域控与组策略 — 桌面运维 — 域控与组策略问题大全

分类：IT运维 > 域控与组策略 | 桌面运维知识库系列

适用环境：Windows Server / Windows 10 / 11，企业AD域环境

更新时间：2026-04-15

一、域基础概念

1.1 Active Directory 核心组件

组件	说明
域控制器（DC）	运行AD DS服务的服务器
域（Domain）	共享同一安全数据库的计算机集合
组织单位（OU）	管理和组织对象的容器
组策略对象（GPO）	统一管理计算机和用户设置
信任关系	域之间的认证桥梁
DNS	AD的基础服务，用于定位DC

1.2 域加入操作


:: 加入域
netdom join %COMPUTERNAME% /domain:域名 /user:域管理员 /password:*

:: 或通过GUI
右键此电脑 → 属性 → 更改设置 → 更改 → 域 → 输入域名 → 输入凭据 → 重启

:: 退出域（加入工作组）
netdom remove %COMPUTERNAME% /userd:域管理员 /passwordd:*

二、域账户常见问题

2.1 域账户无法登录

排查步骤：

检查网络：ping DC确认通
检查DNS：域加入依赖DNS解析


   nslookup 域名
   nslookup _ldap._tcp.dc._msdcs.域名

检查时间同步：客户端时间与DC偏差不能超过5分钟


   w32tm /resync

检查账户状态：账户是否被锁定、密码是否过期
检查DC是否在线：nltest /dsgetdc:域名

2.2 “此工作站和主域之间的信任关系失败”

原因： 计算机账户密码与DC不同步（如长时间未开机、重装DC等）。

修复方法：


# 方法1：PowerShell（需要域凭据）
Reset-ComputerMachinePassword -Credential (Get-Credential)

# 方法2：netdom
netdom resetpwd /server:DC服务器名 /userd:域名\管理员 /passwordd:*

# 方法3：退域重加（最后手段）

2.3 域策略不生效

排查步骤：


:: 强制刷新组策略
gpupdate /force

:: 查看应用的策略
gpresult /r

:: 查看详细策略报告（HTML）
gpresult /h C:\gp_report.html

:: 查看策略应用的详细信息
gpresult /scope computer /v

常见原因：

WMI筛选器阻止了GPO应用
安全筛选未包含该计算机/用户
链接的OU不正确
复制延迟（多DC环境）
DNS问题导致找不到DC

2.4 漫游配置文件问题

问题	解决
配置文件加载慢	减小配置文件大小、检查网络带宽
配置文件损坏	删除服务器端配置文件，让重新生成
配置文件冲突	确保用户只登录一台机器
注销时保存失败	检查共享文件夹权限

三、组策略管理

3.1 组策略基本操作


组策略管理控制台（GPMC）：
Win+R → gpmc.msc

本地组策略编辑器：
Win+R → gpedit.msc

3.2 GPO处理顺序


LSDOU顺序：
1. 本地策略（Local）
2. 站点策略（Site）
3. 域策略（Domain）
4. OU策略（Organizational Unit）
   → 子OU策略（嵌套OU）

后应用的策略覆盖先应用的（最后获胜）

3.3 常用组策略设置

禁用USB存储：


计算机配置 → 管理模板 → 系统 → 可移动存储访问
→ 所有可移动存储类别的拒绝所有权限 → 已启用

统一桌面壁纸：


用户配置 → 管理模板 → 桌面 → 桌面 → 指定桌面壁纸

禁用控制面板：


用户配置 → 管理模板 → 控制面板 → 禁止访问控制面板和PC设置

映射网络驱动器：


用户配置 → 首选项 → Windows设置 → 驱动器映射

部署软件：


计算机配置/用户配置 → 软件安装 → 新建 → 软件包
→ 选择MSI文件 → 配置部署方式

限制软件运行：


计算机配置 → Windows设置 → 安全设置 → 软件限制策略
或
计算机配置 → 管理模板 → Windows组件 → 软件限制策略

3.4 组策略排查工具

工具	命令/路径	用途
gpresult	`gpresult /r`	查看应用的GPO
gpupdate	`gpupdate /force`	强制刷新策略
GPMC	`gpmc.msc`	管理和查看GPO
事件查看器	Event ID 1085/1086/1087	策略应用错误
RSOP	`rsop.msc`	策略结果集（已弃用）

3.5 组策略常见错误

错误	原因	解决
策略不生效	安全筛选/OU/WMI问题	gpresult检查
策略冲突	多个GPO设置同一项	检查优先级（后应用获胜）
策略处理超时	网络慢/GPO太大	优化GPO大小
计算机策略不生效	计算机账户不在安全筛选中	添加计算机账户

四、AD常见运维任务

4.1 重置用户密码


# PowerShell
Set-ADAccountPassword -Identity 用户名 -OldPassword (ConvertTo-SecureString "旧密码" -AsPlainText -Force) -NewPassword (ConvertTo-SecureString "新密码" -AsPlainText -Force)

# 解锁账户
Unlock-ADAccount -Identity 用户名

# 设置密码永不过期
Set-ADUser -Identity 用户Name -PasswordNeverExpires $true

4.2 批量操作


# 批量启用用户
Get-ADUser -Filter {Enabled -eq $false} -SearchBase "OU=Users,DC=domain,DC=com" | Enable-ADAccount

# 批量重置密码
Import-Csv "users.csv" | ForEach-Object {
    Set-ADAccountPassword -Identity $_.Username -NewPassword (ConvertTo-SecureString $_.Password -AsPlainText -Force)
}

# 查找7天未登录的用户
Search-ADAccount -UsersOnly -AccountInactive -TimeSpan 7

4.3 计算机管理


# 查看域中所有计算机
Get-ADComputer -Filter * -Properties Name,OperatingSystem | Select Name,OperatingSystem

# 查找90天未登录的计算机
Search-ADAccount -ComputersOnly -AccountInactive -TimeSpan 90

# 禁用/启用计算机
Disable-ADComputer -Identity "计算机名"
Enable-ADComputer -Identity "计算机名"

五、DNS与AD

5.1 AD依赖DNS

AD使用DNS定位DC和服务：

_ldap._tcp.dc._msdcs.域名 — DC的SRV记录
域名 — A记录指向DC IP
_kerberos._tcp.域名 — Kerberos服务
_ldap._tcp.域名 — LDAP服务

5.2 DNS常见问题

问题	排查
加入域失败	检查DNS指向DC
登录慢	检查DNS解析是否正确
GPO不生效	检查是否有正确的SRV记录


:: 检查DC的SRV记录
nslookup -type=SRV _ldap._tcp.dc._msdcs.域名

:: 检查DC的A记录
nslookup DC主机名

5.3 DNS动态更新

确保AD集成DNS区域启用了安全动态更新：


DNS管理器 → 正向查找区域 → 域名 → 属性
→ 常规 → 允许安全动态更新

六、FSMO角色管理

6.1 五大FSMO角色

角色	作用	默认位置
Schema Master	架构修改	第一台DC
Domain Naming Master	域/林修改	第一台DC
PDC Emulator	密码更改、时间同步	每个域
RID Master	SID分配	每个域
Infrastructure Master	跨域引用	每个域

6.2 查看/转移FSMO角色


:: 查看角色持有者
Get-ADDomain | Select PDCEmulator,RIDMaster,InfrastructureMaster
Get-ADForest | Select SchemaMaster,DomainNamingMaster

:: 转移角色
Move-ADDirectoryServerOperationMasterRole -Identity "新DC" -OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster

:: 强制夺取（DC崩溃时）
ntdsutil → roles → connections → connect to server 新DC → quit → seize PDCEmulator