文章目录
一、域(Domain)的基本概念
1. 内网工作环境
- 工作组:默认模式,人人平等,不方便管理
- 域:人人不平等,集中管理,统一管理
2. 域的特点
集中/统一管理
3. 域的组成
- 域控制器:DC(Domain Controller )
- 成员机
4. 域的部署
- 安装域控制器–就生成里域环境
- 安装了活动目录–就生成了域控制器
- 活动目录:Active Directory = AD
5. 活动目录 AD
特点:集中管理/统一管理
6. 组策略GPO
- 域环境中通过配置组策略可以对域中的用户、用户组、计算机进行不同维度的管理;如安全配置、注册表配置、软件安装配置、开关机与登入登出管理等。
- 配置的组策略通过关联到站点、域、组织单位上来在不同层级上应用不同的策略配置。组策略配置分为两部分,分别是计算机配置和用户配置。
二、在服务器上部署安装活动目录
1. 开启2008虚拟机,并桥接到VMnet2
2. 为服务器配置静态IP地址10.1.1.1/24
- 去掉 IPv6 的勾
- 配置 IPv4 地址
- 因为是在本地虚拟机中,也没有路由器,故此处不要配置网关;
- 不需要配置DNS服务器,具体见后文。
3. 安装活动目录AD
Step1 开始 --> 运行 --> 输入dcpromo
Step2 弹出安装向导
在这之前有安装域服务二进制文件,只需要稍等后就会弹出安装向导,记得不要勾选“使用高级模式安装”
Step3 将自己配置为DNS服务器
一开始没有为服务器配置DNS,因为域服务器的DNS服务器就是自己;
一直点“下一步”。
Step4 新林中新建域
Step5 设置林功能级别和域功能级别
林功能级别选择Win Server 2003,表示这个林中所有的服务器版本不能低于Win Server 2003;
域功能级别同理。
Step6 设置目录服务还原密码
- 这个报错是正常的,点击“是”
- 不需要改动,直接点击“下一步”
- 设置目录服务还原密码
- 勾选“完成后重启”
Step7 重启后再次登录
- 在DC上登录域管理员账号SENTING\Administrator
- 原来的服务器管理员账号administrator自动升级为域管理员,密码仍然是administrator的密码
Step8 验证AD是否安装成功
- 桌面“计算机” --> 右击属性 --> 查看计算机所在的域:是刚才设置的senting.com
- 开始 --> 管理工具 --> DNS -->
查看DNS正向区域,里面有如下的两个记录:表示DNS服务器已经自动创建senting.com区域文件,并自动注册了DC的域名解析记录
- 开始 --> 管理工具 --> Active Directory 用户和计算机 --> 查看相关记录
- Computers(普通域成员机列表)中没有记录
- Domain Controller (DC列表)中只有自己这台计算机的记录
- Users(域帐号)中有如下的记录
- Computers(普通域成员机列表)中没有记录
三、将计算机加入域
1. 将计算机配置为VMnet2
加入域中的计算机需要与服务器使用同一张网卡
2. 为计算机配置IP地址及DNS服务器
将Win XP的IP配置为10.1.1.2/24,DNS服务器设置为DC(10.1.1.1)
3. 将Win XP加入域中
- “我的电脑” 右击 --> 属性 --> 计算机名 --> 更改 --> 输入隶属的域名senting.com
- Win XP会自动弹出下面的窗口,输入用户名及密码:此处用域管理员的身份加入域
