14.域。

1.概念

内网环境分为：

工作组

默认模式，人人平等，要远程控制指定电脑那么就要用账户密码远程登录要被控制的电脑

域

人人不平等，可以集中管理，统一管理

2.域的组成

域控制器：

DC（Domain Controller），同一个域的所有电脑中，管事的老大，对其他电脑进行统一控制的

成员机：

被DC所进行统一管控的电脑

3.域的部署

1.安装域控制器，生成域环境

2.安装活动目录，生成域控制器

3.活动目录：Active Directory 简称“AD”

活动目录的特点：集中/统一管理

4.组策略GPO

4.部署域流程图

服务端win2008-1

win2008-1选择的交换机是VMnet2

对着“网络”右键，选择属性，点击“更改适配器设置”

对这“本地连接”右键，选择“属性”

在弹出的窗口把“IPv6”的勾勾去掉，

然后双击“IPv4”，

然后手动输入IP地址和对应的子网掩码

在“开始”菜单点击“运行”

输入dcpromo，进入安装向导

把选项勾上，这里的意思是，需要制定一个DNS的IP地址（因为域的其他成员机需要此来找到这台win2008-1的作为老大的电脑），可以手动在“网络”那里指定，也可以安装DC的时候自动给你把DNS服务也装上，让你这台电脑同时成为DNS服务器

按照图示来勾选，

现有林：已经有林才勾选，因为该案例并没有建立林，所以这个不勾选

向现有域添加域控制器：已经有林了，只不过在这个林里的一个根域上添加子域

向现有林中新建域：已经有林了，只不过在这个林里再创建一个根域

在新林中新建域：创建一个林，并且在这个林中创建一个根域

林的概念：

一个三角代表一个域，例如某公司总部有个域的管理机（DC控制器，老大）的域名叫qq.com，那么该域的成员机好多台，其中有一台成员机的域就叫yangtao.qq.com

该公司的分公司也有一个域，他的域的管理机（DC控制器，老大）的域名叫shanghai.qq.com，那么该分公司域的成员机中有一台成员机的域叫xiaomin.shanghai.qq.com

这个分公司的域（管理机，DC控制器）把总公司的域（管理机，DC控制器）认作老大，自己这个分公司域只是其一个子域，而总公司是的域则是根域

然而，有另外一个公司的域（管理机，DC控制器）与这个总公司的域（管理机，DC控制器）是同级的（也是个根域）并且是连在一起的，叫wx.com，这个公司又有属于其的一堆的子域，

综上所述，这些根域和子域共同组成了林，上图中就有两个根域，分别是wx.com和qq.com

设置根域的名字，这里设置为qf.com

这里的意思是，这个林里面的所有域控制器（DC控制器）的系统版本不能低于win2003，否则不能成为这个林的域控制器（DC控制器）

这里的意思是，这个域里面的所有域控制器（DC控制器）的系统版本不能低于win2008，否则不能成为这个域的域控制器（DC控制器）

直接点击下一步

点击“是”

直接点击“下一步”，不可以改

NTDS：就是活动目录的存放路径

SYSVOL：就是组策略的存放路径

这里设置的密码，是用于活动目录的还原时用的，这里我设置了“adg123456.com”

点击"下一步"

重启电脑后，登录的时候会看见一个前缀/用户名，这个前缀是因为你在刚才创建AD控制器的时候输入了qf.com为域名，而这也恰恰证明了，win2008-1已经从一台普通电脑成为了DC控制器

注意：密码仍然是以前的登录密码

对着“计算机”右键，选择“属性”，本来红框处显示的是“工作组”，现在则变为“域”了，后面还跟着域名qf.com，

并且“计算机全名”末尾也跟着qf.com

这也证明该电脑已经成为了DC控制器

此时，打开DNS界面，会发现自动在“正向查找区域”为你创建了个“qf.com”，并且还用

“计算机名字.qf.com”给进行了注册

AD控制器最主要的选项就是这个“Active Directory用户和计算机”

Computers：显示的是这个域里面所有的被管控的成员机（因为还没有成员机，所以这里为空白）

Domain Controllers：显示的是这个域里面所有的DC控制器，因为现在只有当前这台win2008，所以只显示该电脑的信息

值的注意的有3个：

Users：显示的是当前电脑的用户组和账户，因为当前的电脑已经是DC控制器，所以以前的本地用户全都迁移过来了，其中的Adminitrator就是以前的本地用户Adminitrator，但是现在的Adminitrator是域管理员用户，所以可以用该账户登录所有域内的成员机，并且可以任意操控域内其他成员机

