目录
1、Domain(域代表的是一种环境)
2、内网环境
3、域的特点:
4、域的组成:
5、域的部署:
6、活动目录
7、组策略GPO(group policy)
8、部署安装活动目录
9、PC加入域
10、常见小问题
11、OU:组织单位(organization union)
12、组策略:Group Policy = GPO
域
1、Domain(域代表的是一种环境)
2、内网环境
1)工作组:默认模式,人人平等,不方便及集中管理
2)域:人人不平等,实现集中管理,统一管理
3、域的特点:
集中/统一管理
4、域的组成:
1)域控制器:DC(Domian Controller)
2)成员机(成员机之间其实是平等的,说不平等只是域控制器)
域一般用三角△表示
活动目录是核心
5、域的部署:
1)安装域控制器---就生成了域环境
2)安装了活动目录---就生成了域控制器
3)活动目录:active directory=AD
6、活动目录
1)AD
2)特点:集中管理/统一管理(域要想实现统一管理,靠的就是AD来完成的)
7、组策略GPO(group policy)
8、部署安装活动目录
部署域最终就是安装活动目录
计算机右键管理——》角色(就是服务器,就是将来在公司作为哪一种服务器角色)【2008可以提供17个大的角色】——》添加角色——》下一步
——》AD域服务【微软为我们提供了一个安装路径,在这里装效果不太好,以前是在这装的】
安装步骤:
1)开启2008虚拟机,并桥接到VMnet2(2008不像2003,安装软件时不要插光盘,已经偷偷内置到C盘)
2)配置静态IP地址10.1.1.1/24
3)开始--运行--输入dcpromo安装活动目录(这条命令有两个功能:安装活动目录,卸载活动目录)【dcpromo=Domain Controller Promoter】
弹出向导:勾选DNS--新林中新建域--功能级别都设置为2003--域的FQDN(waffle.com)--设置目录服务还原密码(666.com)--勾选安装后自动重启(第三步过程见下面所有截图)
4)登录域waffle\administrator
DC的本地管理员升级为域管理员
问:登录域和登录本地有什么区别?不登录域意味着你用本地账号登录,你只能访问本地资源,访问不了域的资源
你要想享受域的资源,你必须登录域
5)验证AD是否安装成功
1、计算机右键属性--所属域
2、DNS服务器中是否字典创建waffle.com区域文件
3、自动注册DC的域名解析
4、开始--管理工具--AD用户和计算机
computer:普通域成员机列表
Domain Controller:DC列表
Users:域账号
验证一、怎么查看我已经成为域了呢?计算机右键属性
验证二、点击开始——》管理工具——》DNS
验证三、开始——》管理工具——》Active Directory 用户和计算机(就是活动目录)
9、PC加入域
1、配置IP,并指DNS(就是指DC)
2、计算机右键属性--更改---加入waffle.com域
3、重启加入域之后,成功使用域用户登录成员机
加域:把win7和winxp-2加入waffle.com域
1、把win7加到域里面,先要把win7和DC放到同一个网络(vmnet2)
2、win7手工配ip:10.1.1.3 , 255.255.255.0,指DNS:10.1.1.1(因为将来要做域名解析)【建议把ipv6前面的√去掉】
3、我的电脑右键属性------更改设置-----计算机名----更改-----隶属于域(waffle.com)
1、把winxp-2加到域里面,先要把xp和DC放到同一个网络(vmnet2)
2、xp手工配ip:10.1.1.2 , 255.255.255.0,指DNS:10.1.1.1(因为将来要做域名解析)
3、我的电脑右键属性---计算机名---更改---隶属于域(waffle.com)
验证:
WAFFLE-PC和WINXP-2是成员机,加入域成功
如果发现win7 xinxp登录都需要ctrl+alt+delete就说明有域
打开winxp-2:
在win2008上users中建立一个普通域用户(users右键新建,点击用户)
winxp-2登录:sp.huang 密码123.com 登录到WAFFLE:
win7上登录:
再创建一个用户:
10、常见小问题
1)加入域不成功
网络是不是不通!
