域:集中管理一个计算机集群的环境(实现文件共享,集中统一,便于管理)

角色:

       1、域控:管理域内的计算机

       2、域用户:被管理的计算机

ad域组织架构集成 ad域 组策略_服务器

域是共享用户账号,计算机账号和安全策略的计算机账号和安全策略的计算机集合

安全策略——桌面策略,统一发文件等等

域用户登陆的时候,验证是在本地计算机还是在域控???——在域控

ad域组织架构集成 ad域 组策略_网络_02

ad域组织架构集成 ad域 组策略_服务器_03

ad域组织架构集成 ad域 组策略_重启_04

为什么要使用DNS:要让域中的计算机可以定位到其他的主机

ad域组织架构集成 ad域 组策略_重启_05

 重点:让域中计算机找到域控

window是单用户,多任务的操作系统,所以需要两台主机来实现AD域的搭建

ad域组织架构集成 ad域 组策略_服务器_06

AD域与工作组的区别

每台电脑刚装完的时候,都是处于一个工作组的状态

ad域组织架构集成 ad域 组策略_重启_07

域跟工作组只能存在一个。

工作组和域最大的区别就是:工作组是一个人人平等的环境,它也可以实现文件共享等功能。

点击如上的 更改设置——更改

ad域组织架构集成 ad域 组策略_用户名_08

如果我们要搭建域环境,就需要修改主机隶属于哪个域环境。

组策略

ad域组织架构集成 ad域 组策略_服务器_09

 
搭建域环境

域控制器(win 08 R2):

1、配置静态IP

打开网络与共享连接——本地连接——更改适配器——本地连接——属性——协议版本 TCP/IPv4属性

配置静态IP的同时,我们刚刚提到,我们需要使用dns技术来定位域控,所以dns服务器地址就应该指向域控,因为域控就是自己,所以这个时候dns指向自己的IP就好了。

ad域组织架构集成 ad域 组策略_用户名_10

2、添加角色为AD域

服务管理器——添加角色——下一步

ad域组织架构集成 ad域 组策略_ad域组织架构集成_11

发现AD域服务选项——点击勾选

ad域组织架构集成 ad域 组策略_重启_12

跳出弹框——是否添加AD域服务所需要的功能——添加必须的功能(因为需要这个功能,但我们还没下载)

ad域组织架构集成 ad域 组策略_重启_13

刚刚我们提到DNS服务器是必须要装的,我们这边先不装,直接点击下一步

ad域组织架构集成 ad域 组策略_重启_14

显示安装成功——关闭

3、运行向导进行安装AD域服务

 

ad域组织架构集成 ad域 组策略_重启_15

这个时候发现AD域服务前面有一个X,说明此时的AD域服务还不够完善

ad域组织架构集成 ad域 组策略_ad域组织架构集成_16

我们点进去看一下——显示尚未将此服务器作为域控制器运行

ad域组织架构集成 ad域 组策略_网络_17

我们点击运行AD域服务器安装向导——下一步——下一步

ad域组织架构集成 ad域 组策略_网络_18

出现——现有林/在新林中新建域,我们点击在新林中新建域

ad域组织架构集成 ad域 组策略_重启_19

创建一个域名,然后点击下一步

ad域组织架构集成 ad域 组策略_服务器_20

选择服务器所对应的版本,所以我们这边选择win server 08 R2,点击下一步

ad域组织架构集成 ad域 组策略_服务器_21

这边显示建议将DNS服务器安装在第一个域控制器上——也就是说现在这里要我们安装DNS了,我们选择下一步——是——下一步

ad域组织架构集成 ad域 组策略_服务器_22

这里的什么还原密码随便设置,用不到,设置完——下一步

ad域组织架构集成 ad域 组策略_网络_23

勾选完成后重启

4、添加一个OU,在OU中新建一个域用户

重启之后,发现登录界面发生了改变,前面新加的是我们指定的域名

ad域组织架构集成 ad域 组策略_网络_24

服务管理器——两个角色黄色感叹号说明可以正常使用了

ad域组织架构集成 ad域 组策略_服务器_25

由于域用户需要在域控上建立,也就是在08上建立,开始——管理工具——AD用户和计算机

ad域组织架构集成 ad域 组策略_重启_26

加入域的计算机,都会在computer这里显示

右键域名——新建——组织单位(OU)——名称自己命名,比如说教务部

右键教务部——新建——用户

 

ad域组织架构集成 ad域 组策略_用户名_27

 设置密码——此密码也需要密码复杂度——取消用户下次登陆时须更改密码——勾选用户不能更改密码 和 密码永不过期

ad域组织架构集成 ad域 组策略_服务器_28

 完成后,教务部就多了一个域用户,但是computer域内主机还是空空如也,我们现在的目的就是把win07clone加入成为域内的主机

域内主机(win 07 clone):

