1.概念
内网环境分为:
工作组
默认模式,人人平等,要远程控制指定电脑那么就要用账户密码远程登录要被控制的电脑
域
人人不平等,可以集中管理,统一管理
2.域的组成
域控制器:
DC(Domain Controller),同一个域的所有电脑中,管事的老大,对其他电脑进行统一控制的
成员机:
被DC所进行统一管控的电脑
3.域的部署
1.安装域控制器,生成域环境
2.安装活动目录,生成域控制器
3.活动目录:Active Directory 简称“AD”
活动目录的特点:集中/统一管理
4.组策略GPO
4.部署域流程图
服务端win2008-1
win2008-1选择的交换机是VMnet2
对着“网络”右键,选择属性,点击“更改适配器设置”
对这“本地连接”右键,选择“属性”
在弹出的窗口把“IPv6”的勾勾去掉,
然后双击“IPv4”,
然后手动输入IP地址和对应的子网掩码
在“开始”菜单点击“运行”
输入dcpromo,进入安装向导
把选项勾上,这里的意思是,需要制定一个DNS的IP地址(因为域的其他成员机需要此来找到这台win2008-1的作为老大的电脑),可以手动在“网络”那里指定,也可以安装DC的时候自动给你把DNS服务也装上,让你这台电脑同时成为DNS服务器
按照图示来勾选,
现有林:已经有林才勾选,因为该案例并没有建立林,所以这个不勾选
向现有域添加域控制器:已经有林了,只不过在这个林里的一个根域上添加子域
向现有林中新建域:已经有林了,只不过在这个林里再创建一个根域
在新林中新建域:创建一个林,并且在这个林中创建一个根域
林的概念:
一个三角代表一个域,例如某公司总部有个域的管理机(DC控制器,老大)的域名叫qq.com,那么该域的成员机好多台,其中有一台成员机的域就叫yangtao.qq.com
该公司的分公司也有一个域,他的域的管理机(DC控制器,老大)的域名叫shanghai.qq.com,那么该分公司域的成员机中有一台成员机的域叫xiaomin.shanghai.qq.com
这个分公司的域(管理机,DC控制器)把总公司的域(管理机,DC控制器)认作老大,自己这个分公司域只是其一个子域,而总公司是的域则是根域
然而,有另外一个公司的域(管理机,DC控制器)与这个总公司的域(管理机,DC控制器)是同级的(也是个根域)并且是连在一起的,叫wx.com,这个公司又有属于其的一堆的子域,
综上所述,这些根域和子域共同组成了林,上图中就有两个根域,分别是wx.com和qq.com
设置根域的名字,这里设置为qf.com
这里的意思是,这个林里面的所有域控制器(DC控制器)的系统版本不能低于win2003,否则不能成为这个林的域控制器(DC控制器)
这里的意思是,这个域里面的所有域控制器(DC控制器)的系统版本不能低于win2008,否则不能成为这个域的域控制器(DC控制器)
直接点击下一步
点击“是”
直接点击“下一步”,不可以改
NTDS:就是活动目录的存放路径
SYSVOL:就是组策略的存放路径
这里设置的密码,是用于活动目录的还原时用的,这里我设置了“adg123456.com”
点击"下一步"
重启电脑后,登录的时候会看见一个前缀/用户名,这个前缀是因为你在刚才创建AD控制器的时候输入了qf.com为域名,而这也恰恰证明了,win2008-1已经从一台普通电脑成为了DC控制器
注意:密码仍然是以前的登录密码
对着“计算机”右键,选择“属性”,本来红框处显示的是“工作组”,现在则变为“域”了,后面还跟着域名qf.com,
并且“计算机全名”末尾也跟着qf.com
这也证明该电脑已经成为了DC控制器
此时,打开DNS界面,会发现自动在“正向查找区域”为你创建了个“qf.com”,并且还用
“计算机名字.qf.com”给进行了注册
AD控制器最主要的选项就是这个“Active Directory用户和计算机”
Computers:显示的是这个域里面所有的被管控的成员机(因为还没有成员机,所以这里为空白)
Domain Controllers:显示的是这个域里面所有的DC控制器,因为现在只有当前这台win2008,所以只显示该电脑的信息
值的注意的有3个:
