第15节 域

已于 2022-07-01 03:03:53 修改
阅读量5.5k 收藏
点赞数 2
分类专栏: # 筑基02:Windows系统服务器 文章标签: 服务器 网络安全
于 2021-12-13 00:29:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fighting_hawk/article/details/121886913
版权
本文详细介绍了如何在Windows 2008上部署域环境,包括设置活动目录、网络配置、添加成员机、创建域用户,以及组织单元OU和组策略GPO的运用。重点讲解了组策略的应用,如禁用运行窗口、脚本配置和密码策略等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1概述

1.1域的基本概念和分类特点

  1. :Domain
  2. 内网环境分类
    (1)工作组:默认模式,人人平等。
    (2)域:不平等,优点:集中管理、统一管理。
    查看方式:右键计算机→属性。
    在这里插入图片描述
  3. 域的组成
    (1)域控制器,DC(Domain Controller)一般是服务器,可以设置多个。
    (2)成员机,成员机之间平等。
  4. 本地管理员组:administrators
  5. 域管理员组:Domain admins

1.2部署域核心条件

  1. 安装域控制器——就生成了域环境。
  2. 安装了活动目录——就生成了域控制器。
  3. 活动目录:AD(Active Directory)特点:集中管理、统一管理。放着公司所有公共资源,可建立域账号,域账号可以登录域内所有成员机。AD是DC的核心,因此域也称AD域、活动目录技术。
  4. 组策略:GPO,与活动目录配合完成对各成员机的命令下达。建立规则,将规则应用到域账号,要求域内主机仅能用域账号登录
  5. DNS服务器:负责解析域内各主机的域名与IP。与DC完美配合,自动更新区域。

2部署域——以win2008为例。

2.1步骤1:win2008基本设置

  1. 开启win2008虚拟机,关闭防火墙。
  2. 调出桌面图标。开始→搜索→icon→调出。在这里插入图片描述
  3. 设置磁盘分区。在这里插入图片描述

2.2步骤2:网络设置

  1. 桥接到VMnet1.
  2. 配置静态IP地址.10.1.1.1/24。调出网络适配器设置→右键本地连接→属性→不勾选IPv6,双击进入IPv4。在这里插入图片描述

2.3步骤3:安装活动目录

  1. 开始→运行→dcpromo,该命令可安装/卸载活动目录。(卸载需要先将所有域成员剔除回工作组状态,再把自己扁为普通主机)

  2. 出现下图提示,说明系统在检测本机是否适合作为域控制器。在这里插入图片描述

  3. 合适即弹出安装向导。暂时不适用高级向导,直接点击下一步。在这里插入图片描述

  4. 提示系统差异兼容性问题。在这里插入图片描述

  5. DNS相关配置。强烈建议在配置IP的时候不指定DNS服务器,在此处进行设置。在这里插入图片描述

  6. 新建域。一般公司只有一个域;较大的公司总部设有一个父域如xxx.com,另外分公司设有子域xx.xxx.com,构成域树;更大的公司总部有父域xx1.com,后因新业务扩展新父域xx2.com,两个或多个域树构成域林。
    在这里插入图片描述

  7. 设置第一个域的名称。程序会自动检查是否已经有林。在这里插入图片描述

  8. 设置林功能级别。根据公司规划限制后续域控制器最低功能,本次实验选择2003。在这里插入图片描述

  9. 设置域功能级别。此处设置的是本域的功能级别,本次实验设置2008。子域不受此域功能级别控制,但受林功能级别控制。在这里插入图片描述

  10. 其他设置,直接点下一步。在这里插入图片描述

  11. 提示无法创建,点是。
    在这里插入图片描述

  12. 文件存储位置,不做修改,直接下一步。
    在这里插入图片描述

  13. 账户与密码,此处为活动目录的登录密码(还原密码),与win2008登录密码没有关系,仅当活动目录出现故障时还原使用。在这里插入图片描述

  14. 域设置摘要,检查设置是否满足自己要求。在这里插入图片描述

  15. 安装中,安装完毕后需要重启电脑。
    在这里插入图片描述

  16. 到此,该计算机已成为DC,原有管理员账号已迁移至活动列表中,自动成为域管理员账户。

  17. 登录域。用原来的本地管理员账户密码登录,DC只能用域账户登录,其余成员机可以使用本地账户登录(在组策略允许的情况下),但是不能享受域资源。
    在这里插入图片描述

  18. 计算机属性显示已成为域成员,但是未能反映是否时DC。建议作为DC的主机先将计算机名修改为DC后,在进行活动目录安装。
    在这里插入图片描述

  19. 查看DNS。开始→管理工具→DNS。当有员工注册成为域成员时,将自动更新区域内容。
    在这里插入图片描述

  20. 查看域管理相关工具。其中以AD用户与计算机最为重要,信息显示如下。
    21.

