WindowsServer操作系统安全

文章目录

安装完操作系统后的基本配置
用户与组的管理
NTFS权限管理
本地安全策略
本地组策略
磁盘管理
文件共享服务
分布式文件系统（DFS）
FTP文件传输服务
DHCP
DNS
AD域概念
AD域环境部署
AD域环境管理
组策略

安装完操作系统后的基本配置

1、显示桌面上的通用图标（开始--搜索--icon--显示或隐藏桌面上的通用图标）
2、安装Vmware Tools
3、激活操作系统 （小神龙激活 MicroKMS神龙版）
4、关闭系统自动更新
5、关闭Windows防火墙、“病毒和威胁防护”
6、主机重命名
7、关机做快照（虚拟机出问题时可以恢复）

用户与组的管理

1、用户管理
用户认证：确定用户是否有权利使用系统资源

用户授权：确定使用者能够对系统资源行使怎样的权限

用户账户：

每个用户有唯一的SID，可以用whoami /user查看当前用户的SID
Administrator的SID为500，新建普通用户的SID从1000开始

用户账户类型：

本地账户：在本地计算机中生效，无法通过本地账户访问其他计算机资源
域账户：在整个域中生效，可以通过域账户访问域中其他计算机的资源
内置用户账户：
- 与使用者关联的用户账户：Administrator（管理员用户）、Guest（来宾用户）、DefaultAccount（默认账户）
- 与Windows组件关联的用户账户：SYSTEM（本地系统）、LOCAL SERVICE（本地服务）、NETWORK SERVICE（网络服务）

2、组管理
组的类型：
- 系统默认组：如Administrators（管理员组）、Remote Desktop Users（远程桌面登录组）等
- 新建用户组：可以为其设置安全权限
- 动态包含成员的内置组：以下3个组在“用户和组”中是看不到的，在设置共享权限或NTFS权限时可以看到
- Interactive：动态包含本地登录过的账户
- Authenticated Users：动态包含通过验证的用户
- Everyone：包含任何用户

注意：当一个用户属于多个组时，且多个组的权限有冲突，拒绝权限生效

使用命令提示符管理用户和组：

 查看当前存在的用户：net user查看当前存在的用户组：net localgroup新建一个普通用户：net user 用户名 密码 /add修改用户密码：net user 用户名 密码删除用户：net user 用户名 /del禁用用户：net user 用户名 /active:no启用用户：net user 用户名 /active:yes新建本地组：net localgroup 组名 /add删除本地组：net localgroup 组名 /del将用户添加到本地组：net localgroup 组名 用户名 /add将用户从本地组中删除：net localgroup 组名 用户名  /del

3、映射网络驱动器与访问网络共享
注意：如果访问其他计算机成功就会产生网络连接的缓存

查看缓存：net use
删除缓存：net use * /del（注销也可以实现）

案例：如下图所示，将第二台PC的共享目录映射到第一台服务器中并实现可读可写

答：第一步：新建或选择一个文件夹，右键属性 - 共享 - 添加指定的用户并指定权限 - 确定
第二步：右键此电脑 - 映射磁盘驱动 - 输入：\IP地址\共享的文件夹名称 - 确定
第三步：用另一台服务器连接，win+R输入：\对方的IP地址，然后输入对方所指定用户的用户名和密码进行访问

NTFS权限管理

1、常见文件系统：NTFS、FAT、REFS、EXT、HFS、XFS

NTFS支持的功能：NTFS权限、EFS加密、磁盘配额、压缩和加密、卷影副本
NTFS特点：高安全性、磁盘自我修复、大容量、长文件名

2、NTFS六类权限细致划分
注意：NTFS权限是可以累加的；当权限冲突时，拒绝优先生效

3、权限的继承与阻止继承（右键属性 - 安全 - 高级 - 启用/关闭继承）
注意：将设置好权限的文件或文件夹移动到其他NTFS分区，权限的变化为：删除原有权限，继承新的权限

案例：
根据以下需求完成NTFS相关的实验，文件夹结构如下：
chengdu/gaoxin
chengdu/jinjiang
需求：
用户zhangsan只能够访问gaoxin
用户lisi只够访问到jinjiang
管理员对chengdu有完全控制权限，zhangsan和lisi对chengdu有访问权限
答：步骤一：创建父文件夹chengdu，在chengdu下面创建两个文件夹分别为gaoxin和jinjiang
步骤二：右键gaoxin - 属性 - 安全 - 高级 - 禁用继承 - 删除所以已继承的权限 - 添加 - 选择主体zhangsan - 赋给zhangsan访问权限 - 应用并确定
步骤三：右键jinjiang- 属性 - 安全 - 高级 - 禁用继承 - 删除所以已继承的权限 - 添加 - 选择主体lisi- 赋给lisi访问权限 - 应用并确定