Users:显示的是当前电脑的用户组和账户,因为当前的电脑已经是DC控制器,所以以前的本地用户全都迁移过来了,其中的Adminitrator就是以前的本地用户Adminitrator,但是现在的Adminitrator是域管理员用户,所以可以用该账户登录所有域内的成员机,并且可以任意操控域内其他成员机
Guest来宾用户也是以前的来宾用户,只不过现在升级为域用户,所以可以用该账户登录所有域内的成员机,只是权限较低
Domain Admins组则是以前的Admins组,如果把用户放入该组,那么该用户的权限则可以任意操控域内其他的成员机
winxp成员机
交换机要与win2008是同一个
因为本案例没开启DHCP服务,所以这里手动设置IP地址,IP地址要与win2008是同一网段
这里设置的IP地址是:10.1.1.2
子网掩码:255.255.255.0
DNS:10.1.1.1(因为win2008同时也是DNS服务器)
“我的电脑”右键,
选择属性,
点选“计算机名”,点击“更改”,
勾选“域”,输入win2008的域名"qf.com"
此时要你输入win2008的登录账户和密码,
账户:域名\用户名,也就是
qf.com\administrator
密码:123456.com
成功加入win2008的域了,然后重启winxp
win7成员机
交换机要与win2008是同一个
因为本案例没开启DHCP服务,所以这里手动设置IP地址,IP地址要与win2008是同一网段
这里设置的IP地址是:10.1.1.3
子网掩码:255.255.255.0
DNS:10.1.1.1(因为win2008同时也是DNS服务器)
“计算机”右键,
选择属性,点击“更改设置”,
点选“计算机名”,点击“更改”,
勾选“域”,输入win2008的域名"qf.com"
此时要你输入win2008的登录密码,
账户:administrator(因为win7已经默认写上了qf.com了,所以这里直接写win2008的登录用户名即可)
密码:123456.com
成功加入win2008的域了,然后重启win7
服务端win2008-1的效果
可以看到,qf.com这个域有了两个成员机
5.AD控制器创建域用户供成员机登录
服务端win2008-1
在活动目录这里,对着Users文件夹右击,
选择“新建”,点击“用户”
创建一个账户:
oushuaige@qf.com
的用户
设置密码:
123456.com
在Users中出现了刚新建的用户,
新的普通域用户创建成功
winxp成员机
“登录到”,选QF,另外的“TOM-xxxx”这个本地账户,后面的章节可以教你怎么用组策略进行禁用,
账户:oushuaige
密码:123456.com
初次用win2008所设的账户和密码登录后的winxp成员机的界面会显示为这样
此时,在C:\Documents and Settings下会出现
账户:oushuaige
的家目录
6.win2008的普通域用户获得指定成员机的所有权限
前提:成员机已经完成了前五章的操作加入了win2008的qf.com的域
win2008服务端
可以看到,DC(域控制器)有个普通域用户
用户名:oushuaige
winxp成员机
先登录本地系统的管理员账户,切记是本地的管理员账户,不是win2008持有的域管理员账户
如上图所示,
添加win2008的域用户oushuaige到本地管理员组administrators,从而获得winxp成员机的所有权限,
并且可以发现,因为winxp已经加入win2008的域“qf.com”,所以在“查找位置”下方则有该域名
然后点击“检查名称”
此时会弹出登录框,让你输入oushuaige的账户和密码
输入正确后,你的win2008的oushuaige这个普通域用户就会被正确填进方框内,此时你按“确定”
然后按“应用”
此时可以看到,你的win2008服务端的域用户oushuaige被纳入了本地管理员组Administrators组,从而获得该成员机所有权限
7.组织单位(OU)
7.1 概述
作用:用于归类域资源(域用户,域计算机,域组)
也就是上图这三个,
跟组类似,只不过组是统一赋权限,而OU则是统一的下发组策略
7.2 案例
7.2.1 创建OU
对着域名qf.com右键,选择“新建”,
点击“组织单位”
