常用管理单位：域 domain（通俗版）含win2008、xp、win7镜像

进入正题

定义

官方

：关于域的解释，首先这里用百度百科的专业解释来说明：

域，英文domain，是计算机专用词汇，是指Windows网络中独立运行的单
位。域在不同系统与软件中含义有所不同：域既是Windows网络操作系统
的逻辑组织单元，也是Internet的逻辑组织单元，在Windows网络操作
系统中，域是安全边界。
在文件系统中，域有时也称做“字段”，是指数据中不可再分的基本单元。
在WORD文档中，域是一种可以发生变化的数据，是Word最具有实用价值
的功能之一

作者解释

：啊是的，非常晦涩，依寡人之见，我愿将其解释为：

一个方便企业等集中管理的工具，有点像中央集权
很明显的特点就是： 域中的所有成员，人人不平等
有利于  集中管理、统一管理 
 （所以一般企业越大，对域的依赖程度就越高）
 域与我们平时的工作组是不一样的哦

关于怎么查看自己属于工作组还是域（正常不在公司的应该不会是域吧）：
我的电脑——右键——属性，即可查看

详解+部署

把 详解+部署 放在一起主要是为了在真实操作中领悟域

域的组成

由于我们之前说域中人人不平等，所以固然有阶级之分
1、域控制器（最高权限）: DC（Domain Controller）
2、普通成员：成员机

重点
活动目录（域的核心）

1、AD（Active Directory）
2、特点：集中管理/统一管理

域的部署

安装域控制器–就生成了域环境
安装了活动目录–就生成了域控制器
活动目录：Active Directory = AD， 放置公共资源

（在这里我们以虚拟机win2008与winxp和win7举例，若无此虚拟机可在文章结尾下载）

1、开启2008虚拟机，并在设置中桥接到VMnet2
2、配置静态IP地址10.1.1.1/24
3、修改计算机名（方便公司记忆）
4、开始-运行-输入dcpromo，安装活动目录，弹出向导

不勾选高级模式安装
勾选DNS（在给服务器配ip的时候不要配DNS。）
新林中新建域
域的FQDN（qf.com）(就是完整域名)
林功能级别设置为2003（意味着林里面的域控制器不能低于这个版本）
域功能级别设置为2008（意味着域里面的域控制器不能低于这个版本）
无法创建该DNS服务器委派的报错属于正常，点击是
数据库/日志文件/SYSVOL文件夹路径无需更改，也不能更改
设置目录服务还原密码666.com
勾选安装后重启

这里的ntds文件可以理解为ad，sysvol可以理解为放组策略的地方

4、在DC上登录域账号：qf\administrator，
这里我们会发现DC的本地管理员升级为域管理员
像这样

5、最后我们要验证AD是否安装成功：

①-计算机右键属性-所属域（查看工作组是否变为域）
②-DNS服务器中是否自动创建qf.com区域文件（查看域是否创建）
③-自动注册DC的域名解析记录（查看解析记录）
注意：这里我们要检查 DNS管理器里的正向查找区域的域名文件夹里是否有一条解析的名称是（与父文件夹相同），这条就是专门解析qf.com这个域名的，没有的话自己新建，若在客户机上无法加入域则可能是这一个问题（也可能你ip和网关没写对，没ping通），以验证是否能成功解析
④-开始-管理工具-AD 用户和计算机（computer中是普通域成员，users中是域中的用户和组）

PC加入域

1.配置IP，并指DNS
2.计算机右键属性–更改–加入qf.com域

（注：登录的账号最好是管理员账号，2003和2008格式为qf.com\administrator，7及以上版本格式为administrator)

3.重启加入域后，成功使用域用户登录成员机（已勾选登录域QF，不用再写qf\xiaofei.wen）
4.新建域用户的时候将用户新建到users里面

获得自己固定电脑的所有权限:

建议将域用户加入到普通成员机的本地管理员组中
本地管理员组：administrators
域管理员组：Domain Admins

OU：组织单位（Organizational Unit）

作用：用于归类域资源（域用户、域计算机、域组）
位置：活动目录（AD）下面的域

在这里可能有人会分不清ou和组，因为这两个都是一个容器，非常相似，我们要知道：

ou  目的是下发组策略
组  目的是下发权限

例如：我们要求财务部的密码必须复杂，这个时候我们就可以在组策略中编辑此项，强制执行，并下发到财务部这个单位中去（相当于在财务部门口贴此告示而不是在公司大门口贴告示）
这使得组策略的下发更为高效

