[Windows服务器] 域环境基础及搭建

域

Windows域环境基础

学习目的

1.理解域和活动目录的概念

2.理解域的结构

3.理解域功能级别和林功能级别

4.了解AD轻型目录服务

5.理解工作组和域的主要区别

AD域服务概述

工作组和域的区别

工作组：

​ 网络资源少、分散管理、适合小型网络

​ 管理结构：对等网

域：
将网络中的资源逻辑上组织到一起，将其视为一个整体

​ 集中管理

​ 适合于大中型网络

​ 管理结构：C/S

活动目录

概念：

​ 是Windows的一种服务

​ 是一个目录数据库，集中存储着整个Windows网络中的用户账号、组、计算机、共享文件夹等对象的相关信息

优点：

​ 集中管理

​ 便捷的网络资源访问

​ 可扩展性

活动目录的相关概念

域

​ 活动目录的一种实现形式

​ 活动目录中最核心的管理单位

​ 由域控制器和成员计算机组成

域控制器

​ 安装了活动目录的一台计算机

​ 域管理员可以控制每个域用户的行为

名称空间（Namespace）

​ 是一个区域的名字

​ 定位了网络资源的位置

对象和属性

​ 对象（Object）

​ 由一组属性组成，它代表的是具体的事物，如用户、打印机或计算机等

​ 属性（Attribute）

​ 就是用来描述对象的数据

容器（Container）

​ 是一种特殊的活动目录对象，它与其他对象一样具有属性，但是不同的是它没有具体的表现形式

​ 容器的作用是存放对象的空间，可以包含一组对象或其他容器

组策略

​ 若干策略的集合：安全配置、桌面配置、系统环境配置等

​ 应用到容器上，影响容器内所有的计算机和用户

域结构

单域

​ 网络中只建立了一个域

域树

​ 具有连续的名称空间的多个域

域林

​ 由一个或多个没有形成连续名称空间的域树组成

​ 林中每个域树都有唯一的名称空间，之间不连续

物理结构

​ 主要用于优化域控制器之间的信息复制

​ 站点：对应高速稳定的IP子网，如企业内部的局域网

​ 域控制器：域控制器保存了活动目录信息的副本，并负责把这些信息及其最新的变化复制到其他域控制器上，使各个DC上的信息保持同步

安装域控制器

安装DC的必要条件

本地管理员权限

操作系统版本必须满足条件：Windows Server（Web版除外）

NTFS分区

静态IP地址

有足够的可用磁盘空间

向导模式安装

管理员登录运行dcpromo

选择在新林中新建域

在命名林根域中输入林的名称

输入目录服务还原模式的Administrator密码

安装和配置活动目录

完成安装

客户机加入域

条件：

​ 计算机IP地址和DNS配置正确

​ 确保该计算机和域控制器互相连通

将客户机加入域

​ 输入域名称

​ 输入用户名和密码

额外域控制器的好处（操作系统版本必须受当前域功能级别支持）

提供容错

​ 在一台域控制器出现故障的情况下，仍可提供域服务

提供负载均衡

​ 多台域控制器同时分担用户的审核工作，加快审核速度

更易于用户的连接和访问

​ 分支机构用户通过额外域控制器登录域，提高登录速度

卸载域控制器的注意事项

如果该域内还有其他域控制器，则该域控制器会被降级为成员服务器

如果该域控制器是域内最后一个域控制器，则该域控制器会被降级为独立服务器

域用户账户的管理

域用户账户的作用

验证用户的身份

授权或拒绝对域资源的访问

创建域用户账户

域用户账户的命名

域用户账户的密码

配置域用户账户属性

登录时间

登录到

账户过期

组的管理

组的类型

安全组

​ 为用户设置访问权限

通讯组

​ 用于电子邮件通信

​ 包含联系人和用户账户

组的作用域

本地域组

​ 针对本域的资源创建本地域组

​ 适用范围：本域

全局组

​ 管理需要进行日常维护的目录对象

​ 适用范围：整林及信任域

通用组

​ 身份信息记录在全局编录中

​ 查询速度快

​ 适用范围：整林和信任域

组织单位的管理（OU）

OU的概念

OU是AD中的容器

可在其中存放用户、组、计算机和其他OU

创建OU

基于部门

基于地理位置

基于对象

删除OU

取消“防止对象被意外删除”

