创建 Active Directory 测试环境（完整指南）

内容

要求和 PowerShell 脚本

用于创建 Active Directory 测试环境的脚本的概述和下载链接。

第 1 课 - 安装 VirtualBox

有关如何安装 VM VirtualBox 的步骤。这将用于创建虚拟服务器和客户端计算机。

第 2 课 - 安装 Windows Server

有关如何下载和安装 Windows Server 2019 的步骤。您还将为服务器分配静态 IP 并更改主机名。

第 3 课 - 安装 Active Directory

安装 Active Directory 并将服务器升级为域控制器的步骤。使用 GUI 或 PowerShell 安装。

第 4 课 - 批量导入用户、组和 OU

使用 PowerShell 将用户、组和组织单位批量导入 Active Directory 的步骤。

第 5 课 - 将计算机加入域

添加虚拟 Windows 10 计算机并将其加入您的测试 Active Directory 域。

要求和
PowerShell 脚本

Active Directory 测试环境概述：

本指南将涵盖以下内容。

1. 使用 192.168.20.0/24 网络创建隔离网络。 Active Directory 测试网络将无法访问其他网络或互联网。您可以更改此设置，但不建议这样做。
2. 创建两个虚拟机（Windows Server 2019、Windows 10 Enterprise）。
3. 您将使用 mylab.local 为域创建一个新的 Active Directory 林。
4. 使用 PowerShell 批量创建 21 个组织部门。
5. 使用 PowerShell 批量创建 20 个安全组
6. 使用 PowerShell 批量导入 3,000 个用户帐户。

提示：您可以使用 Windows Server 备份从生产 Active Directory 环境轻松创建测试环境。查看这些指南以了解详细信息：

• 如何备份活动目录
• 如何从备份恢复 Active Directory
• 如何将用户移动到另一个AD域

硬件要求：

大多数计算机和笔记本电脑运行多个虚拟机应该没有问题。以下是最低要求：

• 任何 Intel 或 AMD 处理器都可以。 Windows Server 2019 要求是 1.4 GHz 64 位处理器。
• 6GB 至 8GB 内存
• 50 GB 可用磁盘空间

我使用的是 Dell XPS 13 笔记本电脑，运行多个虚拟机没有任何问题。

PowerShell 脚本：

下载下面的脚本并将它们放置在 Active Directory 服务器上的 c:\it 文件夹中。

在这里下载脚本

包含的脚本：

• create_groups.ps1=用于从 groups.csv 文件批量创建 AD 安全组的脚本
• create_ous.ps1=此脚本将使用 ous.csv 文件创建组织部门。
• create_users.ps1=此脚本将批量导入 3,000 个用户并将其放置在组织部门中。

第 1 课
安装 VirtualBox

在本课中，我将向您展示如何在计算机上安装 VM VirtualBox。 VirtualBox 是一个免费的虚拟机管理程序，可让您在本地计算机上创建虚拟机。

VirtualBox 可用于 Windows、Linux、MAC 和 Solaris 系统。其他虚拟机管理程序（例如 Vmware 和 Hyper-V）也非常适合创建 Active Directory 测试环境。

第1步：下载虚拟机VirtualBox

单击下面的链接访问 VirtualBox 下载页面。下载适合您的操作系统的安装程序。

VirtualBox 下载页面

对于本例，我将下载 Windows 安装程序。

第2步：安装VirtualBox

1. 运行下载的安装程序文件。

2. 在欢迎屏幕上单击“下一步”

3. 在“自定义设置”页面上，保留默认值，然后单击“下一步”。

4. 在选项屏幕上选择安装选项，然后单击“下一步”。我选择保留默认值。

6. 在警告屏幕上单击“下一步”。我在安装过程中没有注意到任何断开连接。

7. 在读取安装屏幕上单击“安装”按钮。

8. 单击“完成”。

现在，您的桌面或开始菜单上应该有一个名为“Oracle VM VirtualBox”的快捷方式。打开 VirtualBox，您将看到欢迎屏幕。

这样就完成了 VirtualBox 的安装。

注意：在第 2 课中创建 Windows 服务器后，您将需要安装 VirtualBox 来宾附加组件，以便能够将文件从主机复制并粘贴到虚拟机。

第 2 课
安装 Windows Server

在本课程中，您将下载创建 Windows Server ISO 并创建虚拟 Windows Server。此外，您还将使用静态 IP 地址配置服务器并更改其主机名。

