Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo argomento illustra come installare Active Directory Domain Services (AD DS) in Windows Server usando uno dei metodi seguenti:
Windows PowerShell
Gestore del Server
Installazione RODC tramite l'interfaccia utente grafica
Prerequisiti
Per eseguire Adprep.exe e installare Servizi di dominio Active Directory, sono necessarie le seguenti credenziali.
Per installare una nuova foresta, è necessario accedere come Administrator locale del computer.
Per installare un nuovo dominio figlio o un nuovo albero di dominio, è necessario accedere come membro del gruppo Enterprise Admins.
Per installare un controller di dominio aggiuntivo in un dominio esistente, è necessario essere membro del gruppo Domain Admins.
Nota
Se non si esegue adprep.exe comando separatamente e si sta installando il primo controller di dominio che esegue Windows Server in un dominio o una foresta esistente, viene richiesto di specificare le credenziali per eseguire i comandi Adprep. I requisiti delle credenziali sono i seguenti:
Per introdurre il primo controller di dominio Windows Server nella foresta, è necessario specificare le credenziali per un membro del gruppo Enterprise Admins, il gruppo Schema Admins e il gruppo Domain Admins nel dominio che ospita il master dello schema. Per introdurre il primo controller di dominio Windows Server in un dominio, è necessario specificare le credenziali per un membro del gruppo Domain Admins. Per introdurre il primo controller di dominio di sola lettura nella foresta, è necessario fornire le credenziali di un membro del gruppo Enterprise Admins.
Installare Servizi di dominio Active Directory tramite Windows PowerShell
Per iniziare, aggiungere il ruolo utilizzando Windows PowerShell. Questo comando installa il ruolo del server Servizi di dominio Active Directory e installa gli strumenti di amministrazione del server Active Directory Lightweight Directory Services (AD LDS), inclusi strumenti basati su GUI, come Utilizzatori e Computer di Active Directory e strumenti da riga di comando, come dcdia.exe. Gli strumenti di amministrazione del server non vengono installati per impostazione predefinita quando si usa Windows PowerShell. È necessario specificare "IncludeManagementTools per gestire il server locale o installare Strumenti di amministrazione remota del Server per gestire un server remoto.
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
Non è necessario alcun riavvio fino al completamento dell'installazione di Servizi di dominio Active Directory.
A questo punto è possibile eseguire il comando per visualizzare i cmdlet disponibili nel modulo ADDSDeployment.
Get-Command -Module ADDSDeployment
Per visualizzare l'elenco degli argomenti che è possibile specificare per un cmdlet e la relativa sintassi:
Get-Help <cmdlet name>
Ad esempio, per visualizzare gli argomenti necessari per creare un account RODC (controller di dominio di sola lettura) non presenziato, digitare
Get-Help Add-ADDSReadOnlyDomainControllerAccount
È inoltre possibile scaricare gli ultimi esempi e concetti della Guida in linea per i cmdlet di Windows PowerShell. Per altre informazioni, vedere about_Updatable_Help.
È possibile eseguire i cmdlet di Windows PowerShell sui server remoti:
In Windows PowerShell, utilizzare Invoke-Command con il cmdlet di ADDSDeployment. Ad esempio, per installare Servizi di dominio Active Directory su un server remoto denominato ConDC3 nel dominio contoso.com, digitare:
Invoke-Command { Install-ADDSDomainController -DomainName contoso.com -Credential (Get-Credential) } -ComputerName ConDC3
-oppure-
- In Server Manager creare un gruppo di server che includa il server remoto. Fare clic con il pulsante destro del mouse sul nome del server remoto e selezionare Windows PowerShell.
Per visualizzare l'elenco completo dei cmdlet ADDSDeployment in Windows PowerShell, vedere le informazioni di riferimento su ADDSDeployment.
Specificare le credenziali di Windows PowerShell
È possibile specificare le credenziali senza digitarle come testo normale sullo schermo tramite Get-credential.
Il funzionamento degli argomenti -SafeModeAdministratorPassword e LocalAdministratorPassword è particolare:
se non viene specificato come argomento, il cmdlet richiede di inserire e confermare una password nascosta. Questo è il metodo di utilizzo consigliabile quando il cmdlet viene eseguito in modo interattivo.
