AD域（Active Directory）

管理方式

• 工作组（对等网）：分散式管理，每个计算机单独管理自己的资源和用户
• 域（客户机/服务器网）：集中式管理，在域中搭建一台域控制器（DC），由他来统一管理域下其他计算机。

架构方式

• 域控制器（DC）：负责统一管理，安装活动目录服务（Active Directory）
• 客户机（成员机）：被管理的机器

实验1. 安装域控制器

1. 设置本机IP和DNS
   

2. 添加角色
   

3. 下一步
   

4. 服务器角色
   

5.提升域控制器

6. 添加新林
   

7.设置密码

一直下一步，直到安装完成并重启
安装成功后会重启，重启后我们就需要用域的用户名登录

实验2. 在DC上新建用户

1. 创建组织单位
   

2. 新建用户
   

3. 填写用户信息
   

4.设置密码

5.结果

实验3. 将客户机加入到域中

1. 打开另外一台设置IP地址，要与DC服务器共处于同一个网段
   

2. 修改计算机名和添加到域中
   

3. 输入刚才在DC机设置的账号密码，之后重启即可。

实验4. 对单个域用户进行管理

1. 设置用户操作时间范围
   

2. 设置内容
   

3. 设置用户只能在哪一台客户机登陆
   

4. 设置详细内容
   

实验5. 对域用户进行批量管理

1. 不允许域用户访问客户机C盘（非脚本）
   服务器管理器-->组策略管理器-->域的默认策略-->编辑
   用户配置-->管理模板-->Windows组件-->文件资源管理器
   

2. 域用户在客户机上登录和注销显示提示框（脚本）
   本地创建两个文件，分别为登陆时显示和注销时显示

  msgbox "登陆显示"

  msgbox "注销显示"

注意：文件扩展名为.vbs

 服务器管理器-->组策略管理-->员工右键选择在这个域中创建GPO 
 右键GPO链接右键-->编辑
 用户配置-->Windows设置-->脚本
 点击登录-->显示文件-->创建脚本   添加-->浏览-->选择脚本

注意：一定要将vbs文件放入我们所浏览到的位置

gpedit.msc ---打开本机的组策略编辑器

实验6. 漫游（数据传输）

1. 在同一个域内，除DC机外，另外两台客户机登陆相同账号，可同步数据
   注销后，在登陆方可显示

使用步骤

1. 在DC上创建共享文件夹（不要设置在关键位置）
   

2. 解除禁用域用户guest
   

3.   文件夹右键-->共享-->设置共享权限完全控制
   
     文件夹右键-->安全-->安全权限guest完全控制
   

   

   

   

4. DC设置漫游路由
   域用户属性-->配置文件-->配置文件路径
   \DC的IP地址\共享文件夹名\用户名