步骤 1. 下载 Windows Server ISO

Microsoft 允许您下载 Windows Server 并运行 180 天。您需要注册才能下载 ISO。

单击此处下载 Windows Server 2019 ISO。

在下载页面上单击您的语言即可开始下载。

ISO 下载完成后，转到步骤 2。

步骤 2：在 VirtualBox 上安装 Windows Server

1. 打开 VirtualBox 并单击“新建”。

2. 为虚拟机命名，将类型设置为“Microsoft Windows”，将版本设置为“Windows 2019（64 位）”。您可以更改机器文件夹路径，我将我的路径保留为默认路径。

3. 内存大小保留默认值，然后单击“下一步”。

4. 对于硬盘，选择“立即创建虚拟硬盘”，然后单击“创建”。

5. 硬盘文件类型保留为VDI。点击下一步”

6. 将硬盘设置为动态分配，然后单击“下一步”。

7. 对于文件位置和大小，将其保留为默认值，然后单击“创建”。

8. 接下来，选择您的服务器并单击设置按钮。

9. 单击“存储”，然后单击“清空”。

10. 单击磁盘图标，然后选择您下载的 Windows Server ISO 文件。

11. 单击“网络”并选择内部网络。

内部网络选项将创建一个隔离网络。您不希望 Active Directory 测试环境能够访问其他网络，因为这可能会导致问题。如果您要在测试域上运行渗透测试，这一点非常重要。

现在是时候打开虚拟机并开始 Windows 服务器安装过程了。

1. 单击开始按钮。

VM 将从 ISO 启动并开始安装 Windows Server。

2. 输入语言首选项，然后单击下一步。

3. 单击“立即安装”按钮。

4. 选择标准评估（桌面体验），然后单击“下一步”。

5. 接受许可条款并单击“下一步”

6. 选择自定义：仅安装 Windows。

7. 选择未分配空间并单击“下一步”。

安装开始，完成后系统将提示您创建密码。输入管理员帐户的密码，然后单击完成。

安装完成。您刚刚创建了一个虚拟 Windows Server，干得好！

步骤 3：配置 IP 地址和主机名

现在您需要使用静态 IP 地址配置服务器并更改主机名。

由于它位于隔离的内部网络上，因此您可以将其分配给任何内部 IP 地址。我将为我的服务器分配以下内容：

• 主机名：DC1
• IP地址：192.168.20.10
• 子网掩码：255.255.255.0
• 网关：无
• 域名：192.168.20.10

确保 DNS 指向回其自己的 IP 地址。将服务器升级为域控制器时需要这样做。

分配静态IP地址的步骤：

1. 右键单击开始菜单，选择“网络连接”

2. 单击左侧菜单中的“以太网”。

3. 单击“更改适配器选项”

4. 右键单击以太网适配器并选择属性。

5. 选择“Internet 协议版本 4 (TCP/IPv4)”并单击“属性”。

6. 填写 IP 地址详细信息，然后单击“确定”。

您不需要为服务器提供默认网关。

更改主机名的步骤：

1. 右键单击开始菜单，选择“系统”

2. 单击“重命名此电脑”

3. 为服务器指定一个新名称，然后单击“下一步：

单击“下一步”后，系统会提示您重新启动电脑，单击“立即重新启动”。

这样就完成了服务器设置。在下一节中，我将逐步介绍如何安装 Active Directory。

第 3 课
安装 Active Directory

在本课程中，您将安装 Active Directory 域服务角色并将服务器升级为域控制器。

我将向您展示安装 Active Directory 的两个选项。

• 选项 1：使用 GUI 安装 Active Directory
• 选项 2：使用 PowerShell 安装 Active Directory（速度更快）

选项 1：使用 GUI 安装 Active Directory

1.打开服务器管理器

2. 单击添加角色和功能

3. 在开始之前屏幕上单击“下一步”。

4. 对于安装类型，选择“基于角色或基于功能的安装”，然后单击“下一步”。

5. 选择您的服务器并单击“下一步”

6. 对于服务器角色，选择“Active Directory 域服务器”

您将看到一个弹出窗口，用于添加该角色所需的功能。单击添加功能。

7. 在选择功能页面上单击“下一步” 此页面上没有任何更改。

8. 在 AD DS 页面上单击“下一步”

9. 在确认页面点击“安装”

安装完成后会提示“需要配置”

点击“关闭”

单击顶部的黄色感叹号，然后单击“将此服务器提升为域控制器”