Se viene indicato con un valore, tale valore deve essere una stringa sicura Questo non è il metodo di utilizzo consigliabile quando il cmdlet viene eseguito in modo interattivo.
Ad esempio, è possibile utilizzare il cmdlet Read-Host per richiedere all'utente una stringa sicura:
-SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString)
Avviso
L'opzione precedente non conferma la password, prestare estrema attenzione. La password non è visibile.
È inoltre possibile specificare una stringa sicura come variabile di testo in chiaro convertita, anche se questo metodo è sconsigliato:
-SafeModeAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Avviso
Non è consigliabile specificare o archiviare una password non crittografata. Chiunque esegua questo comando in uno script o guardi sulla spalla conosce la password DSRM (Directory Services Restore Mode) del controller di dominio. Con tali conoscenze, potrebbero fingersi il controller di dominio stesso ed elevare i propri privilegi al massimo livello in una foresta di Active Directory.
Usare i cmdlet di test
Per ogni cmdlet di ADDSDeployment esiste un corrispondente cmdlet di prova. I cmdlet di prova eseguono solo i controlli dei prerequisiti per l'operazione di installazione. Le impostazioni di installazione non vengono configurate. Gli argomenti per ogni cmdlet di test sono gli stessi del cmdlet di installazione corrispondente, ma "SkipPreChecks non è disponibile per i cmdlet di test.
Cmdlet di prova | Descrizione |
---|---|
Test-ADDSForestInstallation | Esegue i prerequisiti per l'installazione di una nuova foresta di Active Directory. |
Test-ADDSDomainInstallation | Esegue il controllo dei prerequisiti per l'installazione di un nuovo dominio in Active Directory. |
Test-ADDSDomainControllerInstallation | Esegue i prerequisiti per l'installazione di un controller di dominio in Active Directory. |
Test-ADDSReadOnlyDomainControllerAccountCreation | Esegue i prerequisiti per l'aggiunta di un account di controller di dominio di sola lettura. |
Installare un nuovo dominio radice della foresta utilizzando Windows PowerShell
Il cmdlet Install-ADDSForest installa una nuova foresta.
Ad esempio, per installare una nuova foresta denominata corp.contoso.com e per fare in modo che venga richiesto in modo sicuro di inserire la password per la modalità di ripristino dei servizi directory (DSRM), digitare:
Install-ADDSForest -DomainName "corp.contoso.com"
Nota
Il server DNS viene installato per impostazione predefinita quando si esegue Install-ADDSForest.
Per installare una nuova foresta denominata corp.contoso.com, creare una delega DNS nel dominio contoso.com, impostare il livello di funzionalità del dominio su Windows Server e impostare il livello di funzionalità della foresta su Windows Server 2025, installare il database di Active Directory e SYSVOL nell'unità D:\, installare i file di log nell'unità E:\ e richiedere di specificare la password e il tipo di modalità ripristino dei servizi directory:
Install-ADDSForest -DomainName corp.contoso.com -CreateDNSDelegation -DomainMode Win2008 -ForestMode Win2025 -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Installare un nuovo dominio figlio o albero con Windows PowerShell
Usare il cmdlet Install-ADDSDomain per installare un nuovo dominio.
Nota
L'argomento -credential è obbligatorio solo quando non si è attualmente connessi come membro del gruppo Enterprise Admins.
Il - NewDomainNetBIOSName argomento è obbligatorio se si desidera modificare il nome di 15 caratteri generato automaticamente in base al prefisso di nome di dominio DNS o se il nome supera i 15 caratteri.
Ad esempio, per usare le credenziali di corp\EnterpriseAdmin1 per creare un nuovo dominio figlio denominato figlio, con dominio padre denominato corp.contoso.com, installare il server DNS, creare una delega DNS nel dominio corp.contoso.com , impostare il livello di funzionalità del dominio su Windows Server 2025, rendere il controller di dominio un server di catalogo globale in un sito denominato Houston, usare DC1.corp.contoso.com come controller di dominio di origine della replica, installare il database di Active Directory e SYSVOL nell'unità D:\ , installare i file di log nell'unità E:\ e richiedere di specificare la password della modalità di ripristino dei servizi directory, ma non viene richiesto di confermare il comando, digitare:
Install-ADDSDomain -SafeModeAdministratorPassword -Credential (get-credential corp\EnterpriseAdmin1) -NewDomainName child -ParentDomainName corp.contoso.com -InstallDNS -CreateDNSDelegation -DomainMode Win2025 -ReplicationSourceDC DC1.corp.contoso.com -SiteName Houston -DatabasePath "d:\NTDS" "SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs" -Confirm:$False
Installare un controller di dominio aggiuntivo (replica) con Windows PowerShell
Usare Install-ADDSDomainController per installare un controller di dominio aggiuntivo.
