠實作您在精靈中指定的部署設定。
下表列出各個部署設定所需的網路認證。
附註 | |
如果您正在為執行 Windows Server 2008 R2 的網域控制站準備現有的 Active Directory 環境,您必須執行 Adprep.exe (可在 support\adprep 資料夾的 Windows Server 2008 R2 安裝媒體上取得)。執行 Adprep 可能需要未列在下表中的其他認證。 |
部署設定 | 必要的認證 |
---|---|
新增樹系 |
安裝 AD DS 所在伺服器上的本機 Administrators 群組 |
新增其他子網域 |
Enterprise Admins 視安全性設定而定,也可能允許 Domain Admins 新增網域。 若要建立網域名稱系統 (DNS) 委派,您還需要父系網域中的 Domain Admins 認證。 |
新增網域樹狀目錄 |
Enterprise Admins 視安全性設定而定,也可能允許 Domain Admins 新增網域樹狀目錄。 |
將其他網域控制站新增至網域 |
Enterprise Admins 或 Domain Admins |
在正常安裝情況下新增唯讀網域控制站 (RODC) |
Enterprise Admins 或 Domain Admins 必須具有 Enterprise Admins 認證才能執行 adprep /rodcprep。 |
在階段式安裝情況下新增 RODC |
建立 RODC 帳戶需要 Enterprise Admins 或 Domain Admins 將伺服器附加至 RODC 帳戶需要 Domain Admins 或委派的權限 必須具有 Enterprise Admins 認證才能執行 adprep /rodcprep。 |
從網域移除其他網域控制站 |
Enterprise Admins 或 Domain Admins |
移除 RODC |
委派的 RODC 系統管理員、Enterprise Admins 或 Domain Admins |
移除網域 |
Enterprise Admins 視安全性設定而定,也可能允許 Domain Admins 移除網域,但無法移除在父系 DNS 網域中建立的 DNS 委派。 |
移除樹系 |
Enterprise Admins |