步骤四：右键chengdu- 属性 - 安全 - 高级 - 禁用继承 - 删除所以已继承的权限 - 添加 - 选择主体administrator- 赋给administrator权限 - 应用并确定
步骤五：右键chengdu- 属性 - 安全 - 添加 - 添加zhangsan、lisi并赋给权限 - 应用并确定

4、特别的权限（属性 - 安全 - 高级 - 双击 - 显示高级权限）

读取权限：即可以读取NTFS权限的权限（注意区分读取属性和读取权限）
更改权限：即可以更改NTFS权限的权限
取得所有权：成为该文件夹的所有者

5、配置卷影副本
作用：用来做数据恢复，相当于给磁盘分区做快照

还原方法：

方法一：右键属性 - 卷影副本 - 以前的版本 - 还原
方法二：右键配置卷影副本 - 还原

6、压缩和加密（右键属性 - 常规 - 高级）
加密：谁对文件加密，谁才可以看到文件内容
压缩：不是压缩成一个压缩包，而是以更小的磁盘占用率存储数据

注意：这两个功能只能同时使用一个

本地安全策略

打开命令：secpol.msc

账户策略设置：

密码策略
账户锁定策略

本地策略：

审核策略
用户权限分配
安全选项

本地组策略

打开命令：gpedit.msc

计算机配置：

软件设置
Windows设置
管理模板

用户配置：

软件设置
Windows设置
管理模板

磁盘管理

1、基本磁盘
基本磁盘：由主磁盘分区+扩展磁盘分区or逻辑分区组成的物理磁盘

磁盘分区类型：MBR、GPT
MBR：

 一个MBR磁盘分区类型的硬盘构成为主分区 + 扩展分区的形式主分区最多4个，扩展分区可以没有，如果有那么只能有一个扩展分区不能直接用，它存在的意义是将自身分为多个逻辑分区MBR硬盘的每个分区可以使用不同的文件系统，如FAT、NTFS等

GPT：

在MBR的基础上，支持每个磁盘上大于4个主分区，但是Windows系统限制不能多于128个

联机和初始化磁盘：

联机：磁盘处于联机状态时才能对其初始化
初始化：使用磁盘之前必须先进行初始化

2、动态磁盘
动态磁盘：打破了文件系统只能使用连续的磁盘空间的限制，使一个文件系统可以灵活的管理和使用磁盘空间，并充分利用这些空间使用Windows动态磁盘技术管理硬盘，一个文件系统甚至可以管理和使用多块硬盘上的空间

动态磁盘特点：可扩展性、高读写性能、高可靠性

简单卷：

只利用一块动态磁盘的磁盘空间建立的卷

跨区卷：实现可扩展性

由两块或多块硬盘上的存储空间组成的卷（每块硬盘所提供的磁盘空间不必相同）
虽能扩充卷的容量，但既不提高读取性能，也不提供容错。其中一块磁盘出现错误，数据将全部丢失。

带区卷（RAID0）：实现高读写性能

由两块或两块以上硬盘组成（每块硬盘所占用的空间大小必须相同）
系统会将数据分散存于等量磁盘位于各硬盘的空间，并行的进行读写，极大提高数据读写效率。
虽能实现高读写性能，但不能实现扩充卷容量和容错。其中一个磁盘出错，则整卷不能工作。

镜像卷（RAID1）：实现高可靠性

是在两个物理磁盘上复制数据的容错卷。镜像卷提供了数据冗余和容错功能。
镜像位于另一磁盘上，若一个物理磁盘出故障，可利用另一个磁盘上的镜像继续运行。

RAID-5卷：是前面的综合

RAID 5 是一种存储性能、数据安全和存储成本兼顾的存储解决方案
至少3块硬盘才能建立，每块硬盘必须提供相同的磁盘空间，可用磁盘数为：n-1，可使用容量为：单块磁盘容量*（n-1)
具有容错功能：数据分散写入各硬盘，同时建立一份奇偶校验数据信息，保存在不同的硬盘上，如此以来可以通过奇偶校验来恢复数据

