域的简单了解


一、域的概述


   域是什么?域是一种内网的工作环境,我们平时一般用的工作环境都是工作组,在工作组内,所有人都是平等的,而域不同,在域环境里有老大(域控制器DC),老大可以控制域环境里其他主机的行为,这个环境的好处是可以实现集中管理、统一管理。

  那么既然叫做域了,是不是和域名有什么联系?没错,形成一个域之后,加入域的每一台主机都有域名,以后访问我们就用的域名访问,那么既然用到域名了,自然就会需要DNS,而域和DNS是搭档,一般在部署域环境的时候必须同时部署为DNS服务器,当创建域的时候给域添加名字,那么DNS服务器就会自动的给添加区域配置文件,安装完域之后,就会自动的创建一个A记录(例如DC.xx.com IP地址 xx.xx.xx.xx),当添加一个主机的时候,也是会自动的添加一个A记录,也就是说每一条解析记录都是自动完成的。


二、活动目录AD


  活动目录AD是域控制器中的一个数据库,里面存着各种信息,其中一个就是域账号,通过域账号就可以登录域中的每一台主机,那么来看一下这个原理是什么

 

  • 当用域账号登录xx1.yu.com的时候,不在像以前那样会弹出密码不正确,而是去询问域控制器DC
  • 域控制器DC收到信息后,就会去看活动目录AD
  • AD发现是域账号之后就会通知让xx1.com这台主机可以登录。

  那么,现在我们了解一下组策略(GPO),它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。那么组策略是怎么用的?

  • 当我们用域账号登录成功之后,他就会去询问DC有什么指示要求
  • DC就会查看AD下的GPO,如果有GPO,那么DC就会发GPO下发到xx1.yu.com这台主机,主机就会读取这个
  • 如果有限制,例如,要求所有人都用指定的桌面壁纸,那么它就会去下载去它指定的位置下载这个图片,设置成壁纸

三、域的搭建


   要想搭建域环境,安装域控制器就会生成域环境,而安装活动目录就可以生成域控制器,也就是说安装活动目录就可以搭建域环境,我们可以通过开始-运行-输入dcpromo命令进行安装,如图:

1、直接点击下一步

 

2、在给服务器配置IP地址的时候如果没有配置DNS,就会出现这个,意思就是将这个服务器也配置成DNS服务器,一般也会将DC也配置成DNS服务器

3、如果环境中没有林,那么就先创建一个林,林其实就是很多的域树组成的

4、起名字,可以随便起,但是林的名字会与林中第一个域树的名字一样

5、选择林功能级别,例如选择2003,那就说明以后林中建立域控制器的时候,它的版本不能低于2003

6、选择域功能级别,步骤4限制的是林,限制限制的是域

7、一直按下一步,会出现下图,路径不要改

8、设置活动目录的还原密码,之后就完成了,重启就可以了

9、安装完之后,可以看到下面的变化,此时的本地管理员提升为域管理员,它这个意思就是使用域账号登录

10、将主机加入域环境中,计算机右键属性-更改配置-计算机名-更改-域-输入账号密码即可,如图:

11、成功之后会弹出下图,重启计算机,就可以使用域账号登录了,如果想要某个人的域账号对它的主机完全控制,只需要把这个域账号加入到本地管理员组就可以,不能加到域管理员组:


 四、组策略


   组策略可以理解为公司的一些规定,控制用户可以或不能在计算机上做什么,通过组策略就可以修改计算机中的各种属性,如开始菜单,背面背景,网络参数等,组策略是在域中的,它的下发基于组织单元OU,组织单元OU的作用就是归类域的资源(域用户,域计算机,域组等)

  在应用组策略的时候回按照一定的顺序,这个顺序就是LSDOU

  • L:本地组策略,任何在本地计算机的设置
  • S:站点,任何与计算机所在的活动目录站点关联的组策略,这个一般用不到
  • D:域策略,任何与计算机所在Windows域关联的组策略
  • OU:任何与计算机或用户所在的活动目录组织单元(OU)关联的组策略

  如果发生了冲突,后应用的策略生效,例如:

  上级OU:桌面:a.jpg              运行:删除

  下级OU:桌面:不配置           运行:不删除

  那最后这个的配置为a.jpg,运行不删除,为什么是a.jpg而不是不配置,因为不配置它和a.jpg就不冲突了。

  如果需要到某一个组策略的时候的就停止了,就右键-强制就可以,下面的组策略它就不看了。例如:

   上级设置了强制

   上级OU:桌面:a.jpg              运行:删除

   下级OU:桌面:不配置           运行:不删除

   最终配置为a.jpg,删除

  如果不需要前面的组策略,直接到某一个组策略,那就在这个组策略的OU文件夹右键-阻止继承即可。例如:

   下级设置了阻止继承

   上级OU:桌面:a.jpg              运行:删除

   下级OU:桌面:不配置           运行:不删除

   最终配置为不配置,不删除

  如果同时出现强制和阻止继承,强制的优先级高。

  所以我们就可以知道,要应用组策略的话,得先创建组织单元OU,在AD用户和计算机里右键创建OU就可以,如图:

  创建OU之后,打开组策略管理,就可以看到相同的结构,右键创建组策略,然后对组策略右键编辑就可以了

posted @ 2020-12-03 13:02  菜鸟也有高飞的时候  阅读(1228)  评论(0编辑  收藏  举报