目录
1.介绍域(Domain)
内网环境:
(1)工作组:默认模式,人人平等,不方面公司管理
(2)域:人人不平等,集中管理,统一管理
(3)本地管理员组:administrators
(4)域管理员组:Domain Admins
域的特点:
集中/统一管理(在内网中公司所有成员都可以登入公司所有的电脑,但权限有限,域管理员权限最大,可控制公司所有的电脑)
域的组成:
(1)域控制器: DC(Domain Controller)
(2)成员机
活动目录(ActiveDirectory):
(1)作用:储存公司总资源
(2)特点:集中管理/统一管理
域的部署:
安装活动目录(AD)
(1)安装域控制器--就生成了域环境
(2)安装了活动目录--就生成了域控制器
(3)成员机名:主机名+域名
组策略GPO:
作用:为域用户设定策略,通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。
重点:组策略在域中,是基于OU来下发的!!
组策略在域中下发后,用户的应用顺序是:L -> S -> D -> OU(L:本地组策略,S:工作站组策略,D:域组策略,OU:OU组策略),在应用过程中,如果出现冲突,后应用的生效!
域工作过程:
域树与域林:
2.搭建域环境(Domain)
以windows2008为例
(1)安装部署活动目录:
1)开启2008虚拟机,并桥接到vmnet2
2)配置静态IP地址10.1.1.1/24
3)开始-运行-输入dcpromo,安装活动目录。
弹出向导:
勾选DNS-新林中新建域-功能级别都设置为2003-域的FQDN(zhusheng.com)
设置目录服务还原密码123.com-勾选安装后重启
4)在DC上登录域zhushengadministrator
DC的本地管理员升级为域管理员
5)验证AD是否安装成功:
1-计算机右键属性-所属域
2-DNS服务器中是否自动创建zhusheng.com区域文件及主机
3-自动注册DC的域名解析记录
4-开始-管理工具-A D 用户和计算机
computer:普通域成员机列表
Domain Controller:DC列表
users:域账号
(2)将PC加入域:
1)配置IP,并指定DNS
2.计算机右键属性--更改--加入zhusheng.com域
3.重启加入域后,成功使用域用户登录成员机
(3)新建域用户
将域用户加入成员机的本地管理员组
(4)常见小问题
1)加入域不成功
网络是不是不通!
解析是否能成功解析!
是否为DNS缓存问题
2)登入域不成功
如XP,已勾选登录域QF,不用再写zhushengsi.li
3)域用户的权限
建议将域用户加入到普通成员机的本地管理员组中
(5)OU:组织单位
作用:用于归类域资源(域用户、域计算机、域组)
1)新建OU
(6)组策略:Group Policy = GPO
为OU新建组策略:
1)在管理工具中打开组策略管理
2)新建组策略
3)设定组策略-例1
4)制作共享文件夹,共享文件
5)将共享文件写入组策略中
6)查看OU中的所有组策略
7)强制-组策略
8)阻止继承
9)设定组策略-例2
10)组策略执行情况:
****正常情况下:L -> S -> D -> OU顺序
上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU用户结果:桌面:aa 运行:不删除
****下级OU设置了阻止继承:
上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU用户结果: 桌面:未配置 运行:不删除
****上级设置了强制:
上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU的用户结果: 桌面:aa 运行:删除
注意:当上级强制和下级阻止继承同时设置,强制生效!
GPO练习:
1.在董事会部门设置GPO,并要求强制桌面背景,并验证
2.在董事会部门上级的ou上设置GPO,也进行强制桌面背景,并验证
3.在董事会部门上级的ou上设置GPO,强制删除运行菜单,并验证
4.练习阻止继承,并验证
5.练习向下强制,并验证
6.实现董事会的计算机无须按ctrl+alt+delete,并验证