文件共享服务

1、设置共享（属性 - 共享选项卡）

2、访问共享资源的方式

网上邻居：客户端需要指定网关
映射网络驱动器
创建快捷方式

\\192.168.1.129
\\192.168.1.129\test$

3、关于共享权限与NTFS权限

当共享权限和NTFS权限都设置时，用户的最终权限是两者的交集
如：如"共享"有读取、写入权限，"安全"只有读取权限，那么最终用户将有读取权限

4、多次共享

一个文件夹可以使用不同的名称实现多次共享，权限可以设置的不一样

5、匿名共享
匿名共享：任何人不需要密码即可访问到服务器共享的资源
设置匿名共享方式：

计算机管理 - 本地用户和组 - 启用用户Guest
在共享权限、NTFS权限中设置匿名用户的权限（至少具备读取权限 - 交集）
打开本地安全策略 - 本地策略 - 安全选项 - 本地账户的共享和安全模型 - 改为仅来宾
打开本地组策略 - 计算机配置 - 管理模板 - 网络 - lanman工作站 - 启用不安全的来宾登录

6、隐含共享
设置隐藏共享文件夹：共享文件名+$

访问隐藏共享文件夹：\IP地址\共享文件名$

7、默认共享

共享权限不能改，管理员有完全控制权
删除默认共享需要修改注册表

8、案例
要求：设置共享项目“public”并设置基于用户的访问且不允许“王五”访问该共享
步骤一：在共享权限选项卡里设置Everyone的访问权限

步骤二：在安全权限选项卡里设置Users的访问权限，并设置拒绝wangwu的访问权限

分布式文件系统（DFS）

1、DFS功能

DFS 命名空间：实现资源的逻辑整合。用户只需访问一个共享项目，即可访问到不同共享服务器的多个共享项目。
DFS 复制：实现两个服务器的文件夹数据同步。注意需要创建默认共享：net share d$=d:

2、文件服务器资源管理器（需要下载）

可以限制文件夹的大小，限制文件夹存放的文件类型。
在磁盘配额或者文件屏蔽配置时，定义的日志警告可在 “事件查看器”—>自定义视图—>管理事件中查看

3、案例
要求：基于共享项目“public”定义用户不能够上传*.bat类型文件，并查看用户上传*.bat文件失败的日志
步骤一：打开文件服务器资源管理器 - 文件屏蔽管理 - 文件屏蔽 - 创建文件屏蔽，如图

步骤二：设置将警告发送至事件日志，如图

步骤三：在事件查看器 - 自定义视图 - 管理事件，查看查看用户上传*.bat文件失败的日志，如图

FTP文件传输服务

1、FTP概述

FTP中文名为文件传输协议，属于TCP/IP 协议家族，主要作用是为用户提供上传和下载文件的服务
FTP是C/S的工作模式，其默认使用TCP端口的 20和21，其中20用于传输数据，21用于传输控制信息

2、FTP工作方式
2.1、控制连接
客户端希望与FTP服务器建立上传下载的数据传输时，它首先向服务器的TCP 21端口发起一个建立连接的请求，FTP服务器接受来自客户端的请求，完成连接的建立过程，这样的连接就称为FTP控制连接。
2.2、数据连接

FTP控制连接建立之后，即可开始传输文件，传输文件的连接称为FTP数据连接。
FTP数据连接就是FTP传输数据的过程，它有两种"传输模式"，主动或者被动传输是以服务器为参照

1、主动模式（PORT）：客户端通过任意端口N(N>1024)向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。当需要传送数据时，客户端在命令链路上用PORT命令告诉服务器客户端生成的端口N+1。于是服务器从20端口向客户端的N+1端口发送连接请求，建立一条数据链路来传送数据。
2、被动模式（PASV）：客户端通过任意端口N(N>1024)向服务器的FTP端口（默认是21）发送连接请求并监听N+1端口。服务器接受连接，建立一条命令链路。当需要传送数据时，服务器在命令链路上用PASV命令告诉客户端服务器随机生成的端口 P 3333(P>1024)。于是客户端通过N+1端口向服务器的P端口发送连接请求，建立一条数据链路来传送数据。

3、FTP实现方式
FTP客户端程序：命令行工具、www浏览器、专用图形工具（FileZilla、FlashFXP、CuteFTP等）
FTP服务端程序：IIS FTP服务、Serv-U、FileZilla Server等