Per installare un controller di dominio e un server DNS nel dominio corp.contoso.com e per richiedere le credenziali di Administrator del dominio e la password della funzionalità DSRM, digitare:
Install-ADDSDomainController -Credential (Get-Credential CORP\Administrator) -DomainName "corp.contoso.com"
Se il computer è già aggiunto a un dominio e si è membri del gruppo Domain Admins, è possibile usare:
Install-ADDSDomainController -DomainName "corp.contoso.com"
Per richiedere il nome del dominio, digitare:
Install-ADDSDomainController -Credential (Get-Credential) -DomainName (Read-Host "Domain to promote into")
Il comando seguente utilizzerà le credenziali di Contoso\EnterpriseAdmin1 per installare un controller di dominio scrivibile e un catalogo globale in un sito denominato Boston; installerà un server DNS, creerà una delega DNS nel dominio contoso.com, eseguirà l'installazione dal supporto archiviato nella cartella c:\ADDS IFM; installerà il database di Active Directory e SYSVOL sull'unità D:\, installerà i file di log sull'unità E:\; il server si riavvierà automaticamente al termine dell'installazione di Active Directory Domain Services e verrà richiesta la password per la modalità ripristino servizi directory.
Install-ADDSDomainController -Credential (Get-Credential CONTOSO\EnterpriseAdmin1) -CreateDNSDelegation -DomainName corp.contoso.com -SiteName Boston -InstallationMediaPath "c:\ADDS IFM" -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Eseguire un'installazione di controller di dominio di sola lettura a fasi con Windows PowerShell
Usare il cmdlet Add-ADDSReadOnlyDomainControllerAccount per creare un account rodc.
Ad esempio, per creare un account di Controller di Dominio di Sola Lettura (CDSR) denominato RODC1:
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName corp.contoso.com -SiteName Boston DelegatedAdministratoraccountName AdminUser
A questo punto eseguire i comandi seguenti nel server da associare all'account RODC1. Il server non può essere aggiunto al dominio. Innanzitutto, installare il ruolo server dei Servizi di dominio Active Directory (AD DS) e gli strumenti di gestione.
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Il comando seguente per creare il controller di dominio di sola lettura (RODC) è:
Install-ADDSDomainController -DomainName corp.contoso.com -SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString) -Credential (Get-Credential Corp\AdminUser) -UseExistingAccount
Premere Y per confermare o includere il "conferma argomento per evitare la richiesta di conferma.
Installare Servizi di dominio Active Directory con Server Manager
Servizi di dominio Active Directory può essere installato in Windows Server tramite la procedura guidata Aggiunta ruoli in Server Manager, seguita dalla Configurazione guidata Servizi di dominio Active Directory, che è una novità a partire da Windows Server 2012. La procedura guidata di installazione di Active Directory Domain Services (dcpromo.exe) è deprecata a partire da Windows Server 2012.
Nelle sezioni seguenti viene illustrato come creare pool di server per installare e gestire Servizi di dominio Active Directory su più server e come utilizzare le procedure guidate per installare Servizi di dominio Active Directory.
Creare pool di server
Server Manager può raggruppare altri server in rete purché siano accessibili dal computer che esegue Server Manager. Dopo aver creato il pool, è possibile scegliere i server per l'installazione remota di Servizi di dominio Active Directory o per la configurazione di altre opzioni disponibili in Server Manager. Il computer che esegue Server Manager viene automaticamente inserito nel pool. Per ulteriori informazioni sui pool di server, vedere aggiungere server a Server Manager.
Nota
Per gestire un computer aggiunto a un dominio con Server Manager in un server di un gruppo di lavoro, o viceversa, sono necessari ulteriori passaggi di configurazione. Per ulteriori informazioni, vedere "aggiungere e gestire server in gruppi di lavoro" in aggiungere server a Server Manager.