- 【注】用户名的书写格式:域名\用户名(senting.com\administrator)
- 点击“确定”
4. 在服务器上验证添加是否成功
- 在服务器的活动目录上可以发现多出了刚才添加的那台计算机
四、实现域用户登录
1. 在服务器中新建域用户
- 开始 --> 管理工具 --> Active Directory 用户和计算机 --> Users 右击 --> 新建 --> 用户
- 输入用户姓名
- 设置用户密码,根据个人情况选择下面的几个是否勾选
- 根据上述操作,用户zhangxiaofei添加成功
2. 在Win XP上登录
- 如果登录到那一栏是本机,那么就是用原来的账户登录本机,而不是用域用户的身份进行登录。
- 登录到那一栏选择创建的域“SENTING”,再输入用户名和密码,即可登录到域用户。
- 点击开始,发现用户名是之前设置的域用户zhangxiaofei,表示域用户登录成功。
3. 添加域用户yangtao并在Win 7登录
- 将Win 7设置为VMnet2,并配置IP和DNS服务器
- 加入域senting.com
- 查看Computers,发现添加成功
- 重复上述步骤,添加新用户yangtao
- 这个界面是用原用户登录Win7本机
- 点击“切换用户”,用域用户登录
五、赋予域用户对电脑的完全控制权
1. 以域管理员的身份登录Win7
注意用户名的书写:senting.com\administrator
2. 赋予yangtao对这台电脑的完全控制权
- 开始 --> “计算机” 右击 --> 管理
- 本地用户和组-选择组 --> Administrators --> 添加
- 添加成功
- 添加后再次切换为yangtao用户登录,yangtao就已经对这台电脑拥有了完全控制权。
遇到的一些小问题
(1)加入域不成功:网络是不是不通 / 解析是否成功解析 / 是否为DNS缓存问题
(2)登入域不成功:在Win XP中,登陆时如果已经勾选登录域QF,那就不用再写senting.com\xiaofei.zhang
(3)域用户的权限:建议将域用户加入到普通成员机的本地管理员组中
【注】本店管理员组:administrators ; 域管理员组:Domain Admins
六、组织单位OU
OU的作用:用来归类域资源(域用户、与计算机、域组)
1. 新建组织单位
- 开始 --> 管理工具 --> Active Directory 用户和计算机 --> senting.com 右击 --> 新建 --> 组织单位
- 【注】不是新建 组,不要选择哦
- 【注】不是新建 组,不要选择哦
- 输入组织单位的名称,一般性如果一个公司的域会以公司名来命名
- 创建好之后,就可以看到“senting集团”啦
- 重复上述的新租OU的步骤,新建如下图所示的组织架构
2. 将域用户加入对应的组
在Users中找到域用户zhangxiaofei --> 右击 --> 移动 --> 加入它所属的组织“董事会”中
- 同时将zhangxiaofei的计算机也加入到它对应的组织中
- zhangxiaofei 及其计算机都成功加入到了“董事会”这个组织中
- 重复上述步骤,将 yangtao 及其计算机都加入到“东南区”这个组织中
域名:senting.com
zhangxiaofei – Win XP – 董事会
yangtao – Win 7 – 东南区
七、组策略(Group Policy = GPO)
作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。
重点:组策略在域中,是基于OU来下发的!!!