组策略

组策略简介

组策略

​ 一组策略的集合

​ 用来统一修改系统、设置程序：设置桌面环境、安全设置、自动执行脚本、软件分发

刷新组策略使其立即生效：gpupdate /force

组策略的优点

减小管理成本：只需设置一次，相应的计算机或用户即可应用

减小用户单独配置错误的可能性

可以针对特定对象设置特定的策略（用户、计算机）

组策略对象（GPO）

GPO（Group Policy Object）的概念

存储组策略的所有配置信息

AD中的一种特殊对象

默认GPO

默认域策略

默认域控制器策略

GPO链接

只能链接到站点、域、OU

计算机配置和用户配置

计算机配置

只针对容器中的计算机生效

策略：软件设置、Windows设置、管理模板

首选项：Windows设置、控制面板设置

用户配置

只针对容器中的用户生效

策略：软件设置、Windows设置、管理模板

首选项：Windows设置、控制面板设置

策略继承与阻止

继承规则

下级容器默认会继承来自上级容器的GPO

阻止规则

子容器可以阻止继承上级容器的GPO

策略累加与冲突

如果多个组策略设置不冲突，则最终的有效策略是所有组策略设置的累加

如果多个组策略设置冲突，则后应用的组策略覆盖先应用的组策略

组策略应用顺序

组策略的应用顺序：LSDOU

​ 首先应用本地组策略（L Local）

​ 如果有站点组策略，则应用（S）

​ 应用域策略（D）

​ 最后应用OU上的策略（O）

​ 如果同一个OU上链接了多个GPO，则按照链接顺序从高到低逐个应用（U）

策略强制生效

上级容器强制下级容器执行其GPO设置

“强制生效”会覆盖“阻止继承”设置

软件分发

tips：

需要打开服务（services.msc）：改为自动启动
Function Discovery Resource Publication

SSDP Discovery

Server

UPnP Device Host

DNS Client

软件分发步骤

准备.msi格式文件

将.msi文件设置到软件分发点

创建并链接GPO

分配与发布的区别

分配：将程序分配到用户或计算机

发布：将程序发布给用户，用户可选择是否安装

分配比发布具有强制性

信任关系

自动建立

​ 在创建子域或域树时自动建立

双向信任

​ 两个域之间相互信任（域A信任域B，域B信任域A）

可传递

​ 信任关系是可传递的（域A信任域B，域B信任域C，则域A信任域C）

林中跨域访问资源

使用AGDLP规则，简化权限的管理

​ 将账户（A）加入到全局组（G）

​ 将全局组（G）加入到本地域组（DL）

​ 为本地域组（DL）赋予相应的权限（P）

通过两种方式访问资源

​ 使用账户在账户域计算机登录，访问资源域

​ 使用账户域账户在资源域计算机登录，访问资源

AD常见故障排查思路

确认单一域用户账户的故障

​ 在该客户端使用其他域账户登录，确认是否是域账户故障

​ 账户被禁用或删除

​ 账户密码过期

​ 在DC中检查该账户信息

确认单一客户端的故障

​ 使用该域账户在其他客户端登录，确认是否是客户端故障

​ 时间不同步

​ 网络连接故障，如DNS服务器地址设置错误

​ 使用ping、ipconfig等命令检查网络连接

确认服务器端的故障

​ 在排除客户端故障后，接着排查服务器端故障

​ 在“Active Directory用户和计算机”中检查AD是否运行正常

​ 检查相关服务运行状态，如DNS、Netlogon服务

​ 查看事件日志

确认网络方面的故障

​ 在其他网段登录，确认是单网段还是整个网络故障

​ 检查路由器、交换机等网络设备