目录
域控制器的搭建(安装AD)
设置好静态IP
安装域服务
配置域控制器
设置恢复密码
安装完成后自动重启
客户机加入域
DNS必须能够解析要加入的域
加域推荐人(任意域用户都可以)
域控制器中验证
客户端登录域环境
域用户的管理
添加域用户
显示名一样的用户在一个容器里必须唯一
登录名在所有容器里必须唯一
限定域账号登录时间(以DC时间为准)
限定域账号登录到
默认情况下域普通账户可以登录到域中的任意一台计算机
OU
组织单位, AD中的容器, 可以存放用户、组、计算机和其他OU,
OU(组织单位)的管理
新建OU
删除受保护的OU
OU的设计方式
- 基于部门(按部门名称创建OU)
- 基于地理位置
- 基于对象(OU里只放用户或只放计算机)
- 基于混合(OU里包含其他OU)
组策略
一组策略的集合, 用来统一修改系统、设置程序(设置桌面环境, 安全设置, 自动执行脚本, 软件分发)
组策略优点
- 减少管理成本(只需设置一次, 相应的计算机或用户即可应用)
- 减少用户单独配置错误的可能性
- 可以针对特定对象设置特定的策略
GPO
组策略对象, 存储组策略的所有配置信息, AD中的一个特殊对象
默认GPO
- 针对域中所有成员(默认域策略)
禁止域中所有用户改变桌面背景
客户端验证
- 针对DC(默认域控制器策略)
GPO链接
只能链接到站点、域、OU
GPO应用顺序
LSDOU(Location Site Domain OU)
当组策略冲突时根据LSDOU优先级, 越排后面的优先级越高(OU和子OU冲突, 子OU生效)
域组策略设置主页http://www.google.com, Accounting OU组策略设置主页http://www.demo.com, 最终生效主页
组策略应用规则
-
OU继承与阻止继承组策略
-
阻止继承
-
强制继承(子无法阻止继承)
-
-
默认OU继承组策略
在OU上创建GPO(设置个人主页)
多个GPO在不冲突的情况下累加(禁止更改桌面背景和设置个人主页)
筛选策略
在受影响的GPO上编辑, 让OU中的个别用户不受组策略影响