一、域定义
1.域(Domain)
由一台DC组成,域中主机名为域名,每台主机都有一个域名,必须有一台DNS服务器,去解析域名,域控制器也是DNS服务器,会自动在DNS服务器中创建记录,DC上有一张表活动目录,AD,存放在公共资源,在活动目录中创建的账户是域账户,域的核心是活动目录AD,加入域后,必须使用域账号
1)工作组: 默认模式 ,人人平等,不方管理
2)域: 为了方便统一(集中)管理,人人不平等
3.域的特点:
集中/统一管理
4.域的组成
1)域控制器:(DC Domain Controller)
2)成员机
5.域的部署:
1)安装域控制器, 就生成了域环境
2)安装了活动目录, 就生成了域控制器
3)活动目录: Active Directory =AD
二、活动目录
就比如一个数据库,里面存储了域用户信息
1)特点: 集中管理/统一管理
三、组策略(GPO)
四、部署安装活动目录
1).开启 2008虚拟机,并桥接到vmnet2
2) 配置静态IP,如(10.1.1.1/24)
(右击"网络",点击"属性",右击"本地连接",点击"属性",配置静态IP,不设置"默认网关")
3)重新设置
3).安装活动目录
(开始--运行----输入dcpromo(安装/卸载活动目录),全程点击"下一步")
1.当遇到"域服务安装向导"时,勾选"通过在此计算机........."
2.遇到 "选择林配置"时,选择"在新林中新建域"
3.输入林的名称(第一个域的名称),
4.设置林功能级别,勾选"2003或2008"即可.
在林中,以后出现多台域控制器时,那些域控制器的操作系统版本不能低于所选择的版本
5.设置域功能级别,勾选"2003或2008"
在树中,子域不能高于所设置的版本级别
6.点击下一步
7.出现报错"无法....",点击"是"
8.选择路径,不修改,点击下一步
9.设置活动目录还原密码,当需要还原时,输入的账户,不太重要随意输入.
10)当出现报错时,依然点击"是"(正常现象).
五、登录域
当设置好活动目录,重新登录时,之前的本地管理员升级为域管理员,计算机将变成DC,不再显示工作组,而是域。
(右击计算机,“属性”,查看计算机为“xxxx.域名“)
(也可查看,计算机已经自动安装DNS服务器,并添加了本机正向查找记录)
(查看活动目录(AD),开始---管理工具---查看"ACtive.....用户和计算机")
六、加入域
xp添加进域环境
1).将IP配置于,同一网络(10.1.1.2), 不配置默认网关, 设置DNS服务器为 上面所设置的"10.1.1.1"
2)"我的电脑",右击属性, 选择"计算机"
3).点击右下角"更改",输入域名
4).输入域账户 ,用户名格式: 域名\用户名 如:
qq.com\administrator
5).将会弹出,"欢迎加入xx域",即为加入成功,重启.
6)添加进域后,PC将需要通过 ctrl+alt+del 开始(加入域后的标志)
七、查看域
- computers 为 域中的计算机
- Domain Controllers 为 DC用户
- users 为 域用户
1.添加域用户
1).右击---users---新建----用户---填写用户(英文) (普通域用户)
八、常见小问题
1.加入域不成功
1.没有桥接同一网络
2.IP地址不在同一网段
3.配置DNS记录,DNS缓存
2.登录域不成功
1.用户名错误(当登录时,下方显示为域名称时,就直接写用户名即可,不用写域名\....)
3.域用户权限
1.普通用户对域计算机没有 所有权限
2.一个用户需要在本地计算机为 所有权限 , 在域中为 普通权限
在本地administrators组中,加入 域用户
在域中,加入 users组
九、OU:组织单位
作用: 用于归类域资源(域用户,域计算机,域组),公司中可以分部门.
与组区别:
组:为了赋权限 OU: 为了下发组策略
创建OU:
1.对着域,右击"新建"----"组织单位"
2.输入组织名称
3.就像文件夹,可以在旗下继续创建OU
OU图表
添加入 OU:
1. 用户右击---所有任务----移动-----选择OU.
2. 用户加入OU后会有2个图标
一个计算机: 对计算机所做限制,换了计算机不生效
一个用户: 对用户做限制,使用人 换了计算机操作也生效
十、组策略: Group Policy =GPO
作用:通过组策略可以修改计算机的各种属性,如开始菜单,桌面背景,网络参数等.
组策略在域中,是基于OU下发
组策略在域中下发后,用户的应用顺序是:
L(本地)-S(站点)-D(域)-OU(OU)
冲突时,应用最后一个生效
1.比如:域中下发了 更改壁纸,---首先先看本地,没有限制---看域更改壁纸11.jpg---OU没有限制
最终 :修改壁纸11.jpg
2.
上级OU: 3位密码 禁止运行按钮 1背景
中级OU: 0位密码 运行按钮 2背景
下级OU: 未配置 禁止运行按钮 未配置
所得结果: 0位密码 禁止运行按钮 2背景(由上 到下)
下级OU 阻止继承设置 : 未配置 禁止运行按钮 未配置
上级OU 强制: 3位密码 禁止运行按钮 1背景
中级OU 阻止继承 下级OU : 0位密码 禁止运行按钮 2背景
(下级OU属于中级OU,中级阻止继承了,下级OU将继承中级OU的配置)
十一、配置组策略
1.开始---管理工具--组策略管理
2.右击--OU----"在这个域中创建OU..."
3.填写名称
组策略图标(下面那个)
实操:OU中,桌面为 一张固定的图片
右击GPO ----编辑
选择用户---策略---桌面--Active Desktop ---桌面墙纸
勾选"已启用"-在墙纸名称中,输入 地址: \\ IP或主机名\文件
`
(当身为网络管理员时,应创建一个共享文件夹,在共享文件夹中,需要添加域中的用户组)
(组策略右击) 上级OU设置 强制:上级对下级强制执行策略,
(OU文件夹右击) 下级OU设置 阻止继承: 只看自己的OU配置,不看上级所有的OU,不受影响
同时设置时,强制大于阻止继承
