Windows Server 2022 搭建AD域（Active Directory域服务）

域的含义

域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理，以及相互通信和数据传输。
域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在 Windows 网络操作系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域，每个域都有自己的安全策略，以及它与其他域的安全信任关系。
当企业网络中计算机和用户数量较多时，为了实现高效管理，就需要windows域。
更详细的介绍搜索Active Directory域服务（AD域）查看，不多介绍了。
微软官方课程学习地址：https://learn.microsoft.com/zh-cn/training/paths/active-directory-domain-services/?source=recommendations

演示环境

服务器底层系统：Vmware ESXI 8.0
Windows Server 服务器两台，作为主备AD域服务器
演示AD域服务系统版本：Windows Server 2022 Standard with Desktop Experience
Windows 10 电脑一台，作为测试机。

预设信息（自行规划设置好）

主AD域服务器

服务器名称：AD1
服务器登录账户：Administrator
服务器登录密码：AD1password
IP地址：172.16.19.110
键入目录还原模式（DSRM）密码：AD1dsrm

备AD域服务器

服务器名称：AD2
服务器登录账户：Administrator
服务器登录密码：AD2password
IP地址：172.16.19.120
键入目录还原模式（DSRM）密码：AD2dsrm

根域名

aabcc.top

设置AD域服务器

主AD域服务器

设置主机名和IP

将主AD域服务器的计算机名改成AD1，并按要求重启系统。
将主AD域服务器设置一个固定IP地址
DNS服务器地址设置为127.0.0.1或主AD域控服务器的IP地址172.16.19.110

安装Active Dircotry域服务

点击服务器管理器--仪表盘--管理--添加角色和功能
点击下一步
选择基于校色或基于功能的安装，然后点击下一步。
选择服务器点击下一步
勾选Active Directory域服务
点击添加功能
点击下一步
点击下一步
继续下一步
点击安装
安装完成点击关闭，或者直接点击将此服务器提升为域控制器。

配置主AD域控制器

点击消息图标--将此服务器提升为域控制器
选择添加新林，输入根域名，然后点击下一步。
设置一个密码
这一步会自动安装DNS服务，直接点击下一步。
NetBIOS域名保持默认，点击下一步。
继续点击下一步
（这三个路径是可以修改的，可以指定到其他盘符。系统盘建议做raid1备份。）
点击下一步
点击安装
系统会自动重启，重启完之后重新登录。
对应的工具也都已经安装上了，点击Active Directory用户和计算机
点击根域名--Domain Controllers，可以看到AD1服务器已经加入到域控制器内了。

备AD服务器

设置主机名和IP

将主AD域服务器的计算机名改成AD2，并按要求重启系统。
将主AD域服务器设置一个固定IP地址
DNS服务器地址设置为主AD域服务器的IP地址

安装Active Dircotry域服务

点击服务器管理器--仪表盘--管理--添加角色和功能
点击下一步
选择基于校色或基于功能的安装，然后点击下一步。
选择服务器点击下一步
勾选Active Directory域服务
点击添加功能
点击下一步
点击下一步
继续下一步
点击安装
安装完成点击关闭，或者直接点击将此服务器提升为域控制器。

配置备AD域控制器

点击消息图标--将此服务器提升为域控制器
选择将域控制器添加到现有域，输入根域名，然后点击选择。
输入主AD域服务器的账号、密码
账号格式为：根域名\账号（默认Administrator）
密码：主AD域服务器登录密码（AD1password）
选择匹配到的根域名--确定--下一步
设置一个密码，然后点击下一步。
选择下一步
指定其他复制选择，复制自，选择主AD域服务器，然后点击下一步。
点击下一步
（这三个路径是可以修改的，可以指定到其他盘符。系统盘建议做raid1备份。）
点击下一步
点击安装
点击关闭，等待自动重启完成。
重新登录时使用的就是AD1域服务器的登录密码（aabcc.top\Administrator AD1password）
点击Active Directory用户和计算机
点击根域名--Domain Controllers，可以看到AD2服务器已经加入到域控制器内了。

创建用户

注意：这只是基础演示，生产环境需要自己好好规划好！
打开Active Directory用户和计算机--根域名--右键--新建--用户
简单设置一下信息和用户登录名，点击下一步。
设置密码和一些选项后点击下一步
点击完成
用户已经在根域名内了