Guest来宾用户也是以前的来宾用户，只不过现在升级为域用户，所以可以用该账户登录所有域内的成员机，只是权限较低

Domain Admins组则是以前的Admins组，如果把用户放入该组，那么该用户的权限则可以任意操控域内其他的成员机

winxp成员机

交换机要与win2008是同一个

因为本案例没开启DHCP服务，所以这里手动设置IP地址，IP地址要与win2008是同一网段

这里设置的IP地址是：10.1.1.2

子网掩码：255.255.255.0

DNS：10.1.1.1（因为win2008同时也是DNS服务器）

“我的电脑”右键，

选择属性，

点选“计算机名”，点击“更改”，

勾选“域”，输入win2008的域名"qf.com"

此时要你输入win2008的登录账户和密码，

账户：域名\用户名，也就是

qf.com\administrator

密码：123456.com

成功加入win2008的域了，然后重启winxp

win7成员机

交换机要与win2008是同一个

因为本案例没开启DHCP服务，所以这里手动设置IP地址，IP地址要与win2008是同一网段

这里设置的IP地址是：10.1.1.3

子网掩码：255.255.255.0

DNS：10.1.1.1（因为win2008同时也是DNS服务器）

“计算机”右键，

选择属性，点击“更改设置”，

点选“计算机名”，点击“更改”，

勾选“域”，输入win2008的域名"qf.com"

此时要你输入win2008的登录密码，

账户：administrator（因为win7已经默认写上了qf.com了，所以这里直接写win2008的登录用户名即可）

密码：123456.com

成功加入win2008的域了，然后重启win7

服务端win2008-1的效果

可以看到，qf.com这个域有了两个成员机

5.AD控制器创建域用户供成员机登录

服务端win2008-1

在活动目录这里，对着Users文件夹右击，

选择“新建”，点击“用户”

创建一个账户：

oushuaige@qf.com

的用户

设置密码：

123456.com

在Users中出现了刚新建的用户，

新的普通域用户创建成功

winxp成员机

“登录到”，选QF，另外的“TOM-xxxx”这个本地账户，后面的章节可以教你怎么用组策略进行禁用，

账户：oushuaige

密码：123456.com

初次用win2008所设的账户和密码登录后的winxp成员机的界面会显示为这样

此时，在C:\Documents and Settings下会出现

账户：oushuaige

的家目录

6.win2008的普通域用户获得指定成员机的所有权限

前提：成员机已经完成了前五章的操作加入了win2008的qf.com的域

win2008服务端

可以看到，DC（域控制器）有个普通域用户

用户名：oushuaige

winxp成员机

先登录本地系统的管理员账户，切记是本地的管理员账户，不是win2008持有的域管理员账户

如上图所示，

添加win2008的域用户oushuaige到本地管理员组administrators，从而获得winxp成员机的所有权限，

并且可以发现，因为winxp已经加入win2008的域“qf.com”，所以在“查找位置”下方则有该域名

然后点击“检查名称”

此时会弹出登录框，让你输入oushuaige的账户和密码

输入正确后，你的win2008的oushuaige这个普通域用户就会被正确填进方框内，此时你按“确定”

然后按“应用”

此时可以看到，你的win2008服务端的域用户oushuaige被纳入了本地管理员组Administrators组，从而获得该成员机所有权限

7.组织单位（OU）

7.1 概述

作用：用于归类域资源（域用户，域计算机，域组）

也就是上图这三个，

跟组类似，只不过组是统一赋权限，而OU则是统一的下发组策略

7.2 案例

7.2.1 创建OU

对着域名qf.com右键，选择“新建”，

点击“组织单位”

给OU命名，这里写的是“千锋集团”

同样的，对着“千锋集团”这个OU右键，选择“新建”，

点击“组织单位”

