11、Windows域
Windows域
一、域的基本概念
域(Domain):一种网络环境。
网络环境:
1、域环境:不平等环境,角色有等级之分,更方便集中管理、统一管理。
2、工作组环境:默认模式,人人平等。缺点:不方便管理。
域的特点:集中管理、统一管理。
域的成员组成:
1、域控制器DC(Domain Controller):AD活动目录、组策略GPO
2、成员机
域名:整个域环境的名字(例如:qq.com)。
主机名:域中的主机名(例如:zjc.qq.com),主机可以被分配到不同的OU中。
OU(组织单位):OU是组策略的下发单位,域也是OU,是最大的OU。
二、组策略
组策略:Group Policy == GPO,可以对AD活动目录中的不同部门设置不同的GPO组策略,实现不同的控制。
下发组策略:使用组策略管理的模块进行设置。
组策略生效的顺序:L(本地)S(站点/林)D(域)OU(组织架构)
强制组策略:使下级组织架构OU的组策略不生效(DC不下发下级组单位的组策略)。(右键策略 -》 强制)
阻止继承:不继承上级的组策略,只生效自己OU设置的组策略。()(右键组织架构文件夹 -》 组织继承)
让一个用户不受任何策略的影响:设置该用户的组织单位策略强制,然后在强制策略的权限中将该用户添加,然后设置高级设置让此用户拒绝所有权限。
三、域的部署
要想部署域环境 —》 首先需要一台域控制器DC
要想安装一台DC –》 需要安装“AD活动目录” 和 “DNS服务器”
活动目录:Active Directory == AD, DNS在域中的作用:定位寻址主机。
实验环境:Win2008域控制、XP域用户、win7域用户
1、还原快照,开启2008虚拟机,桥接vmnet1,配置静态地址10.1.1.2/24(禁用ipv6!重开网卡清除ipv6缓存!)修改计算机名为DC1!
2、活动目录的安装向导:开始 -》 运行 -》 dcpromo -》 弹出向导 -》
选择向导中安装DNS服务器(方便正确关联,为了提醒自动安装DNS服务器,不要配置DNS地址)-》
林的概念(域(业务)、域树(加入业务分公司,形成域树)、森林(多个业务树))整个林中最牛逼的是第一个DC服务器 ,创建新林 -》
设置林根域的FQDN(完全限定域名) zjccorp.com -》
林功能级别,设置整个森林DC服务器的能力等级(服务器版本),所以其他域树一定不能低于这个服务器版本 (建议选2003) -》
域功能级别,设置该域的DC服务器的能力等级(服务器版本),所以该域中如果出现其他DC服务器,一定不能低于这个服务器版本(建议选择2003) -》
AD数据库、日志文件、策略文件的存储位置(默认)-》
设置一个目录还原模式的账户密码(123.com) -》
安装,勾选完成后重新启动
3、重启后登录DC:发现本地管理员Administrator已经升级成为域管理员 ==二级域名\用户名、本地来宾guest升级为域来宾账号。本地用户都移动到AD活动目录中去了。
4、验证DC是否部署成功:查看计算机名是否修改为 计算机名.二级域名.com,并且新增了域字段: zjccorp.com。
5、查看管理工具,新增了DNS、ACtive DIrectory*等。验证DNS是否部署成功。
6、打开Active Directory用户和计算机 ,验证是否可以打开、是否报错。发现Users中找到了我们原来的本地账户(已升级为域用户)。Domain Admins组、Domain Users(默认域用户都在这)组。computers用户计算机、Domain Controllers域控制器。
7、员工机器加入域,测试域是否部署成功:
将客户机Xp加入域:还原快照、桥接vmnet1、配置IP10.1.1.1/24、DNS服务、修改主机名
更改工作组到域:计算机管理 -》 更改工作组 -》隶属于域 zjccorp.com,输入域管理账户密码zjccorp.com\administrator ; 123.com。
8、服务器验证员工是否成功加入域:DCDomain Controller验证computer组是否加入客户机,看DNS是否存在客户机。
9、域控制器给员工创建域账号:一般用户登录名叫jiacheng.zhong,美式标记法。密码要符合复杂性要求123.com。查看users中,新增了域账户,隶属domain users组
10、员工登陆测试:选项 -》 选择本机工作组还是域 -》输入账号密码,成功登录
11、使用win7用户测试创建域用户以及登录一次
12、下发组策略是以部门为单位,所以要创建组织架构(OU):
域 右键 -》 新建组织单位 -》 设置名称:天融信集团 ;
新建天融信集团的子组织单位: 右键天融信集团 -》 新建组织架构
。。。。。。
组织中加入成员: 在 Users中选择用户 右键 -》 所有任务 -》 移动
13、创建组策略: 组策略管理 -》 右键OC -》 创建GPO,或者在已有的组策略对象中选择组策略链接
14、编辑组策略:对准策略右键编辑 -》 用户配置 (策略就近原则),使用服务器资源要启动共享,并设置NTFS权限!
实验结果总结:主机要想在DNS服务器上注册,必须要配置DNS服务器!可以用员工账号去加入域。活动目录中的计算机名是主机的计算机名,DNS中的主机名也是计算机名。