11.域

1. 域

1.1 域概念

域 ---> Domain

域代表着计算机的一种环境，与内网环境相对应。

1.2 内网环境

内网环境实际上是分为两种，一种是工作组，一种是域

• 工作组：默认模式，人人平等 如果你想远程控制他的电脑，你要请求访问他，他允许后才可以。

• 域：人人不平等，集中管理，同一管理

1.3 域的特点

能够实现集中/同一管理

1.4 域的组成

• 域控制器：DC （Domain Controller）
• 成员机

1.5 域的部署:

1. 安装域控制器 -- 就生成了域环境

2. 安装了活动目录 -- 就生成了域控制器

3）活动目录 : Active Directory = AD

1.6 活动目录

1. AD

2）特点: 集中管理/统一管理

一张表，也可以叫做活动目录数据库

2. 安装win2008虚拟机

下载地址：http://www.winwin7.com/JC/Win7JC-3637.html

安装完成后：运行 ---》 icon ---》显示桌面隐藏图标

磁盘管理 c盘分配20G 不够就扩展 新建简单卷 E盘 20G

关闭防火墙 关机--》做快照

3. 部署安装活动目录（AD）

win2008安装服务是不需要从光盘中安装的，已经提前内置在镜像文件中了，其中叫做也不是服务了，是角色

意思是这台2008服务器可以充当的角色，比如DHCP服务角色，DNS服务角色。

3.1 详细步骤

1）开启2008虚拟机，并桥接到 vmnet0

2）配置静态IP地址10.1.1.1

3）开始-运行-输入dcpromo（可以安装AD也可以卸载AD） 安装活动目录。

弹出向导: 勾选DNS-新林中新建域-功能级别都设置为2003-域的FQDN （ qf.com) --设置目录服务还原模式密码

666.com-勾选安装后重启

4） 登录域qfadministrator DC的本地管理员自动升级为域管理

3.2 验证AD是否安装成功:

• 计算机右键属性 -- 所属域

  

• DNS服务器中是否自动创建qf.com区域文及自动注册DC的域名解析记录

  

• 开始 - 管理工具 - AD用户和计算机

  • compute r: 普通域成员机列表

  • Domain Controller : DC列表

  • users : 域账号

    

3.3 新建普通域用户

4. PC加入域

1. 配置IP，并指DNS

2. 计算机右键属性--更改--加入qf. com域

   

   然后使用DC的本地管理员登录 账号:qfadministrator 密码:123.com 或者用新创建的域用户登录

   

3. 重启加入域后，成功使用域用户登录成员机

   

5. 常见问题

5.1 加入域不成功

• 网络是不是不通
• 解析是否成功解析
• 是否为DNS缓存的问题

5.2 登录域不成功

• xp，已勾选登录域QF，不用再写qfxiaofei.com

5.3 域用户权限

建议将与用户加入到普通成员机的本地管理员组中，这样这个域用户就可以对这台电脑有完全控制的权限了。

6. OU（组织单位）

作用：用于归类域资源（域用户，域计算机，域组） 组的目的是赋权限，ou的目的是为了下发组策略 都是容器

是一个公司的组织架构 框架

6.1 OU实验

新建一个公司的OU即组织架构

• 千峰集团
  • 董事会
  • 市场部
  • IT部
    • 西北区
    • 东北区

并把资源（域用户和对应的域计算机）袁梦恩和村霸分别加入到IT部西北区，董事会

一般公司组织架构变动或者来了新员工都是这样操作的

详细步骤:

开始 ---> 管理工具 ---> Activity Directory 用户和计算机

7. 组策略

组策略 （Group Policy） = GP0

作用 : 通过组策略可以修改计算机的各种属性，如开始菜单、桌面背景、网络参数等。

7.1 组策略实验

为刚新建的千峰集团添加一个组策略，所有公司的电脑桌面壁纸都为a.jpg, 图片的来源可以在DC电脑上共享

详细步骤 :

开始 --> 管理工具 ---> 组策略管理

右下角 应用 ---> 确定 即可

一般对用户做的组策略注销再次登录就生效了 , 对计算机的话需要重启，一般公司都是在晚上下班之后做组策略

成功了，哈哈哈哈！

7.2 组策略用户应用顺序

重点 : 组策略在域中，是基于0U来下发的! !

组策略在域中下发后，用户的应用顺序是 : LSDOU

• L local 本地组策略
• S 这个是和站有关系的，一般遇不到
• D 域的策略
• OU 各级OU策略 OU是由高到低

在应用过程中，如果出现冲突，后应用的生效

正常情况下: LSDOU顺序

策略 --》 管理模板  --》 开始菜单和任务栏   桌面
上级OU : 桌面: aa  运行: 删除

下级0U : 桌面 : 未配置  运行 : 不删除

下级OU用户结果 : 桌面 : aa  运行 : 不删除

上级OU设置了强制(组策略生效顺序到这个就为止了,冲突了也是强制生效)

下级0U : 桌面 : 未配置  运行 : 删除

下级OU用户结果 : 桌面 : aa  运行 : 不删除

下级OU用户结果 : 桌面 : 未配置  运行 : 删除

下级OU设置了阻止继承(前面的顺序就没有了,只有当前OU的组策略)

下级0U : 桌面 : 未配置  运行 : 删除

下级OU用户结果 : 桌面 : aa  运行 : 不删除

下级OU用户结果 : 桌面 : 未配置  运行 : 不删除

当阻止继承和强制一起出现，最终强制生效

7.3 查看已启用的组策略

点击组策略那张表 ---> 设置 ---> 添加 ---> 添加 ---> 关闭

7.4 练习

• 设置全公司的电脑桌面墙纸都是a.jpg除了IT西北部的袁梦恩

  解决方案：在千峰集团的OU下创建一个GPO，并编辑对电脑墙纸进行启用 并在西北部新建组策略编辑把电脑墙纸改为禁用，这样后应用的就覆盖掉之前的应用了，但是其他电脑应用
  

• 在董事会部门设置GPO，并要求强制桌面背景, 并验证

• 在董事会部门上级的ou上设置GPO,也进行强制桌面背景，并验证

• 在董事会部门上级的ou上设置GPO,强制删除运行菜单，并验证

• 练习阻止继承，并验证

• 练习向下强制，并验证

• 实现董事会的计算机无须按ctrl+alt+delete