10. 选择“添加新林”并输入根域名。您不需要购买域名，您可以为这一步补一个域名。我将使用 mylab.local。

11. 域控制器选项：输入 DSRM 密码，然后单击“下一步”。仅当您需要从备份恢复 Active Directory 时才需要 DSRM 密码。

12. DNS 选项：您将收到有关委派的警告。这是正常的点击下一步。

13. 其他选项：输入 NetBIOS 名称，然后单击“下一步”。 NetBIOS 名称限制为 15 个字符。 Microsoft 将 NetBIOS 名称描述为 DNS 名称的子域。

14. 路径：保留默认值并单击“下一步”

15.查看选项：单击“下一步”

16. 先决条件检查：收到一些警告是正常的。如果先决条件通过，您应该会看到绿色的勾号。单击“安装”。

安装完成后，服务器将重新启动。

本课就这样结束了。恭喜您刚刚创建了 Active Directory 服务器。

登录服务器并打开 Active Directory 用户和计算机 (ADUC)。 ADUC 位于“开始”->“Windows 管理工具”中。

选项 2：使用 PowerShell 安装 Active Directory

使用此命令安装 Active Directory 域服务角色。

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

然后使用此命令将服务器提升为域控制器。

Install-ADDSForest -DomainName "mylab.local" -CreateDnsDelegation:$false -DomainNetBiosName "mylab" -InstallDns:$true

系统将提示您创建目录服务还原模式密码。

这就是选项 2，更快吧？

第 4 课
批量导入用户、组和 OU

现在您已经创建了 Active Directory 服务器，是时候添加一些组织单位、组和用户了。

在本课程中，您将使用提供的 PowerShell 脚本。

步骤 1. 批量创建组织单位

1. 将所有脚本复制到域控制器上的 c:\it 中。

您的文件夹应包含 PowerShell 脚本和 csv 文件。下面是我的域控制器的屏幕截图。

2. 运行create_ous.ps1 脚本。

打开脚本并单击运行以创建 OU。

脚本完成后，打开 ADUC 并检查父 OU 和子 OU 是否已创建。

第2步：批量导入组

1. 打开“create_groups.ps1”脚本并运行它。

2. 脚本完成后，打开“Mylab Groups”OU 以验证所有组均已创建。

步骤3：批量导入用户

现在是时候将大约 3000 个用户帐户批量导入到您的 Active Directory 测试域中了。

1.打开“create_users.ps1”脚本并单击运行

2. 脚本完成后，打开 Active Directory 并检查用户帐户的部门文件夹。

下面我检查了会计 OU，它现在填充了一堆用户帐户。

您还可以运行以下 PowerShell 命令来列出所有域用户。这会将所有用户输出到网格中，以便您可以浏览和过滤结果。

Get-ADUser -filter * -Properties * | Select name, department, title | out-gridview

如果您已按照说明进行操作，那么您现在应该拥有一个包含 OU、组和用户的 Active Directory 实验室环境。

最后一步是将计算机加入新的 AD 域。

第 5 课
将计算机加入域

在最后一课中，您将下载并安装 Windows 10 企业版。

单击此处下载 Windows 10 企业版。

您需要输入详细信息才能下载 ISO。

按照与创建服务器时相同的步骤来创建 Windows 10 计算机。将其命名为 PC1，将存储更改为从 ISO 启动，并将网络更改为隔离网络。

在安装过程中，当它显示“让我们将您连接到网络”时，单击“我没有互联网”。您稍后将进行配置。

单击“继续进行有限设置”。

输入“mylab”作为用户名。

创建密码和安全问题。

关闭所有隐私设置。

点击 Cortana 的“现在不”。

现在设置以下 IP 设置：

• IP地址：192.168.20.11
• 子网掩码：255.255.255.0
• 首选 DNS：192.168.20.10

单击“确定”。

接下来，将 PC 重命名为 PC1，然后单击下一步。

系统会提示您重新启动，单击“立即重新启动”。

重新登录，您现在将计算机加入您的 Active Directory 域。

进入系统设置 -> 重命名此电脑（高级）。

单击“更改”按钮

在域字段中输入 mylab.local，然后单击“确定”。

输入您的域管理员和密码。

该计算机现已加入您的域。

如果要使用 PowerShell 将计算机添加到域，请使用以下命令。

add-computer -domainname "YourDomainName"  -restart

如果您返回到“Active Directory 用户和计算机”，您将在“计算机”OU 中看到 PC1。您可以将计算机对象移动到您创建的计算机 OU 之一。

如果您有任何疑问，请在下面发表评论告诉我。

推荐阅读：

• 如何创建 Active Directory 用户帐户
• 如何将用户添加到 Active Directory 组
• Active Directory 管理技巧