解析是否能成功解析!(nslookup手工测试)
是否为DNS缓存问题
2)登入域不成功
如XP,已勾选登录域WAFFLE,不用再写waffle\xiaofei.wen
3)域用户的权限
建议将域用户加入到普通成员机的本地管理员组中(让成员对自己的电脑有完全控制权限,但是又不能把域管理员账号给它)
千万不要把它提升为域管理员,否则他会对公司所有电脑有完全控制权限
先用域管理员身份登录成员机做更改
用户名:waffle.com\administrator
*********本地管理员组:administrators
*********域管理员组:Domain Admins
11、OU:组织单位(organization union)
作用:用于归类域资源(域用户、域计算机、域组)
活动目录就是一张表,一个数据库,叫活动目录数据库
computers:里面放的都是域成员的列表
domain controllers:DC的列表
users:用户列表
这些都称为域资源
这些资源如果不归类,在成百上千的人里面去找一个人的话,很难找。我们最好把这些资源分门别类,就需要用到OU
我们把相同的资源或者相同的部门资源按照某种方式进行归类,比如IT部人员的域账号放到IT的OU中去,财务部放到另外一个OU。
组和OU的作用是一样的,都可以理解为是一个容器,而组的目的是为了赋权限,OU诞生的目的是为了下发组策略(组策略就是对员工的强制限制)
组策略就是一张表,这张表要基于OU下发
OU怎么创建?
win2008-1:开始-管理工具-AD用户和计算机
对准域(waffle.com)右键--新建--组织单位---名称:(比如是千峰集团)
对准“千锋集团”再新建几个组织单位“董事会”、“市场部”、“IT部”
这就是公司的组织架构
把原来创建的“黄圣鹏”这个用户:单击鼠标右键---所有任务----移动---千锋集团董事会,把“杨涛”移动到西北区
如果将来想对西北区的人做限制,只需要写一个组策略映到西北区里面去,西北区里面的所有资源都会受限制
同时也把computers里面杨涛的电脑也移动到西北区,黄圣鹏的电脑也移动到董事会(因为今后想对电脑做操作),对用户操作和对电脑操作是不一样的
12、组策略:Group Policy = GPO
作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数、密码复杂性等。
每个电脑都有组策略,没有域也有组策略(本地组策略优先级最低)
***重点:组策略在域中,是基于OU来下发的(而不是基于组下发的)!!
win2008-1:开始--管理工具--组策略管理
给千锋集团建立组策略表:千锋集团右键——》创建GPO(名称建议和OU一样,方便记忆,千锋集团)
现在希望“千锋集团”所有的人桌面背景是卡通(cartoon.jpg)图片(最千锋集团下面的组策略表做最合适,对Default Domain Policy做也可以,不推荐,DC不要轻易做组策略)
创建一个共享文件夹,让员工都能访问:
对用户配置一般注销一下就能生效
对计算机配置一般要重启后才生效
***组策略在域中下发后,用户的应用顺序是:LSDOU(L:本地local,S:站点,理解为林【一般忽略】,D:域domain,OU表示一系列OU:千锋集团--IT--董事会--市场部--西北区)
***在应用过程中,如果出现冲突,后应用的生效!
****正常情况下:LSDOU顺序【没有强制也没有阻止继承】
例:上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除 (未配置就是默认,不受控制,员工随意设置就行)
下级OU用户结果:桌面:aa 运行:不删除
****下级OU设置了阻止继承:对准“西北区”这个文件夹右键阻止继承(设置了阻止继承就不再看LSD,直接看自己的OU)——》意思是一点击阻止继承,上级的所有OU对我没有任何影响
上级OU: 桌面:aa 运行:删除
下级OU(设置阻止继承): 桌面:未配置 运行:不删除(未配置就是没有做要求)
下级OU用户结果: 桌面:未配置 运行:不删除
****上级设置了强制:对准“千峰集团”组策略右键强制(图标会上锁,意思是在应用顺序上到这就为止了,后面就不再看了,冲突了也无效)
上级OU(设置强制): 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU的用户结果: 桌面:aa 运行:删除
注意:当上级强制和下级阻止继承同时设置,强制生效!【强制最大】
查看千峰集团做了哪些组策略:
选中千锋集团——右侧的设置——警告里面点击添加——点开策略下面的管理模板
GPO练习:
1.在董事会部门设置GPO,并要求强制桌面背景,并验证
2.在董事会部门上级的ou上设置GPO,也进行强制桌面背景,并验证
3.在董事会部门上级的ou上设置GPO,强制删除运行菜单,并验证
4.练习阻止继承,并验证
5.练习向下强制,并验证
6.实现董事会的计算机无须按ctrl+alt+delete,并验证
