AD(Active Directory 活动目录)

AD主要功能

  1. 集中储存用户和密码列表;(用户管理)
  2. 提供一组服务器作为身份验证服务器和GPO;(身份鉴权)
  3. 对域中的资源维护;(资源管理)

AD主要概念

1、 组织单位OU

a) OU是活动目录中的一个特殊容器,它可以将用户,组,计算机,打印机等对象组织起来。

b) OU是活动目录中最小的管理单元,他不仅可以包括对象,而且可以进行组策略的委派和管理。

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_服务器

通过上图可以在里面创建组,我理解就是组播的概念,定义成员。没实践过

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_02

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_客户端_03

2、 组策略

组策略是对域中一组用户账号和计算机账号的各种设置组合,这些设置包括桌面设置、软件设置、安全设置,组策略擅长通过用户和计算机账号批量管理计算机。

3、 轻型目录访问协议LDAP

是用来查询和更新AD的目录服务通信协议,用户可以通过LDAP获得大量有用的信息。

4、 站点

站点代表网络的物理结构,当林中的不同域处于不同区域,而不同的区域之间的链接为慢链接时(速度低于512KB),就需要创建多个站点,以确保客户端使用离他最近的DC进行验证,从而减少验证的延时,降低WAN网络链接的流量。

5、域控制器(DC)

在域架构中用来管理所有客户端的服务器,每一个域控制器上都包含了活动目录数据库。第一次安装活动目录的时候,我们安装活动目录的那台计算机就成为了域控制器,一个域可以有一台或多台控制器,可以形成一个主辅域控当一台域控制器的活动目录数据库发生改变时,这些改动的数据将会复制到其他域控制器的活动目录数据库内。


AD部署

测试环境

  • ad1的IP地址为172.16.10.190,系统windos 2012 R2
  • ad2的IP地址为172.16.10.191,系统windos 2012 R2
  • 客户的IP地址为172.16.10.187,系统windos 7
  • 域管理员账户linweiwei\administrator
  • 域测试登录用户linweiwei01

角色安装

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_客户端_04

多处直接点击下一步,直到下面按图操作

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_05

多处直接点击下一步,直到下面按图操作

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_服务器_06

安装完毕后点击关闭

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_客户端_07

域控安装

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_客户端_08

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_09

多处直接点击下一步,直到下面按图操作

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_10

如图的用户问题通过设置密码以及CMD中配置net user administrator /passwordreq:yes

安装完毕后将自动重启计算机

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_服务器_11

验证域功能

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_服务器_12

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_客户端_13

客户机加入域

记得DNS设置要改为主域控的地址(前提这台部署了DNS服务),以便正常解析域地址。之后会提示欢迎加入域,并要求重启

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_14

AD中配置用户

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_客户端_15

计算机登录域账户

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_客户端_16

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_17

主辅域控

刚才我们进行AD部署,为了提升高可用进行另外一台部署,步骤参照之前,直到下列图片中改为第一项,后续正常配置参照AD部署内容。最后客户机DNS的主备指向到这台服务器,就完成了

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_18

在与控制后台校验DC情况,发现AD中已经有两台DC,完成主副AD

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_19

此时我计划停用掉AD1(模拟设备故障),用win7客户登录AD目录,看看AD2是否能够起到高可用

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_客户端_20

测试结果认证通过,进入域用户桌面,实现高可用

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_服务器_21

DHCP(Dynamic Host Configuration Protocol 动态主机配置协议

DHCP部署

仪表盘中进行添加角色和功能向导,下一步直到图中

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_服务器_22

经历各种下一步、安装完毕的关闭后到达下图

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_23

选择域管理员账户并提交

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_24

DHCP管理台配置

启动DHCP管理后台

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_25

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_26

作用域的名称配置

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_客户端_27

IP地址和子网配置

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_服务器_28

后续还有排除地址、DHCP分配租期按需配置

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_29

验证DHCP

将虚拟机的DHCP地址指向到ad1(DHCP服务器IP)的地址

  1. 生产环境请用交换机配置中继代理指向DHCP服务器即可,在地址租用中可以看到分配详情
  2. 我是虚拟机实验,暂无去做验证


GPO

内置组策略

  1. Default Domain Policy:此GPO已经被连接到域,GPO内的设置值会被应用到域内的所有用户与计算机
  2. Default Domain Controllers Policy:此GPO已经被连接到组织单位Domain Controllers,因此这个GPO的设置值会被应用到Domain Controlers内的所有用户与计算机。Domain Controllers 内默认只有扮演域控制器角色的计算机

策略设置和首选项设置

首选项(低优先级)

只有域的组策略才有首选项设置功能,本地计算机策略无此功能,首选项设置是非强制性的,客户端可以更改设置值

策略设置(高优先级)

策略设置是强制性设置,客户端应用后就不可更改(有些设置值虽然客户端可更改,但是下一次组策略更新时,仍然会被更改为组策略设置的值)



安全事件日志

通常用户每次登录域主机时,都会向DC的DS进行身份认证并由TGS颁发服务请求票据TGT,根据winlog.event_data.Status和event.code筛选出用户登录成功和失败以及非法登录日志

Windos AD(概念、部署、主备)、DHCP、GPO、安全事件的学习与实验_活动目录_30

后续计划通过ELK捕获安全事件日志,进行系统加固