Exchange 2016与国内版O365混合部署(2):搭建域环境
安装DC:
远程登录虚机后,打开server manager,选择“add roles and features ”,一直下一步:
到"server roles"这个环节,注意勾选AD DS和DNS两个选项,一直下一步,直到完成。
安装完成后,server manager的右上角会弹出一个警告:升级此服务器为域控,点击弹出的链接,选择添加新林,将根域名输入,下一步,设置相应的密码,直到完成。
完成后sever manager的左侧导航栏会列出AD DS 和 DNS 两个server的图标,点DNS manage 进入查看主机记录是否添加进来;
或者用【nslookup 域名】 命令查看是否能解析到对应的IP地址来确认。
在AD上创建组织单位,组,计算机和用户。
选择AD DS,右键打开【添加计算机和用户】,在此处创建用户。
组织单位可以根据地域来划分,比如可以把上海化为一个组织单位,在该组织单位下创建不同的部门,在不同的部门下创建不同的组和用户;再创建一个北京的组织单位也是如此;
组是用户和计算机帐户、联系人的集合,属于特定组的用户和计算机称为组成员。我们针对某个组进行授权时,该授权对组中的所有成员都有效。例如对某个组授予访问共享文件夹和打印机的权限,那么组中的成员都将拥用此权限。因此可以使用组简化管理,高效地管理域用户对域资源的访问。用户可以同时属于多个组,当属于多个组时,也就有了这多个组的权限。例如,当新的软件补丁包出现时,管理员可以在某个组织单位上创建组策略来给这个部门的用户部署这个软件。根据作用域,组有三类:
本地域组:它主要用来分配其所属域内的访问权限,以便可以访问该域内的资源。 其成员可以包含任何一个域内的用户、全局组、通用组;也可以包含相同域内的本地域组;但无法包含其它域内的本地域组。本地域组只能够访问该域内的资源,无法访问其它不同域内的资源;换句话说当你在设置权限时,只可以设置相同域内本地域组的权限,无法设置其它不同域内的域本地组的权限。
全局组:它主要用来组织用户,也就是你可以将多个即将被赋予相同权限(权利)的用户帐户,加入到同一个全局组内。全局群组内的成员,只可以包含相同域内的用户与全局组。全局组可以访问任何一个域内的资源,也就是说你可以在任何一个域内设置全局组的权限。
通用组:它可以在所有域内被分配访问权限,以便访问所有域内的资源。一般存在于林根域。
实际应用中需要根据权限的分配来合理设置不同的组和用户。实验中我们创建了北京和上海两个组织单位,一个IT安全组,Marketing安全组,以及两个用户li ming 和huang xin。
计算机加域。
这一步需要把之前创建好的第二个虚机加入域。
1,修改DNS指向域服务器,这里DNS Server 的地址改为在第一个虚机中DNS 记录里显示的IP地址。
2,将计算机加入域。在系统--高级设置处输入要加入的域名。
3, 使用域内的用户账户登录计算机。将之前创建的AD的域账户li ming添加进来。
设置可以远程登录,这样在rdp的时候,就可以选择用li ming这个用户账户远程登录计算机了。
以上完成了安装域控,创建用户,将计算机加域并将域内用户登录计算机的过程,下一步我们会在第一台虚机上安装并配置Exchange 2016,实现邮件的内外网收发。