进入正题
定义
官方
:关于域的解释,首先这里用百度百科的专业解释来说明:
域,英文domain,是计算机专用词汇,是指Windows网络中独立运行的单
位。域在不同系统与软件中含义有所不同:域既是Windows网络操作系统
的逻辑组织单元,也是Internet的逻辑组织单元,在Windows网络操作
系统中,域是安全边界。
在文件系统中,域有时也称做“字段”,是指数据中不可再分的基本单元。
在WORD文档中,域是一种可以发生变化的数据,是Word最具有实用价值
的功能之一
作者解释
:啊是的,非常晦涩,依寡人之见,我愿将其解释为:
一个方便企业等集中管理的工具,有点像中央集权
很明显的特点就是: 域中的所有成员,人人不平等
有利于 集中管理、统一管理
(所以一般企业越大,对域的依赖程度就越高)
域与我们平时的工作组是不一样的哦
关于怎么查看自己属于工作组还是域(正常不在公司的应该不会是域吧):
我的电脑——右键——属性,即可查看
详解+部署
把 详解+部署 放在一起主要是为了在真实操作中领悟域
域的组成
由于我们之前说域中人人不平等,所以固然有阶级之分
1、域控制器(最高权限)
: DC(Domain Controller)
2、普通成员
:成员机
重点
活动目录(域的核心)
1、AD(Active Directory)
2、特点:集中管理/统一管理
域的部署
安装域控制器–就生成了域环境
安装了活动目录–就生成了域控制器
活动目录:Active Directory = AD, 放置公共资源
(在这里我们以虚拟机win2008与winxp和win7举例,若无此虚拟机可在文章结尾下载)
1、开启2008虚拟机,并在设置中桥接到VMnet2
2、配置静态IP地址10.1.1.1/24
3、修改计算机名(方便公司记忆)
4、开始-运行-输入dcpromo
,安装活动目录,弹出向导
不勾选高级模式安装
勾选DNS(在给服务器配ip的时候不要配DNS。)
新林中新建域
域的FQDN(qf.com)(就是完整域名)
林功能级别设置为2003(意味着林里面的域控制器不能低于这个版本)
域功能级别设置为2008(意味着域里面的域控制器不能低于这个版本)
无法创建该DNS服务器委派的报错属于正常,点击是
数据库/日志文件/SYSVOL文件夹路径无需更改,也不能更改
设置目录服务还原密码666.com
勾选安装后重启
这里的ntds文件可以理解为ad,sysvol可以理解为放组策略的地方
4、在DC上登录域账号:qf\administrator,
这里我们会发现DC的本地管理员升级为域管理员
像这样
5、最后我们要验证AD是否安装成功:
①-计算机右键属性-所属域(查看工作组是否变为域)
②-DNS服务器中是否自动创建qf.com区域文件(查看域是否创建)
③-自动注册DC的域名解析记录(查看解析记录)
注意
:这里我们要检查 DNS管理器里的正向查找区域的域名文件夹里是否有一条解析的名称是(与父文件夹相同),这条就是专门解析qf.com这个域名的,没有的话自己新建,若在客户机上无法加入域则可能是这一个问题(也可能你ip和网关没写对,没ping通),以验证是否能成功解析
④-开始-管理工具-AD 用户和计算机(computer中是普通域成员,users中是域中的用户和组)
PC加入域
1.配置IP,并指DNS
2.计算机右键属性–更改–加入qf.com域
(注:登录的账号最好是管理员账号,2003和2008格式为qf.com\administrator,7及以上版本格式为administrator)
3.重启加入域后,成功使用域用户登录成员机(已勾选登录域QF,不用再写qf\xiaofei.wen)
4.新建域用户的时候将用户新建到users里面
获得自己固定电脑的所有权限:
建议将域用户加入到普通成员机的本地管理员组中
本地管理员组:administrators
域管理员组:Domain Admins
OU:组织单位(Organizational Unit)
作用:用于归类域资源(域用户、域计算机、域组)
位置:活动目录(AD)下面的域
在这里可能有人会分不清ou和组,因为这两个都是一个容器,非常相似,我们要知道:
ou 目的是下发组策略
组 目的是下发权限
例如:我们要求财务部的密码必须复杂,这个时候我们就可以在组策略中编辑此项,强制执行,并下发到财务部这个单位中去(相当于在财务部门口贴此告示而不是在公司大门口贴告示)
这使得组策略的下发更为高效
操作:
1、开始—管理工具—Active Directory 用户和计算机
2、右键域——新建——组织单位
从这里开始,若图标长这样,则为ou
同理,再建个“市场部”和“IT部”,市场部下面再建俩大区
这就是所谓的公司组织架构(一般公司几年就会变动一次)
3、将用户移动到组织结构中(注意:1、千万不要删用户,因为每个用户都有一个sid,删掉了如果再次加入就不是原来的那个用户了;2、一般不止是把此用户移动进ou,还会把用户的电脑移动进ou(在computer中)
)
选中用户—所有任务—移动(V)
组策略:Group Policy = GPO
1)作用
通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。
重点:组策略在域中,是基于OU来下发的!!