2.4步骤4:将winXP与win7加入域

  1. 将winXP与win7与域设置在同一局域网下,即VMnet1,配置固定IP。在这里插入图片描述

  2. 右键计算机属性→计算机名→更改→加入域。
    在这里插入图片描述

  3. 弹出登录窗口。新用户加入域,需要获取DC许可,使用域管理员账户登录确定。在这里插入图片描述
    win7不需要输入域名,直接输入账户即可。在这里插入图片描述

  4. 加入成功,重启生效。
    在这里插入图片描述

  5. 在DC上查看活动目录,可以看到新加入的成员机。在这里插入图片描述

  6. DNS区域内容自动更新。在这里插入图片描述

2.5步骤5:创建普通域用户

  1. 进入DC,开始→管理工具→AD用户与计算机→右键user→新建。在这里插入图片描述
  2. 命名后设置密码,完成。
    在这里插入图片描述
  3. 客户机登录,界面跟服务器登录相似,需要按三键登录。在选项中可以选择登录域或登录本机,可以通过组策略禁止登录本机。
    在这里插入图片描述

2.6常见小问题

  1. 加入域不成功的问题
    (1)是否位于同一局域网中,能否ping通?
    (2)解析是否能成功?
    (3)是否有DNS缓存?
  2. 登入域失败的问题
    如winxp系统,如果已经勾选了域,账号就不用再写域的前缀。
  3. 域用户的权限
    在DC中设置的域用户,登入成员机时,仅仅是普通用户,未取得完全控制权限,建议将与用户加入到普通成员机的本地管理员组中。

3组织单元OU

3.1概念

  1. 组织单位:OU(organization unit),用于归类域资源方便下发组策略(域用户、域计算机、域组,比如将资源按不同部门分类)。

3.2创建

  1. 进入DC,开始→管理工具→AD用户与计算机→右键域名→新建组织单元。
    在这里插入图片描述
  2. 逐层命名建立架构如下。在这里插入图片描述
  3. 当人事变动时,其OU也应相应调整。例如将上述设置的李白调整到董事会,在Users中找到李白→右键→所有任务→移动→在OU中选择董事会。回到OU查看详情如下:在这里插入图片描述
  4. 同样地,对计算机也可以进行同样的移动操作,方便后续组策略可以对用户和对计算机分别进行限制和操作。在这里插入图片描述
  5. 要求某一部门所有用户登录电脑时,均显示集团背景,则该要求跟着用户走,在那登陆都显示集团背景;要求某一部门所有电脑登录时,均显示集团背景,则该要求跟着计算机走,无论谁登录都显示集团背景。

4组策略GPO

4.1概述

  1. GPO(Group Policy)
  2. 作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数、登录密码复杂性等。
  3. 组策略在域中,是基于OU来下发的。
  4. 组策略有针对计算机与针对用户两种,针对计算机的策略将在开机和关机时执行,针对用户的策略在登录与注销时执行。

4.2设置策略步骤

  1. 进入DC,开始→管理工具→组策略管理→右键QQ集团→在这个域中创建GPO并在此处连接→命名建议域该OU一致。
    在这里插入图片描述
  2. 对每一级别均设置一个组策略。在这里插入图片描述
  3. DC机上设置共享文件夹,方便各个成员机在组策略需要时下载所需要的文件。在DC中→D盘→新建文件夹share→该文件夹应保证所有域用户都能访问→右键该文件夹→共享→设置共享权限。
    在这里插入图片描述
  4. 对该文件夹的安全权限,添加domain users组,并确保赋予读取下载的权限。
    在这里插入图片描述
  5. 绘制QQ背景图,并存于share文件夹下,确保其扩展名是组策略所允许的jpg或bmp的格式。
  6. 将所有域用户同一设置背景图片。右键QQ集团组策略→依次展开→找到桌面壁纸→双击打开。
    在这里插入图片描述
  7. 点击已启用,在图纸名称栏填写网络地址+文件名+后缀。确定。在这里插入图片描述
  8. 使用域用户登录winxp,查看桌面背景,域组策略执行成功。在这里插入图片描述
  9. 对董事会组策略设置背景加上CEO后缀,类似操作设置。在这里插入图片描述
  10. 确保账户李白是位于董事会组下,重启电脑查看桌面变化。该策略与域组策略冲突,覆盖原策略执行。在这里插入图片描述
  11. 强制执行的设置,右键QQ集团组策略→勾选强制,设置后不受后续策略的影响。
    在这里插入图片描述
  12. 阻止继承的设置。右键董事长OU→阻止继承,重置上级策略设置并随心所欲。
    在这里插入图片描述

