第7章 部署活动目录域
一、创建域环境
1、域: 逻辑组织起来,集中管理。
2、域控制器(DC):控制整个域的用户账户和安全数据库。
3、活动目录(active directory):AD
特点:
集中管理
便捷的网络资源访问
可扩展性
4、域和AD概念
域
域树:具有连续的域名空间的多个域
林:林由一个或多个域树组成
5、DC条件(6点)
6、安装AD 运行输入:dcpromo
升级、删除AD 运行输入:dcpromo
7、域功能级别
8、将客户机加入域
1)设置客户机的IP、子网掩码、DNS
2)通过域账户加入域
9、DNS服务作用
1、域名采用DNS标准
2、定位DC(SRV记录,即服务资源定位记录,作用将服务解析成域名)
一、域资源管理
通过“AD用户和计算机” 工具创建和管理用户、组、OU dsa.msc
1、域用户账户
存储在AD数据库
注意:
显示名 在OU中唯一
登录名 在域中唯一(最长20字符)
用户属性:
登录时间:限制用户登录域的时间。
登录到:限制用户登录到域的计算机。
2、组
1)组的类型:
安全组: 赋权限;电子邮件通讯
通讯组:电子邮件通讯
2)组的作用域范围
本地域组
范围:本域
成员: 所有域的用户、全局组、通用组;本域的本地域组
全局组
范围:整个林及信任域
成员: 本域的用户、全局组
通用组
范围:整个林及信任域
成员:所有域的用户、全局组、通用组
3、组织单位(OU)
概念
容器:有效地组织活动目录对象
委派控制
组策略
设计方式
基于部门的OU
基于地理位置的OU
基于对象类型的OU
OU的设计也可以是混合的
OU的委派管理
作用:减轻管理员的工作负担。让某用户或组管理适当的任务
OU委派功能的删除
思考题: 怎样让一个普通域用户能够只对自己的电脑有完全控制的权利?
第8章 组策略应用
一、组策略
1、作用:
1)方便地管理AD中的计算机和用户
2)灵活、降低用户和计算机环境设置的总费用、推行安全的计算机规范。
( 打开方式gpedit.msc或mmc适用于XP/2000/2003/2008系统)
2、结构:
1)组策略的具体设置数据保存在GPO(组策略对象)中 (默认域策略、默认域控制器策略)
GPO控制SDOU中用户和计算机
2)站点
一个站点中可以有多个域 ;一个域中可以有多个站点
作用: 优化复制;使用户可靠、高速连接到DC
3)GPC(组策略容器) 和GPT(组策略模版)
3、内容:
计算机配置和用户配置
二、组策略应用规则
1、继承与阻止继承
2、累加(一个容器中有多个GPO冲突,最上面的一个后应用,优先级高)
3、应用顺序L→S→D→OU(活动目录容器)
4、强制生效(上下冲突、下级阻止继承)
5、筛选
AD中的逻辑组织:林、域树、域、OU
AD中的物理组织:DC、站点
三、软件设置
分发软件、修复软件、删除软件、升级软件
1、分发软件步骤:
1)获取windows安装程序包(.msi)格式
2)将安装程序放入新创建共享文件夹中(给足2个权限)
3)创建或修改GPO
2、指派与发布的区别
分配:分配给计算机或用户
发布:只能发布给用户。
分配比发布更具强制性
