windows活动目录与域

摘要：本文将详细介绍Windows活动目录与域的概念、原理和实战操作，帮助大家深入了解这一领域的知识。

一、活动目录简介
，活动目录（Active  Directory，简称AD）是微软公司开发的一种目录服务，它用于在Windows网络环境中存储和管理各种对象（如用户、计算机、组织单位和网络资源等），并提供这些对象之间的关联和授权管理。活动目录在企业级网络中发挥着非常关键的作用，它可以帮助管理员更加高效地组织、管理和保护网络资源，同时降低了网络维护成本。

活动目录的核心是域（Domain），它是一个逻辑上的组织单位，由一组计算机、用户和其他网络资源组成。每个域都有一个唯一的域名，例如"contoso.com"。


二、域的概念与作用
1.    域（Domain）是一个逻辑上的组织单元，它包含了一组相关的计算机和用户。在域中，管理员可以对各个对象执行统一的权限管理和资源分配。
2.    域的作用主要体现在以下几点：


（1）集中管理：通过域，管理员可以对整个域内的计算机和用户进行统一的管理，包括账号、权限、软件部署等。


（2）资源共享：在域中，计算机可以方便地共享文件和文件夹，提高了工作效率。


（3）安全控制：域控制器（DC）可以对域内的对象进行权限控制，确保网络资源的安全。


（4）故障恢复：通过域，可以方便地进行故障恢复，例如将域控制器迁移到另一台服务器。

Windows活动目录与域的关系

Windows活动目录是一种目录服务，而域是一种逻辑结构。在Windows Server操作系统中，域是基于Windows活动目录实现的。每个域都有自己的Windows活动目录数据库，其中包含了该域中的所有计算机和用户的信息。管理员可以通过Windows活动目录管理工具来管理域中的计算机和用户。

如何部署Windows活动目录与域？

要部署Windows活动目录与域，需要按照以下步骤进行：

1. 安装Windows Server操作系统，并将其配置为域控制器。
2. 创建一个新的域或加入一个现有的域。
3. 配置域的安全策略和用户账户数据库。
4. 配置域中的计算机和用户的权限和访问控制。
5. 配置域中的资源，如共享文件夹、打印机等。

如何管理Windows活动目录与域？

要管理Windows活动目录与域，需要使用Windows活动目录管理工具。管理员可以使用这些工具来管理域中的计算机和用户，包括添加、删除、修改计算机和用户的信息，配置安全策略和访问控制等。

如何实现集中用户认证及授权系统？

要实现集中用户认证及授权系统，可以使用LDAP和Kerberos协议。LDAP协议用于用户认证和授权，Kerberos协议用于用户身份验证。管理员可以使用这些协议来实现集中用户认证和授权，提高网络的安全性和可管理性。

实验目的：

1. 理解WINDOWS活动目录结构
2. 掌握WINDOWS活动目录安装
3. 理解DNS动态安全更新
4. 掌握WINDOWS活动目录工具使用
5. 理解WINDOWS活动目录组策略

实验内容：

1. 确认第一台windows系统的虚拟机网卡设置为LAN区段:LAN1，计算机全名为(自己名字拼音首字母).abc.com，IP为192.168.137.10/24，已安装DNS且正向查找区域为abc.com。
2. 通过“添加角色和功能向导”安装向导安装Active Directory。
3. 配置安装已经安装活动目录的服务器，从而将其提升为域控制器。
4. 选择：新建林:abc.com，输入还原密码Aa123456两遍
5. 将“创建DNS委派”前的勾去掉。
6. 为当前服务器安装角色dns,在服务器管理器的“工具”菜单展示有DNS工具。将操作界面截图到7-5.jpg。
7. 注意默认域的netbios名称为ABC,将操作界面截图到7-6.jpg。
8. 完成域控制器设置后打开DNS控制台，在DNS主区域abc.com属性的“常规”中，先按下图做“更改”，再设置动态更新为：安全

1. 用母盘克隆第二台windows系统，打开得到的新虚拟机，将网卡设置为LAN区段:LAN1，计算机全名为2016b.abc.com，IP为192.168.137.20/24，dns地址为192.168.137.10。
2. 使用sysprep工具修改2016b虚拟机有sid。

1. 将计算机2016b(要重设计算机名和IP)添加到域(点“更改”->”域“->输入域名abc.com,有时只输入abc就行),出现“欢迎加入域abc.com”\
2. 回到dc,在类似下面的窗口中，刷新后显示2016b ...192.168.137.20\

1. 了解让域成员计算机2016B退出域方法，打开类似下面的窗口，但不要点“确定”\

1. 回到dc，使用‘Active Directory管理中心’新建一组织单位sales,\

1. 使用‘Active Directory管理中心’,在users组中新建一用户账号zhansan\

1. 使用‘Active Directory管理中心’新建一组账号txl,\

1. 将用户zhangsan移到组织单位sales

1. 用“组策略管理”工具为组织sales创建组策略aaa

1. 查看和编辑组策略对象aaa。

1. 在类似上面工作窗口，选择“设置”标签，在“用户配置”小窗口，右键打开准备“编辑”策略，将操作截图到
2. 进入用户软件安装策略，类似下图截图到

1. 选择准备安装的数包(事先要准备好文件夹和软件程序，若不能复制文件到虚拟机，请在进入系统后，在“虚拟机”菜单下：安装Vmware Tools)。

1. 发布上面准备好的软件。在类似下图截图到

1. 创建共享test，以方便网络用户zhangsan访问。

1. 发布共享，以方便网络用户访问。

1. 发布共享，以方便网络用户访问。

1. 在2016B以用户zhangsan登录，验证组策略效果。

1. 在2016B以用户zhangsan登录，验证组策略效果。

1. 在dc强制立即应用组策略可执行命令Gpupdate 。

1. 在2016B重新登录，查看结果. 

1. 在2016b中设置网盘z:以访问安装文件, 

1. 在获得程序中安装时指定路径。

1. 以管理员身份安装程序。最终在桌面确认有mbsa快捷图标。

总结 本文从概念、原理和实战操作三个方面，对Windows活动目录与域进行了全面解读。希望通过这篇文章，大家能对这一领域有更深入的了解，并在实际工作中发挥出活动目录与域的强大功能。