1. 为每个组都建立组策略表
- 开始 --> 管理工具 --> 组策略管理
- senting集团 右击 --> 在这个域中创建GPO并在此处链接
- 这个名称可以与这个组的名字保持一致
- 重复上述步骤,为每一个组都创建一个组策略
2. 统一域中每一台电脑的桌面
- Step1. 在服务器的E盘中创建一个共享文件夹share,用于存放桌面壁纸wallpaper(壁纸是.jpg格式)
- Step2. 将share文件夹 配置为共享文件夹
- 右击share文件夹 --> 属性 --> 共享 --> 点击“高级共享”
- 勾选“共享此文件夹” --> 权限 --> Everyone 具有完全控制权
- 添加 Domain Users,并赋予完全控制权
- 右击share文件夹 --> 属性 --> 安全 --> Domain Users 的权限是 下图的三个
- 右击share文件夹 --> 属性 --> 共享 --> 点击“高级共享”
- Step3. 在senting集团的组策略中进行设置
- 右击senting集团组策略 --> 选择编辑
- 用户配置 --> 策略 --> 管理模板 --> 桌面 --> Active Desktop --> 桌面壁纸
- 选择“已启用” --> 输入墙纸名称
【注】因为是共享访问,所以格式为 \10.1.1.1\share\wallpaper.jpg
- 右击senting集团组策略 --> 选择编辑
- Step4. Win XP 和 Win 7 壁纸修改成功
- 需要先注销再登录,才能看到壁纸的修改情况
- 虚拟机会比较慢,所以可以通过 桌面右击–属性 查看桌面是否修改成功
3. LSDOU(策略优先级)
- LSDOU:
- L 应用本地组策略
- S 应用站点组策略
- D 应用域的组策略
- OU 应用OU组策略
- 组策略应用时的冲突:只有上下级对于某一个策略都进行了配置,才会产生冲突。
- 在应用过程中,如果出现冲突,后应用的策略生效。
- 组策略的强制:如果senting集团组策略是强制,那么不管下面是否有别的组策略,这个域所有的计算机都必须使用senting集团组策略。
- 组策略的阻止继承:在上级没有设置强制的前提下,设置了“阻止继承”的组不会继承所有上级的组策略,只会用自己的组策略。
例一
上级OU: 桌面 a ; 运行 删除
下级OU: 桌面 未配置 ;运行 不删除
LSDOU顺序
**********正常情况下:
下级OU用户结果:桌面 a ;运行 不删除
*********下级OU设置了组织继承:
下级OU用户结果:桌面 未配置 ;运行 不删除
*********上级设置了强制:
下级OU用户结果:桌面 a ;运行 删除
注意:当上级强制和下级阻止继承同时设置,强制生效!
例二
上级OU:3 禁止运行 a
中级OU:4 运行 未配置
下级OU:未配置 禁止运行 未配置
下级OU的LSDOU顺序:
**********正常情况下:
4 禁止运行 a
**********下级OU设置了组织继承:
未配置 禁止运行 未配置
**********上级设置了强制:
3 禁止运行 a
**********下级OU设置了组织继承+上级设置了强制:
3 禁止运行 a
(1)董事会这个组单独使用一种壁纸
只需要在“董事会”组策略中设置单独的壁纸
-
“董事会”这个组使用wallpaper2.jpg,将wallpaper2.jpg放入share文件夹
-
服务器修改“董事会”组策略配置壁纸
-
登录Win XP(zhangxiaofei属于董事会),壁纸已经更换为wallpaper2.jpg
-
登录Win 7(yangtao不属于董事会),壁纸仍为wallpaper1.jpg
(2)组策略的强制
- 如果将senting集团组策略设置强制,那么就算董事会配置了桌面的组策略,Win XP的壁纸依旧为wallpaper1.jpg,无法更换为wallpaper2.jpg
(3)组策略的阻止继承
- 前提:senting集团没有设置“强制”。
4. 查看已经设置的组策略
- 单击 senting集团组策略 --> 设置 --> 添加
- 直接点击“添加”
- 点击“关闭”
- 查看当前已经设置的组策略
5. 设置注销时清除垃圾文件的组策略
- Step1. 在服务器上写一个清除垃圾文件的脚本文件clear.bat
- Step2. 在Win7上创建文件夹tmp,里面用于存放垃圾文件
- Step3. 开始 --> 管理工具 --> 组策略管理 --> senting集团组策略右击 --> 编辑 --> Windows设置-脚本 --> 注销
- Step4. 注销 --> 属性 --> 添加 --> 选择“浏览”
- Step5. 直接把脚本复制粘贴到浏览的窗口 --> 点击“打开”
- Step6. 查看组策略管理,设置成功
- Step7. 注销Win7,重新登录,发现tmp文件夹中的垃圾文件被清除了
6. 一些其他的组策略
- 开机无需按 Ctrl + Alt + Del
- 设置密码的要求
【千锋】网络安全300集笔记P37-P41
5123
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
