03：活动目录与域概述、创建AD域网络、加入域网络、域用户管理、OU与组策略、域组策略的应用 - CASE - 《网络运维与安全》

1 创建 AD 域网络
2 客户机加入域网络
3 添加域用户
- 3.1 问题
- 3.2 步骤
4 管理域用户
- 4.1 问题
- 4.2 步骤
5 域组策略的应用
- 5.1 问题
- 5.2 步骤
6 域组策略的应用规则
- 6.1 问题
- 6.2 步骤

Top

创建 AD 域网络
客户机加入域网络
添加域用户
管理域用户
域组策略的应用
域组策略的应用规则

1 创建 AD 域网络

1.1 问题

当企业办公网络的规模扩大到一定程度后，集中管理可以提高运行维护效率。可以基于 Windows Server 2016 系统搭建域控制器，将其他客户机加入到由此服务器集中管控逻辑范围（即 “域”）。

1）配置 Win2016 服务器网络环境

2）将一台 Win2016 服务器安装为域控制器

1.2 方案

使用 1 台 Windows 2016 虚拟机（192.168.10.100），将其安装为域控制器，用来组建名为 ntd.com 的活动目录域；另一台 Windows 10 虚拟机（192.168.10.10）作为域内的成员机 / 客户机，如图 - 1 所示。

CASE - 图1

图 - 1

1.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：将一台 Win2016 服务器安装为域控制器

1）确认网络环境和主机名

查看现有的主机名，如图 - 2 所示。

CASE - 图2

图 - 2

配置固定 IP 地址 192.168.10.100，将所使用的 DNS 服务器设为本机，如图 - 3 所示。

CASE - 图3

图 - 3

2）安装域控制器

以管理员 Administrator 登录，打开服务管理器 —> 管理添加角色和功能 —> 下一步 —> 选择基于角色或基于功能的安装 —> 下一步 —> 从服务器池中选择服务器 —> 下一步 —> 勾选 Active Directory 域服务，如图 - 4 所示。

CASE - 图4

图 - 4

3）在弹出的对话框中点击添加功能，如图 - 5 所示。

CASE - 图5

图 - 5

4）根据添加功能向导一直点击下一步，最后点击安装，如图 - 6 所示，安装完毕点击关闭。

CASE - 图6

图 - 6

5）在服务管理器中选择 AD DS, 右侧点击更多，如图 - 7 所示。

CASE - 图7

图 - 7

6）点击将此服务器提升为域控制器，如图 - 8 所示。

CASE - 图8

图 - 8

7）选择添加新林，输入域名 ntd.com, 点击下一步，如图 - 9 所示。

CASE - 图9

图 - 9

8）选择 “林功能级别”，可接受默认值，输入目录服务还原密码，如图 - 10 所示，单击 “下一步”。

CASE - 图10

图 - 10

9）根据 Active Directory 域服务配置向导，一直点击下一步，最后点击安装，如图 - 11 所示。

CASE - 图11

图 - 11

10）确认安装结果

重启 Windows 2016 服务器以后，登录界面默认变为域用户登录，如图 - 12 所示。原本地管理员 Administrator 升级为域管理员 NTD\Administrator，输入对应的登录口令即可进入域控制器。

CASE - 图12

图 - 12

右击桌面此电脑图标选择属性，查看工作环境，如图 - 13 所示。

CASE - 图13

图 - 13

2 客户机加入域网络

2.1 问题

1）配置 Win10 计算机网络环境

2）将另外一台 Win10 计算机加入此域

2.2 方案

使用 1 台 Windows 2016 虚拟机（192.168.10.100），将其安装为域控制器，用来组建名为 ntd.com 的活动目录域；另一台 Windows 10 虚拟机（192.168.10.10）作为域内的成员机 / 客户机，如图 - 14 所示。