4、FTP传输模式

ASCII传输模式
二进制传输模式

5、FTP配置（IIS FTP服务）

5.1、FTP IP地址和域限制- 在该列表中可以添加IP和网段，实现拒绝或允许相关主机- 需要注意，当策略冲突时，最先匹配的策略生效，策略匹配顺序为从上往下- 当请求者在该项目中未匹配成功时，默认是允许5.2、FTP 当前会话- 在该列表中可以查看目前已经通过ftp协议连接至服务器的相关信息5.3、FTP 身份验证- 在该列表中可以设置启用或关闭"匿名身份验证"和"基本身份验证"，用于实现基于用户名密码访问和不需要密码访问5.4、FTP 授权规则- 在该列表中可以设置对相关共享目录的访问权限- 该授权规则比较严格，只有在该项目中能够匹配的用户或组才能实现拒绝或允许，而不在该列表的用户和组一律拒绝5.5、FTP请求筛选
在该项目中，可以设置在某个FTP共享文件夹中只显示哪些类后缀的文件，通过添加后缀类显示或不显示相关文件5.6、FTP日志
记录了关于用户登录、使用的命令等情况，该项目下有定义默认的日志存放位置，可直接打开查看5.7、FTP消息
在该项目中，可以设置登录FTP时的欢迎语以及退出语。一般在命令行模式下可以体现出来注意："1.FTP IP地址和域限制"、"4.FTP 授权规则"在站点中可以设置，在站点中的每个目录上也可以独立设置，站点中的每子目录有的权限站点也应该拥有这个权限，否则子目录将无此权限。

6、FTP访问方式

Win+R访问：ftp://IP地址
CMD访问：ftp IP地址

7、案例
实验环境：
1台服务器(Windows Server2019)、客户端两台：client1/真实机、client2/Win虚拟机

项目描述：公司的FTP共享根目录为"项目资料",在项目资料中共有子文件夹"实施文档"、“操作工具”
要求：
0、在"实施文档"中现有文件：项目演示.ppt、实施过程.doc、实施图纸.zip，要求只能对用户展示文档类文件。

1.项目经理"王军"对公司FTP共享目录拥有所有权限。

2.工程师"刘喜"对"操作工具"拥有所有权限，对"实施文档"拥有读取权限。

3.工程师"陈成"对"操作工具"拥有读取权限，对"实施文档"读取权限。

4."操作工具"只能够通过"client1/真实机"访问

5.在"client1/真实机"中"刘喜"使用命令行登录FTP服务器，将客户机"C:\zlt\监控软件.zip"上传至服务器"操作工具"

DHCP

1、DHCP概述

为网络中计算机自动分配TCP/IP参数的协议
DHCP提供的TCP/IP配置：IP地址、子网掩码、网关、DNS
使用DHCP的好处：减少管理员的工作量、避免输入错误的可能、避免IP冲突、提高了IP地址的利用率、方便客户端的配置

2、DHCP工作原理
DHCP Discover：PC说“我来了，谁能给我个IP地址？”
DHCP Offer：多个DHCP服务器说“我可以给你”
DHCP Request：PC说”我要第一个回应我的DHCP服务器分配给我IP地址“
DHCP Reply：第一个回应的DHCP服务器说“我把这个IP地址给你，你用吧”

DNS

1、DNS概述

域名解析系统，将域名解析为IP地址或将IP地址解析为域名
早期使用Hosts文件解析域名，维护困难，所以有了DNS（C:\Windows\System32\drivers\etc\hosts）

2、域名空间结构

www.baidu.com.
三级域(www) - 二级域(baidu) - 顶级域(com) - 根域(.)FQDN：完全合格的域名    www.baidu.com

