利用新用户账户登录域控

除了域Administrators等少数组内的成员外，其他一般域账户默认无法登陆到域控上，除非另外开放。
赋予用户在域控登录权限
一般用户必须在域控上拥有允许本地登录的权限，才能在域控上登录。此权限可以用过组策略来开放。
系统管理工具-组策略管理

计算机配置-策略-windows设置-安全设置-本地策略-用户权限分配-允许本地登录，然后将用户或组加入到列表内

组策略配置完成需要应用到域控才有效，应用方法有三种：

将域控制器重启
等域控制器自动应用此策略，可能需要等待5分钟或更久
手动应用：到域控制器上运行gpupdate或gpupdate\force 多台域控制器的情况
如果域内有多台域控制器，则设置的安全设置值，先被存储到PDC操作主机角色的域控制器内，默认由第一台域控制器扮演。
Active Directory用户和计算机-选择contoso.com右键操作主机

需要等待设置值从PDC操作主机复制到其他域控制器后，他们才会应用这些设置值。什么时候应用分两种情况：

自动复制：PDC操作主机默认15秒后悔自动将其复制出去，因此其他域控制器可能需要等15秒或更久才能接受到此设置值。
手动复制：到任何一台域控制器上选择Active Directory站点和服务-Sites-Default-First-Name Servers单击要接收设置的域控制器-NTDS Settings-立即复制。如下图DC1是操作主机，DC2是需要接收的域控

如果是组策略设置，则他先辈存储在PDC操作主机内，但如果Active Directory用户账户或其他对象有改动，则这些改动会先被存储在所连接的域控制器，同时系统默认会在15秒后自动将此改动数据复制到其他域控制器。
如果要查询目前连接的域控制器，可以如下图在Active Directory管理中心控制台中将鼠标指针对着图中的contoso，他就会显示所连接的域控制器。如果要更改连接其他控制器，单击更改域控制器。

域用户个人数据的设置

每个域用户账户内部都有一些相关的属性数据，例如地址电话等，域用户可以通过这些属性来查找Active Directory内的用户，因此这些数据越完整越好。

限制登录时间与登录计算机

我们可以限制用户的登录时间已经能用使用某些计算机来登录域。

如下图只能允许用户在正常上班时间内登录电脑

默认用户可以登录所有非域控制器的成员计算机，不过可以限制他们只能利用某些特定计算机来登录域。如下图限制只能登录server计算机。

Active Directory轻型目录服务

为了让支持目录访问的应用程序，可以在没有域的环境内享有目录服务的好处，Windows Server 2012内提供了Active Directory轻型目录服务 AD LDS,它可以让你在计算机内创建多个目录服务器的环境，每个环节被称为一个AD LDS实例，每个实例拥有独立的目录设置，架构，数据库。

Active Directory回收站

在旧版的操作系统中，如果系统管理员误将ad对象删除，就需要进入目录服务还原模式。还原麻烦，并且在还原好重启时，域无法提供服务。
虽然windows server 2008 R2新增了ad回收站，让系统管理员不需要进入目录服务还原模式，就可以救回被删除的对象，但是却不是很好用，例如需要通过复杂的命令与步骤。
Windows server 2012 的ad回收站又有了进一步的改良，他提供容易使用的图像界面管理工具。
要启用ad回收站，林与域功能级别必须是Windows Server 2008 R2（含）以上的级别。注意，一旦启用回收站，就无法在禁用，因此域与林功能基本也无法在被降级。
启用Active Directory回收站
打开Active Directory管理中心，单击左侧的域名contoso，单击右侧的启用回收站

报错了

因为域内有多个域控制器，需要等设置值被复制到所有的域控制器后，ad回收站功能才会完全正常。（我做实验，节约性能还有一台辅助域控没有打开）
开启辅助域控并复制设置值后再次开启回收站。

删除组织单位
试着将业务部删除，但是先将防止删除的选项删除

取消勾选防止意外删除。

接着删除业务部

还原组织单位
接下来，要通过回收站来救回组织单位，双击deleted objects。

选择要救回的组织单位，单击还原

删除域控制器与域

可以通过降级的方式来删除域控制器，也就是将Actice Directory从域控制器删除。在降级前先注意以下事项：
如果域内还有其他域控制器存在，则它会被降级为该域的成员服务器。
如果这台域控制器是此域内的最后一台域控制器，域内也没有其他的域控制器存在了，因此域将被删除，而域控制器也将会被降级为独立的服务器。
注：建议先将成员服务器server.contoso.com脱离域，因为在域删除后，这台服务器的账户就无法登陆域了（域删除后，也可以再将成员服务器脱离域）。
必须是Enterprise Admins组的成员，才能有权限删除域内的最后一台域控制器。如果此域之下还有子域，请先删除子域。
如果此域控制器是全局编录服务器，请检查其所在站点内是否还有其他全局编录服务器，如果没有，请先指定另一台域控制器来扮演全局编录服务器，否则将影响用户登录。
Active Directory站点和服务-Site- Defalut-First-Site-Name – Server-NTDS Setting并单击鼠标右键-属性-勾选全局编录