给OU命名,这里写的是“千锋集团”
同样的,对着“千锋集团”这个OU右键,选择“新建”,
点击“组织单位”
为这个“千锋集团”的OU新建一个叫“董事会”的OU
“董事会”子OU创建成功
相似地,分别创建了IT部,市场部,东北区,西北区这些OU
7.2.2 移动指定的域用户到指定OU
此时,我想将欧帅哥这个域用户(账户名:oushuaige)移动到“西北区”这个OU,
以后我只需要对“西北区”这个OU下发组策略(例如将苍井空作为壁纸)就可以统一影响到所有用oushuaige这个账户登录的成员机
要达到这个目的,我只需要对着欧帅哥这个用户右键,
选择“移动”
选择对应的OU
此时,就把指定的域用户移动到指定的OU中去了,以后不管这个oushuaige用户在哪台电脑登录,都会受到“西北区”这个OU的组策略的控制
7.2.3 移动指定的计算机到指定OU
此时,我想将JACK这个成员机移动到“西北区”这个OU,
以后我只需要对“西北区”这个OU下发组策略(例如将苍井空作为壁纸),那么不管是哪个域用户登录了这个JACK的成员机,都会被影响到
要达到这个目的,我只需要对着JACK这个成员机右键,
选择“移动”
选择对应的OU
此时,就把指定的成员机移动到指定的OU中去了,以后不管这台JACK电脑是哪个域用户登录,都会受到“西北区”这个OU的组策略的控制
8.组策略GPO
8.1 概述
GPO全称:Group Police
作用:通过组策略可以修改计算机的各种属性,如开始菜单,桌面背景,网络参数等
组策略在域中是通过OU来下发的
组策略在域中OU下发后,用户应用顺序是:优先级最大的是OU下发组策略,其次是成员机本地的组策略
组策略在域中OU下发后,用户应用顺序是:LSDOU
L:本地策略组所设置的策略
S:站点策略组,也就是“林”的例如根域下发过来的策略
D:域策略组,也就是整个域的总策略,也就是后面的例子中的qf.com这个OU
OU:D下属的一级一级往下的OU
如果OU下发的多条组策略有冲突,那么则后下发的组策略优先级最高
例如:
上级OU 桌面壁纸:从服务器读取A.jpeg 运行窗口:删除
下级OU 桌面壁纸:未配置 运行窗口:不删除
结果: 桌面壁纸:从服务器读取A.jpeg 运行窗口:不删除
8.2 组策略示意图
“管理工具”---》“组策略管理”
可以从图中看出,已经有两张组策略表了
”qf.com“的本质是最大的OU,所以紧跟着其的组策略表是影响整个域所有用户和电脑的
Domain Controller也是一个OU,所以紧跟着其的组策略表仅影响这个域的所有作为该域的DC控制器的用户或电脑
可以看到,”组策略管理“界面的OU和“活动目录”的OU是一一对应的
8.3 创建组策略
我想对”千锋集团“辖下的所有域用户和计算机做统一控制,那么只需要对”千锋集团“这个OU右键,
选择“在这个域中创建GPO....”
建议组策略的表名与对应的OU相同
组策略表创建出来了
如此类推,所有组策略表都被创建出来了
8.4 为所有千锋集团这个OU的域用户设置指定桌面背景
win2008服务端
设置共享文件
服务端的“E盘”下有个“share”文件夹,
“share”文件夹里面有张pic2的图片
首先,你要将这张图所在的”share“文件夹开放共享,那么就要右击”share“文件夹,选择”属性“,
点选“共享”选项卡,
点击“高级共享”
把“共享此文件夹”勾选,然后自定义填个共享名(默认是文件夹名,所以可以用默认的),
点击“权限”,然后把权限列表的3个权限全勾上,
虽然已经默认有个EveryOne组(所有用户都在该组),但是为了保险起见,最好把域用户组加进去,所以此时点击“添加”
输入“domain users”(域用户组),然后点击“检查名称”,最后点“确定”
为刚添加的“Domain Users”(域用户组)添加所有共享权限,
最后点击“应用”
切换到“安全”选项卡,
然后点击“编辑”,再点击“添加”,把“Domain Users”组也添加进去
“Domain Users”组添加进去后,点击应用,此时这个share文件夹的共享功能开启
设置组策略
因为要对整个“千锋集团”的域用户的计算机设置组策略,所以对着“千锋集团”这个组策略表右键,
选择“编辑”
