域的复习
域的特点:集中管理
活动目录的特点:集中管理
域:Domain
域控制器:Domain Controller = DC
活动目录:Active Directory = AD
在域中,组策略的应用顺序是:LSDOU
例:
上级OU:密码要求3位 禁止运行按钮 桌面a背景
中级OU:密码要求4位 允许运行按钮 桌面未配置
下级OU:密码未配置 禁止运行按钮 桌面未配置
正常情况下级OU在登录后的结果:密码要求4位 禁止允许按钮 桌面a背景
若下级OU设置了阻止继承结果是:密码未配置 禁止运行按钮 桌面未配置
若上级OU设置强制继承结果是: 密码要求3位 禁止允许按钮 桌面a背景
下级设置组织,同时上级设置强制,最终下级OU结果: 密码要求3位 禁止允许按钮 桌面a背景
综合实验:
横线代表的是交换机,竖线代表的是网线
实验演示:
实验环境:win2003-1、win2008-1、winxp-1
都连接到同一个交换机VMnet2、win2008-1(手动配置IP:10.1.1.1)、win2003-1(手动配置IP:10.1.1.2)
要求:1、将win2008-1部署为DC/DNS,域名为qf.com
2、将win2003-1加入域,部署为WEB/DHCP/文件共享服务器,发布两个站点(oa.qf.com; crm.qf.com)
3、共享文件夹要求:使用IT部门的域用户只可以下载,使用CEO的域用户有完全控制权限
4、将winxp-1加入域,并自动获取IP,直接访问WEB和文件共享服务器
准备阶段:
桥接和配IP步骤省略,注意在win2008-1中不需要手动添加DNS,因为安装DC的步骤中包含安装DNS,会自己指向自己;
在win2003-1中除了配IP为,还可以手动指DNS到10.1.1.1
做完之后记得ping一下!(确认关闭防火墙,当时拍快照的时候我win2008-1忘记关防火墙了)
把win2003-1计算机名字改为share,win2008-1更改计算机名为DC1(只是单纯为了好看)
配置win2008-1IP的时候一定要把IPV6前面的√去掉
实验阶段:
在win2008-1上安装DC:win+R输入dcpromo
出现向导:
注意点:1、记得勾选“通过在此计算机上安装DNS服务器服务来自动更正问题”(要想出现这个弹框,在配置IP的时候不要指DNS)
2、选择“在新林中新建域”;
3、命名林根域为qf.com
4、林功能级别和域功能级别都选“Winidows Server 2003”
5、弹出的弹框选择“是”
6、目录服务还原还原模式的Administrator密码设为“666.com”
7、勾选“完成后重新启动”
验证win2008-1安装DC是否成功:
登录时是以QF\Administrator登录的
验证一:计算机右键属性,可以看到域:qf.com
验证二:开始--管理工具--DNS和Active Directory用户和计算机能正常打开
验证三:打开DNS,看看里面有没有自动生成qf.com区域配置文件
有了下面这两条记录就说明员工可以加入域(员工说我想加入qf.com就解析域本身)
补充:如果这台DC是公司真正的DC(在生产环境中),一定要做这件事:
win2008-1上打开DNS----对准服务器名---右键点击属性-----转发器---编辑---加上202.106.0.20【最近的公网DNS】---确定(在显示中一定要设转发器)
将win2003-1加入域:
我的电脑右键属性---计算机名---更改---隶属于域(qf.com)---弹出弹框:“用户名: qf.com\administrator 密码:管理员密码”----重启计算机生效
确认win2003-1是否加入域:
一定要去DNS上去检测share.qf.com这个域名和10.1.1.2这个服务器地址是否在win2008-1的DNS上自动注册了解析记录【share是win2003-1的计算机名】
注意:在哪个文件夹创建用户都是普通用户,只有在Users的Domain Admins里面点击成员才能添加域管理员
用域管理员身份登录win2003-1:点击选项,选择登录到QF
登录后win2008-1上会有解析记录:
在win2003-1上安装WEB和DHCP服务软件:此时是域管理员身份登录(习惯性加完域之后再做这一步)
打开光驱(E盘)--- 安装可选的Windows服务 --- 网络服务中选择DHCP/应用程序服务器里面选择IIS中的万维网服务
打开win2003-1中的DHCP——》右键点击授权(是用域管理员身份登录的)——》刷新一下
右键新建作用域(地址池)---名称qf---起始ip地址10.1.1.100,结束IP地址10.1.1.200,长度24---不排除---网关(下一步)--- 配DNS(10.1.1.1【写DC那台服务器的地址】)
在win2003-1上创建共享服务器
在D盘创建文件夹“千锋公共文档”,里面创建文本文档123.txt
做两个权限(有一部分员工打开只能下载,一部分有完全控制权限)
“千峰公共文档”文件夹右键属性---共享---共享此文件夹---共享名qfshare---共享权限(everyone完全控制),为了更保险可以再添加domain users(点确定那一瞬间,2003会马上去DC上的活动目录里面去找有没有Domain Users这个组)
在安全里面点击高级---取消继承(第一个对勾)---添加Domain Admins【只剩下两个Administrators(SHARE\Administrators)和Domain Admins(QF\Domain Admins)其他无关的删除】给完全控制权限---添加IT和sp.huang
赋权限要建立组
在右侧空白处单击鼠标右键---新建组(域组)---组名IT,组作用域:全局 【看情况】,组类型:安全组【发邮件就选通讯组】
双击杨涛---隶属于---添加IT
win2003搭建网站
打开IIS---通用默认网站
在D盘新建站点,新建一个文件夹叫web,里面再新建文件夹作为站点【方便管理】,web里面新建OA和CRM两个文件夹——》文本文档里面html代码(略)
1、新建网站---描述CRM----IP地址10.1.1.2,端口80,主机头:crm.qf.com------选择路径------静态网页选读取,动态网页选读取、运行脚本、执行
网站右键属性----文档---index.html置顶2、新建网站---描述OA----IP地址10.1.1.2,端口80,主机头:oa.qf.com------选择路径------静态网页选读取,动态网页选读取、运行脚本、执行
网站右键属性----文档---index.html置顶win2008-1记得加解析
win2008-1打开dns---点击qf.com---右侧右键新建主机A----名称oa,IP地址10.1.1.2----添加主机
win2008-1打开dns---点击qf.com---右侧右键新建主机A----名称crm,IP地址10.1.1.2----添加主机
打开winxp-1
一打开XP就属于自动获取IP的状态
同时在win2003的DHCP上会有一条租约记录
winxp加入域:
我的电脑右键属性----计算机名---更改---qf.com----用户名qf.com\administrator(注意斜杠方向)---重启生效
在2008-1上的DNS会出现一条记录
tao.yang登录域:(一下两个方法都行)
验证共享:tao.yang能下载不能上传
验证tao.yang能不能访问网页:(成功)
验证另外一个用户的过程就省略了(和上面差不多)
如果对网站设置禁止匿名访问:访问网页的时候就需要密码了
当别人访问OA网站的时候,不允许他匿名,输入账号密码后,我不在本地验证,去域里面找域用户
弹框:登录名tao.yang@qf.com