Installare AD DS (Active Directory Domain Services)
Utilizzare le procedure seguenti per installare Servizi di dominio Active Directory con il metodo dell'interfaccia utente grafica. È possibile eseguire la procedura in locale o in remoto.
Installare Servizi di dominio Active Directory tramite Server Manager
In Server Manager, selezionare Gestisci e selezionare Aggiungi ruoli e funzionalità per avviare la procedura guidata Aggiungi ruoli.
Nella pagina Prima di iniziare selezionare Avanti.
Nella pagina Selezione tipo di installazione, selezionare Installazione basata su ruoli o basata su funzionalità, quindi selezionare Avanti.
Nella pagina Selezione server di destinazione selezionare Seleziona un server dal pool di server, selezionare il nome del server in cui si vuole installare Active Directory Domain Services e quindi selezionare Avanti.
Per selezionare i server remoti, creare prima un pool di server e successivamente aggiungere i server remoti al pool. Per ulteriori informazioni sulla creazione di pool di server, vedere aggiungere server a Server Manager.
Nella pagina Selezione ruoli server selezionare Servizi di dominio Active Directory, quindi nella finestra di dialogo Aggiungi ruoli e funzionalità guidata selezionare Aggiungi funzionalità e quindi selezionare Avanti.
Nella pagina Seleziona funzionalità selezionare le funzionalità aggiuntive da installare e selezionare Avanti.
Nella pagina Servizi di dominio Active Directory esaminare le informazioni e quindi selezionare Avanti.
Nella pagina Conferma selezioni installazione, selezionare Installa.
Nella pagina Risultati verificare che l'installazione sia riuscita e selezionare Alza di livello il server a un controller di dominio per avviare la Configurazione guidata Servizi di dominio Active Directory.
Importante
Se si chiude l'Aggiunta guidata ruoli a questo punto senza avviare la Configurazione guidata Servizi di dominio Active Directory, è possibile riavviarla selezionando Attività in Server Manager.
Nella pagina Configurazione della Distribuzione, scegliere una delle opzioni seguenti:
Se si installa un controller di dominio aggiuntivo in un dominio esistente, selezionare Aggiungi un controller di dominio a un dominio esistente e digitare il nome del dominio (ad esempio, emea.corp.contoso.com) oppure selezionare Seleziona per scegliere un dominio e le credenziali (ad esempio, specificare un account membro del gruppo Domain Admins) e quindi selezionare Avanti.
Nota
Il nome del dominio e delle credenziali utente correnti viene fornito per impostazione predefinita solo se il computer è aggiunto a un dominio e si sta eseguendo un'installazione locale. Se si installa Active Directory Domain Services in un server remoto, è necessario specificare le credenziali, in base alla progettazione. Se le credenziali utente correnti non sono sufficienti per eseguire l'installazione, selezionare Cambia per specificare credenziali diverse.
Se si installa un nuovo dominio figlio, selezionare Aggiungi un nuovo dominio a una foresta esistente per Selezionare il tipo di dominio, selezionareDominio figlio, digitare o passare al nome del nome DNS del dominio padre (ad esempio, corp.contoso.com), digitare il nome relativo del nuovo dominio figlio (ad esempio emea), digitare le credenziali da usare per creare il nuovo dominio, e quindi selezionare Avanti.
Se si installa un nuovo albero di dominio, selezionare Aggiungi nuovo dominio a una foresta esistente, in Seleziona tipo di dominio scegliere Dominio albero, digitare il nome del dominio radice (ad esempio, corp.contoso.com), digitare il nome DNS del nuovo dominio (ad esempio, fabrikam.com), digitare le credenziali da usare per creare il nuovo dominio e quindi selezionare Avanti.
Se si installa una nuova foresta, selezionare Aggiungi una nuova foresta e quindi digitare il nome del dominio radice, ad esempio corp.contoso.com.
Nella pagina Opzioni del Controller di dominio, scegliere una delle seguenti opzioni.
Se si sta creando una nuova foresta o dominio, selezionare i livelli di funzionalità del dominio e della foresta, selezionare Server DNS (Domain Name System), specificare la password DSRM e quindi selezionare Avanti.
Se si aggiunge un controller di dominio a un dominio esistente, selezionare server DNS (Domain Name System),Global Catalog (GC) o Read Only Domain Controller (RODC) in base alle esigenze, scegliere il nome del sito e digitare la password DSRM e quindi selezionare Avanti.