因为是对用户进行设置而不是对PC进行设置,所以选择“用户配置”下的“策略”,然后点选“管理模板”
因为是要对用户的桌面进行控制,所以选择“桌面”,此时可以看到,右侧就是“桌面”所拥有的所有的策略,每一行就是一条策略,并且看到每种策略的状态均为“未配置”
对着”Active Desktop“中的“桌面墙纸”这条策略双击
把“已启用”勾上,
将”//10.1.1.1/share/pic2.jpeg“这个共享文件夹里的图片的网络地址写上,
然后点击应用
此时,该策略已经启用
win7成员机
输入域用户
账户:yangshuaige
密码:123456.com
成员机win7得到了win2008的“千锋集团”的策略组的策略,桌面背景变成了win2008的“share”文件夹中的“pic2.jpeg”图片了
8.5 查看指定组策略都开启了哪些策略
选择要查看的的组策略,然后点击“详细”就可以查看到该组策略都开启哪些策略
8.6 强制策略
“share”文件夹有2张背景图,分别是pic2.jpeg和pic3.jpeg
左侧是pic2.jpeg
右侧是pic3.jpeg
并且已经把“杨帅哥”这个用户加入了”董事会“这个OU
“杨帅哥”的账户名是:yangshuaige
密码是:123456.com
上级组策略“千锋集团”所设置的桌面壁纸是share文件夹中的pic2.jpeg
下级组策略“董事会”设置的桌面壁纸是share文件夹的pic3.jpeg
用域用户“杨帅哥”,账户:yangshuaige
登录成员机win7
最终是“董事会”组策略起了作用,pic3.jpeg生效
此时,我对着“千锋集团”这个上级OU的组策略右键,选择“强制”
用域用户“杨帅哥”,账户:yangshuaige,
重新登录成员机win7
可以发现,桌面壁纸是上级OU“千锋集团”的组策略所设置的pic2.jpeg
注意:如果上级OU的策略组设置了“强制”,而下级OU设置了“阻止继承”,那么上级OU的策略组的优先级最大
8.7 阻止继承
上级OU“千锋集团”的一个下级OU“西北区”有个账户“欧帅哥”,账户名:oushuaige
上级OU“千锋集团”的组策略设置了禁用cmd窗口
账户“欧帅哥”所在的下级OU“西北区”并没有配置关闭/开启cmd窗口功能
此时,用“欧帅哥”这个下级OU“西北区”的域账户登录成员机winxp,
可以发现,cmd窗口被禁用了
此时,如果我们在“组策略管理”,“西北区”这个OU右键,
选择“阻止继承”
重新用“欧帅哥”这个“西北区”所拥有的域账户重新登录成员机winxp,
会发现cmd窗口不受上级OU“千锋集团”的组策略影响,又可以正常使用了
注意:如果上级OU的策略组设置了“强制”,而下级OU设置了“阻止继承”,那么上级OU的策略组的优先级最大
8.8 "强制"与“阻止继承”同时存在
如果上级OU的策略组设置了“强制”,而下级OU设置了“阻止继承”,那么上级OU的策略组的优先级最大
8.9 让批处理文件成为组策略
win2008服务端
有个批处理文件test.bat
里面的功能是让域用户登录成员机的时候,自动在成员机的e盘创建test文件夹
并且在test文件夹中创建一个写着“helloworld”的hello.txt文件
对着指定的OU(这里是上级OU“千锋集团”)右键,选择“编辑”
因为是对域用户添加策略,所以选择“用户配置”》“Windows设置”》“脚本(登录/注销)”
因为要让用户在登录系统时触发该批处理的操作,所以对着“登录”双击,
在“脚本”选项卡处点击“添加”
点击“浏览”
然后系统会进入一个指定目录,这时,你直接把你的批处理文件拉到弹出的界面里,然后在选中
点击“应用”即可
winxp成员机
本来winxp是没有test文件夹的
重新用域用户登录winxp
此时,winxp自动在e盘创建了对应的文件夹和文件
8.10 常用策略
8.10.1 密码策略,账户锁定策略,
计算机配置》策略》Windows设置》安全设置》账户策略》密码策略
计算机配置》策略》Windows设置》安全设置》账户策略》账户锁定策略
锁定时间:多久时间内不让登录
锁定阈值:连续输入错误多少次账户被锁定不让登录
重置账户锁定计数器:多久时间内不让客户连续错误输入锁定的阈值,所以“重置账户锁定计数器”的时间建议小于或等于“锁定时间”