将计算机加入域/退域

将客户端PC的DNS改成主备域服务器的IP
打开Windows设置--系统--关于--高级系统设置
点击计算机名--更改
设置一个规范的计算机名（提前规划好命名规则）
隶属于-域：你的根域名
然后点击确定
输入主AD域管理员的账号密码进行确认
账号格式：aabcc.top\Administrator（默认是Administrator，或者你自己新建了别的管理员账户。）
密码：AD域服务器对应账户的密码
加入域成功
点击确定重启系统
退域就是一样的操作，将隶属于从域切换到工作租（组名随便写），输入域管理员账户后重启电脑。
使用注册的用户账户进行登录
自动加载用户信息，首次在此设备上登录需要等一会加载用户配置环境。
在域服务器上也可以看到加入域的设备
现在在用户PC上安装软件就需要使用域控管理员账户进行登录验证安装。

进阶配置

DNS服务器

明白DNS的作用

将域名解析为IP 地址。
DNS将域名和IP地址联系在一起进行服务，这样可不用输入IP地址，而是通过输入网址访问网站。每个IP地址都可以有一个主机名，主机名由一个或多个字符串组成，字符串之间用小数点隔开。
客户端向DNS服务器（DNS服务器有自己的IP地址）发送域名查询请求
DNS服务器告知客户机Web服务器的IP 地址
客户机与Web 服务器通信
DNS服务器的作用是把域名转换成为网络可以识别的ip地址。首先，为了便于访问网络上的服务器，给每台服务器分配了不同IP地址，但是网上的网站太多，不可能记住每个网站的IP地址，这时就出现了域名。
DNS是互联网中的一项核心服务，是用于实现域名和IP地址相互映射的一个分布式数据库，它将简单明了的域名翻译成可由计算机识别的IP地址，使用户可以更快速便捷地访问互联。简单来讲，DNS相当于互联网上的电话簿，记录了IP地址及对应域名信息，便于用户进行查询并访问。

安装DNS服务器

在前面的部署中，已经安装上了DNS服务器，但是我们并没有进行配置。
所以下面直接进行设置即可。
演示使用主AD域服务器（AD1）进行操作。

配置DNS服务器

在主AD域服务器上打开服务器管理器—DNS。
选择主AD域服务器，右键选择DNS管理器。
选择你的AD域名，右键选择配置DNS服务器。
点击下一步
点击选择创建正向和反向查找区域（适合大型网络使用），然后点击下一页。
选择创建正向查找区域，点击下一步。
选择主要区域，点击下一步。
选择第一个，点击下一步。
在区域名称中输入你想使用的，演示输入的是前面一直用的域名。
然后点击下一步。
选择只允许安全的动态更新，然后下一页。
如果此DNS服务器未加入域，就选择不允许动态更新。
创建反向查找区域，然后点击下一步。
选择主要区域，然后下一步。
选择第一个，然后下一步。
选择IPv4反向查找区域，然后下一步。
在网络ID中输入你的AD域的局域网网段，网段地址不需要反着写，然后点击下一页。
和前面一样选择只允许安全的动态更新，然后下一页。
配置好DNS转发器，添加几个外部的DNS地址，然后点击下一步。
（就是在内部DNS无法解析的时候，外部DNS来接管解析，以访问外网。）
点击完成
点击打开DNS服务器，展开正向查找区域和反向查找区域，可以看到配置完成。
（如果反向查找区域未显示，就点击AD1.aabcc.top右键清除缓存，或者删除正向查找区域设置，重新配置一遍。）
打开备用AD域服务器（AD2），可以看到DNS配置也同步了过去。
（如果未显示完全，就点击AD2.aabcc.top右键清除缓存，再次查看。）

DNS解析域名到某IP

在主DNS服务器上，展开在正向查找区域—DNS名称，右键选择新建主机A（或AAAA）。
设置一个域名前缀
IP地址：演示写局域网某设备IP/公网IP地址（例如将主机域名www.aabcc.top解析到IP地址：172.16.19.100。）
勾选创建相关的指针（PTR）记录，不然还得再反向区域中再新建一遍主机。
然后点击添加主机
创建成功，点击确定。
可以看到添加的记录已经有了
在已加入域的测试电脑上解析域名
测试电脑使用的DNS地址是主备AD域IP也就是DNS服务器地址：172.16.19.110、172.16.19.120
解析命令：nslookup www.aabcc.top
在这个上面可以看到服务器名称变成了UnKnown
这是缺少反向解析，所以没有正确显示服务器名称。
解决这个查看下一步教程。

