什么是域控制器：微软用一台服务器，把局域网中的各种可以用的资源信息收集整理，例如计算机、电脑、共享文件夹目录、用户账户、工作组、各种权限设置等等，并用规范的目录列表的形式，发放给局域网中所有计算机电脑使用，而且这个目录列表是很灵活的，可以很方便的管理维护，彻底改掉了工作组计算机的种种恶习。微软把这个灵活的目录列表，就叫做活动目录，也就是域。它还有一个英文名字：active directory，大伙为了方便，有时也管它叫做ad，windows ad，计算机域，电脑域等等。



企业AD域控安全部署方案：
1、在DC下建立各企业部门成员的组，各部门员工加入制定部门组；
2、通过组策略设置加入DC员工磁盘文件夹访问读写入权限；
3、安装DC证书颁发机构设置EFS加密恢复代理策略；
4、为重点支持部门做卷影副本，便于数据遗失后的恢复；
5、为加入域的计算机C盘做磁盘配额限制个人配置文件的占用大小给C盘系统中应用程序运行所需缓存带来的不便；
6、对共享的文件夹启用磁盘压缩节省用户储存服务器磁盘空间；
7、通过组策略限制必要部门的USB接口用来防范外来磁盘接入；
8、根据各部门使用情况通过哈希规则限制不该使用的应用程序节省必要的系统资源；
9、关闭系统还原等不必要的系统进程优化OS；
10、设置共享文件夹读写入权限，做好文件夹浏览的安全性；
11、通过登入脚本设置用户电源方案；
12、对公用的计算机编写和启用自动注销和定时关机脚本及其策略；

如果企业网络中计算机和用户数量较多时，要实现高效管理，就需要windows域。 创建域 二.域控安装：要建立域进行管理，首先需安装域控制器（dc），dc上存储着域中的信息资源，如名称、位置和特性描述等信息。通过在一台服务器上安装活动目录（AD），就会将这台计算机安装成dc。

　　安装条件：1安装者必须具有本地管理员的权限。

　　2操作系统版本必须满足条件（Windows server2003除web以外的所有都满足）。

　　3本地磁盘必须有一个NTFS文件系统

　　4有TCP/IP设置

　　5有相应的DNS服务器支持

　　6有足够的可用空间