Per ulteriori informazioni su quali opzioni in questa pagina siano disponibili o non disponibili in diverse condizioni, vedere Opzioni Controller di dominio.
Nella pagina Opzioni DNS (visualizzata solo se si installa un server DNS), selezionare Aggiorna delega DNS in base alle esigenze. In tal caso, fornire le credenziali autorizzate a creare record di delega DNS nella zona DNS padre.
Se non è possibile contattare un server DNS che ospita la zona padre, l'opzione Aggiorna delega DNS non è disponibile.
Per ulteriori informazioni sulla necessità di aggiornare la delega DNS, vedere Comprendere la delega delle zone. Se si tenta di aggiornare la delega DNS e si verifichi un errore, vedere Opzioni DNS.
Nella pagina Opzioni controller di dominio di sola lettura (visualizzata solo se si installa un controller di dominio di sola lettura), specificare il nome di un gruppo o di un utente che gestirà il controller di dominio di sola lettura, aggiungere o rimuovere account dai gruppi di replica di password consentiti o negati e quindi selezionare Avanti.
Per ulteriori informazioni, vedere Criteri di replica delle password.
Nel Opzioni aggiuntive pagina, scegliere una delle opzioni seguenti:
Se si sta creando un nuovo dominio, digitare un nuovo nome NetBIOS o verificare il nome NetBIOS predefinito del dominio e quindi selezionare Avanti.
Se si aggiunge un controller di dominio a un dominio esistente, selezionare il controller di dominio da cui si desidera replicare i dati di installazione di Active Directory Domain Services oppure consentire alla procedura guidata di selezionare qualsiasi controller di dominio. Se si esegue l'installazione da un supporto, selezionare Installa dal tipo di percorso multimediale e verificare il percorso dei file di origine dell'installazione e quindi selezionare Avanti.
Non è possibile usare l'installazione dal supporto (IFM) per installare il primo controller di dominio in un dominio. IFM non funziona in diverse versioni del sistema operativo. In altre parole, per installare un controller di dominio aggiuntivo che esegue Windows Server tramite IFM, è necessario creare il supporto di backup in un controller di dominio di Windows Server. Per ulteriori informazioni su IFM, vedere Installazione di un controller di dominio aggiuntivo utilizzando IFM.
Nella pagina Percorsi digitare i percorsi per il database di Active Directory, i file di log e la cartella SYSVOL (o accettare percorsi predefiniti) e selezionare Avanti.
Importante
Non archiviare il database di Active Directory, i file di log o la cartella SYSVOL in un volume di dati formattato con Resilient File System (ReFS).
Nella pagina Opzioni di preparazione immettere le credenziali sufficienti per eseguire adprep.
Nella pagina Verifica opzioni confermare le selezioni, selezionare Visualizza script se si desidera esportare le impostazioni in uno script di Windows PowerShell e quindi selezionare Avanti.
Nella pagina Controllo prerequisiti verificare che la convalida dei prerequisiti sia stata completata e quindi selezionare Installa.
Nel risultati verificare che il server è stato correttamente configurato come controller di dominio. Il server verrà riavviato automaticamente per completare l'installazione di Servizi di dominio Active Directory.
Eseguire un'installazione in fasi di un RODC usando l'interfaccia utente grafica
L'installazione a due fasi di un controller di dominio di sola lettura consente di creare un controller di dominio di sola lettura in due passaggi. Nella prima fase, un membro del gruppo Domain Admins crea un account per un controller di dominio di sola lettura (RODC). Nella seconda fase, un server viene associato all'account di controller di dominio di sola lettura (RODC). La seconda fase può essere completata da un membro del gruppo Domain Admins o dall'utente o un gruppo di un dominio delegato.
Creare un account controller di dominio di sola lettura usando gli strumenti di gestione di Active Directory
È possibile creare l'account RODC utilizzando il Centro di amministrazione Active Directory o Utenti e computer Active Directory.
selezionare Start, selezionare Strumenti di amministrazione e quindi Centro di amministrazione di Active Directory.
Nel riquadro di spostamento (riquadro sinistro) selezionare il nome del dominio.