3、DNS查询过程及解析方式
递归：帮助客户端进行负责任的解析
迭代：告诉客户机一个可能的结果，自己去寻找解析

4、DNS记录

1.A记录
A记录也称为主机记录，是使用最广泛的DNS记录，A记录的基本作用就是说明一个域名对应的IP是多少，   它是域名和IP地址的对应关系，表现形式为     www.contoso.com   192.168.1.1  这就是一个A记录！A记录除了进行域名IP对应以外，还有一个高级用法，可以作为低成本的负载均衡的解决方案，比如说，www.contoso.com  可以创建多个A记录，对应多台物理服务器的IP地址，可以实现基本的流量均衡2.NS记录NS记录和SOA记录是任何一个DNS区域都不可或缺的两条记录，NS记录也叫名称服务器记录，用于说明这个区域有哪些DNS服务器负责解析，SOA记录说明负责解析的DNS服务器中哪一个是主服务器。因此，任何一个DNS区域都不可能缺少这两条记录。NS记录，说明了在这个区域里，有多少个服务器来承担解析的任务3.SOA记录NS记录说明了有多台服务器在进行解析，但哪一个才是主服务器呢，NS并没有说明，这个就要看SOA记录了，SOA名叫起始授权机构记录，SOA记录说明了在众多NS记录里那一台才是主要的服务器4.MX记录全称是邮件交换记录，在使用邮件服务器的时候，MX记录是无可或缺的，比如A用户向B用户发送一封邮件，那么他需要向DNS查询B的MX记录，DNS在定位到了B的MX记录后反馈给A用户，然后A用户把邮件投递到B用户的MX记录服务器里5.Cname记录又叫别名记录，我们可以这么理解，我们小的时候都会有一个小名，长大了都是学名，那么正规来说学名的符合公安系统的，那个小名只是我们的一个代名词而已，这也存在一个好处，就是比暴漏自己，比如一个网站a.com 在发布的时候，他可以建立一个别名记录，把b.com发布出去，而b.com对应了a.com。这样不容易被外在用户所察觉，达到隐藏自己的目的6.SRV记录SRV记录是DNS服务器的数据库中支持的一种资源记录的类型，它记录了哪台计算机提供了哪个服务这么一个简单的信息7.PTR记录
PTR记录也被称为指针记录，PTR记录是A记录的逆向记录，作用是把IP地址解析为域名。
由于我们在前面提到过，DNS的反向区域负责从IP到域名的解析，因此如果要创建PTR记录，必须在反向区域中创建

5、DNS配置的基本概念及步骤

1、子域
可以将同一网络中的不同用户归于不同的子域，然后给不同资源创建不同的记录，实现不同的功能2、委派
区域中的子域过多时维护起来不方便
新建委派可以将子域委派到其他服务器维护
已经在父域中存在的子域，无法委派，要委派子域，必须在"委派"中 创建子域并委派。
被委派出去的域，父域不能够进行管理。
步骤：
两台服务器，一台客户机
服务器1中创建A记录，指定一个名称，对应的IP地址为服务器2的IP地址；
在服务器1上委派 jj.baidu.com 到服务器2；
第二台服务器DNS地址需指向第一台服务IP，然后第二台服务器创建主区域，并设置域名 jj.baidu.com，域名是服务器1委派的域名；
验证是否生效：
服务器2上创建主机 www.jj.baidu.com ，
在客户机中设置dns为服务器1，命令行 nslookup www.jj.baidu.com ，能够解析出来，并且显示是非权威应答，委派成功
结论：将第一台服务器的域名委派到其他服务器，虽然解析数据在其他服务器中，但是由于此服务器为服务器1的子域。因此在使用dns解析时，第一台服务器能够将指针发到服务器2中进行解析3、区域传送
主服务器是区域传送的来源服务器，它既可以是主要区域，也可以是辅助区域。如果主服务器是主要区域，区域传送则直接从主要区域取得区域文件。如果主服务器是辅助区域，区域传送则仅传送区域文件的一个只读副本。
区域传送时接收数据服务器应该能够解析数据来源服务器的域名
步骤：
1.服务器2需要将备用DNS地址设置为服务器1的IP地址（主DNS地址是自己），以便能够解析服务器1需要进行区域传送的域名
2.服务器1在需要传送的域（属性选项卡）中设置区域传送许可
3.服务器2新建区域并选择辅助区域且域名与服务器1需要传送的域名一致，设置想要复制的区域的DNS服务器IP为服务器1的IP，创建完成后则可按F5刷新同步，此时服务器1的资源记录及子域。委派子域都将被同步到服务器2
验证是否生效：
在客户机中设置dns为服务器2，然后去测试。4、转发器
右键WIN-XXXX - 属性 - 转发器 - 编辑 - 填写想要转发到的DNS服务器IP
具有特殊功能和应用的DNS服务器
将本地DNS服务器无法解析的查询，转发到网络上其它DNS服务器
转发到转发器的查询一般为递归查询
可以设置条件转发