2)位置
开始—管理工具—组策略管理
注:Default Domain Policy下的组策略表是对整个域起作用的
操作:
1、 建立集团的组策略:
选中集团—在这个域中创建 GPO 并在此处链接—输入名称—确定
2、 同理,在前锋集团下的每一层OU都建一张策略表
3、 现在提出需求,我要让前锋集团下的每个电脑,桌面都是某个壁纸
(其中,计算机配置是对主机生效,用户配置是对用户生效)
右边的每一行都是一条策略
这里的状态有三种状态,一般未下发策略则为未配置,若配置了则有启动和禁止两种状态
4、 现在,在 D 盘我们新建文件夹 share,存放壁纸,选中 share,属性—共享—高级共享—勾选”共享此文件夹“—点击权限—允许那一列都选上,添加用户 domain users,权限也是全勾选,在 安全 中,也添加 domain users(给读取权限就行了)
5、 在 share 文件夹中放一张 jpg 格式的图片作为桌面壁纸
6、 回到那条策略中,输入网络路径\10.1.1.1\share\1.jpg,应用,确定
7、 启动 winxp-1(或者注销重新登陆),正常来讲应该能看到新桌面的,但是虚拟机里比较卡,可能就出不来,可以通过修改桌面的方式验证是否成功,可以看到,图片 1.jpg 已经传过来了,并且”应用“是灰色的,也就是不能修改桌面
注意
1
(组策略在域中下发后,用户的应用顺序是:L(本地)S(站点)D(域)OU)
在应用过程中,如果出现冲突,最后应用的生效!
正常情况下:LSD OU顺序
上级OU: 桌面:设为 aa 删除 “运行” 程序
下级OU: 桌面:未配置 不删除“运行” 程序
下级OU用户结果:桌面:aa 不删除“运行” 程序
下级OU设置了阻止继承:
上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU用户结果: 桌面:未配置 运行:不删除
2
若设置 阻止继承 之后,该ou的所有主机,只看自己的OU策略
3
当上级强制和下级阻止继承同时设置,强制生效!
4
当上级强制和下级阻止继承同时设置,下级不管冲不冲突,都以上级为准,强制生效!
8、 脚本设置
(1)作用
将脚本放在里面之后员工打开电脑会自动执行脚本。
(2)位置
开始—管理工具—组策略管理—对需要管理的组策略进行选中—右击选择编辑—计算机配置/用户配置—策略—windows设置—脚本
(3)安装方式
将脚本放在:脚本—注销—添加—浏览里面
(在“计算机配置”中设置的脚本,不管用户有没有登陆,只要一开机就会执行)
9、 无需按Ctrl+alt+del策略设置
(1)作用
开机之后无需按Ctrl+alt+del而直接进入桌面
(2)位置
开始—管理工具—组策略管理—对需要管理的组策略进行选中—右击选择编辑—计算机配置/用户配置—策略—windows设置—安全设置—本地策略—安全选项
还有一点,如果你想知道自己已经配置了哪些组策略,可以选中组策略,在右侧有“设置”,点击“设置”之后会有个警告,点击“添加”,再点击关闭,就可以看到了
告诉读者们,如果想看自己本地真实机的组策略,运行中输入 gpedit.msc
以上是全部内容
有一个综合小实验推荐做一下,这里有个作者写的很好,推荐给大家