域
1.英文:Domian
一个域里面DC最重要,在DC服务器里面活动目录最重要
域的核心时活动目录(AD)
2.内网环境
1.)工作组:默认模式,人人平等,不好管理
2.)域:人人不平等,集中管理,统一管理
3.域的特点
集中/统一管理
拥有域账号,就可以登录此域下的所有电脑
4.域的组成
1.)域控制器:DC (Domain Controller)
2.)域的普通成员:成员机,成员机之间人人平等
DC出了问题,成员机也会出问题
是由主机名和域名所组成
5.活动目录
1.)活动目录:Active Directory=AD
2.)域的核心时活动目录(AD)
3.)只有在活动目录里的账号才叫域账号
4.)活动目录特点:集中/统一管理
6.什么是域的部署
1)安装域控制器-一就生成了域环境
2)安装了活动目录-一就生成了域控制器
在部署域的时候DNS会自动安装,在创建域的区域配置文件时,系统会在dns服务器中自动创建一个同样的区域配置文件,域在加入新的成员机时,DNS服务器也会自动生成
7.安装部署活动目录
1)开启2008虚拟机,并桥接到vmnet2
2)配置静态IP地址,但是不配置dns
3)开始-运行-输入dcpromo,安装活动目录。
弹出向导:
勾选DNS-新林中新建域-功能级别都设置为2003-域的FQDN(sina.com)–设置目录服务还原密码123.com-勾选安装后重启
数据库文件夹存放的是活动目录,SYSVOL文件夹存放的时以后要下发的员工组策略
4)在DC上登录域sian\administrator
DC的本地管理员升级为域管理员
5)验证AD是否安装成功:
1-计算机右键属性-所属域
2-DNS服务器中是否自动创建sina.com区域文件
3-自动注册DC的域名解析记录
4-开始-管理工具-A D 用户和计算机
computer:普通域成员机列表
Domain Controller:DC列表
users:域账号
8.pc加入域
1.配置IP,并指DNS
2.计算机右键属性–更改–加入123.com域
3.重启加入域后,成功使用域用户登录成员机
9.域树与域林
1.)域树的概念:域树时有去多个域组成,这些域共享同一个表结构形成一个连续的名字空间,树中的域通过信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别越低,一个.(点)代表一个层次,如:sina.com就比美国.sina.com域级别高,因为sina.com只有一个层次
2.)域林的概念:有多个域树组成一个域林,域林的概念和域树一样,luoshanji.美国.sina.com就比美国.sina.com级别低,但是这两个域同属于一个域树,而美国.sina.com又属于sina.com的子域,所以这样多个域树组成的叫做域林
3.)林功能级别:如果这个新建林的林功能级别选择2008,那么意味着如果以后这个林中在出现新的域控制器(DC)那么这些DC的操作系统不能低于这个版本,否则不能成为第二台域控制器
4.)域功能级别:如果新建的域功能级别选择2003,那么我的这个域中,不能再出现2003一下的pc了,而这个林中的其他域则不受这个限制,受林功能级别限制
10.常见登录小问题
1.无法加入域,或加入域不成功
看看网络是否能ping通
dns解析能不能解析成功,清除一下dns缓存
2.登录域不成功
如果电脑登录框下方已经为登录域sina,那么久不用再写sina.com\xxxxxx
3.权限问题
需要将域用户加入到本机本地管理员组里
本地管理员组:Administrators
域管理员组:Domain Admins
11.组织单位
OU(Organizational Unit)
作用:用于归类域资源(域用户、域计算机、域组)
组策略与OU作用是一样的,但是组策略的目的时为了赋权限,而OU 的目的是为了下发组策略
12.组策略
GPO(Group Policy)
作用:通过组策略可以修改计算机的各种属性,如开始菜单,运行,桌面背景等等
重点:组策略在域中是基于OU来下发的
组策略在域中下发后,用户的应用顺序是:LSDOU (本地 local,站点site,域domain
在应用过程中,如果出现冲突,后应用的生效
对计算机做策略,需要成员机重启电脑后才能生效
对用户做策略,需要用户注销后才能生效
下级OU 设置了阻止继承,那么将成为一个独立,不受上级管理
如果上级组策略设置了强制,那么无论下级OU是否设置了阻止继承,都会被强制生效