反向查找解析服务器名称

在主AD域控服务器--DNS管理器--正向查找区域--ad1主机A记录--右键选择属性。
取消勾选：更新相关的指针（PTR）记录，应用并确定
然后重新右键进入，勾选上这个之后点击应用并确定！
点击反向查找区域，空白处右键刷新几次就可以看到对应的指针（PTR）已经显示出来了。
在加入域的电脑上重新启动再解析一下域名，可以看到正常显示。

修改DNS转发器

在主AD域控服务器上打开DNS管理器
点击DNS管理器，选择域名称，右键选择属性—转发器—编辑。
自行修改需要用的外部DNS即可。（即内部DNS无法解析的时候，外部DNS进行接替。）
然后点击确定。

域控制器降级

备用AD域控制器降级为成员服务器

打开备AD域服务器管理器—管理—删除角色和功能。
点击下一步
选择服务器，点击下一步。
取消勾选Active Directory域服务，点击删除功能。
选择将此域控制器降级
点击下一步
勾选继续删除，点击下一步。
点击下一步
输入主AD域服务器管理员的密码，点击下一步。
点击降级
自动重启完之后重新登录
在主AD域控服务器上打开Active Directory--域名--Domain Controllers里只有AD1。
备用AD域控服务器归类到了Computers里

成员服务器降级为独立服务器

在成员服务器上打开服务器管理器—本地管理器，点击域。
在计算机名--更改--隶属于，选择工作组:WORKGROUP（可以自己随意命名），然后点击确定。
点击确定，输入AD域控管理员账号、密码进行确认，然后根据提示重启服务器。
AD1域服务器的默认管理员账户（aabcc.top\Administrator AD1password）
重新登录时使用的还是AD1域服务器的默认管理员账户（aabcc.top\Administrator AD1password）

独立服务器提升为备用域控服务器

和前面的设置备用AD域控服务器流程一样
这里就不重复了

AD域权限组划分（必须先了解）

Administrators：管理员组

默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。
分配给该组的默认权限允许对整个系统进行完全控制。
所以，只有受信任的人员才可成为该组的成员。

Power Users：高级用户组

Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。
分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。
但Power Users 不具有将自己添加到 Administrators 组的权限。
在权限设置中，这个组的权限是仅次于Administrators的。

Users：普通用户组

这个组的用户无法进行有意或无意的改动。
因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。
Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。
Users 组提供了一个最安全的程序运行环境。
在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。
用户不能修改系统注册表设置、操作系统文件或程序文件。
Users 可以关闭工作站（以自己账户登录的设备），但不能关闭服务器。
Users 可以创建本地组，但只能修改自己创建的本地组。

Guests：来宾组

按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

Everyone：所有用户

顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

SYSTEM：系统隐藏组

它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，系统和系统级的服务正常运行所需要的权限都是靠它赋予的。
由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

AD域在目录林中使用组的策略A-G-U-DL-P策略（全局组、通用组、域本地组、安全组、AGUDLP、AGDLP）

组作用域的意思

活动目录中组按照能够授权的范围，分为本地域组、全局组和通用组，下面将分别介绍这几类组的目的。

本地域：来自全林用于本域

本地域组代表的是对某种资源访问权限
创建目的是针对某种资源的访问情况而创建的。例如，在处有一个激光打印机，针对该打印机的使用情况，可以创建一个“激光使用者”本地域组，然后使用该打印机。以后哪个用户或全局组需要使用打印机，可直接将用户或组添加到“激光打印机使用者”，就等于授权使用打印机了。可以针对服务器上“公共空间”文件夹创建一个“公共空间访问者”本地域组，然后授予该“公共空间访问者”对“公共空间”的读、写权限。

全局：来自本域用于全林

全局组代表的是同类用户身份的用户帐户。
目的是为了合并工作职责相似的用户帐户，只能将本域的用户和组添加到全局组，在多域不能合并其他域中的用户。

通用：来自全林用于全林

和全局组的作用一样，目的是根据用户的职责合并用户。
与全局组不同的是，在多域环境中它能够合并其他域中的域用户帐户。比如可以把两个域中的经理帐户添加到一个通用组。在多域环境中，可以在任何域中为其授权。

在域环境中使用组的策略

将用户帐户（ User Acounts）添加到全局组(Global Group),将用户帐户合并。
将为本地域组（ Domain local group）授权（Permission）对某资源的访问。
授权的过程就变为将全局组（ Global Group）添加到本地域组（Domain Local Group）的过程。