CASE - 图14

图 - 14

2.3 步骤

实现此案例需要按照如下步骤进行。

步骤一：将另外一台 Win10 计算机加入此域

1）配置 Win10 主机固定 IP 地址 192.168.10.10，将 DNS 服务器设为域控制器，如图 - 15 所示。

CASE - 图15

图 - 15

2）测试网络连通性，如图 - 16 所示。

CASE - 图16

图 - 16

3）测试 DNS 解析，如图 - 17 所示。

CASE - 图17

图 - 17

4）修改计算机属性，加入 ntd.com 域

右击 “此电脑”—>“属性”—>“高级系统设置”—>“计算机名” 选项卡 —>“更改”，修改为 “隶属于” 域 ntd.com，如图 - 18 所示，单击“确定”。

CASE - 图18

图 - 18

5）在弹出的对话框中输入域用户帐户名，如图 - 19 所示，单击 “确定”。

CASE - 图19

图 - 19

若加域成功，会提示相应的欢迎的信息，如图 - 20 所示，之后根据提示重启计算机。

CASE - 图20

图 - 20

6）成功登入以后，右击 “此电脑”—>“属性”，可看查看 Win10 主机工作环境为域环境，如图 - 21 所示。

CASE - 图21

图 - 21

3 添加域用户

3.1 问题

默认情况下，使用域用户可以登录到 Windows 域中的任何一台计算机。而对于域控制器来说，针对域用户和组的集中管理是最基本的功能，将 Windows Server 2016 服务器升级为域控制器以后，实际上所有原来的本地用户都自动升级为域用户，“计算机管理”工具中不再提供对 “本地用户和组” 的管理。

1）创建普通域用户 user1

2）验证域用户帐户 user1 在客户端登录

3.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：创建域用户

1）若要管理域用户，可在服务管理器中单击 “工具”—>“Active Directory 用户和计算机”，如图 - 22 所示

CASE - 图22

图 - 22

2）打开 Active Directory 用户和计算机, 添加新用户，如图 - 23 所示。

CASE - 图23

图 - 23

3）添加域用户 user1, 如图 - 24 所示。

CASE - 图24

图 - 24

4）输入密码，如图 - 25 所示，点击下一步 —> 完成。

CASE - 图25

图 - 25

5）验证域用户帐户在客户端登录，如图 - 26 所示。

CASE - 图26

图 - 26

4 管理域用户

4.1 问题

配置域用户可以登录域的时间及可以登录到的计算机，相关说明如下。

1）创建普通域用户 user2 和 user3

2）user2 只能周一至周五的 8:00-18：00 可登录

3）user3 只能从客户机 PC1 登录域

4.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：创建域用户

1）服务管理器中单击 “工具”—>“Active Directory 用户和计算机”，创建用户 user2、user3, 结果如图 - 27 所示。

CASE - 图27

图 - 27

2）限制 user2 的登录时间

修改 user2 用户的属性，切换到 “账户” 选项卡，单击“登录时间”，如图 - 28 所示。

CASE - 图28

图 - 28

在 “登录时间” 设置中，拖动鼠标选定可登录的时间区域（蓝色方块），如图 - 29 所示，单击“确定”。

CASE - 图29

图 - 29

2）限制 user3 的登录地点（客户机）

修改 user3 用户的属性，切换到 “账户” 选项卡，单击“登录到”，在出现的对话框中添加允许登录的域成员客户机名称，如图 - 30 所示，单击“确定”。

CASE - 图30

图 - 30

3）user2、user3 登录测试

将域控制器和 Windows 10 客户机的时间修改为非授权时段（如 20:30），然后当 user2 尝试从 Windows 10 客户机登录时会失败，如图 - 31 所示。将时间改为授权时段（如 16:00），再次以 user2 登录成功。

CASE - 图31

图 - 31

4）在计算机名称不为 PC1 的域成员客户机上，尝试以 user3 用户登录时会失败，如图 - 32 所示。Windows 10 客户机计算机名为 PC1 的主机上重新以 user3 登录可成功。

CASE - 图32

图 - 32

5 域组策略的应用

5.1 问题

在 Windows 2016 域环境中，通过配置并应用域组策略，可作用于域内所有的用户和计算机，对统一办公网络环境、规范计算机使用非常方便，禁止加入域中所有计算机修改桌面背景。