4.3其他常用操作

4.3.1禁用运行窗口

  1. 从“开始”菜单中删除“运行”菜单,启用就删除,禁用就不删除,未配置就保持其他配置。当该项策略启用后,用户无法通过win+r启用运行窗口。在这里插入图片描述

4.3.2执行脚本配置,使用户注销时自动清空D盘垃圾文件

  1. 新建一个命名为clear的文件,输入以下代码,修改后缀名为bat。
d:
cd\
cd tmp		#进入垃圾文件夹
rd ./s/q	#删除
  1. 在客户机D盘下先新建一个tmp文件夹,并生成一堆垃圾文件。
  2. 找到用户策略,双击注销。在这里插入图片描述
  3. 将刚刚写好的批处理文件黏贴到默认路径下,选中该文件,依次确定。在这里插入图片描述

4.3.3不显示按ctrl+alt+del进入命令,直接显示账户密码

  1. 理解该功能的实现是针对计算机还是用户,由于是计算机启动时就要生效的,因此时针对计算机的。
  2. 依次展开→找到该策略→启用。
    在这里插入图片描述

4.3.4密码策略

1.依次展开→找到该策略→启用。
在这里插入图片描述
2. 复杂性原则:要求满足3/4原则,及大小写、特殊符号、数字,需要有其中至少三种。
3. 最短使用期限:限制不能频繁修改密码。
4. 最长使用期限:要求定期改密码,默认是42天。
5. 强制密码历史:不能重复使用历史上最近几种密码。

4.3.5账户锁定策略

1.账户锁定阈值:防止暴力破解,错误一定次数后锁定,需要域管理员在活动目录中找到该用户→右键→解锁。
2. 重置账户锁定计数器设置时间要等于或小于账户锁定时间。
在这里插入图片描述

4.4组策略执行顺序总结☆☆☆

  1. 一般情况下策略执行顺序:LSDOU,最后执行者生效:
    (1)L:本地组策略;(2)S:站点;(3)D:域组策略:(4)OU:逐级OU组策略;
  2. 上级设置了强制:策略顺序执行至强制,后续OU策略不执行。
  3. 下级设置阻止继承时,相当于下级OU重置了上级所有策略,并按自身策略执行:
    上级OU: 桌面:QQ 运行:删除
    下级OU: 桌面:未配置 运行:不删除
    执行结果: 桌面:未配置 运行:不删除
  4. 当上级强制与下级阻止继承同时设置时,强制生效,因为后续策略不执行。