Nell'elenco Gestione (riquadro centrale) selezionare l'unità organizzativa Controller di dominio .
Nel riquadro Attività (riquadro destro) selezionare Pre-create a read-only domain controller account (Crea un account controller di dominio di sola lettura).
-Oppure-
selezionare Start, selezionare Strumenti di amministrazione e quindi utenti e computer di Active Directory.
Selezionare con il pulsante destro del mouse l'unità organizzativa controller di dominio oppure selezionare l'unità organizzativa Controller di dominio e quindi selezionare Azione.
Selezionare Pre-create Account controller di dominio di sola lettura.
Nella pagina Installazione guidata Servizi di dominio Active Directory, se si desidera modificare il criterio di replica password predefinito (PRP), selezionare Usa installazione in modalità avanzata e quindi selezionare Avanti.
Nella pagina Credenziali di rete , in Specificare le credenziali dell'account da usare per eseguire l'installazione, selezionare Credenziali correnti registrate oppure selezionare Credenziali alternative e quindi selezionare Imposta. Nella finestra di dialogo Protezione di Windows, immettere il nome utente e la password per un account che può installare un controller di dominio aggiuntivo. Per installare un controller di dominio aggiuntivo è necessario appartenere al gruppo Enterprise Admins o al gruppo Domain Admins. Dopo aver specificato le credenziali, selezionare Avanti.
Nel Specificare il nome del computer, digitare il nome del computer del server che sarà il RODC (controller di dominio di sola lettura).
Nella pagina Seleziona un sito selezionare un sito dall'elenco o selezionare l'opzione per installare il controller di dominio nel sito corrispondente all'indirizzo IP del computer in cui si esegue la procedura guidata e quindi selezionare Avanti.
Nella pagina Opzioni controller di dominio aggiuntive effettuare le selezioni seguenti e quindi selezionare Avanti:
Server DNS: questa opzione è selezionata per impostazione predefinita, in modo che il controller di dominio possa operare come un server del sistema DNS (Domain Name). Se non si vuole che il controller di dominio sia un server DNS, deselezionare questa opzione. Tuttavia, se non si installa il ruolo del server DNS sul controller di dominio di sola lettura nella succursale e il controller di dominio di sola lettura è l'unico nella filiale, gli utenti in filiale non potranno eseguire la risoluzione dei nomi quando la rete WAN (rete estesa) nel sito hub è offline.
Catalogo globale: questa opzione è selezionata per impostazione predefinita. Consente di aggiungere il catalogo globale e le partizioni di directory di sola lettura al controller di dominio, nonché di abilitare la funzionalità di ricerca nel catalogo globale. Se non si vuole che il controller di dominio sia un server di catalogo globale, deselezionare questa opzione. Tuttavia, se non si installa un server di catalogo globale nella succursale o non si abilita la memorizzazione nella cache dell'appartenenza a gruppi universali per il sito che include il controller di dominio di sola lettura (RODC), gli utenti della succursale non potranno accedere al dominio quando la rete WAN al sito hub è offline.
Controller di dominio di sola lettura. Quando si crea un account RODC, questa opzione viene selezionata per impostazione predefinita e non è possibile modificarla.
Se si è selezionato la casella di controllo Utilizza installazione in modalità avanzata nella pagina di benvenuto, viene visualizzata la pagina Specifica i criteri di replica della password. Per impostazione predefinita, nessuna password di account viene replicata al RODC e agli account sensibili alla sicurezza, come i membri del gruppo Domain Admins, viene esplicitamente negata la possibilità di avere le loro password replicate al RODC.
Per aggiungere altri account ai criteri, selezionare Aggiungi, poi scegliere Consenti la replica delle password dell'account a questo controller di dominio di sola lettura o Nega la replica delle password dell'account a questo controller di dominio di sola lettura, e quindi selezionare gli account.
Al termine o per accettare l'impostazione predefinita, selezionare Avanti.
Nella pagina Delega dell'installazione e dell'amministrazione del RODC, digitare il nome dell'utente o del gruppo che collegherà il server all'account RODC che si sta creando. È possibile digitare il nome di una sola entità di sicurezza.
Per cercare un utente o un gruppo specifico nella directory, selezionare Cerca. In Seleziona utente o gruppo, digitare il nome dell'utente o il gruppo. Consigliamo di delegare l'installazione e l'amministrazione di un RODC a un gruppo.