为这个“千锋集团”的OU新建一个叫“董事会”的OU

“董事会”子OU创建成功

相似地，分别创建了IT部，市场部，东北区，西北区这些OU

7.2.2 移动指定的域用户到指定OU

此时，我想将欧帅哥这个域用户（账户名：oushuaige）移动到“西北区”这个OU，

以后我只需要对“西北区”这个OU下发组策略（例如将苍井空作为壁纸）就可以统一影响到所有用oushuaige这个账户登录的成员机

要达到这个目的，我只需要对着欧帅哥这个用户右键，

选择“移动”

选择对应的OU

此时，就把指定的域用户移动到指定的OU中去了，以后不管这个oushuaige用户在哪台电脑登录，都会受到“西北区”这个OU的组策略的控制

7.2.3 移动指定的计算机到指定OU

此时，我想将JACK这个成员机移动到“西北区”这个OU，

以后我只需要对“西北区”这个OU下发组策略（例如将苍井空作为壁纸），那么不管是哪个域用户登录了这个JACK的成员机，都会被影响到

要达到这个目的，我只需要对着JACK这个成员机右键，

选择“移动”

选择对应的OU

此时，就把指定的成员机移动到指定的OU中去了，以后不管这台JACK电脑是哪个域用户登录，都会受到“西北区”这个OU的组策略的控制

8.组策略GPO

8.1 概述

GPO全称：Group Police

作用：通过组策略可以修改计算机的各种属性，如开始菜单，桌面背景，网络参数等

组策略在域中是通过OU来下发的

组策略在域中OU下发后，用户应用顺序是：优先级最大的是OU下发组策略，其次是成员机本地的组策略

组策略在域中OU下发后，用户应用顺序是：LSDOU

L：本地策略组所设置的策略

S：站点策略组，也就是“林”的例如根域下发过来的策略

D：域策略组，也就是整个域的总策略，也就是后面的例子中的qf.com这个OU

OU：D下属的一级一级往下的OU

如果OU下发的多条组策略有冲突，那么则后下发的组策略优先级最高

例如：

上级OU 桌面壁纸：从服务器读取A.jpeg 运行窗口：删除

下级OU 桌面壁纸：未配置 运行窗口：不删除

结果： 桌面壁纸：从服务器读取A.jpeg 运行窗口：不删除

8.2 组策略示意图

“管理工具”---》“组策略管理”

可以从图中看出，已经有两张组策略表了

”qf.com“的本质是最大的OU，所以紧跟着其的组策略表是影响整个域所有用户和电脑的

Domain Controller也是一个OU，所以紧跟着其的组策略表仅影响这个域的所有作为该域的DC控制器的用户或电脑

可以看到，”组策略管理“界面的OU和“活动目录”的OU是一一对应的

8.3 创建组策略

我想对”千锋集团“辖下的所有域用户和计算机做统一控制，那么只需要对”千锋集团“这个OU右键，

选择“在这个域中创建GPO....”

建议组策略的表名与对应的OU相同

组策略表创建出来了

如此类推，所有组策略表都被创建出来了

8.4 为所有千锋集团这个OU的域用户设置指定桌面背景

win2008服务端

设置共享文件

服务端的“E盘”下有个“share”文件夹，

“share”文件夹里面有张pic2的图片

首先，你要将这张图所在的”share“文件夹开放共享，那么就要右击”share“文件夹，选择”属性“，

点选“共享”选项卡，

点击“高级共享”

把“共享此文件夹”勾选，然后自定义填个共享名（默认是文件夹名，所以可以用默认的），

点击“权限”，然后把权限列表的3个权限全勾上，

虽然已经默认有个EveryOne组（所有用户都在该组），但是为了保险起见，最好把域用户组加进去，所以此时点击“添加”

输入“domain users”（域用户组），然后点击“检查名称”，最后点“确定”

为刚添加的“Domain Users”（域用户组）添加所有共享权限，

最后点击“应用”

切换到“安全”选项卡，

然后点击“编辑”，再点击“添加”，把“Domain Users”组也添加进去

“Domain Users”组添加进去后，点击应用，此时这个share文件夹的共享功能开启

设置组策略

因为要对整个“千锋集团”的域用户的计算机设置组策略，所以对着“千锋集团”这个组策略表右键，

选择“编辑”

因为是对用户进行设置而不是对PC进行设置，所以选择“用户配置”下的“策略”，然后点选“管理模板”