6、案例
需求描述：

1.公司使用一台DNS服务器（192.168.1.10）独立维护域名 zlt.com
2.在总公司的DNS服务器中需要创建以下映射条目
192.168.1.100       www.zlt.com             A记录及PTR记录
192.168.1.200       mail.zlt.com                    A记录及PTR记录
192.168.1.210       www.chengdu.com     A记录及PTR记录
3.通过nslookup验证创建的资源记录
4.搭建额外一台DNS服务器“192.168.1.20”并设置转发器服务器IP地址为“192.168.1.10”，使得客户端的DNS为“192.168.1.20”仍能够解析到在“需求描述2”中资源记录。

实验环境：

两台Windows server 2019作为DNS服务器
一台Windows 7作为客户端

实验步骤：
1、配置正向查找域

2、配置反向查找域

3、配置转发器

4、在Windows 7上验证

AD域概念

1、计算机内网模式

1、工作组
在工作组模式的网络中，各服务器都是独立的，而且各服务器中的帐户和资源也是各自进行管理的。所以，管理员需要为每台服务器建立帐户，在管理时也需要分别登录各服务器完成管理工作。授权用户访问不同的服务器时，也需要分别登录。2、域
在域模式的网络中，服务器可以集中进行管理，域中的帐户和资源也是集中管理的。所以，管理员登录到服务器后就可以管理整个域并可以访问所有共享资源。在域模式的网络中，需要一个对帐户和资源进行统一管理的机制，这个机制就是活动目录（Active Directory）。域中所有的帐户和共享资源都需要在活动目录中进行登记，用户可以利用活动目录查找和使用这些资源。基于域模式的网络可大大减轻管理的复杂度和工作量，通常用于结构较复杂的网络。3、二者区别
管理模式上：工作组是分散管理，域是集中管理
管理结构上：工作组是对等网，域是C/S结构

2、域的特点
集中、统一管理网络资源

3、域的组成

1、域控制器（Domain Controller，DC）：是一台安装并运行Active Directory的服务器，它管理用户和域交互之间的所有安全相关方面，集中安全性和管理。一个域可以有一个或多个域控制器，各域控制器间地位平等，管理员可以在任一台域控制器上更新域中的信息，更新的信息会自动传递到网络中的其他域控制器中。
2、成员机：它是域中的成员，成员服务器不执行用户身份验证，也不存储安全策略信息，这些工作由域控制器完成，这样，可以让成员服务器有更高的处理能力来处理网络中的其他服务。在域结构的网络中，身份验证与服务是分开的，这样可以提高服务器的效率。

4、活动目录（Active Directory）
由于网络规模较大，这时我们就会考虑把网络中对象，比如计算机、用户帐户、组帐户、打印机、共享文件夹进行分类后存放在一个数据库中，并做好检索信息，以利于查找、管理和使用这些对象（资源）。这个有层次结构的数据库，就是活动目录数据库，简称AD库。我们把存放有活动目录数据库的计算机称为域控制器。

5、域的逻辑结构
域、域树、域林、根域

1、组织单元（OU）：是域内的一种容器，也是一种对象。可以把域中的对象组织成逻辑组，以简化管理工作。组织单元可以包含各种对象，如用户账户、用户组、计算机、打印机等，甚至可以包括其他的组织单元，所以可以利用组织单元把域中的对象组成一个完全逻辑上的层次结构。对企业来讲，可以按部门把所有的用户和设备组成一个组织单元层次结构，也可以按地理位置形成层次结构，还可以按功能和权限分成多个组织层次结构。2、全局编录服务器(GC)：存储着本域中所有对象所有属性，同时存储林中其他域中所有对象的部分属性。一般来说，属性是否存储在GC中，取决于该属性在搜索中使用的频率，由系统自动进行决定。主要具有以下两个功能：允许用户在林中所有域上搜索活动目录信息,提高查询速度。为域控制器提供请求验证登陆的用户信息。