1、配置静态IP

跟域控一样,但要注意ip地址要跟域控处于同一网段当中,10.0.0.1是网关,10.0.0.2是域控制器,那这里设置为10.0.0.3,然后注意dns服务器填的是域控的地址,也就是10.0.0.2

ad域组织架构集成 ad域 组策略_重启_29

2、将计算机加入域

计算机——属性——更改设置——更改——输入我们的计算机名和要加入的域环境

ad域组织架构集成 ad域 组策略_重启_30

跳出弹框,必须要设置一个可以进入域的账号,相当于一个通行证,然后开机重启

ad域组织架构集成 ad域 组策略_ad域组织架构集成_31

此时在R2上刷新界面,发现多了一台主机

ad域组织架构集成 ad域 组策略_网络_32

3、登录域用户

    1)登录域用户:
    域名\域用户名
    2)登录本地账号:
    计算机名\用户名

这是为了区别登陆的是本地的账号还是域用户的账号,因为与用户名和用户名可能是同一个名字,那就无法区分了

ad域组织架构集成 ad域 组策略_服务器_33

 此时如果这样登陆的话则还是登录本地的账号,我们选择切换用户——其他用户,注意登录要加是域名\域用户名(我们刚刚设置的通行证)

将计算机加入域不等于登录域用户

 

ad域组织架构集成 ad域 组策略_重启_34

查看有什么区别,我们发现此时已经不是工作组而是域了

ad域组织架构集成 ad域 组策略_ad域组织架构集成_35

接下来我们想实现桌面的统一管理

 在R2中——开始——管理工具——组策略管理——右键之前建的组织单位(教务部)——在这个域中创建GPO

ad域组织架构集成 ad域 组策略_用户名_36

命名

ad域组织架构集成 ad域 组策略_用户名_37

右键同一桌面——编辑——跳出组策略管理编辑器——发现计算机设置中的管理模板和用户配置中的管理模板不太一样

ad域组织架构集成 ad域 组策略_网络_38

因为计算机管理偏向于全局设置,针对的是计算机进行管理,而用户配置针对的是用户进行管理。那么我们创建了一个组织单位,肯定是偏向于用户。我们也可以发现计算机配置中管理模板是没有桌面这个选项的。点开桌面——第一个Active Desktop——双击启用Active Desktop

ad域组织架构集成 ad域 组策略_服务器_39

 选择已启用状态,点击应用。

第二行禁用Active Desktop不要去管

将所需要更换的壁纸装进一个共享文件夹中,因为需要让域中所有的机器都拿到这张图片

ad域组织架构集成 ad域 组策略_ad域组织架构集成_40

 右键文件夹——共享——共享——选择Everyone——点击右下角共享

ad域组织架构集成 ad域 组策略_服务器_41

 打开高级共享——共享此文件夹也勾选

ad域组织架构集成 ad域 组策略_重启_42

ad域组织架构集成 ad域 组策略_用户名_43

 此时到域用户主机去尝试访问共享文件夹里的桌面,输入域控ip

 

ad域组织架构集成 ad域 组策略_服务器_44

发现可以找到我们刚刚建的共享文件,说明共享文件成功。

 回到我们的域控主机,第四行——双击桌面墙纸——启用——输入墙纸名称(推荐使用UNC路径)——应用

 

ad域组织架构集成 ad域 组策略_重启_45

 进入命令窗口,输入强制更新组策略命令

ad域组织架构集成 ad域 组策略_网络_46

同样的到,域用户主机也去强制更新组策略

ad域组织架构集成 ad域 组策略_ad域组织架构集成_47

 显示更新完组策略之后——注销域用户计算机重新登陆——如果没生效就重启——如果重启还没生效那就两台计算机一起重启

ad域组织架构集成 ad域 组策略_网络_48

桌面更换成功!