组类型的意思

安全组：有安全标识（ SID），能够给其授权用户访问本地资源或网络资源。既能授权访问资源，也可以利用其群发电子邮件。
通讯组：没有安全标识，不能授权其访问资源，只能用来群发电子邮件。（访问资源与群发电邮来确定）

本地域组的权限

Administrators（管理员组）
Remote Desktop Users(远程桌面控制登录组)
Print Operators（打印机操作员组）
Account Operators（帐号操作员组）
Server Operaters（服务器操作员组）
Backup Operators（备份操作员组）

全局组、通用组的权限

Domain Admins（域管理员组）
Enterprise Admins（企业系统管理员组）
Schema Admins（架构管理员组）
Domain Users（域用户组）

本地管理员权限提示

Domain Admins组中不应有日常用户帐户，唯一的例外是默认的Domain Administrator帐户。
Domain Admins组的成员非常有力量。他们在每个加入域的系统（工作站，服务器，便携式计算机等）上都具有本地管理员权限。
Microsoft建议在需要Domain Admins访问时，将帐户暂时放置在Domain Admins组中。完成工作后，应该从Domain Admins组中删除该帐户。

创建OU（组织单位）、用户

什么是OU？

OU(Organizational Unit，组织单位)，是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。通俗一点说，如果把AD比作一个公司的话，那么每个OU就是一个相对独立的部门。

演示规划要求

根据山科集团的企业部门的划分，将对应部门合理分管，同时给公司员工创建属于自己的相应的账户，并且部门负责人要有权利管理自己部门的员工。
（网上有规划图，就直接照着现成的图进行规划，懒得自己画图了，看完自己根据自己公司的实际情况自行规划。）

企业集团结构

企业集团结构图

创建OU域

创建组织单位

登录AD1域控服务器--服务器管理器--工具--Active Directory用户和计算机
点击域名--右键--新建--组织单位
按照金字塔结构，逐级创建组织单位。
这里先创建：山科集团
然后点击确定
然后继续在山科集团内新建组织单位
销售部、财务部、IT运维部
创建完成
再根据前面的方式，在对应的部门内创建组。

删除组织单位

比如我们创建了错误的组织单位，需要删除。
删除时会提示没有权限，这个是因为我们在前面创建的时候没有取消勾选防止容器被意外删除（不建议取消）
在域控服务器--服务器管理器—管理—打开Active Directory管理中心
在域中找到山科集团，双击点击进去。
选择需要删除的部门，右键选择属性。
取消勾选防止意外删除，点击确定，然后就可以成功删除了。

山科集团人员结构

山科集团人员构建图

OU（组织单位）部门用户创建

根据集团人员划分，将不同人员划分到自己部门，创建个别的账户（以其中一个为例，其余操作一样）
在对应部门上右键选择新建用户。
设置姓名，用户登录名后点击下一步。
（演示简单写的，实际部署中请写详细。）
设置密码后自行选择对应账号设置，然后点击下一步。
（预设密码要符合系统最低要求）
点击完成
根据演示，继续创建其他用户。
创建完成员账号以后创建成员组
选择部门后右键选择新建组
设置组名后点击确定（此处设置的是部门负责人组）
组作用域：全局
组类型：安全组
其余部门的组负责人组和组员组也自行设置
组作用域和组类型和前面一样。
创建完成后将各部门组长添加到组
选择一个部门的组之后，点击组长账号，右键选择添加到组。
在框内输入组名称，然后点击检查名称，点击确定。
点击确定
选中组负责人这个组后右键选择属性，点击成员后可以看到用户已经被划分到组里了。
其余的组再自行操作添加，就不再演示。

在AD域中设置漫游配置文件和文件夹重定向

漫游配置文件和文件夹重定向的含义

在域环境下，域用户可以在域中的任意一台客户端计算机上登录，由于普通域用户的权限比较低，在大多数情况下只能对自己的用户配置文件具有完全控制权限，因而大多数域用户都是将数据直接保存在用户配置文件中。
用户配置文件其实是一个文件夹，默认位置在C盘（系统盘）根目录下一个名字叫“用户（Users）”的文件夹中，每个在这台计算机上登录过的域用户，都会在这个“用户”文件夹中创建一个和自己用户名相同的文件夹，比如“zhangsan”。
在用户配置文件夹中包含了“桌面”、“文档”、“收藏夹”等个人资料的配置，用户放在“桌面”或“文档”中的文件其实都是保存在用户配置文件中。
系统默认设置将用户配置文件存放在客户端计算机上，但这种方式一是存在一定的安全风险，二是当域用户在别的计算机上登录时，这些配置文件中的内容就看不到了。
有两种方法可以实现配置文件跟随域用户漫游：一种方法是在DC上设置用户属性，将用户配置文件统一存储到远程服务器上；另一种方法是在DC上设置组策略，将用户配置文件的存放路径重定向到远程服务器上。
不论哪种，都要根据用户数量和数据量进行提前规划文件服务器的存储空间。

