Podczas instalowania usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services) należy podać poświadczenia, które odpowiadają kontu użytkownika domeny o uprawnieniach wystarczających dla konfiguracji wdrażania wybranej dla kontrolera domeny, takiej jak nowy las, nowa domena czy dodatkowy kontroler domeny dla istniejącej domeny. Kreator instalacji usług domenowych w usłudze Active Directory sprawdza też podane poświadczenia, aby określić las, w którym zostanie zainstalowany kontroler domeny.
Jeśli poświadczenia dla konta użytkownika, na którym jest zalogowany użytkownik (lub podane poświadczenia alternatywne), określają las docelowy dla instalowanego kontrolera domeny, kreator automatycznie określi nazwę lasu na stronie Poświadczenia sieciowe. Jeśli użytkownik określi nazwę lasu na tej stronie, kreator wyliczy wszystkie domeny dla tego lasu na stronie Wybieranie domeny w dalszej części procedury działania kreatora.
Kreator nie zawsze jest w stanie wykryć las docelowy na podstawie podanych poświadczeń. Na przykład, jeśli poświadczenia zostaną podane za pomocą karty inteligentnej lub głównej nazwy użytkownika, kreator może nie wykryć lasu docelowego. W takim przypadku należy określić nazwę lasu docelowego na stronie Poświadczenia sieciowe. Nazwa lasu docelowego jest nazwą domeny głównej tego lasu.
Jeśli kreator wykryje nazwę lasu docelowego na podstawie podanych poświadczeń, można zastąpić nazwę podawaną przez kreatora w celu określenia nazwy innego lasu docelowego, w którym użytkownik ma uprawnienia wystarczające do instalowania usług AD DS.
W sieciach tylko z protokołem IP w wersji 6 (IPv6) zamiast nazwy domeny z jedną etykietą należy określić w pełni kwalifikowaną nazwę domeny (FQDN) dla poświadczeń dotyczących konta użytkownika. Na przykład należy użyć nazwy domeny corp.contoso.com\nazwa_użytkownika lub nazwa_użytkownika@corp.contoso.com zamiast nazwy domeny contoso\nazwa_użytkownika.
Wymagania dotyczące poświadczeń sieciowych
Poświadczenia sieciowe wymagane przez Kreatora instalacji usług domenowych w usłudze Active Directory różnią się w zależności od konfiguracji wdrażania. Na przykład, aby zainstalować nowy las usługi Active Directory, użytkownik musi tylko być członkiem lokalnej grupy Administratorzy na serwerze, który zostanie pierwszym kontrolerem domeny w lesie. Aby jednak dodać nową domenę do istniejącego lasu lub usunąć domenę z lasu, użytkownik musi być członkiem grupy Administratorzy przedsiębiorstwa lub grupy Administratorzy domeny w domenie nadrzędnej dodawanej lub usuwanej domeny. Kreator instalacji usług domenowych w usłudze Active Directory sprawdza, czy podane poświadczenia są wystarczające do implementowania konfiguracji wdrażania określonej w kreatorze.
Poniższa tabela zawiera listę poświadczeń sieciowych wymaganych dla każdej konfiguracji wdrażania.
Uwaga | |
W przypadku przygotowywania istniejącego środowiska usługi Active Directory dla potrzeb kontrolera domeny z systemem Windows Server 2008 R2 należy uruchomić narzędzie Adprep.exe, które jest dostępne na nośniku instalacyjnym z systemem Windows Server 2008 R2 w folderze support\adprep. Uruchomienie narzędzia Adprep może wymagać dodatkowych poświadczeń, których nie uwzględniono w poniższej tabeli. |
Konfiguracja wdrażania | Wymagane poświadczenia |
---|---|
Dodawanie nowego lasu |
Lokalna grupa Administratorzy na serwerze, na którym są instalowane usługi AD DS. |
Dodawanie dodatkowej domeny podrzędnej |
Administratorzy przedsiębiorstwa Domenę mogą dodać też Administratorzy domeny, w zależności od ustawień zabezpieczeń. Aby utworzyć delegowanie systemu nazw domen (DNS, Domain Name System), potrzebne są także poświadczenia grupy Administratorzy domeny w domenie nadrzędnej. |
Dodawanie nowego drzewa domen |
Administratorzy przedsiębiorstwa Drzewo domen mogą dodać też Administratorzy domeny, w zależności od ustawień zabezpieczeń. |
Dodawanie dodatkowego kontrolera domeny do domeny |
Administratorzy przedsiębiorstwa lub Administratorzy domeny |
Dodawanie kontrolera domeny tylko do odczytu (RODC) w normalnej instalacji |
Administratorzy przedsiębiorstwa lub Administratorzy domeny Do uruchomienia narzędzia adprep /rodcprep niezbędne są poświadczenia grupy Administratorzy przedsiębiorstwa. |
Dodawanie kontrolera RODC w instalacji przemieszczanej |
Administratorzy przedsiębiorstwa lub Administratorzy domeny w celu utworzenia konta kontrolera RODC Administratorzy domeny lub delegowane uprawnienia do przyłączenia serwera do konta kontrolera RODC Do uruchomienia narzędzia adprep /rodcprep niezbędne są poświadczenia grupy Administratorzy przedsiębiorstwa. |
Usuwanie dodatkowego kontrolera domeny z domeny |
Administratorzy przedsiębiorstwa lub Administratorzy domeny |
Usuwanie kontrolera RODC |
Delegowany administrator kontrolera RODC, Administratorzy przedsiębiorstwa lub Administratorzy domeny |
Usuwanie domeny |
Administratorzy przedsiębiorstwa Domenę mogą też usunąć Administratorzy domeny, w zależności od ustawień zabezpieczeń, ale mogą oni nie być w stanie usunąć delegowania usługi DNS utworzonego w nadrzędnej domenie DNS. |
Usuwanie lasu |
Administratorzy przedsiębiorstwa |