Dopo l'installazione, anche questo utente o gruppo avrà diritti amministrativi locali sul controller di dominio di sola lettura (RODC). Se non si specifica un utente o un gruppo, solo i membri del gruppo Domain Admins o del gruppo Enterprise Admins potranno collegare il server all'account.
Al termine, seleziona Avanti.
Nella pagina di riepilogo, rivedi le selezioni. selezionare Indietro per modificare le selezioni, se necessario.
Per salvare le impostazioni selezionate in un file di risposte che è possibile usare per automatizzare le successive operazioni di Active Directory Domain Services, selezionare Esporta impostazioni. Digitare un nome per il file di risposte e quindi selezionare Salva.
Quando sei certo che le tue selezioni siano corrette, seleziona Avanti per creare l'account RODC.
Nella pagina Completamento dell'Installazione guidata servizi di dominio Active Directory selezionare Fine.
Dopo avere creato un account di controller di dominio di sola lettura, è possibile associare un server all'account per completare l'installazione del controller di dominio di sola lettura. È possibile completare la seconda fase nella sede locale in cui si troverà il controller di dominio di sola lettura. Il server su cui viene eseguita questa procedura non deve essere aggiunto al dominio. Utilizzare la Creazione guidata aggiunta ruoli in Server Manager per collegare un server a un account RODC (controller di dominio di sola lettura).
Collega un server a un account RODC mediante il Server Manager
Accedere come Administrator locale.
In Server Manager selezionare Aggiungi ruoli e funzionalità.
Nella pagina Prima di iniziare selezionare Avanti.
Nella pagina Selezione tipo di installazione, selezionare Installazione basata su ruoli o basata su funzionalità, quindi selezionare Avanti.
Nella pagina Selezione server di destinazione selezionare Seleziona un server dal pool di server, selezionare il nome del server in cui si vuole installare Active Directory Domain Services e quindi selezionare Avanti.
Nella pagina Selezione ruoli server selezionare Servizi di dominio Active Directory, selezionare Aggiungi funzionalità e quindi selezionare Avanti.
Nella pagina Seleziona funzionalità selezionare eventuali funzionalità aggiuntive da installare e selezionare Avanti.
Nella pagina Servizi di dominio Active Directory esaminare le informazioni e quindi selezionare Avanti.
Nella pagina Conferma selezioni installazione, selezionare Installa.
Nella pagina Risultati verificare che l'installazione sia riuscita e selezionare Alza di livello il server a un controller di dominio per avviare la Configurazione guidata Servizi di dominio Active Directory.
Importante
Se si chiude l'Aggiunta guidata ruoli a questo punto senza avviare la Configurazione guidata Servizi di dominio Active Directory, è possibile riavviarla selezionando Attività in Server Manager.
Nella pagina Configurazione distribuzione, selezionare Aggiungi un controller di dominio a un dominio esistente, digitare il nome del dominio (ad esempio, emea.contoso.com) e le credenziali (ad esempio, specificare un account delegato per gestire e installare il controller di dominio di sola lettura, RODC), e quindi selezionare Avanti.
Nella pagina Opzioni controller di dominio selezionare Usa account RODC esistente, digitare e confermare la password per la modalità di ripristino dei servizi directory, quindi selezionare Avanti.
Nella pagina Opzioni aggiuntive , se si esegue l'installazione da un supporto, selezionare Installa dal tipo di percorso multimediale e verificare il percorso dei file di origine dell'installazione, selezionare il controller di dominio da cui si desidera replicare i dati di installazione di Servizi di dominio Active Directory (o consentire alla procedura guidata di selezionare qualsiasi controller di dominio) e quindi selezionare Avanti.
Nella pagina Percorsi digitare i percorsi per il database di Active Directory, i file di log e la cartella SYSVOL oppure accettare percorsi predefiniti e quindi selezionare Avanti.
Nella pagina Verifica opzioni confermare le selezioni, selezionare Visualizza script per esportare le impostazioni in uno script di Windows PowerShell e quindi selezionare Avanti.
Nella pagina Controllo prerequisiti verificare che la convalida dei prerequisiti sia stata completata e quindi selezionare Installa.
Per completare l'installazione di Servizi di dominio Active Directory, il server verrà riavviato automaticamente.