一、域和域控制器
1、域(Domain):将网络中的多台计算机一逻辑的方式组织到一起,进行集中管理,这种集中管理的环境称为域。
2、域控制器(Domain Controller):每个域中至少有一台域控制器、集中存放整个域的用户账号和安全数据库,安装了活动目录的主机称为域控制器。
3、域控制器(Active Directory):活动目录是一个目录数据库,存储整个windows网络中对象的相关信息。也是一种服务,可对活动目录中数据执行各 种操作。
4、活动目录的优点:集中管理、便捷的网络资源访问、可扩展性。
5、域树:具有连续域名空间的多个域(有相同后缀)。
6、域林:由一个或多个域树组成,林中的每个域树都有唯一的名称空间,之间不连续。
二、安装DC的必备条件
1、本地管理员权限
2、操作系统版本必须满足条件WEB版除外
3、有TCP/IP设置
4、有足够的可用磁盘空间
5、NTFS分区(至少有一个NTFS分区)
6、需DNS的支持。
三、安装DC
1、开始-运行-dcpromo
2、选择在新林域中新建域
3、域功能级别:域功能级别只能升不能降,一般安装时保持默认,2000支持2000server、2003、2008;2003支持2003、2008、2008R2;2008支持2008、2008R2;2008支持2008R2;
4、数据库和日志文件夹默认保存位置c:\windows\NTDS;Svsvol文件夹的位置必须为NTFS分区。
5、输入目录服务还原模式的Adnimistrators密码。
四、将客户端加入域
1、客户机加入域的条件:计算机IP地址和DNS配置正确、确保该计算机和域控制器互相连通(pingDC的ip、nslookup 域名(测试能否解析)
2、将客户机加入域:右击计算机属性-高级系统设置-计算机名-更改-点击域-输入域名称。
五、Windows域的基本管理
1、域用户账户的管理:开始-运行-dsa.msc;创建域用户账户;注:用户显示名当前容器唯一,登录名域中唯一。
2、配置域用户账户属性:登录时间 登录到。
3、组的管理 安全组:为用户设置访问权限;通讯组:用于电子邮件通信,包含联系人和用户账户;组的作用域:本地域组:针对本域的资源创建本地域组;全局组:适用范围:整林及信任域。通用组:适用范围:整林及信任域,这一点和全局组相似。身份信息记录在全局编录中,查询速度快。子域或者信任域创建全局组,具有相同权限的用户加入到全局组,再将全局组加到本地域组,再给本地域组分权限。
4、OU(组织单位):是AD中的容器,可在其中存放用户、组、计算机和其他ou。创建OU的方式:基于部门 基于地理位置 基于对象 基于混合。删除OU:查看-选择高级功能-右击OU属性-对象-取消防止意外删除即可直接删除OU。
五、组策略:一组策略的集合(与组没关系),作用:可以统一修改系统,设置程序;调整桌面环境、安全设置、自动执行脚本、软件分发。
七、组策略的优点:减小管理成本、只须设置一次,相应的计算机或用户即可应用、减小用户单独配置错误的可能性、可以针对特定对象设置特定的策略
八、组策略对象
1、GPO:存储组策略的所有配置信息,AD中的一种特殊对象。
2、默认GPO:默认域策略(Default Domain Policy);默认域控制器策略(Default Domain Controllers Policy).
3、GPO链接:只能链接到站点、域、OU。
4、组策略的简单应用:禁止用户修改桌面背景;
开始-管理工具-组策略管理-右击指定的OU-创建GPO-命名为禁止修改桌面背景-右击精致修改桌面背景-编辑(打开组策略编辑器)-用户配置-策略-管理模板-控制面板-个性化-双击阻止更改桌面墙纸-已启用-确定。
开始-运行-gpupdate /force(强制刷新策略)
验证:1禁止域中所有用户修改桌面背景;2在实验1的基础上实现caiwu OU 的用户可以修改桌面背景;3在实验2的基础上,在默认域策略上配置强制生效 ,实现caiwu OU的用户不可以修改桌面背景。
九、组策略的应用规则
1、策略继承与阻止:下级容器可以继承或阻止应用其上级容器的GPO设置。
2、策略强制生效:使下级容器强制执行其上级容器的GPO设置。
3、策略累加与冲突:多个GPO设置在不冲突的情况下如冲突后应用生效;组策略顺序:LSDOU:本地组策略 站点 域 OU;如OU与子OU冲突,子OU生效。
验证:在实验3的基础上上取消caiwuOU 的阻止继承,取消域策略的强制,然后再caiwu OU 创建一个新的GPO,设置用户打开浏览器的默认主页为 http://www.tarena.com.cn.