5总结

  1. 了解域相关基本概念。
  2. 掌握从还原快照开始配置域环境、客户机接入、设置账户、设置OU、下发组策略(强制更换背景、上级强制、下级阻止继承、自动运行脚本、无需按ctrl+alt+del、命令及安全相关策略)。
  3. 重点理解组策略的下发机制及执行原理。
策略应用(二)
2301_79294878的博客
08-24 6145
策略的影响范围非常广泛,内所有的用户和计算机都可能受到约束,因此,应用组策略之前应明确组策略的各种应用规则,如组策略继承阻止,累加与冲突和强制生效等,以方便利用这些规则顺利地实现用户的需求。
AD组策略管理
weixin_42340624的博客
07-31 5537
AD 组策略管理
论文研究-为负无穷区间和全体实数的初等关联函数构造.pdf
09-20
论文研究-为负无穷区间和全体实数的初等关联函数构造.pdf,  关联函数是可拓集合的核心, 它的构造方法是可拓学的重要研究内容. 在定义点与负无穷区间和点与全体实数之距的基础上, 构造了正为有限区间和分别为负无穷区间和全体实数的位值公式及相应的初等关联函数并得到若干性质, 使可拓学在定量化描述各领矛盾问题时具有更宽的适用范围.
Javaweb第五对象
qq_46011398的博客
10-26 146
JSP九大内置对象 :不需要声明,可以直接使用的对象。 request:就是HttpServletResquest,代表客户端的请求信息,主要接受http协议传输到服务器上面的请求 response:就是HttpServletResponse,代表客户端响应 session:HttpSession对象,代表浏览器的一次会话(开启浏览器代表会话开始,关闭浏览器代表回话结束) out:JspWriter对象,把结果响应并输出到浏览器上 application:ServletContext对象,代表当前web应用
策略应用:阻止继承
qq_58606689的博客
08-22 1660
前言:当下级容器不需要来自上级容器的组策略时,可以将上级的组策略组织 创建OU‘通信部’,通信部的子OU‘信息部’,(1)默认‘信息部’要求继承‘通信部’组策略,效果自定义;(2)‘信息部’阻止继承‘通信部’组策略,效果与继承不一样 (1)新建通信ou并新建子ou信息部 (2)在通信部ou中建立迪迦奥特曼用户,在信息部建立特利伽奥特曼 (3)打开组策略管理。选择现有的,在通信部新建GPO (4)编辑此组策略,并删除注销 (5)先登录上迪迦用户,发现没有注销 (6)登录特利
2019版高考地理一轮总复习第十单元第一差异与区发展阶段同步检测鲁教版.doc
11-29
【知识点五:城市化与土地利用变化】 城市化过程会导致土地利用方式的改变。早期A地作为商品粮棉油基地,随着城市化发展,转变为蔬菜、瓜果、花卉种植,最后成为市区,这是由于市场需求变化和城市扩张导致的。 ...
第16 综合实验—部署,在中部署DHCP、WEB和文件共享服务器
m0_64378913的博客
12-26 1997
综合实验: (1):在win2008中构建公司的名为qf.com。 (2)DHCP服务器:在win2003中构建DHCP服务器。 (3)WEB服务器:在win2003中构建WEB服务器,要求发布两个站点,站点分别为oa.qf.com、CRM.qf.com。 (4)文件共享服务器:在win2003中构建文件共享服务器,IT部门用户可以读取文件、CEO用户拥有完全控制权。 (5)客户机:winxp为客户机,可以自动获取IP地址、加入、无需输入账号密码可以直接访问Web服务器和共享服务器
2023-04-06-项目笔记 - 第二百五十七阶段 - 4.4.2.255全局变量的作用-255 -2025.09.15
最新发布
09-15
这次讨论是项目第二百五十七阶段的一部分,并且预定在未来的2025年9月15日结束。 首先,笔记提出了提交代码到gitee的持续习惯,强调了作业提交过程中的代码质量与风格,这是编程实践中一项重要的技能。接着,笔记...
客户机加入虚拟机服务器,第三 VMware View 6.0 菜鸟入门 vSphere Client的安装和服务器的安装和配置...
weixin_42515796的博客
08-04 1166
在安装服务器时首先的说一下如何登录 vSpere 5.5 (esxi)主机。在第二我们已经设置esxi 5.5 主机的静态地址为:192.168.254.1在同一个网络中,我们找一台windows系统的电脑,安装 vSphere Client 。第一步:打开浏览器输入http://192.168.254.1(图1-1),单击 “继续浏览次网站”,进入(图 1-2)单击“Download ...
2014届高考数学总复习 课时提升作业(三十五) 第六章 第二
08-19
15. 经济优化问题:第十五题是经济问题中的最优化选择,需要对比两种收费策略,构建函数模型,找到省钱的方案。 以上这些知识点涵盖了高中数学中的不等式解法、函数的性质、新运算的理解、不等式恒成立问题、逻辑...
AD组策略使用技巧-用策略+脚本实现客户端管理员帐号密码统一更改
