在云主机 8 将域控制器中技术部（adm1.adm2）的员工增加至缓存组，允 许该账户的密码复制至本服务器中。

<think>嗯，用户需要配置域控制器，将技术部员工账户加入缓存组并允许密码复制。这属于Windows Server活动目录的组策略配置范畴，特别是密码复制策略（Password Replication Policy）的设置。 用户提到的"技术部（adm1.adm2）"应该是指技术部的两个管理员账户。根据活动目录架构，需要先确认这些账户是否已存在，以及它们所属的组织单位（OU）。考虑到用户要求"添加到缓存组"，这里指的是只读域控制器（RODC）的密码复制策略。 核心操作应该分三步走：首先在RODC上配置允许复制的账户，其次在可写域控制器上授权，最后验证同步。特别要注意的是，RODC默认不缓存任何凭据，必须显式添加。引用[3]提到域控安装的复杂性，但用户已经完成部署，说明基础环境已就绪。 安全方面需要提醒：仅允许必要账户缓存，避免在RODC存储高权限账户。用户可能没意识到，如果adm1/adm2是域管理员，应该阻止而非允许复制，这点必须强调。 技术要点包括：使用Active Directory管理中心配置密码复制策略，或通过PowerShell命令Add-ADDSReadOnlyDomainControllerAccountPasswordReplicationPolicy。引用[5]的文档规范要求也值得注意，配置后需保存策略变更记录。 用户可能是系统管理员，但表述中未明确RODC是否已部署。如果云主机8是新建域控，需先通过dcpromo提升为RODC角色。这可能是隐藏依赖项，需要在回答中主动询问确认。</think>### 在云主机8上配置域控制器并设置密码复制策略 #### **步骤1：安装域控制器角色** 1. 以管理员身份登录云主机8（Windows Server） 2. 打开 **服务器管理器** → **添加角色和功能** 3. 选择 **基于角色或基于功能的安装** → 勾选 **Active Directory 域服务** 4. 完成安装后，运行 `dcpromo` 提升为域控制器（若为新域需创建新林，若为现有域选择 **将域控制器添加到现有域**） --- #### **步骤2：配置只读域控制器（RODC）** 若需将本服务器设为RODC（缓存组需RODC支持）： ```powershell Install-ADDSDomainController ` -DomainName "你的域名.com" ` -ReadOnlyReplica:$true ` -SiteName "Default-First-Site-Name" ` -InstallDns:$true ``` --- #### **步骤3：添加技术部账户到密码复制策略** 1. 打开 **Active Directory 用户和计算机** 2. 定位到技术部账户所在OU（如 `OU=技术部,DC=domain,DC=com`） 3. 右键目标RODC服务器（云主机8） → **属性** → **密码复制策略** 4. **添加** → 选择 **允许账户**： - 添加用户 `adm1` 和 `adm2` - 或添加技术部安全组（推荐批量管理） > **安全警告** > 仅允许必要账户缓存密码！若 `adm1/adm2` 是域管理员，**必须阻止复制**（高权限账户不应缓存在RODC）[^3][^5]。 --- #### **步骤4：验证密码复制** 1. 在RODC（云主机8）执行： ```powershell Get-ADDCCloningExcludedApplicationList ``` 2. 测试账户登录： - 客户端使用技术部账户登录 - 在RODC检查事件日志：**事件ID 3104**（密码成功缓存）[^3] --- #### **步骤5：防火墙与开机自启配置** 1. 允许域控制器通信： ```powershell New-NetFirewallRule -DisplayName "AD Replication" -Direction Inbound -Protocol TCP -LocalPort 389,636,3268,3269 -Action Allow ``` 2. 设置服务自启： ```powershell Set-Service "NTDS" -StartupType Automatic Set-Service "DFS Replication" -StartupType Automatic ``` --- ### 关键配置说明 | **配置项** | **作用** | **推荐值** | |---------------------|-----------------------------|--------------------------| | 密码复制策略 | 控制哪些账户密码可缓存在RODC | 仅非特权账户 | | RODC角色 | 提供只读域服务 | 必须启用 | | 防火墙端口 | 允许域认证和复制 | TCP 389/636/3268/3269 | | 会话超时 | 安全断开空闲连接 | 默认15分钟（可调） | > **注意**：引用[5]要求配置后保存文档，需执行 `Get-ADReplicationPasswordReplicationPolicy` 导出策略记录。 ---