本文详细介绍了Windows域环境的构建和管理,包括域的概念、内网环境对比、域的特点、域控制器和成员机的组成、活动目录的安装与验证、PC加入域的步骤、组策略GPO的应用以及组织单位OU和组策略在权限管理中的作用。此外,还讨论了常见问题如加入域失败的排查和域用户权限设置,强调了组策略在域中的下发和冲突处理机制。
目录
域
1.Domain
2.内网环境:
1)工作组:默认模式,人人平等,不方便管理
2)域:人人不平等,集中管理,同一管理
3.域的特点:
集中/统一管理
4.域的组成:
1)域控制器: DC(Domain Controller)
2)成员机
5.域的部署:
1)安装域控制器--就生成了域环境
2)安装了活动目录--就生成了域控制器
3)活动目录:Active Directory = AD
6.活动目录
1)AD
2)特点:集中管理/统一管理
7.组策略GPO
8.部署安装活动目录:
1)开启2008虚拟机,并桥接到vmnet2
2)配置静态IP地址10.1.1.1/24
3)开始-运行-输入dcpromo,安装活动目录。
弹出向导:
勾选DNS-新林中新建域-功能级别都设置为2003-域的FQDN(qf.com)--设置目录服务还原密码666.com-勾选安装后重启
4)在DC上登录域qf\administrator
DC的本地管理员升级为域管理员
5)验证AD是否安装成功:
1-计算机右键属性-所属域
2-DNS服务器中是否自动创建qf.com区域文件及
3-自动注册DC的域名解析记录
4-开始-管理工具-A D 用户和计算机
computer:普通域成员机列表
Domain Controller:DC列表
users:域账号
新建用户、计算机、组都是为了方便管理者管理,不同之处。
用户主要是针对移动性比较大的用户设置,无论他在域中的那个计算机,只要用的是域中的账号且相同账号,使用的也是相同的权限和设置。
计算机针对的是比较固定的计算机设置的,使本计算机只能做某些事,权限固定,不论什么账户登陆,都使用相同的配置与权限。
组针对的就是多个用户或计算机的管理,只要将用户或计算机添加到新建的组里就行了。
参考文件:AD域的配置与管理
9.PC加入域:
1.配置IP,并指DNS
2.计算机右键属性--更改--加入qf.com域
3.重启加入域后,成功使用域用户登录成员机
10.常见小问题
1)加入域不成功
网络是不是不通!
解析是否能成功解析!
是否为DNS缓存问题
2)登入域不成功
如XP,已勾选登录域QF,不用再写qf\xiaofei.wen
3)域用户的权限
建议将域用户加入到普通成员机的本地管理员组中
****本地管理员组:administrators
****域管理员组:Domain Admins
11)OU:组织单位
作用:用于归类域资源(域用户、域计算机、域组)
12)组策略:Group Policy = GPO
作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。
***重点:组策略在域中,是基于OU来下发的!!
***组策略在域中下发后,用户的应用顺序是:LSDOU
***在应用过程中,如果出现冲突,后应用的生效!
****正常情况下:LSDOU顺序
上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU用户结果:桌面:aa 运行:不删除
****下级OU设置了阻止继承:
上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU用户结果: 桌面:未配置 运行:不删除
****上级设置了强制:
上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU的用户结果: 桌面:aa 运行:删除
注意:当上级强制和下级阻止继承同时设置,强制生效!
GPO练习:
1.在董事会部门设置GPO,并要求强制桌面背景,并验证
2.在董事会部门上级的ou上设置GPO,也进行强制桌面背景,并验证
3.在董事会部门上级的ou上设置GPO,强制删除运行菜单,并验证
4.练习阻止继承,并验证
5.练习向下强制,并验证
6.实现董事会的计算机无须按ctrl+alt+delete,并验证
来源千锋共享资料
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
