文章目录

  • 1、域的概述
  • 1.1、工作组与域
  • 1.2、域的特点
  • 1.3、域的组成
  • 1.4、域的部署概述
  • 1.5、活动目录
  • 1.6、组策略GPO
  • 2、域的部署实验
  • 2.1、建立局域网,配置IP
  • 2.2、安装活动目录
  • 2.3、添加用户到指定域
  • 2.4、将PC加入域
  • 2.5、实验常见问题
  • 3、OU(组织单位)
  • 3.1、OU概述
  • 3.2、创建OU
  • 4、组策略GPO
  • 4.1、组策略概述
  • 4.2、创建组策略
  • 4.3、编辑组策略
  • 4.4、组策略的优先级
  • 4.5、组策略的强制与阻止继承
  • 5、应用
  • 参考


1、域的概述

1.1、工作组与域

  • 1)工作组:默认模式,人人平等,不方便管理
    计算机右键属性中可以查看工作组。
  • 2)域:人人不平等,集中管理,统一管理
    可以赋不同的权限给不同的域,从而达到管理的效果,就像公司分的部门一样。
  • 什么时候需要域?
    对多个用户进行集中统一管理时,考虑使用域。
  • 使用域,可以搭建出一个公司的组织架构,对于不同的部门(OU)可能有不同的权限和任务,在域中使用组策略(GPO)完成这些操作。

1.2、域的特点

  • 集中/统一管理

1.3、域的组成

  • 1)域控制器:DC(Domain Controller)
    2)成员机

1.4、域的部署概述

  • 1)安装域控制器----就生成了域环境
    2)安装活动目录----就生成了域控制器

1.5、活动目录

  • 1)活动目录:Active Directory = AD
    2)特点:集中/统一管理
    活动目录是域的核心
  • 对于一个域,DC就是这个域的老大。下面的所有机器进行相关的操作需要去询问这个老大。
  • DC的判断依据来源于AD。即,如一个账户是域账户,那么它在登录一台机器的时候,询问DC,然后DC再去AD中找这个域账号,从而登录域。

1.6、组策略GPO

2、域的部署实验

2.1、建立局域网,配置IP

  • 1)开启win2008虚拟机(现实中就是服务器),并桥接到VMnet2

    2)配置静态IP地址10.1.1.1/24


2.2、安装活动目录

开始-运行-输入dcpromo,安装活动目录

domain 网络安全 网络安全域_活动目录


domain 网络安全 网络安全域_活动目录_02

domain 网络安全 网络安全域_右键_03


domain 网络安全 网络安全域_网络_04


勾选后,即这是域服务器也是DNS服务器。(前提是没有配DNS服务器地址,否则这里不行)

domain 网络安全 网络安全域_活动目录_05


domain 网络安全 网络安全域_活动目录_06


domain 网络安全 网络安全域_右键_07


默认文件夹,不要做修改!

domain 网络安全 网络安全域_网络_08


domain 网络安全 网络安全域_domain 网络安全_09

  • 验证活动目录是否安装成功
    1、查看自己是否进入域(电脑属性)

    2、管理工具DNS


    3、管理工具中AD用户和计算机

2.3、添加用户到指定域

  • AD用户和计算机中的Users右键新建用户


    配置完成后,注销使用域账户登录。

2.4、将PC加入域

  • 1)配置IP,并指DNS

    • domain 网络安全 网络安全域_架构_10

  • 2)计算机右键属性----更改----加入qf.com域
    我的电脑右键->属性->计算机名选项卡->更改->输入域->输入域管理员账号密码

    • domain 网络安全 网络安全域_架构_11

    domain 网络安全 网络安全域_网络_12


    • domain 网络安全 网络安全域_活动目录_13

  • 3)重启加入域后,成功使用域用户登录成员机

2.5、实验常见问题

  • 1)加入域不成功
    网络是不是不通!
    解析是否能成功解析!
    是否为DNS缓存问题!
    2)登入域不成功
    如XP,已勾选登录域QF,不用再写qf\xiaofei.wen
    3)域用户的权限
    建议将域用户加入到普通成员机的本地管理员组
  • 对第三点的说明:
    普通域用户想要完全控制某一台计算机权限是不够的,但是我们不能把它加到域管理员组里面去,因为这样它也可以完全控制域中的其它计算机了。所以,想到在一台机器中,它还有本地用户信息,把普通域用户加入到本地管理员组就可以完全控制本机了。
  • 具体操作
    用域管理员账户登录这台机器->计算机右键属性用户和组管理中->在本地管理员组中加入这个普通域用户->完成。
    这样这个普通域用户就能完全控制此计算机了(可卸载、下载等),否在每次都要找域管理员操作。
    本地管理员组:administrators
    域管理员组:Domain Admins

3、OU(组织单位)

3.1、OU概述

  • 作用:用于归类域资源(域用户、域计算机、域组)
    OU和组是很相似的概念,但是核心区别是,组是赋权限,OU是下发组策略
    比如,要对某个OU做限制,那么写一个组策略下发到指定的OU就可以限制里面的所有成员。

3.2、创建OU

  • 管理工具打开AD用户和计算机
  • 新建组织单位
    域名称(qf.com)右键新建,组织单位

    有那个文件夹的小标记的就是OU,上面那个DC也是OU。
    千峰集团右键新建组织单位
  • 将资源添加到指定OU
    将用户移动到指定OU中,在Users找到用户做如下操作

    :将用户和他的电脑(资源)都加入到指定OU中,方便管理(因为用户和机器是两种资源)(对电脑和用户操作是两个方向)

4、组策略GPO

4.1、组策略概述

  • 作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。
  • 重点:组策略在域中,是基于OU来下发的!!!

4.2、创建组策略

domain 网络安全 网络安全域_活动目录_14


domain 网络安全 网络安全域_架构_15


domain 网络安全 网络安全域_网络_16


domain 网络安全 网络安全域_右键_17


domain 网络安全 网络安全域_网络_18

4.3、编辑组策略

domain 网络安全 网络安全域_右键_19


domain 网络安全 网络安全域_右键_20


domain 网络安全 网络安全域_右键_21


举例:添加桌面墙纸策略(在此OU下的所有资源都显示同一张壁纸)

domain 网络安全 网络安全域_架构_22


domain 网络安全 网络安全域_活动目录_23


share文件夹是在服务器上创建的共享文件夹。

4.4、组策略的优先级

  • 发生冲突,最小子目录下的组策略生效;
  • 无冲突,下的组策略生效。
  • 举例

4.5、组策略的强制与阻止继承

  • 强制:强制就会强行让下面所有的策略都使用(不管冲突与否)(对组策略右键)
  • 阻止继承:就不再看上级OU,只看自己的OU(对OU文件夹右键)
  • 举例

5、应用

  • 公司一个新员工入职需要做的工作
    1)创建用户,将其加入到域
    2)将这个域用户和他的机器拉到指定的部门OU中
    3)域管理员登录他的电脑将他添加到本地管理员组中,然后告诉他域账号和密码

参考

【千峰教育】网络安全工程师 https://www.bilibili.com/video/BV1i7411G7vm