域
域
1、Domain
2、内网环境
工作组:默认模式,人人平等,不方便管理
域:人人不平等,集中管理,统一管理
3、域的特点
集中/统一管理
4、域的组成
1)域控制器:DC(Domain Controller ),一般是服务器
2)成员机
当域控制器建立时,域就出现了。域有域名,一般用公司名。每台电脑都有自己的计算机名(包括DC),每个人都有自己的域名。域中有DNS服务器,建立区域配置文件,DNS不需单独创建,创域勾选就有,会自动生成域名的记录(加入域中自动生成)。DC中安装一张活动目录AD,这张表里建立域资源,活动目录里面的账号才是域账号。加入域的账号都会指向DNS。例子:域管理员使用成员机账号密码登录成员机,在成员机上输入账号密码,成员机知道DC的域名,成员机会找到DNS解析DC的地址,找到DC后从DC的活动目录查看是否有自己的账号密码,有的话就可以成功登录。
5、域的部署
1)安装域控制器 -- 就生成域环境
2)安装了活动目录 -- 就生成了域控制器
3)活动目录:Active Directory = AD
6、活动目录
1)AD
2)特点:集中/统一管理
7、组策略GPO
8、部署安装活动目录
1)开始 -- 运行 -- 输入dcpromo,安装活动目录 弹出向导: 勾选DNS -- 新林中新建域 -- 功能级别都设置为2003 -- 域的FQDN(yage.com) -- 设置目录服务还原密码 -- 勾选重启
2)登录域账号(yage.com/administrarot),DC的本地管理员升级为域管理员
3)验证AD是否安装成功
1-计算机右键属性--所属域
2-DNS服务器中是否自动创建yage.com区域文件
3-自动注册DC的域名解析记录
4-开始--管理工具--AD 用户和计算机
computer:普通域成员机列表
Domain Controller:DC列表
users:域帐号
PC加入域
1)配置IP,并DNS指向域服务器
2)计算机右键属性 -- 更改 -- 加入yage.com域
3)重启加入域后,成功使用用户登录成员机
9、常见小问题
1)加入域不成功 网络是不是不通(没桥接在同一台虚拟交换机上,网络号不一致)!DNS解析是否能解析成功!是否为DNS缓存问题!
2)登录域不成功 如xp,已勾选登录域long,不用再写long\账号
3)域用户的权限 建议将域用户加入到普通成员机的本地管理员组中
***本地管理员组***:administrators
***域管理员组***:Domain Admins
10、OU:组织单元
域中OU指的是组织单位(Organizational Unit),组织单元是可以将用户、组、计算机和其它组织单位放入其中的AD(Active Directory,活动目录)容器,是可以指派组策略设置或委派管理权限的最小作用域或单元 。性质是最小作用域或单元 。
作用:用来归类域资源(域用户、与计算机、域组)
AD 用户和计算机 -- 域名右键 -- 新建 -- 组织单位(按组织架构来建)-- 把电脑和用户移动到相应组织单位 (电脑和用户是两种资源)
组和组织单元都是容器,不同的是组是为给用户赋权限,组织单元是为了下发组策略。
11、组策略:Group Policy = GPO
作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。
重点:组策略在域中,是基于OU来下发的!!如统一改壁纸,使用路径需网络路径,例:\\10.1.1.1\share\a.jpg,共享文件夹需给相应权限才可下发。
打开组策略管理 -- 对着相应组织架构右键 -- 在这个域中创建GPO(建议名字和组织单位一样)-- 右键编辑
LSDOU(策略优先级)
L 应用本地组策略
S 应用站点组策略
D 应用域的组策略
OU 应用OU组策略
在应用过程中,如果出现冲突,后应用的生效
组策略的阻止继承及强制!
组策略右键强制 -- 强制对下级OU组策略生效(强制最大)
组织单元右键阻止继承 -- 上级所有OU不再有影响
=====================================================================================
部署域(使用win-server-2008、winxp和win7做实验)
计算机图标右键管理,角色中添加角色,可以看到服务器角色中提供了17中可用服务,这里装效果不好
将2008的网络适配器桥接到vmnet2上,给2008配置静态ip地址,网络图标右键属性,找到更改适配器设置,本地连接右键属性,取消ipv6,双击ipv4。DNS暂时不用配,加域的时候会自动配 。
2008中win+r输入dcpromo安装域服务(再次输入这条命令可以卸载域服务)
向导出来以后点下一步,点下一步,勾选在本计算机上安装DNS服务器,点下一步
勾选在新林中新建域
建立域的名称,点下一步
选择林功能级别(其他域控制器级别要大于等于这个级别)
设置域功能级别
点下一步,下一步,弹出的框点击是
文件路径不需要改(这里的数据库文件夹就是活动目录路径),点下一步
设置活动目录还原密码
域的信息显示,下一步,等待安装完成
密码还是之前的密码,本地管理员账号升级为域管理员账号
计算机右键属性可以看到已加入域
开始--管理工具--DNS,可以看到DC自动注册了,以后有其他成员机加入域也会自动添加信息。
开始--管理工具--Active Directory 用户和计算机,查看活动目录,users中domain admins是域管理员组
将xp加入到这个域中,桥接到vmnet2,配置ip地址和dns(这个dns指到dc上的那台dns服务器)
xp上我的电脑右键属性找到计算名,点击下面的更改,勾选域,并添写域名
使用域管理员账号登录,显示欢迎加入
win7中和xp同样操作
2008中新建两个账户给xp和win7用,活动目录的users右键新建用户
填写用户信息,并设置密码,点下一步完成。
使用xp登录刚新建的域用户,登录成功
win7同样操作
为了方便7.win操作方便,在成员机上给7.win赋予本地管理员权限。使用dc域管理员账号登录成员机,计算机图标右键管理,找到本地用户和组,点击Administrators组,点击添加确定。
这个时候7.win域成员账号对这台win7成员机有完全控制权限。
=====================================================================================
2008上新建组织单位和组策略
2008打开活动目录,开始--管理工具--Active Directory 用户和计算机,域名右键新建,点击组织单位
给组织单位取个名字,勾选防止容器被意外删除,在这个组织单位下再加两个组织单位。在Users中将winxp移动到人事部,win7移动到财务部,并将对应的计算机资源加入到对应的组织单元。
给win7加条组策略,更改桌面上的壁纸
2008开始--管理工具--组策略管理,选中财务部这个ou右键在这个域中创建GPO,取一个策略名称。选中这个策略右键编辑
在用户配置下的策略下的管理模板下的桌面,点开右边的Active Desktop,选中桌面壁纸双击打开
在2008上创建一个共享文件夹,里面放一张桌面壁纸。文件夹右键属性,选中共享菜单中的高级共享,取个共享名,设置权限中添加domain users赋予完全控制权限,安全中NTFS权限加个domain users组给读取权限
回到打开桌面墙纸那一步,选中已启用,添加刚共享的那张图片路径,使用网络路径
win7登录查看是否生效,虚拟机中生效很慢,win7多注销登录两下就可以显示了
=====================================================================================