因为是要对用户的桌面进行控制，所以选择“桌面”，此时可以看到，右侧就是“桌面”所拥有的所有的策略，每一行就是一条策略，并且看到每种策略的状态均为“未配置”

对着”Active Desktop“中的“桌面墙纸”这条策略双击

把“已启用”勾上，

将”//10.1.1.1/share/pic2.jpeg“这个共享文件夹里的图片的网络地址写上，

然后点击应用

此时，该策略已经启用

win7成员机

输入域用户

账户：yangshuaige

密码：123456.com

成员机win7得到了win2008的“千锋集团”的策略组的策略，桌面背景变成了win2008的“share”文件夹中的“pic2.jpeg”图片了

8.5 查看指定组策略都开启了哪些策略

选择要查看的的组策略，然后点击“详细”就可以查看到该组策略都开启哪些策略

8.6 强制策略

“share”文件夹有2张背景图，分别是pic2.jpeg和pic3.jpeg

左侧是pic2.jpeg

右侧是pic3.jpeg

并且已经把“杨帅哥”这个用户加入了”董事会“这个OU

“杨帅哥”的账户名是：yangshuaige

密码是：123456.com

上级组策略“千锋集团”所设置的桌面壁纸是share文件夹中的pic2.jpeg

下级组策略“董事会”设置的桌面壁纸是share文件夹的pic3.jpeg

用域用户“杨帅哥”，账户：yangshuaige

登录成员机win7

最终是“董事会”组策略起了作用，pic3.jpeg生效

此时，我对着“千锋集团”这个上级OU的组策略右键，选择“强制”

用域用户“杨帅哥”，账户：yangshuaige，

重新登录成员机win7

可以发现，桌面壁纸是上级OU“千锋集团”的组策略所设置的pic2.jpeg

注意：如果上级OU的策略组设置了“强制”，而下级OU设置了“阻止继承”，那么上级OU的策略组的优先级最大

8.7 阻止继承

上级OU“千锋集团”的一个下级OU“西北区”有个账户“欧帅哥”，账户名：oushuaige

上级OU“千锋集团”的组策略设置了禁用cmd窗口

账户“欧帅哥”所在的下级OU“西北区”并没有配置关闭/开启cmd窗口功能

此时，用“欧帅哥”这个下级OU“西北区”的域账户登录成员机winxp，

可以发现，cmd窗口被禁用了

此时，如果我们在“组策略管理”，“西北区”这个OU右键，

选择“阻止继承”

重新用“欧帅哥”这个“西北区”所拥有的域账户重新登录成员机winxp，

会发现cmd窗口不受上级OU“千锋集团”的组策略影响，又可以正常使用了

注意：如果上级OU的策略组设置了“强制”，而下级OU设置了“阻止继承”，那么上级OU的策略组的优先级最大

8.8 "强制"与“阻止继承”同时存在

如果上级OU的策略组设置了“强制”，而下级OU设置了“阻止继承”，那么上级OU的策略组的优先级最大

8.9 让批处理文件成为组策略

win2008服务端

有个批处理文件test.bat

里面的功能是让域用户登录成员机的时候，自动在成员机的e盘创建test文件夹

并且在test文件夹中创建一个写着“helloworld”的hello.txt文件

对着指定的OU（这里是上级OU“千锋集团”）右键，选择“编辑”

因为是对域用户添加策略，所以选择“用户配置”》“Windows设置”》“脚本（登录/注销）”

因为要让用户在登录系统时触发该批处理的操作，所以对着“登录”双击，

在“脚本”选项卡处点击“添加”

点击“浏览”

然后系统会进入一个指定目录，这时，你直接把你的批处理文件拉到弹出的界面里，然后在选中

点击“应用”即可

winxp成员机

本来winxp是没有test文件夹的

重新用域用户登录winxp

此时，winxp自动在e盘创建了对应的文件夹和文件

8.10 常用策略

8.10.1 密码策略，账户锁定策略，

计算机配置》策略》Windows设置》安全设置》账户策略》密码策略

计算机配置》策略》Windows设置》安全设置》账户策略》账户锁定策略

锁定时间：多久时间内不让登录

锁定阈值：连续输入错误多少次账户被锁定不让登录

重置账户锁定计数器：多久时间内不让客户连续错误输入锁定的阈值，所以“重置账户锁定计数器”的时间建议小于或等于“锁定时间”