11-19
AD组策略使用技巧-用策略+脚本实现客户端管理员帐号密码统一更改
渗透之组策略详解
weixin_65550121的博客
12-10 2059
策略可以对用户账户,计算机账户进行集中化管理和配置,组策略分为本地组策略的组策略,本机组策略一般用于计算机管理员统一管理本机以及所有用户,内的组策略用于管统一管理内的所有计算机以及用户。打开组策略,可以看到林中有一条条的组策略。可以看到Default Domain PolicyDefault Domain Controller Policy 这两条组策略是默认的。对于组策略,我们一般关心两点。这条组策略链接到哪里。这条组策略的内容是啥。以为例。
网络安全】服务基础第一阶段——第十:Windows系统管理基础---- 组策略高级应用
goldfish8848的博客
09-03 1644
一、组策略的基本概念组策略(Group Policy)是微软Windows操作系统中用来控制工作环境的用户和计算机账户的一种集中管理工具。通过组策略,管理员可以控制用户的工作环境,包括安全设置、软件安装、桌面设置、网络配置、用户权限等。
策略应用:强制执行及筛选
qq_58606689的博客
08-22 1417
前言:当下级容器不需要来自上级容器的组策略时,且上级容器设置为强制继承,上级容器可以通过筛选将下级容器排除组策略应用。 强制组策略执行继承策略 (1)右击通信部已建好的GPO,选择强制 (2)此时策略已为强制执行 通过筛选,设置liming用户不受组策略影响。 (1)此时点击委派,并将用户liming添加进去并拒绝应用组策略 (2)由于我们的组策略为删除注销,由此我们登录各用户验证效果,先登录迪迦用户,可以看到由于没有进行筛选所以组策略生效,注销键消失 (3)登录li..
环境策略应用过程理解梳理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-26 1633
背景 控多用于办公桌面环境,或者采用控进行身份验证的环境;这里就以典型的桌面应用环境来梳理,当用户使用功能桌面客户端或浏览器访问桌面时,桌面连接服务器会去访问控,查找响应策略,写到自己的注册表里,然后应用组策略,那么这个过程大体上可以分为两步,第一步是验证过程;验证通过后,客户端会去找DC查询需要应用哪些组策略,然后应用。 过程分析 1、 客户端查找DC并进行身份验证 客户端通过自身的netlogon服务,去向DNS服务器查找内的PDC、GC、KDC、LADP等SRV记录;先查询站点内的前述记
控制器部署组策略,立即下发强制更新,显示“远程过程调用被取消”,错误代码 8007071a;以及RPC服务器不可用,800706ba【解决方案】
weixin_43850283的博客
08-01 6341
控制器部署组策略,立即下发强制更新,显示“远程过程调用被取消”,错误代码 8007071a首先放一张故障截图↓↓↓↓↓↓报错过程解决方法 首先放一张故障截图↓↓↓↓↓↓ 报错过程 在公司的环境,通过控制器设置了组策略,想要即时下发到所有的电脑上。 上图是服务器上的组策略管理器的界面,点击组策略更新,强制下发策略。 确认下发更新 然后,出现文中第一张图的故障。 “远程过程调用被取消”,错误代码 “ 8007071a” 解决方法 该问题是客户端的防火墙设置拦截了,所以需要在客户端的防火墙上进行操
策略权限的继承问题
wangxiaofei2006的专栏
04-28 5456
      在控制器的组策略管理中,遇到的最头疼的问题就是组策略权限的继承问题。我们都知道,为了便于权限的设置,组策略的配置具有继承的特性。也就是说,默认情况下,上级的配置会传递给下级,即使下面一级没有这方面的权限,等等。  假设名为现在有如下一个简单的网络架构。  在OU设置中,有一个销售集群的OU,其在组策略设置中,当系统登陆的时候,默认的用户名是上次登陆的用户。也就是说,在系统登
继承阻止继承——20170313 学习笔记
qq_24789885的博客
03-13 348
1.is-a 是继承的一个明显特征。 2.关键字extends表明正在构造的新类派生于一个已存在的类。 3.子类比父类(超类)拥有的功能更加丰富。 4.在设计类的时候,应该将通用的方法放在超类中,而将有特殊用途的方法放在子类中。 5.在子类中可以增加,增加方法,或者覆盖超类的方法,然而,绝对不能删除继承的任何和方法。 6.super(n,s,y
策略的应用规则
weixin_34167819的博客
08-10 761
实验2:组策略的应用规则实验目标以禁用中用户修改桌面背景为例验证策略继承阻止继承、强制继承策略的累加、策略的冲突实验环境实验步骤1、在中新建用户f,并且新建组织单位cu,在cu中新建用户l、g1)开始—管理工具—ActiveDirectory用户和计算机—Users—新建用户2)开始—管理工具—ActiveDirectory用户和计算机—右击(nds...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值