AD域简介

AD域简介

场景简介：

• 当一个普通的工作组电脑（该电脑上只有一个管理员和普通用户），加入域之后。该电脑还必须指定DNS。（凡是加入域的成员，dns都必须指向域主机，而不能再指向互联网上的DNS。）当有人拿着域用户A登录该主机的时候，主机会先找DC服务器，说有一个A用户使用XXXX密码要登录我。DC会根据活动目录中域用户的信息作比较，密码正确，则允许登录。然后，该主机会在本地创建一个和域用户同名的账户（对于一个企业来讲，主机上的原来的账号，将会被规定禁止使用）。当账户登录成功之后，主机会再次请求DC，DC查询GPO，发现一条规则为：桌面背景图片是xxx.png。然后会将该策略，以及图片的路径，返回给主机。

内网环境：

• 工作组：默认模式，人人平等。没有办法强制控制别人的电脑。不方便管理。
• 域：为了方便统一管理，人人不平等，老大可以随时控制所有人。集中管理，统一管理。

域的特点：

• 集中管理，统一管理。

域的组成：

• 域控制器：DC（Domain controller）
• 成员机

域的部署：

• 注意：域服务器+DNS服务器，安装DC的时候，还需要安装DNS服务。安装DC的时候，会创建一个AD（活动目录），记录了公司的所有公共资源。
• 注意：只有在活动目录记录的账号，才叫做域账户。
• 注意：域里面DC最重要，DC中AD最重要。活动目录中有一个GPO（组策略）。在一个大公司里面，每个人都由一个域账户。组策略中可以制定很多规则，比如，该组下的所有用户的背景图片。
• 注意：域里面有两个比较重要的资源，计算机资源+用户资源。
• 注意：DC安装成功后，域主机上的Administrator用户，会升级成域管理员账户。可以使用该账户的密码登录所有域成员的Administrator账户。
• 注意：对于电脑上新加的域用户A，权限特别低。当需要电脑的所有权的时候，有两种途径。一种是通过DC将域用户A提升为管理员，不过太危险，不建议。第二种，就是将该域用户A，加到本地管理员组中。具体操作就是，域管理员添加域主机的时候，使用域管理员administrator用户登录，并将与用户A添加到Administrators组中。[域用户的权限：建议将域用户加入到普通成员机的本地管理员组中。注意区分administrator和Domain Admins]

OU：组织单位

• 用于归类域资源（域用户、域计算机、域组），主要用于简化权限的管理，即下发组策略。比如，IT组、财务组……

GPO：组策略

• 通过组策略可以修改计算机的各种属性，如开始菜单、桌面背景、网络参数等。组策略在域中是基于OU来下发的。组策略有三种状态，已启用、未配置、禁止。
• 注意：组策略下发后，应用顺序是LSDOU：L本地 < S站点 < D域策略 < OU组策略
• 注意：组策略还有强制、阻止继承等策略。
• 注意：用户组策略，一般是登录就生效。计算机组策略，一般是重启电脑后生效。
• 注意：AD中有很多又去的组策略。比如：注销的时候执行某个批处理命令。