При установке службы AD DS (Active Directory Domain Services) необходимо предоставить учетные данные, соответствующие учетной записи пользователя домена, обладающей достаточными привилегиями для конфигурации развертывания, выбранной для контроллера домена, такой как новый лес, новый домен или дополнительный контроллер домена для существующего домена. Мастер установки доменных служб Active Directory также проверяет предоставленные учетные данные, чтобы определить лес, в котором будет установлен контроллер домена.
Если в учетных данных учетной записи пользователя, от имени которой осуществлен вход в систему, (или предоставленные альтернативные учетные данные) указан конечный лес устанавливаемого контроллера домена, мастер автоматически выведет имя этого леса на странице Сетевые учетные данные . Определяя имя леса на этой странице, мастер сможет показать все домены этого леса на одной из своих последующих страниц (Выберите домен).
Мастер не всегда может определить конечный лес на основе предоставленных учетных данных. Например, если учетные данные предоставлены с помощью смарт-карты или имени участника-пользователя (UPN), мастер может не суметь определить конечный лес. В этом случае необходимо задать имя конечного леса на странице Сетевые учетные данные. Именем конечного леса является имя корневого домена леса для этого леса.
В случаях, когда мастер успешно определяет имя конечного леса на основе предоставленных учетных данных, можно переписать имя, предлагаемое мастером, чтобы задать имя другого конечного леса, в котором работающий с мастером администратор обладает привилегиями, достаточными для установки службы AD DS.
Если в сети используется только протокол IP версии 6 (IPv6), необходимо задать полное доменное имя для учетных данных учетной записи пользователя вместо однокомпонентного имени домена. Например, вместо «contoso\имя_пользователя» необходимо указывать «corp.contoso.com\имя_пользователя» или «имя_пользователя@corp.contoso.com».
Требования к сетевым учетным данным
Сетевые учетные данные, которые требуются для мастера установки службы AD DS, различны для разных конфигураций развертывания. Например, для создания нового леса нужно быть только членом локальной группы «Администраторы» на сервере, который станет первым контроллером домена в лесу. Но чтобы добавить новый домен в существующий лес или удалить домен, необходимо быть членом группы «Администраторы предприятия» или группы «Администраторы домена» в родительском домене создаваемого или удаляемого домена. Мастер установки службы AD DS проверяет, что предоставленные учетные данные достаточны для реализации конфигурации развертывания, заданной в мастере.
В следующей таблице перечислены сетевые учетные данные, необходимые для каждой конфигурации развертывания.
|
Примечание |
|
При подготовке существующей среды Active Directory для контроллера домена с операционной системой Windows Server 2008 R2 необходимо выполнить программу Adprep.exe, которая располагается в папке support\adprep на установочном диске Windows Server 2008 R2. Выполнение программы Adprep может потребовать дополнительных учетных данных, не приведенных в следующей таблице. |
| Конфигурация развертывания | Требуемые учетные данные |
|---|---|
|
Добавление нового леса |
Локальная группа «Администраторы» на сервере, где устанавливается служба AD DS |
|
Добавление дополнительного дочернего домена |
Администраторы предприятия В зависимости от настроек безопасности, добавление домена может быть разрешено и для членов группы «Администраторы домена». Чтобы создать делегирование DNS, также необходимы учетные данные группы «Администраторы домена» в родительском домене. |
|
Добавление нового дерева доменов |
Администраторы предприятия В зависимости от настроек безопасности, добавление дерева доменов может быть разрешено и для членов группы «Администраторы домена». |
|
Добавление дополнительного контроллера домена в домен |
«Администраторы предприятия» или «Администраторы домена» |
|
Добавление контроллера только для чтения (RODC) при обычной установке |
«Администраторы предприятия» или «Администраторы домена» Для выполнения программы adprep /rodcprep необходимы учетные данные группы «Администраторы предприятия». |
|
Добавление RODC при поэтапной установке |
«Администраторы предприятия» или «Администраторы домена» для создания учетной записи RODC «Администраторы домена» или делегированные разрешения связать сервер с учетной записью RODC Для выполнения программы adprep /rodcprep необходимы учетные данные группы «Администраторы предприятия». |
|
Удаление дополнительного контроллера домена из домена |
«Администраторы предприятия» или «Администраторы домена» |
|
Удаление RODC |
Делегированный администратор RODC, «Администраторы предприятия», «Администраторы домена». |
|
Удаление домена |
Администраторы предприятия В зависимости от настроек безопасности членам группы «Администраторы домена» также может быть разрешено удалять домен, но они не смогут удалять делегирования DNS, созданные в родительском домене DNS. |
|
Удаление леса |
Администраторы предприятия |