漫游配置文件和文件夹重定向的对比

通过实例比较可以发现：
漫游配置文件是将配置文件在服务器中做了备份，而文件夹重定向则是直接将配置文件存储在了服务器中。
这两种方式孰优孰劣呢？
我们可以试想一下，如果域用户在配置文件中放置的数据量很大，那么采用漫游配置文件的方式，就会造成域用户登录和注销的速度变得很慢，而文件夹重定向则不会出现这样的问题。因而在实践应用中，还是文件夹重定向更具备可操作性。
最后总结一下，文件夹重定向的作用主要体现在以下两个方面：
一是可以利用该功能对相关文件或者文件夹进行统一备份。由于把分散在各个主机上的文件都重定向到一台服务器上，如此管理员只需要对这台服务器的文件夹进行备份，就可以达到对员工各台电脑的资料进行备份的目的，从而保障数据的安全。
二是用户访问文件夹的位置将不受限制。若桌面或者我的文档等资料保存在本地的话，则用户只有登录本机才能够访问这些文件。而对文件夹进行重定向之后，则只需要员工登录到域，就都可以访问此文件夹。

设置AD域漫游配置文件

此漫游配置文件的用途是将用户登录账户上所有的用户文件夹全部同步到文件服务器
让用户在域环境内，不论使用哪台电脑都能够有一致性的桌面环境。
同步用户账户的下述文件夹内的所有文件
在文件服务器上新建一个共享文件夹
（生产环境中请使用单独的文件存储服务器设置共享文件夹，而不是在AD域服务器上。）
（演示是简单化教程，实际生成环境中请将各服务的共享文件夹分开创建，不要套在一个文件夹，并且设置好访问于控制权限，因为在用户电脑上是可以直接通过共享文件夹路径访问到他不该访问的文件夹的。可以搭配FileAudit(文件监控软件)之类的软件进行记录文件修改日志，或使用其他软硬件，如NAS进行备份。）
右键共享文件夹，点击共享，共享此文件夹。
新增一个everyone用户，授予读写权限，然后点击共享。
共享文件夹创建完成
在共享文件夹内创建一个漫游配置文件
（建议：漫游配置文件夹内也可以创建不同部门的文件夹）
在AD域服务器上打开服务器管理器—工具—Active Directory用户和计算机。
在OU域内选中用户后，右键选择属性。
（也可以批量选中同一组内的用户，一起修改。这也是为什么要在前面文件夹可选按照不同部门创建文件夹的原因。）
在用户属性--配置文件--用户配置文件，填写共享文件夹内的漫游配置文件夹的路径。
配置文件路径：\\共享文件夹完整路径\%username%
名词解释：%username是一个变量，代表用户名，会自动变更成对应用户的登录名，免去了挨个改。）
```
\\172.16.19.110\共享文件夹\漫游配置文件\%username%
```
填入完成之后点击应用并确定
在用户电脑上登录用户的账户，并打开CMD。
执行下面的命令刷新组策略
```
gpupdate/force
```
在桌面/或者download文件夹里随便放点文件，然后将用户电脑关机。
（只有对应的账号注销登录或电脑关机时，对应的客户机才会向服务器发送这些数据，用户配置文件夹才可以打开。）
回到共享文件夹服务器，打开漫游配置文件夹，可以看到对应用户的文件夹已经出现。
打开对应用户的文件夹可以看到已经漫游同步过来了文件
同样，这个账号在另一台客户机登陆时，数据也会同步到另一台电脑上。
总结：漫游配置文件其实是将配置文件在服务器的共享文件夹中做了一个备份，当域用户在客户端登录时会先从服务器中下载配置文件，当域用户注销时会把修改过的配置文件再传到服务器的共享文件夹中。