操作：
1、开始—管理工具—Active Directory 用户和计算机
2、右键域——新建——组织单位
从这里开始，若图标长这样，则为ou

同理，再建个“市场部”和“IT部”，市场部下面再建俩大区
这就是所谓的公司组织架构（一般公司几年就会变动一次）

3、将用户移动到组织结构中（注意：1、千万不要删用户，因为每个用户都有一个sid，删掉了如果再次加入就不是原来的那个用户了；2、一般不止是把此用户移动进ou，还会把用户的电脑移动进ou（在computer中））
选中用户—所有任务—移动(V)

组策略：Group Policy = GPO

1）作用

通过组策略可以修改计算机的各种属性，如开始菜单、桌面背景、网络参数等。

重点：组策略在域中，是基于OU来下发的！！

2）位置

开始—管理工具—组策略管理

注：Default Domain Policy下的组策略表是对整个域起作用的

操作：

1、 建立集团的组策略：
选中集团—在这个域中创建 GPO 并在此处链接—输入名称—确定

2、 同理，在前锋集团下的每一层OU都建一张策略表

3、 现在提出需求，我要让前锋集团下的每个电脑，桌面都是某个壁纸
（其中，计算机配置是对主机生效，用户配置是对用户生效）
右边的每一行都是一条策略

这里的状态有三种状态，一般未下发策略则为未配置，若配置了则有启动和禁止两种状态

4、 现在，在 D 盘我们新建文件夹 share，存放壁纸，选中 share，属性—共享—高级共享—勾选”共享此文件夹“—点击权限—允许那一列都选上，添加用户 domain users，权限也是全勾选，在 安全 中，也添加 domain users（给读取权限就行了）

5、 在 share 文件夹中放一张 jpg 格式的图片作为桌面壁纸

6、 回到那条策略中，输入网络路径\10.1.1.1\share\1.jpg，应用，确定

7、 启动 winxp-1（或者注销重新登陆），正常来讲应该能看到新桌面的，但是虚拟机里比较卡，可能就出不来，可以通过修改桌面的方式验证是否成功，可以看到，图片 1.jpg 已经传过来了，并且”应用“是灰色的，也就是不能修改桌面

注意

1
（组策略在域中下发后，用户的应用顺序是：L（本地）S（站点）D（域）OU）
在应用过程中，如果出现冲突，最后应用的生效！

正常情况下：LSD OU顺序
上级OU： 桌面：设为 aa       删除 “运行” 程序
下级OU： 桌面：未配置       不删除“运行” 程序
下级OU用户结果：桌面：aa       不删除“运行” 程序

下级OU设置了阻止继承：
上级OU： 桌面：aa       运行：删除
下级OU： 桌面：未配置       运行：不删除
下级OU用户结果： 桌面：未配置       运行：不删除

2
若设置 阻止继承 之后，该ou的所有主机，只看自己的OU策略

3
当上级强制和下级阻止继承同时设置，强制生效！

4
当上级强制和下级阻止继承同时设置，下级不管冲不冲突，都以上级为准，强制生效！

8、 脚本设置

（1)作用
将脚本放在里面之后员工打开电脑会自动执行脚本。
（2）位置
开始—管理工具—组策略管理—对需要管理的组策略进行选中—右击选择编辑—计算机配置/用户配置—策略—windows设置—脚本
（3）安装方式
将脚本放在：脚本—注销—添加—浏览里面

（在“计算机配置”中设置的脚本，不管用户有没有登陆，只要一开机就会执行）

9、 无需按Ctrl+alt+del策略设置

（1）作用
开机之后无需按Ctrl+alt+del而直接进入桌面
（2）位置
开始—管理工具—组策略管理—对需要管理的组策略进行选中—右击选择编辑—计算机配置/用户配置—策略—windows设置—安全设置—本地策略—安全选项

还有一点，如果你想知道自己已经配置了哪些组策略，可以选中组策略，在右侧有“设置”，点击“设置”之后会有个警告，点击“添加”，再点击关闭，就可以看到了

告诉读者们，如果想看自己本地真实机的组策略，运行中输入 gpedit.msc

以上是全部内容
有一个综合小实验推荐做一下，这里有个作者写的很好，推荐给大家

综合实验

系统镜像自取