1）编辑默认域组策略

2）阻止用户更改桌面背景

3）域用户登录验证更改桌面背景。

5.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：配置域组策略，统一桌面背景

1）通过 “服务管理器”—>“工具”—>“组策略管理”，展开“林”—>“域”—>“ntd.com”，右击“Default domain policy”—> 选择“编辑”，如图 - 33 所示。

CASE - 图33

图 - 33

2）在打开的域组策略编辑器中，展开 “用户配置”—>“策略”—>“管理模板”—>“控制面板”—>“个性化”，找到右侧的 “阻止更改桌面背景”，如图 - 34 所示，双击打开属性设置。

CASE - 图34

图 - 34

3）将对应属性设置中的 “未配置” 修改为 “已启用”，如图 - 35 所示，单击底部的“确定” 保存。

CASE - 图35

图 - 35

步骤二：在 Windows 10 客户机验证域组策略

在 Windows 10 客户机中，以普通域用户（如 user1）登录，右击桌面空白处 —>“个性化 “，会发现与桌面修改相关的设置变为灰色不可用状态，如图 - 36 所示。

CASE - 图36

图 - 36

6 域组策略的应用规则

6.1 问题

在 Windows 2016 域环境中，配置并应用域组策略，验证组策略应用规则，相关说明如下。

1）继承

2）阻止继承

3）强制继承

4）累加

6.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：策略的继承

案例 4 已配置默认域组策略禁止修改桌面背景，在 Windows 10 客户机中，以 “caiwu”OU 的用户 hdd 登录，右击桌面空白处 —>“个性化 “，会发现与桌面修改相关的设置变为灰色不可用状态，说明下级容器默认继承上级容器的策略，如图 - 37 所示。

CASE - 图37

图 - 37

步骤二：阻止继承组策略

1）打开组策略管理，右击 caiwu 选择阻止继承，如图 - 38 所示。

CASE - 图38

图 - 38

2）在 Windows 10 客户机中，以 “caiwu”OU 的用户 hdd 登录，右击桌面空白处 —>“个性化 “，会发现与桌面修改相关的设置变为可用状态，说明下级容器阻止继承生效，如图 - 39 所示。

CASE - 图39

图 - 39

步骤三：强制策略的继承

1）打开组策略管理，右击 “Default domain policy”—> 选择“强制”，如图 - 40 所示。

CASE - 图40

图 - 40

2）在 Windows 10 客户机中，以 “caiwu”OU 的用户 hdd 登录，右击桌面空白处 —>“个性化 “，会发现与桌面修改相关的设置变为灰色不可用状态，说明上级强制生效，如图 - 41 所示。

CASE - 图41

图 - 41

步骤四：策略的累加

1）取消 Default domain policy 的 “强制”，取消“caiwu”OU 的阻止继承，右击“caiwu”OU 选择“在这个域中创建 GPO 并在此处链接” 如图 - 42 所示。

CASE - 图42

图 - 42

2）输入名称 “禁止更改个人主页 “如图 - 43 所示。

CASE - 图43

图 - 43

3）右击禁止更改个人主页，选择编辑，如图 - 44 所示。

CASE - 图44

图 - 44

4）选择用户配置 —> 策略 —> 管理模板 —>Windows 组件 —>Internet Explorer—> 双击禁用更改主页设置，如图 - 45 所示。

CASE - 图45

5）选择已启用，主页输入http://www.tedu.com，如图 - 46 所示。

CASE - 图46

图 - 46

6）在 Windows 10 客户机中，以 “caiwu”OU 的用户 hdd 登录，右击桌面空白处 —>“个性化 “，会发现与桌面修改相关的设置变为灰色不可用状态，打开 Internet Explorer 浏览器自动访问网站 “http://www.tedu.com” 说明策略的累加，如图 - 47、图 - 48 所示。

CASE - 图47

图 - 47

CASE - 图48

图 - 48
https://tts.tmooc.cn/ttsPage/NTD/NTDTN202109/WINSEC/DAY03/CASE/01/index.html