验证:在实验4的基础上配置默认域策略用户打开的浏览器的你、默认主页为http://www.baidu.com,用caiwu OU 的用户验证打开浏览器的默认个人主页。
4、筛选:阻止一个容器内的用户或计算机应用其GPO设置,在组策略管理界面中-单击指定的GPO-在右侧窗口中选择委派-高级-添加用户-勾选拒绝读取和应用组策略。
验证:caiwuOU经理用户不收禁止修改桌面背景策略的影响。
必默内容:TCP/IP是20世纪70年代中期美国国防部为ARFANET开发的网络体系结构。
应用层-》应用层-》应用层 表示层 会话层
传输层-》传输层-》传输层
互联网层-》互联网层-》网络层
网络接口层-》数据链路层、物理层-》数据链路层、物理层
TCP/IP4层传输 TCP/IP5层模型 OSI7层模型
实验名称:升级域控的过程
实验过程:
首先我们需要了解一下升级域控制器所需要的条件:
1、本地管理员权限
2、操作系统版本必须满足条件WEB版除外
3、有TCP/IP设置
4、有足够的可用磁盘空间
5、NTFS分区(至少有一个NTFS分区)
6、需DNS的支持。
步骤1:准备省级环境
将服务器快照到初始状态,准备好一台客户端,桥接网络,配置IP,
步骤2:开始升级
开始-运行-dcpromo,出现升级界面,
这个过程稍慢,需等待一定时间
单击下一步之道下面的界面
选择在新林域中新建域,单击下一步
为域取名字,单击下一步
功能级别只能升不能降,一般安装时保持默认,2000支持2000server、2003、2008;2003支持2003、2008、2008R2;2008支持2008、2008R2;2008支持2008R2;
打对勾,单击下一步。
4、数据库和日志文件夹默认保存位置c:\windows\NTDS;Svsvol文件夹的位置必须为NTFS分区
至此,升级完成,待,服务器,将进入一个全新的域环境。
实验名称:组策略应用规则
实验过程:
步骤1:配置实验环境
创建OU caiwu,并在这个OU 下创建两个用户 cd dc 。
步骤2:策略继承与阻止:下级容器可以继承或阻止应用其上级容器的GPO设置。
我们先在全域应用一个策略,阻止用户cd更改桌面背景
开始-管理工具-组策略管理-右击域策略点编辑
用户配置-策略-管理模板-控制面板-个性化-双击阻止更改桌面墙纸-
已启用-确定。
-运行-gpupdate /force(强制刷新策略)
用加入域客户端电脑登入服务器
我们发现,竟然无法修改桌面背景了,这是因为OU 继承了域的组策略
回到服务器,打开组策略编辑器,右键caiwuOU,点击阻止继承
重新进入客户机
经过阻止继承操作,cd用户又可以修改桌面背景了。
步骤3:、策略强制生效:使下级容器强制执行其上级容器的GPO设置
右击域策略,点击强制,则OU强制继承域策略,客户端仍无法修改桌面背景
步骤4:策略累加与冲突
在步骤3的基础上上取消caiwuOU 的阻止继承,取消域策略的强制,然后caiwu OU 创建一个新的GPO,设置用户打开浏览器的默认主页为 http://www.tarena.com.cn.
用客户端登入,打开浏览器,发现默认主页变为了http://www.tarena.com.cn
且桌面背景无法修改
在步骤4的基础上配置默认域策略用户打开的浏览器的你、默认主页为http://www.baidu.com,用caiwu OU 的用户验证打开浏览器的默认个人主页。
实验发现
浏览器默认主页还是http://www.tarena.com.cn
实验证明:多个GPO设置在不冲突的情况下如冲突后应用生效;组策略顺序:LSDOU:本地组策略 站点 域 OU;如OU与子OU冲突,子OU生效。
实验结果:经过实验,组策略编辑器的运用很灵活,在工作的时候更应该注意策略的应用规则。
https://blog.51cto.com/dchan/1398236
