域Domain

十、域

10.1 Domain

内网环境

• 工作组：默认模式，人人平等，不方便管理
• 域：人人不平等，集中管理，统一管理

域的组成

• 域控制器：DC（Domain Controller ）
• 成员机

10.2 域的部署

1）安装域控制器 -- 就生成域环境

2）安装了活动目录 -- 就生成了域控制器

3）活动目录：Active Directory = AD

部署安装活动目录

1）开始 -- 运行 -- 输入dcpromo，安装活动目录 弹出向导： 勾选DNS -- 新林中新建域 -- 功能级别都设置为2003 -- 域的FQDN（yage.com） -- 设置目录服务还原密码 -- 勾选重启

2）登录域账号（yage.com/administrarot），DC的本地管理员升级为域管理员

3）验证AD是否安装成功

1-计算机右键属性--所属域

2-DNS服务器中是否自动创建yage.com区域文件

3-自动注册DC的域名解析记录

4-开始--管理工具--AD 用户和计算机

computer：普通域成员机列表

Domain Controller：DC列表

users：域帐号

PC加入域

1）配置IP，并DNS指向域服务器

2）计算机右键属性 -- 更改 -- 加入yage.com域

3）重启加入域后，成功使用用户登录成员机

10.3 OU：组织单元

域中OU指的是组织单位(Organizational Unit)，组织单元是可以将用户、组、计算机和其它组织单位放入其中的AD(Active Directory，活动目录)容器，是可以指派组策略设置或委派管理权限的最小作用域或单元 。性质是最小作用域或单元 。

作用：用来归类域资源（域用户、与计算机、域组）

AD 用户和计算机 -- 域名右键 -- 新建 -- 组织单位（按组织架构来建）-- 把电脑和用户移动到相应组织单位 （电脑和用户是两种资源）

10.4 组策略：Group Policy = GPO

作用：通过组策略可以修改计算机的各种属性，如开始菜单、桌面背景、网络参数等。

重点：组策略在域中，是基于OU来下发的！！如统一改壁纸，使用路径需网络路径，例：\\10.1.1.1\share\a.jpg，共享文件夹需给相应权限才可下发。

打开组策略管理 -- 对着相应组织架构右键 -- 在这个域中创建GPO（建议名字和组织单位一样）-- 右键编辑

LSDOU（策略优先级）
L 应用本地组策略
S 应用站点组策略
D 应用域的组策略
OU 应用OU组策略
在应用过程中，如果出现冲突，后应用的生效

组策略的阻止继承及强制！
组策略右键强制 -- 强制对下级OU组策略生效（强制最大）
组织单元右键阻止继承 -- 上级所有OU不再有影响