6、域中的计算机分类

1、域控制器DC安装了活动目录的服务器，存储了所有域范围内的账户和策略信息。在网络中可以将多台服务器配置为域控制器，并一起工作，即使部份域控制器瘫痪，网络访问仍然  不受影响，提高了网络安全性和稳定性。2、成员服务器（windows server）
安装了Windows Server 2016/2019/2008的服务器，又加入到了域，但没有安装活动目录的计算机。3、独立服务器不加入到域中也不安装活动目录，就称为独立服务器，独立服务器和域没有关系。4、域中的客户端（windows）加入到域中，但没有安装活动目录的其他操作系统的计算机。注意：服务器的角色可以改变，如服务器在删除时，如果是域中最后一个域控制器，则该服务器成为独立服务器，如果不是域中的最后一个域控制器， 则成为成员服务器。同时独立服务器既可以转换为域控制器也可以加入到某个域成为成员服务器。

AD域环境部署

0、部署前的准备

部署要求：本地管理员权限操作系统版本必须满足条件NTFS分区静态IP地址有足够的可用磁盘空间该服务器需要DNS角色

1、创建域

1、使用“服务器管理器”安装 Active Directory 域服务。
2、通过“添加角色和功能”安装活动目录。
3、选择将当前服务器提升为域控制器。
3、验证Active Directory域服务的安装。
（1）查看计算机名
（2）看管理工具中有没有“Active Directory 用户和计算机”、“Active Directory站点和服务”、“Active Directory域和信任关系”等管理工具。
（3）查看活动目录对象
（4）查看 Active Directory 数据库文件，%SystemRoot%\Ntds 目录中应有以下文件有：
Ntds.dit：数据库文件；
Edb.chk：检查点文件；
Temp.edb：临时文件。
（5）检查DNS记录

2、客户机加入域

客户端加入域的条件：1.客户端能够与DC通信2.客户端加域需要验证域管理员账号及密码3.客户端需要配置能够解析要加入域的DNS地址
客户端加域后可在“此电脑”属性中看到所属的域

3、额外域控制器的安装

1、额外域控制器的好处提供容错提供负载均衡更易于用户的连接和访问
2、安装额外域控制器2.1、安装时的注意事项操作系统版本必须受当前域功能级别支持拥有域管理员权限计算机TCP/IP参数配置正确确保计算机和第一台域控制器之间互相连通确保该计算机能够通过DNS解析要加入域的域名2.2、安装步骤1.第二台服务器加入第一台服务器的域环境2.使用“服务器管理器”安装 Active Directory 域服务。3.通过“添加角色和功能”安装活动目录并提升为额外域控制器。4.验证Active Directory域服务的安装。

4、AD域服务器卸载

AD域服务器的三种角色有域控制器、成员服务器和独立服务器。服务器的这三个角色可以发生改变。删除活动目录时要注意以下四点：1、如果该域内还有其他域控制器，则该域会被降级为该域的成员服务器。2、如果这个域控制器是该域的最后一个域控制器，则被降级后，该域内将不存在任何域控制器了。因此，该域控制器被删除，而该计算机被降级为独立服务器。3、如果这台域控制器是“全局编录”，则将其降级后，它将不再担当“全局编录”的角色，因此请先确定网络上是否还有其他的“全局编录”域控制器。 4、确保当前DC无操作主机或操作主机已经转移

5、创建子域

创建子域和创建额外域控制器的条件基本相同
在通过“添加角色和功能”安装活动目录时需指定域类型为“子域”并设置基于哪一个父域

6、创建域时可能出现的故障及解决方法

安装活动目录错误提示“管理员密码为空或过于简单” 解决办法：
在cmd中执行：net user administrator
需要密码    No          //此处提示未No时，表示需要设置启用密码net user administrator /passwordreq:yes     //启用密码如果需要重设密码：
net user administrator  Aa123456
通过以上配置即可解决该问题。脱机加域：
在域控制中执行以下命令：
djoin.exe /provision /domain chengdu.com /machine Windows10_1809 /savefile c:\in.txt
chengdu.com：客户端要加入的域名
Windows10_1809：要加入域的计算机名
c:\in.txt：生成的脱机加域文件存放位置将C盘中的"in.txt"文件复制到客户端的C盘中并执行以下命令：
djoin.exe /requestodj /loadfile c:\in.txt /windowspath c:\windows /localos

AD域环境管理

1、域用户账户管理

1、域用户账户的作用验证用户的身份 授权或拒绝对域资源的访问
2、创建域用户账户域用户账户的命名域用户账户的密码
3、案例环境公司已经部署了Windows Server 2016域，拥有一台文件服务器fileserver
4、需求描述授予域用户zhangsan对共享文件夹share的读取权限将用户lisi设定为只有周一至周五可以登录域设定外部专家用户wangwu账户过期时间为3个月

