什么是域
Domain:域是计算机网络的一种形式,其中所有用户账户,计算机,打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。
两个域之间可以通过建立信任(Trust)关系来进行联系
内网的环境:
1)工作组:默认模式,人人平等,但是不方便管理
2)域:人人不平等,优点:可以实现集中管理、统一管理
域的组成:
1)域控制器(DC:Domain Controller):老大,控制其他成员
2)成员机(之间还是平等的 )
域的部署
1)安装域控制器DC—就生成了域环境
2)安装了活动目录AD(核心)—就生成了域控制器
通过安装活动目录:AD(Active Directory)来实现集中管理、统一管理
里面放的是公司的公共资源,也叫域资源,比如在里面创建一个域账号a,就可以通过它来登录成员机的电脑
内网一般会以公司的名字作为这个域的域名,例如:whh.com。每一个员工的电脑都会以员工的姓名作为主机名,那么这些电脑在域里面的名字就是例如:a.whh.com
域账号登录成员机的过程:
- 使用域账号进行登录
- 成员机检查本地没有这个账号
- 成员机向DNS服务器解析DC的IP
- 向DC汇报有人想要进行登录,将账号密码发送给DC
- DC在AD里面找有没有这个账号,有就返回可以登录的指示acess key
- 这时候成员机接到acess key就会让它登录并且在C:\user里面为a账号创建家目录和配置文件
- 登陆成功后成员机会问DC还有什么要求
- DC查询AD将组策略发给成员机
- 成员机按照组策略来加载一些特定要求,例如:强制成员机有特定桌面壁纸,不能更改
一般公司就不允许使用本地帐号进行登录,会为每一个员工创建一个域账号用来登录,想要访问域资源,必须使用域账号进行登录
注意:在域里面,DC必须与DNS完美搭档,一起配合使用,建议将DC同时设置为DNS(以下实验就是),这时候DNS就不需要再单独创建了,会自动配置这个域的区域文件,并且生成解析记录
什么是林
林,见名知意:就是好多域的组合(太大了一般用不到)
组织单元OU(Organizational Unit)
组织单元是可以将用户、组、计算机和其它组织单位放入其中的AD容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。
性质是最小作用域或单元。
作用:用来归类域资源(域用户、域计算机、域组等)
组策略GPO(Group Policy)
作用:通过组策略可以修改计算机的各种属性,如:桌面背景、网络参数等
这玩意大概了解一下就可以了,学网安应该用不了这么深入