Top

NTD WINSRV DAY05

1. 案例1：创建AD域网络
2. 案例2：添加域用户
3. 案例3：管理域用户
4. 案例4：域组策略的应用

1 案例1：创建AD域网络

1.1 问题

当企业办公网络的规模扩大到一定程度后，集中管理可以提高运行维护效率。可以基于Windows Server 2016系统搭建域控制器，将其他客户机加入到由此服务器集中管控逻辑范围（即“域”） 。

1. 将一台Win2016服务器安装为域控制器

2. 将另外一台Win10计算机加入此域

   1.2 方案

   使用1台Windows 2016虚拟机（192.168.10.10），将其安装为域控制器，用来组建名为ntd.com的活动目录域；另一台Windows 10虚拟机（192.168.10.10）作为域内的成员机/客户机，如图-1所示。
   
   图-1

   1.3 步骤

   实现此案例需要按照如下步骤进行。
   步骤一：将一台Win2016服务器安装为域控制器
   1）确认网络环境和主机名
   查看现有的主机名，如图-2所示。
   
   图-2
   配置固定IP地址192.168.10.100，将所使用的DNS服务器设为本机，如图-3所示。
   
   图-3
   2）安装域控制器
   以管理员Administrator登录，打开服务管理器—>管理添加角色和功能—>下一步—>选择基于角色或基于功能的安装—>下一步—>从服务器池中选择服务器—>下一步—>勾选Active Directory域服务，如图-4所示。
   
   图-4
   3）在弹出的对话框中点击添加功能，如图-5所示。
   
   图-5
   4）根据添加功能向导一直点击下一步，最后点击安装，如图-6所示，安装完毕点击关闭。
   
   图-6
   5）在服务管理器中选择AD DS,右测点击更多，如图-7所示。
   
   图-7
   6）点击将此服务器提升为域控制器，如图-8所示。
   
   图-8
   7）选择添加新林，输入域名ntd.com,点击下一步，如图-9所示。
   
   图-9
   8）选择“林功能级别”，可接受默认值，输入目录服务还原密码，如图-10所示，单击“下一步”。
   
   图-10
   9）根据Active Directory域服务配置向导，一直点击下一步，最后点击安装，如图-11所示。
   
   图-11
   10）确认安装结果
   重启Windows 2016服务器以后，登录界面默认变为域用户登录，如图-12所示。原本地管理员Administrator升级为域管理员NTD\Administrator，输入对应的登录口令即可进入域控制器。
   
   图-12
   11)右击桌面此电脑图标选择属性，查看工作环境，如图-13所示。
   
   图-13
   步骤二：将另外一台Win10计算机加入此域
   1）配置Win10主机固定IP地址192.168.10.10，将DNS服务器设为域控制器，如图-14所示。
   
   图-14
   2）测试网络连通性，如图-15所示。
   
   图-15
   3）测试DNS解析，如图-16所示。
   
   图-16
   4）修改计算机属性，加入ntd.com域
   右击“此电脑”—>“属性”—>“高级系统设置”—>“计算机名”选项卡—>“更改”，修改为“隶属于”域ntd.com，如图-17所示，单击“确定”。
   
   图-17
   5）在弹出的对话框中输入域用户帐户名，如图-28所示，单击“确定”。
   
   图-18
   若加域成功，会提示相应的欢迎的信息，如图-19所示，之后根据提示重启计算机。
   
   图-19
   6）成功登入以后，右击“此电脑”—>“属性”，可看查看Win10主机工作环境为域环境，如图-20所示。
   
   图-20
   

   2 案例2：添加域用户

   2.1 问题

   默认情况下，使用域用户可以登录到Windows域中的任何一台计算机。而对于域控制器来说，针对域用户和组的集中管理是最基本的功能，将Windows Server 2016服务器升级为域控制器以后，实际上所有原来的本地用户都自动升级为域用户，“计算机管理”工具中不再提供对“本地用户和组”的管理。

3. 创建普通域用户user1

4. 验证域用户帐户user1在客户端登录

   2.2 步骤

   实现此案例需要按照如下步骤进行。
   步骤一：创建域用户
   1）若要管理域用户，可在服务管理器中单击“工具”—>“Active Directory用户和计算机”，如图-21所示
   
   图-21
   2）打开Active Directory用户和计算机,添加新用户，如图-22所示。
   
   图-22
   3）添加域用户user1,如图-23所示。
   
   图-23
   4）输入密码，如图-24所示，点击下一步—>完成。
   
   图-24
   5）验证域用户帐户在客户端登录，如图-25所示。
   
   图-25
   

   3 案例3：管理域用户

   3.1 问题

   配置域用户可以登录域的时间及可以登录到的计算机，相关说明如下。

5. 创建普通域用户user2和user3

6. user2只能周一至周五的08:00-18：00可登录

7. user3只能从客户机PC1登录域

   3.2 步骤

   实现此案例需要按照如下步骤进行。
   步骤一：创建域用户
   1）服务管理器中单击“工具”—>“Active Directory用户和计算机”，创建用户user2、user3, 结果如图-26所示。
   
   图-26
   2）限制user2的登录时间
   修改user2用户的属性，切换到“账户”选项卡，单击“登录时间”，如图-27所示。
   
   图-27
   在“登录时间”设置中，拖动鼠标选定可登录的时间区域（蓝色方块），如图-28所示，单击“确定”。
   
   图-28
   2）限制user3的登录地点（客户机）
   修改user3用户的属性，切换到“账户”选项卡，单击“登录到”，在出现的对话框中添加允许登录的域成员客户机名称，如图-29所示，单击“确定”。
   
   图-29
   3）user2、user3登录测试
   将域控制器和Windows 10客户机的时间修改为非授权时段（如20:30），然后当user2尝试从Windows 10客户机登录时会失败，如图-30所示。将时间改为授权时段（如16:00），再次以user2登录成功。
   
   图-30
   4）在计算机名称不为PC1的域成员客户机上，尝试以user3用户登录时会失败，如图-31所示。Windows 10客户机计算机名为PC1的主机上重新以user3登录可成功。
   
   图-31
   

   4 案例4：域组策略的应用

   4.1 问题

   在Windows 2016域环境中，通过配置并应用域组策略，可作用于域内所有的用户和计算机，对统一办公网络环境、规范计算机使用非常方便，禁止加入域中所有计算机修改桌面背景。

8. 编辑默认域组策略

9. 阻止用户更改桌面背景
10. 域用户登录验证更改桌面背景。

    4.2 步骤

    实现此案例需要按照如下步骤进行。
    步骤一：配置域组策略，统一桌面背景
    通过“服务管理器”—>“工具”—>“组策略管理”，展开“林”—>“域”—>“ntd.com”，右击“Default domain policy”—>选择“编辑”，如图-32所示。
    
    图-32
    在打开的域组策略编辑器中，展开“用户配置”—>“策略”—>“管理模板”—>“控制面板”—>“个性化”，找到右侧的“阻止更改桌面背景”，如图-33所示，双击打开属性设置。
    
    图-33
    将对应属性设置中的“未配置”修改为“已启用”，如图-34所示，单击底部的“确定”保存。
    
    图-34
    步骤二：在Windows 10客户机验证域组策略
    在Windows 10客户机中，以普通域用户（如user1）登录，右击桌面空白处—>“个性化“，会发现与桌面修改相关的设置变为灰色不可用状态，如图-35所示。
    
    图-35