设置AD域文件夹重定向

在文件服务器的共享文件夹内创建一个重定向文件夹（文件夹的读写权限要设置为everyone。）
（演示是简单化教程，实际生成环境中请将各服务的共享文件夹分开创建，不要套在一个文件夹，并且设置好访问于控制权限，因为在用户电脑上是可以直接通过共享文件夹路径访问到他不该访问的文件夹的。可以搭配FileAudit(文件监控软件)之类的软件进行记录文件修改日志，或使用其他软硬件，如NAS进行备份。）
在AD域服务器上打开组策略管理器—工具—组策略管理。
在组策略管理中选择域—组--组策略对象，右键选择新建。
新建一个名为：文件夹重定向的GPO，然后点击确定。
选择新建的策略，右键选择编辑。
进入到用户配置—策略—Windows设置—文件夹重定向--桌面
（这只是一个演示，你学会了之后就根据你的实际需求进行修改。）
在目标页面，进行以下选择，然后点击确定。（也可以根据提示设置其他的）
设置：基本-将每个人的文件夹重定向到同一个位置
根路径：粘贴共享文件夹存放重定向文件夹的路径
这样系统就会在共享文件夹中自动为每一位登录的用户分别创建一个专属文件夹。
然后点击应用并确定
点击是
关闭组策略管理编辑器
鼠标左键选中配置好的组策略对象：文件夹重定向
将文件夹重定向按住拖到OU域/OU域内的组，点击确定。
这样组策略便会对该OU中的所有域用户生效。
拖动完成
回到用户电脑上，重启/执行刷新组策略命令。
```
gpupdate/force
```
提示的时候输入 y 进行确认
重新登录后在桌面随便放一点文件
在文件存储服务器的共享文件夹内打开重定向文件夹
可以看到已经自动生成一个用户文件夹了，桌面的文件也同步到了这里。
在用户电脑上查看文件属性，也可以看到对应的存储路径。

创建共享文件夹/公共盘

根据实际情况准备一台独立的文件存储服务器，加入到域内。
演示就直接在AD域控服务器上进行创建。
在共享文件夹内创建公共盘文件夹
在域控服务器（或者文件服务器）上打开服务器管理器--管理--添加角色和功能
点击下一步
选择基于角色或基于功能的安装，点击下一步。
选择服务器后点击下一步
勾选文件夹服务器和文件夹服务器资源管理器，点击下一步。
点击下一步
点击安装
安装完之后点击关闭
在服务器管理器--文件和存储服务--共享，空白区域右键点击新建共享。
选择SMB共享-高级，点击下一步。
在键入自定义路径上选择公共盘文件夹，点击下一步。
设置共享名称和共享描述后点击下一步
选择允许共享缓存（也可根据实际需求选择），点击下一步。
启用基于存取的枚举：简单一点说就是如果A用户只能访问A目录的权限，那他就不会看到共享下面的B目录，就不会出现点击B目录没有访问权限的提示了，这样增强了用户体验，同时也加强文件服务器的安全性。
允许共享缓存：有两种模式：分布式缓存模式、托管式缓存模式。前者主要用于办事处等没有服务器场所，后者主要用于分支机构，集中式管理所有缓存的文件信息。
加密数据访问：在共享文件传输的时候，会对数据进行加密，以提高数据的传输安全性（针对WIN7系统建议不要勾选）。
选择自定义权限
点击禁用继承
点击从此对象中删除已继承的权限
点击添加
点击选择主体--Administrators--确定
（可以在高级中查找，也可以直接输入后点击检查名称。）
将管理员设置为完全控制权限，点击确定。
再添加一个everyone
设置为下图权限，点击确定。
设置完之后点击确定
继续点击下一步
下一步
下一步
点击创建
点击关闭
在公共盘文件夹内创建所需的部门，选择一个后右键点击属性。
点击安全--点击高级
选择共享文件夹点击禁用继承
点击从此对象中删除所有已继承的权限
点击添加
还是和前面一样添加允许访问的用户
将继承于设置为无，然后点击确定。
找一个域内的电脑，登录账户后，尝试访问公共盘文件夹。
通过文件资源管理器中输入共享文件夹的路径，可以看到只有授权的文件夹可以查看。
访问其他无权限的文件夹是失败的
点击此电脑，右键选择映射网络驱动器。
选择一个驱动器，然后输入共享文件夹的路径，点击完成。
用户拥有权限的话会直接添加成功
用户随意创建两个文件即可在共享文件夹内显示