Windows下的工作组与域环境以及域的搭建管理流程

1. Windows下工作组与域的概念
2. 企业生产中工作组与域之间的优劣
3. 域实现的核心思想：域控制器（DC）和活动目录（AD）
4. 搭建活动目录并将计算机加入域中
5. 通过域控实现用户的统一身份验证
6. 通过组策略实现域下计算机的分组统一管理

1.Windows下工作组与域的概念

工作组(Work Group) ：是局域网中的一个概念，它通过最常见的资源管理模式实现网络资源共享。默认情况下，计算机都是采用工作组方式进行资源管理，将不同的电脑按功能分别列入不同的组中，以方便管理（默认所有的计算机都属于WORKGROUP工作组中，默认共享的是User目录）
**Windows域（domain）**是计算机网络的一种形式，其中所有用户帐户 ，计算机，打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。 身份验证在域控制器上进行。 在域中使用计算机的每个人都会收到一个唯一的用户帐户，然后可以为该帐户分配对该域内资源的访问权限。

2.企业生产中工作组与域之间的优劣

工作组优势在于对中小型局域网，可以快速的进行分组并通过网上邻居发现并输入用户名和密码凭证来进行简单的资源共享，打印共享等服务，操作简单。劣势就是每一台计算机都是独立的个体，难以实现统一的管理和身份的验证。而域环境就能解决工作组存在的这一个痛点，通过对用户权限以及组策略的限制实现，从而实现对每台计算机的管理。

3.域实现的核心思想：域控制器（DC）和活动目录（AD）

域控制器是指在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作称为“域控制器（Domain Controller，简写为DC）”。是微软域架构中用来管理其他客户机的服务器，是整个域的核心。每个域控制器都包含了活动目录数据库。

活动目录（Active Directory） 简称AD：是微软所提供的目录服务（比如包含了查询、身份验证），它的核心包含了活动目录数据库。存放了所有的活动目录对象：用户、组、计算机、组织单元（OU）、打印机等。

所以我们如果要部署一个域环境，首先需要在windows Server XXXX系统下安装好域服务，也就是活动目录，此时这台服务器可以称为域控制器DC。然后需要在公司内网部署一台DNS服务器，一般来说DNS服务器和域控制器可以全部跑在一台机器上，也就是把这两个服务装在一块。有一个net logon服务，为用户和服务身份验证维护此计算机和域控制器之间的安全通道。域控制器会向DNS服务器注册记录，以便于域下的成员配置指向DNS的地址从而找到域控制器。实现跨不同网段下的计算机加入到同一个域下。域管理员可以成为每一台计算机的系统管理员，实现统一的管理。

4. 搭建活动目录并将计算机加入域中

环境准备：
1台win Server 2012 R2 作为域控制器（DC） 静态ip:192.168.1.10
1台win7 作为域成员1（不要用家庭版即可） 静态ip:192.168.1.20
1台win10 作为域成员2（不要用家庭版即可） （可选） 静态ip:192.168.1.21
步骤1.安装域和DNS的服务




（我这边由于已经安装好了所以没截图，第一次安装需要添加一个新林然后设置域名，以及活动目录的还原密码）之后一路下一步安装即可，如果出现先决条件不满足的情况。尝试切换Administrator用户再操作一次。Administrator用户一定需要设置密码。
步骤2：检查DC是否成功在DNS上做好了注册

观察这几项是否存在，如有缺失执行如下命令

由于DC和DNS做在同一台服务器上，所以我把DNS 的域名解析指向自己即可

步骤3.在域中加入成员，进入之前准备好的win7。先确认ip和DNS是否正确

wzy.com就是之前在DC服务器上创建的域名称。

此时这台计算机成功被添加到域中，系统会要求你重启，可以在DC服务器上看到这台计算机被加入到域中。然后就可以通过域用户的身份登录。

WZY\Tom 格式：域名\用户名

5.通过域控实现用户的统一身份验证

场景1：设置用户bill只能在Client2计算机上登录
环境展现：

net user 用户名 密码 /add    #创建用户

使用bill用户先在Client1上进行测试

使用bill用户接着在Client2上进行测试


与预期一致。
————————————————————————————————————————————————————————
场景2：设置用户Tom只能在周一至周五8点~17点可以登录

这里的登录时间是以DC服务器上的时间为准。使用Tom在Client1上进行测试。先看一下DC上的时间

预期无法登录

将DC服务器更改后，再次使用Tom对Client1进行登录测试

预期可以登录

这里也可以验证登录后域下的客户机的时间跟服务器DC的时间其实是不同步的。
————————————————————————————————————————————————————————
场景3：Client2的某些共享文件，只允许域中指定的Tom用户可以访问。
先确保域下的两台计算机在同一个分组里。

先创建一个共享文件夹，里面放入2个文本。
先不做设置，然后使用域下的Client1中的Tom用户进行访问\Client2

接下来，我只需要在在共享文件下添加允许账户Tom，并给一个读取和执行权限即可。

此时的Tom已经可以访问Client2上的共享文件，但是无法写入。因为没给写入的权限。
使用域外的一个用户以及域内的其他普通用户再次测试
域外用户测试，直接被组策略给拦截了

域内其他用户测试


上述3个场景案例，都证明了域控制器对用户可以做到十分舒适的管理。回想起渗透圈的一句绕过防火墙拿下DC，就封神。

6.通过组策略实现域下计算机的分组统一管理

场景：通过组策略实现IT组下两台计算机，只允许执行谷歌浏览器程序。别的程序一律不许使用。
前置条件：

思路：设置好组策略，创建GPO然后绑到OU上，更新组策略，重启两台成员计算机即可


编辑好后要更新一下组策略

再次确认，配置是否成功

把成员机都重启一次，保证组策略可以生效。此时魔术师这个用户就只能执行chrome.exe这个应用程序了。


换一个不在IT组里的用户测试，理论上应该不受这个组策略限制。

确实如此。

小结：
域环境可以跨越局域网，跨不同的网段，从用户，计算机，组织单元，打印机等资源整合成一个活动目录AD，然后通过一台或多台域控制器DC，进行资源调度，权限分配，用户登录身份的管理，组策略对系统和用户分别加以限制。微软的功能比我们想象的要强大的多。创作不易，亲 点个赞在走吧。