1、内网环境
- 工作组:默认模式,人人平等,不方便管理。
-
2、域的组成:
域控制器:DC(Domain Controller),一台域控制器同时也是DNS服务器;DC上包含活动目录(Active Directory,AD),活动目录包含了域中所有的对象(用户,计算机,组…);还包含组策略GPO。
-
3、域的部署
安装域控制器就生成了域环境;
- 安装了活动目录就生成了域控制器;
-
4、部署安装活动目录AD
活动目录特点:集中管理/统一管理
开启2008虚拟机,并桥接到VMnet2;
- 配置静态IP地址10.1.1.1/24;
- 安装AD:开始——运行——输入dcpromo,弹出向导,无需使用高级模式安装
勾选DNS
在新林中新建域
输入域的FQDN
功能级别可以都给定Windows Server 2003,意味着林中、域中的用户机都要求Windows Server 2003以上版本
设置AD还原密码
下一步之后安装,重启。
5、验证是否成功安装活动目录AD
登录域FX/Administrator,DC的本地管理员升级为域管理员
验证AD是否安装成功,:
1、计算机右击属性——所属组
2、DNS服务器中是否自动创建fx.com区域文件
3、自动注册DC的域名解析记录
4、开始——管理工具——AD用户和计算机
computer:普通域成员机列表(计算机名)
users:域账号(登录用户名)
6、加入域
- 配置IP,与DC在同一网段中,将DC的IP地址作为DNS服务器地址,同时取消勾选ipv6。
- 在XP电脑中,我的电脑右击属性,找到计算机名选项卡,点击更改,将隶属于改为域,域名填写fx.com,点击确定后重启。
- 在Win7电脑中,我的电脑右击属性,找到更改设置,找到计算机名选项卡,点击更改,将隶属于改为域,域名填写fx.com,点击确定后重启。
- 在DC中新建域用户,在user中右击新建用户,输入姓、名、登录名、密码,
创建成功后,在DC中刷新后能看到新加入的两个成员
- 成员机加入域
在相应的系统中使用域用户名和密码登录,当前的登录用户就是DC中创建的域用户名。
7、常见问题
- 加入域不成功
网络是否通;解析是否能成功解析;是否为DNS缓存问题
- 登录域不成功
XP已勾选登录域,则不用写域\用户名,直接写用户名即可
- 域用户的权限
建议将域用户加入到普通成员及的本地管理员组中
PS: 本地管理员组:Adminidtrators
域管理员组:Domain Admins
8、组织单位OU(Organization Unit)
作用:用于归类域资源(域用户,域计算机,域组)
建好组织单位后,把新建的用户移动到组织单位中
同时将用户的计算机也移动到同一个组织单位中(对计算机的限制和对用户的限制是不同的)
PS:公司新进员工的操作:在DC中新建域用户,将该用户的计算机加入域,将域用户和资源(该用户计算机)移动到相应的部门中,同时在该用户计算机上,将域用户加入管理员组,最后告知新员工其账号密码。
9、组策略GPO(Group Policy)
作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。
组策略在域中,是基于OU下发的。
首先在本地新建共享文件夹,右击属性-共享选项卡-高级共享设置,勾选共享此文件夹,在权限中Everyone设置完全控制,同时添加对象名称为Domain Users也给定完全控制权限
回到共享文件夹的属性页,在安全选项卡中,编辑组或用户名,也添加Domain Users,权限(读取执行、列出内容、读取)按照默认,设置好后在该文件夹下放置符合格式要求的图片文件
回到策略编辑器中,在桌面墙纸中路径给定网络路径(不是本地路径D:\share)
域的组策略在OU中下发后,域用户的应用顺序是LSDOU
L:本地Local
S:站点Site
D:域Domain
OU:组织单位Organization Unit
在应用过程中,如果出现冲突,后应用的生效
上级OU可以对下级OU采取强制,该组织单位里都会使用上级OU的组策略
下级OU可以对上级OU取消继承,则下级OU是单独的一个组策略,不会收到上级OU的影响
当上级OU强制和下级OU阻止继承同时设置,强制生效。
在计算机室配置桌面组策略,测试域和组织单位的组策略应用顺序效果,结果为计算机室(XP系统)设置的组策略为最后应用的,而综合管理室(Win7系统)还是应用的域的设置。
可以对计算机的启动和关机、用户的登录和注销设置自动执行的脚本(将脚本编写好复制在脚本路径下“添加-脚本名-浏览”)
可以对计算机设置密码策略
若有收获,就点个赞吧
0 人点赞
