前提知识:
关防火墙
搜索icon即可调出桌面图标
检查分区E20G
计算机右键管理角色添加角色
1.Domain
2.内网环境
1)工作组:默认模式,人人平等,不方便管理
2)域:人人不平等,集中管理,统一管理
3.域的特点:集中/统一管理
4.域的组成:
1)域控制器:DC(Domain Controller)
2)成员机
5.域的部署
1)安装域控制器
2)安装活动目录
3)活动目录:Active Directory=AD
6.活动目录:
1)AD
2)特点:集中/统一管理
7.组策略GPO
8.win2008(1G)安装活动目录:
1)开启win2008虚拟机并桥接到vmnet2
右键设置vmnet2,不要指向DNS
2)配置静态IP地址10.1.1.1/24
网络右键属性----更改适配器设置—IPV6取消勾选----双击检查无网络访问权限
修改计算机名为dc1
3)开始----运行—输入dcpromo(安装/卸载活动目录)
下一步----勾选通过安装DNS----在新林中新建域----FQDN:qf.com----林功能级别win2003—域功能级别win2003-----是----不改路径----活动目录还原密码666.com----完成后重启
4)在DC上登录域QF\Administrator 123.com
安装DC后本地管理员升级为域管理员
开始----管理工具—DNS—出现qf.com
开始管理工具出现AD用户和计算机
5)验证是否安装成功
计算机右键属性—所属域
DNS服务器是否自动创建qf.com区域文件
自动注册DC的域名解析记录
开始—管理工具----AD用户和计算机
computer:普通域成员机列表
Domain Controller:DC列表
userS:域账号
9.PC加入域
配IP,指向DNS
计算机右键属性—更改—加入qf.com
重启加入域后,使用域管理员账户登录成员机
IPV6取消勾选
xp-1 win7
vmnet2 vmnet2
10.1.1.2 10.1.1.3
255.255.255.0 255.255.255.0
DNS:10.1.1.1 10.1.1.1
加入域:我的电脑—右键属性—更改域qf.com—qf.com\administrator 123.com
AD新建普通域用户
温 小非 xiaofei.wen 123.com 123.com 不要勾选开机要求改密码 完成
杨 涛 tao.yang 123.com 123.com 不要勾选开机要求改密码 完成
将winxp和win7加入域,用域管理员账号登录
10.常见小问题:
1)加入域不成功
vmnet桥接的不一样
没配置静态IP
没指向DNS
重启?
没有解析qf.com的这条记录(与父文件夹相同) 主机记录(A) 10.1.1.1
没有清理DNS缓存
使用的是ipv6的地址
网络不通
没有成功解析
2)登入域不成功
xp选择qf.com,用户名不用写qf.com
win7需要写qf.com\tao.yang
3)域用户的权限
建议将域用户加入普通成员的本地管理员组
win7开始----注销----qf.com\administrator 123.com登入客户机—开始—计算机—右键管理----组----administrator—添加------qf.com tao.yang—确定—开始—注销—使用tao.yang 123.com登录查看权限是否为完全控制
本地管理员组:administrators
域管理员组:Domain Admins
11.OU:组织单位
作用:用于归类域资源(域用户、域计算机、域组)
管理工具—AD用户和计算机—qf.com右键新建组织单位----千锋集团----勾选防止容器被意外删除-----千锋集团右键创建董事会、市场部(西北部、东北部)、IT部
温小飞右键所有任务移动到董事会,杨涛右键所有任务移动到西北部
12.组策略Group Policy GPO
作用:通过组策略可修改计算机的各种属性,如开始菜单、桌面背景、网络参数
组策略在域中是基于OU来下发的
组策略在域中下发后,用户的应用顺序是LSDOU
本地策略、站点、域总策略、组织单位策略
在应用过程中如果出现冲突,后应用的生效。
开始----管理工具----组策略管理—qf.com----千锋集团—创建组策略----千锋集团—确定
IT部—IT部
市场部----市场部
董事会----董事会
西北部----西北部
东北部—东北部
需要把所有域成员先添加到对应的OU组织单位中
千锋集团所有人背景都设置为wencoll头像,千锋集团组策略—右键编辑—用户配置—策略----桌面----右边看----活动桌面—桌面墙纸双击打开—已启用—墙纸名称a.jpg \10.1.1.1\share\a.jpg
win2008DC上新建共享文件夹:E盘创建文件夹share----属性—共享----share—权限----完全控制—everyone 域普通用户domain users 确定
安全—添加domain users 读取权限
画一个图片放入share文件夹中
用户配置一般来说注销后重新登录即可生效
计算机配置一般来说重启后即可生效
xp-1注销重登,xiaofei.wen 123.com
桌右键属性—可快速查看,若组策略下发成功不可更改桌面
win7注销后登录查看组策略是否下发成功
在share文件夹中放入b.jpg
西北区用b.jpg做背景
西北区右键编辑----用户配置—桌面----桌面墙纸—\10.1.1.1\share\b.jpg
win7注销重登查看桌面背景是否更改
xp-1看桌面背景
千锋集团—用户管理—管理模板—以【开始】删除运行菜单
启用----删除
禁用----不删除用tao.yang登录无运行按钮,win+R报错
上级OU:桌面aa 运行:删除
下级OU:桌面:未配置 运行:不删除
下级OU结果:桌面:aa 运行:不删除
忘了开启哪些策略如何查看—千锋集团—右侧–设置—添加----添加—用户配置—管理模板
西北区杨涛桌面如何也用a:1)去掉西北策略2)千锋集团策略点强制继承
注销杨涛用户再登录—右键----个性化
西北区管理模板----整个西北区OU右键阻止继承—不再启用前边的组策略只看自己的组策略
开始----注销—输入杨涛账号密码----查看桌面背景—对话框开始运行
上级组策略强制继承,下级组策略组织继承----结果还是强制继承,强制最大
下级向上级阻止继承:
上级OU:桌面aa 运行:删除
下级OU:桌面未配置 不删除
结果下级OU:未配置 不删除
千锋集团右键编辑—windows设置—脚本(启动/关机)
用户----脚本(登录/注销)
win2008如何查看拓展名:计算机—组织—文件夹和选项—查看
E盘新建tmp文件夹新建垃圾文件
clear.bat
e:
cd
cd tmp
rd. /s/q
用户配置—注销—脚本名----确定
把clear.bat复制到显示文件下
win7注销再注销再进去temp文件夹内容被删除
千锋集团策略—右键编辑—计算机配置----windows设置—安全设置—本地策略—安全选项–交互式登录无须按ctrl+alt+delete
安全设置----账户策略----密码复杂性要求
长度最小值
最短使用周期
最长使用期限
强制密码历史
用可还原的加密存储密码(一般不建议)
账户锁定策略—账户锁定时间30min 30min 35
阈值 3
重置账户锁定计数器30min 40min 20
30之后还进不去得再等十分钟等到40之后
20之后置为0,15min之后又可以再输入三次
1min输两次错,20min之后又可输入三次
win7重启输错三次可否进去?
测试修改是否符合规则。
扫一扫
451
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
