當您安裝 Active Directory 網域服務 (AD DS) 時,您必須提供對應到具有足夠權限的網域使用者帳戶的認證,以用於您為網域控制站 (例如新樹系、新網域或現有網域的其他網域控制站) 選擇的部署設定。Active Directory 網域服務安裝精靈也會檢查您提供的認證,以判斷將要安裝網域控制站的樹系。

如果您目前用以登入的使用者帳戶認證 (或您提供的替代認證) 為您正在安裝的網域控制站指出目標樹系,精靈便會在 [網路認證] 頁面上自動指定樹系名稱。在這個頁面上指定樹系名稱,稍後就會在精靈的 [選取網域] 頁面上列舉該樹系的所有網域。

精靈不一定每次都能根據您提供的認證來偵測目標樹系。例如,如果您使用智慧卡或使用者主要名稱 (UPN) 提供認證,則精靈可能會偵測不到目標樹系。在此情況下,您必須在 [網路認證] 頁面上指定目標樹系名稱。目標樹系名稱就是該樹系的樹系根網域名稱。

如果精靈能夠根據您提供的認證成功地偵測到目標樹系名稱,您就可以覆寫精靈提供的名稱,另外指定您有足夠權限安裝 AD DS 的其他目標樹系名稱。

在僅執行 IP 第 6 版 (IPv6) 的網路上,您必須為使用者帳戶認證指定完整網域名稱 (FQDN),而不是單一標籤網域名稱。例如,您必須指定 corp.contoso.com\user_name 或 user_name@corp.contoso.com,而不是 contoso\user_name。

網域認證需求

對於不同的部署設定,Active Directory 網域服務安裝精靈所需的網路認證也會不同。例如,只要您在即將做為該樹系中第一個網域控制站的伺服器上具有本機 Administrators 群組的成員身分,即可安裝新的 Active Directory 樹系。不過,您在所要新增或移除網域的父系網域中,必須是 Enterprise Admins 群組或 Domain Admins 群組的成員,才可以將新的網域新增至現有樹系或將網域移除。Active Directory 網域服務安裝精靈會確認您提供的認證是否具有足夠的權限,能夠實作您在精靈中指定的部署設定。

下表列出各個部署設定所需的網路認證。

附註

如果您正在為執行 Windows Server 2008 R2 的網域控制站準備現有的 Active Directory 環境,您必須執行 Adprep.exe (可在 support\adprep 資料夾的 Windows Server 2008 R2 安裝媒體上取得)。執行 Adprep 可能需要未列在下表中的其他認證。

部署設定 必要的認證

新增樹系

安裝 AD DS 所在伺服器上的本機 Administrators 群組

新增其他子網域

Enterprise Admins

視安全性設定而定,也可能允許 Domain Admins 新增網域。

若要建立網域名稱系統 (DNS) 委派,您還需要父系網域中的 Domain Admins 認證。

新增網域樹狀目錄

Enterprise Admins

視安全性設定而定,也可能允許 Domain Admins 新增網域樹狀目錄。

將其他網域控制站新增至網域

Enterprise Admins 或 Domain Admins

在正常安裝情況下新增唯讀網域控制站 (RODC)

Enterprise Admins 或 Domain Admins

必須具有 Enterprise Admins 認證才能執行 adprep /rodcprep

在階段式安裝情況下新增 RODC

建立 RODC 帳戶需要 Enterprise Admins 或 Domain Admins

將伺服器附加至 RODC 帳戶需要 Domain Admins 或委派的權限

必須具有 Enterprise Admins 認證才能執行 adprep /rodcprep

從網域移除其他網域控制站

Enterprise Admins 或 Domain Admins

移除 RODC

委派的 RODC 系統管理員、Enterprise Admins 或 Domain Admins

移除網域

Enterprise Admins

視安全性設定而定,也可能允許 Domain Admins 移除網域,但無法移除在父系 DNS 網域中建立的 DNS 委派。

移除樹系

Enterprise Admins

請參閱


目錄