2、域组的管理

1、组的类型
安全组：为用户设置访问权限
通讯组：用于电子邮件通信，包含联系人和用户帐户
2、组的作用域本地域组：针对本域的资源创建本地域组            适用范围：本域全局组：管理日常维护的目录对象                    适用范围：整林及信任域通用组：身份信息记录在全局编录中，查询速度快      适用范围：整林及信任域3、全局组和通用组的区别：在多域环境中，通用组成员的身份信息记录在全局编录中，而全局组成员身份存储在每个域中。在多域环境中，相比较而言，通用组成员登录或者查询速度较快。

3、组织单位OU

1、OU的概念：OU是AD中的容器，可在其中存放用户、组、计算机和其他OU，OU不能包含来自其他域中的对象2、OU的常见结构：基于部门、基于地理位置、基于对象类型3、创建及删除OU：防止对象被意外删除

4、委派控制
域委派是指将域内用户的权限委派给服务账户，使得服务账号能够以用户的权限在域内展开活动。简单的说就是如果一个服务账号上设置了委派属性，那么这个服务就能够以用户权限在域内进行其他操作。翻译过来就是服务能够被（某个用户）委派来进行其他操作。

5、AD DS管理工具（WindowsTH-RSAT_WS2016-x64.msu）
因为委派控制的用户是不能登录域服务器的，无法使用服务器上域管理的那一套工具，所以委派控制的用户可以在自己电脑上安装AD DS管理工具，以此来管理。

6、案例1

1、实验环境
公司有5个部门：行政部、人事部、工程部、销售部和财务部。管理员需要按部门管理用户账户，并且用户账户在第一次登录域时需要更改密码。创建对应的组账号，以便于日后授予权限2、需求描述
在服务器DC01上分别创建行政部、人事部、工程部、销售部和财务部的OU
在各部门OU中创建用户账户，将已创建的用户账户（UserA）移动到所属OU中
修改已存在用户账户（UserA）的属性，勾选“用户下次登录时须更改密码”复选框，以保证用户密码的安全性
按照部门创建本地域组，并将各部门账户添加至对应的组

实验过程：
步骤一：在服务器Winserver2019x1上分别创建行政部、人事部、工程部、销售部和财务部的OU

步骤二：将已存在的用户UserA移动至行政部

步骤三：设置UserA下次登录时须更改密码，以保证用户密码的安全性

步骤四：按照部门创建本地域组，并将各部门账户添加至对应的组，以行政部为例

7、案例2

案例需求：
公司域名为：zlt.com，按部门进行管理，每部门设经理一名，五个部门归总经理统一管理。每个部门的账号不能登录到其他部门，并且只允许在上班时间登录计算机。部门经理要有添加本部门员工和重设本部门员工账号密码的权利，以减少管理员工作量。

实验过程：
步骤一：新建五个部门的OU，在每个部门的OU里面创建用户（包含经理和员工）和组，并将用户添加到对应组中，设置员工的登录时间为工作日的8点-18点

步骤二：将每个部门的OU委派给对应的部门经理，并给予其基本管理权限

步骤三：在Users里新建用户（总经理），然后将每个部门的OU都委派给总经理，并给予其完全控制权限

步骤四：在Win10上下载安装AD DS管理工具，登录部门经理账户测试，以下是行政部部门经理的测试内容，其只能对行政部OU进行操作，并不能操作其他部门OU

组策略

1、组策略概述：一组策略的集合，用来统一修改系统、设置程序
CMD输入gpmc.msc打开组策略管理

1、组策略的优点减小管理成本减小用户单独配置错误的可能性可以针对特定对象设置特定的策略2、组策略对象GPO：存储了组策略的规则，是AD中的一种特殊对象3、默认域策略本地安全策略与默认域策略有冲突，以默认域策略优先，本地设置无效强制刷新域策略：gpupdate /force4、默认域控制器策略只影响到位于Domain Controllers内的域控制器DC，不影响其他组织单元或容器内的计算机和用户默认域策略与域控制器安全策略冲突时，对于DC来说默认域控制器策略优先，默认域策略无效5、优先级总结：默认域控制器安全策略 > 默认域安全策略 > 本地安全策略6、GPO链接：只能链接到站点、域、OU

2、创建 / 编辑组策略

1、计算机配置/对计算机生效
2、用户配置/对用户生效