Active Directory域服务概念
建立AD域
将Windows加入或者脱离域
管理AD域用户账户
管理AD域组账号
提升域与林的功能级别
AD回收站
删除AD域

AD域的概念

提供目录服务的组件就是AD域服务(Active Directory Domain Services,AD DS)
主要负责目录数据库的存储、新建、删除、修改、查询等工作。
AD域的适用范围非常广泛,可以用在一台计算机上,也可以用在一个小型局域网中,或者多个广域网中。

名称空间(namespace)

名称空间是一个界定好的区域,在此区域内,可以利用某个名称找到与此名称有关的信息。
AD域服务也是一个名称空间

对象(Object)与属性(Attribute)

对象是属性的集合
账户名:对象
姓名、登录账户等就是对象的属性

容器(Container)与组织单位(OU)

容器与对象相似,也有自己的名称,也是一些属性的集合,不过容器中可以包含其他对象(包括用户、计算机等对象),也可以包含其他容器。
组织单位是一个特殊的容器,其中除了可以包含其他对象和组织单位以外,还可以应用策略组功能。
AD DS以层次结构将对象、容器与组织单位等组合在一起,并将其存储到AD DS数据库中。

域树

可以搭建包含多个域的网络,而且是以域树的形式存在。
最上层一般是根域(root domain),根域下面是子域
在域树内所有的域共享一个AD DS(在此域树之下只有一个AD DS),不过其中数据都是分散存在各个域中的,每一个域只存隶属于该域的数据。
三、建立AD域 - 图1

信任

两个域之间必须拥有信任关系,才可以访问对方域内的资源。
任何一个新的AD DS域加入到域树之后,这个域就会自动信任其上层的父域,同时夫域也会自动信任新的子域。

森林

森林是由一个或者多个域树来组成的,每一个域树都有自己唯一的名称空间。

域控制器(domain controller)

AD域服务的目录数据都是存储在域控制器内的,一个域内可以由多个域控制器,每一台域控制器的地位几乎都是平等的,他们各自存储着一份相同的AD DS数据库,当任何一台域控制器内新建了一个用户后,该账户默认是被创建在此域控制器中,之后会自动复制到其他域控制器中的AD DS数据库中。
域控制器是由服务器级别的计算机来扮演的。

IP地址

共有地址(外网访问的地址)211.64.96.31
私有地址(内网访问的地址)
A类 10.0.0.0—10.255.255.255
B类 172.16.0.0—172.31.255.255
C类 192.168.0.0—192.168.255.255
自己改IP的时候,不要改192.168.*.1

建立AD域

建立网络中第一台域控制器

image.png
一直下一步到下图
image.png
检查计算机名称,检查ip地址
image.png
然后一直下一步,直到安装
image.png
image.png
静静等待…
image.png
image.png
image.png
image.pngimage.png
dns警告界面,不会由影响,可以不理会,直接单击下一步
image.png
这一步的NetBIO值可以改,但是不必要
image.png
SYSVOL:存储域共享文件
image.png
image.png

检查DNS服务器内的记录是否完整

域控制器会将自己所扮演的角色注册到DNS服务器中,以便让其他计算机能过通过DNS服务器来找到这台域控制器。

检查主机记录

image.pngimage.pngimage.png

为server2建立域控制器(server2一定不要克隆此时已经加入域的server1)

注意:server2的dns一定要改成server1的IP地址
准备工作:
image.png
注意,固定IP的dns改成server1的IP
image.png
image.pngimage.png
image.pngimage.pngimage.pngimage.pngimage.png
image.pngimage.png

win10加入bzu.com

第一步,更改win10为静态ip
image.png
第二部,打开此电脑,属性
image.pngimage.pngimage.pngimage.pngimage.pngimage.png
image.png
image.pngimage.pngimage.png
重启电脑
image.png
image.png
image.png

利用已加入域的用户登录计算机

用管理员的方式打开cmd

  1. net user # 列出当前操作系统内的所有用户
  2. net user 用户名 新密码 # 更改用户名的密码

image.png

脱离域

需要脱离域,因为Windows系统默认已经开启用户账户控制,所以如果没有权限执行脱离域的工作,系统会要求输入账户和密码。
可以找到我们加入域的步骤,点击更改,把隶属于更改为组(WORKGROUP)
如果是Windows server,我们打开服务器管理器,找到本地服务,点击右侧的域bzu.com,点击更改,点击工作组,最后,重启电脑即可。如果服务器是域控制器,那么需要先降级,然后再去更改。
image.pngimage.png

管理AD域用户账户

内置的AD管理工具

AD用户和计算机:08等系统中提供的管理工具
AD管理中心:08R2开始提供的新的管理工具
image.pngimage.png
服务器server1、server2在没升级前,在本地安全数据库内的账户会在升级之后转移到AD DS数据库中,放置到Users容器内
image.png
域控制器的计算机账户会被方法Domain Controller组织单位中
image.png
其他的计算机账户会默认加入到Computers容器内
image.png

其他成员计算机内的AD管理工具

如果win10想要安装ad管理工具,那么需要首先去下载一个Remote Server Administration Tools for Windows 10(win10的远程服务管理工具)https://www.microsoft.com/zh-CN/download/details.aspx?id=45520

建立组织单位(OU)和域用户账户

image.pngimage.pngimage.pngimage.pngimage.png
UPN:User Principal Name,用户可以使用这个邮箱格式的名称来登录域,当然,在整个林内,此名称必须是唯一的。
SamAccount:用户可以利用此名称来登录域bzu\zhangsan,bzu是NetBIOS域名,在一个域内,此登录名必须是唯一的。
防止意外删除:如果勾选此选项,那么这个账户不能被删除。
我们刚刚创建的域用户账户是来测试登录的,到域内的任何一台非域控制器的计算机上可以登录。

利用新用户账户登录域控制器

除了域Administrators等少数组内的成员,其他普通用户账户默认无法在域控制器上进行登录,除非另外开放。
赋予用户在域控制器登录的权限
image.pngimage.pngimage.pngimage.pngimage.png
可能不会立即生效,因为需要等待设置值被应用到域控制器中才会生效,当然也可以采用其他方法

  1. 将域控制器重启
  2. 等待域控自动应用新的策略设置,可能需要5分钟或者更久
  3. 手动应用:到域控制器上执行gpupdate或者gpupdate /force

    管理AD域组账户

    域组的分类:
  • 安全组
  • 通信组

可以互相转换
域内组范围:

  • 域本地组:分配所属域内的权限分配
  • 全局组:组织用户
  • 通用组:可以在所有域内被设置权限,以便访问所有域内的资源

    域组的创建域管理

    image.pngimage.pngimage.pngimage.pngimage.pngimage.pngimage.png

    提升域与林功能级别

    image.pngimage.pngimage.png
    AD LDS
    image.pngimage.png

    AD回收站

    一旦启动AD回收站,就无法再停用,域和林功能界别也都无法再被降级。
    image.png