文章目录

  • 一、域(Domain)的基本概念
    • 1. 内网工作环境
    • 2. 域的特点
    • 3. 域的组成
    • 4. 域的部署
    • 5. 活动目录 AD
    • 6. 组策略GPO
  • 二、在服务器上部署安装活动目录
    • 1. 开启2008虚拟机,并桥接到VMnet2
    • 2. 为服务器配置静态IP地址10.1.1.1/24
    • 3. 安装活动目录AD
      • Step1 开始 --> 运行 --> 输入dcpromo
      • Step2 弹出安装向导
      • Step3 将自己配置为DNS服务器
      • Step4 新林中新建域
      • Step5 设置林功能级别和域功能级别
      • Step6 设置目录服务还原密码
      • Step7 重启后再次登录
      • Step8 验证AD是否安装成功
  • 三、将计算机加入域
    • 1. 将计算机配置为VMnet2
    • 2. 为计算机配置IP地址及DNS服务器
    • 3. 将Win XP加入域中
    • 4. 在服务器上验证添加是否成功
  • 四、实现域用户登录
    • 1. 在服务器中新建域用户
    • 2. 在Win XP上登录
    • 3. 添加域用户yangtao并在Win 7登录
  • 五、赋予域用户对电脑的完全控制权
    • 1. 以域管理员的身份登录Win7
    • 2. 赋予yangtao对这台电脑的完全控制权
  • 六、组织单位OU
    • 1. 新建组织单位
    • 2. 将域用户加入对应的组
  • 七、组策略(Group Policy = GPO)
    • 1. 为每个组都建立组策略表
    • 2. 统一域中每一台电脑的桌面
    • 3. LSDOU(策略优先级)
      • (1)董事会这个组单独使用一种壁纸
      • (2)组策略的强制
      • (3)组策略的阻止继承
    • 4. 查看已经设置的组策略
    • 5. 设置注销时清除垃圾文件的组策略
    • 6. 一些其他的组策略

一、域(Domain)的基本概念

1. 内网工作环境

  • 工作组:默认模式,人人平等,不方便管理
  • 域:人人不平等,集中管理,统一管理

2. 域的特点

集中/统一管理

3. 域的组成

  • 域控制器:DC(Domain Controller )
  • 成员机

4. 域的部署

  • 安装域控制器–就生成里域环境
  • 安装了活动目录–就生成了域控制器
  • 活动目录:Active Directory = AD

5. 活动目录 AD

特点:集中管理/统一管理

6. 组策略GPO

  • 域环境中通过配置组策略可以对域中的用户、用户组、计算机进行不同维度的管理;如安全配置、注册表配置、软件安装配置、开关机与登入登出管理等。
  • 配置的组策略通过关联到站点、域、组织单位上来在不同层级上应用不同的策略配置。组策略配置分为两部分,分别是计算机配置和用户配置。

二、在服务器上部署安装活动目录

1. 开启2008虚拟机,并桥接到VMnet2

2. 为服务器配置静态IP地址10.1.1.1/24

  • 去掉 IPv6 的勾
  • 配置 IPv4 地址
    • 因为是在本地虚拟机中,也没有路由器,故此处不要配置网关;
    • 不需要配置DNS服务器,具体见后文。

3. 安装活动目录AD

Step1 开始 --> 运行 --> 输入dcpromo

Step2 弹出安装向导

在这之前有安装域服务二进制文件,只需要稍等后就会弹出安装向导,记得不要勾选“使用高级模式安装”

Step3 将自己配置为DNS服务器

一开始没有为服务器配置DNS,因为域服务器的DNS服务器就是自己;
一直点“下一步”。

Step4 新林中新建域


Step5 设置林功能级别和域功能级别

林功能级别选择Win Server 2003,表示这个林中所有的服务器版本不能低于Win Server 2003;
域功能级别同理。

Step6 设置目录服务还原密码

  • 这个报错是正常的,点击“是”
  • 不需要改动,直接点击“下一步”
  • 设置目录服务还原密码
  • 勾选“完成后重启”

Step7 重启后再次登录

  • 在DC上登录域管理员账号SENTING\Administrator
  • 原来的服务器管理员账号administrator自动升级为域管理员,密码仍然是administrator的密码

Step8 验证AD是否安装成功

  • 桌面“计算机” --> 右击属性 --> 查看计算机所在的域:是刚才设置的senting.com
  • 开始 --> 管理工具 --> DNS -->
    查看DNS正向区域,里面有如下的两个记录:表示DNS服务器已经自动创建senting.com区域文件,并自动注册了DC的域名解析记录
  • 开始 --> 管理工具 --> Active Directory 用户和计算机 --> 查看相关记录

    • Computers(普通域成员机列表)中没有记录
    • Domain Controller (DC列表)中只有自己这台计算机的记录
    • Users(域帐号)中有如下的记录

三、将计算机加入域

1. 将计算机配置为VMnet2

加入域中的计算机需要与服务器使用同一张网卡

2. 为计算机配置IP地址及DNS服务器

将Win XP的IP配置为10.1.1.2/24,DNS服务器设置为DC(10.1.1.1)

3. 将Win XP加入域中

  • “我的电脑” 右击 --> 属性 --> 计算机名 --> 更改 --> 输入隶属的域名senting.com
  • Win XP会自动弹出下面的窗口,输入用户名及密码:此处用域管理员的身份加入域
  • 【注】用户名的书写格式:域名\用户名(senting.com\administrator)
  • 点击“确定”

4. 在服务器上验证添加是否成功

  • 在服务器的活动目录上可以发现多出了刚才添加的那台计算机

四、实现域用户登录

1. 在服务器中新建域用户

  • 开始 --> 管理工具 --> Active Directory 用户和计算机 --> Users 右击 --> 新建 --> 用户
  • 输入用户姓名
  • 设置用户密码,根据个人情况选择下面的几个是否勾选
  • 根据上述操作,用户zhangxiaofei添加成功

2. 在Win XP上登录

  • 如果登录到那一栏是本机,那么就是用原来的账户登录本机,而不是用域用户的身份进行登录。
  • 登录到那一栏选择创建的域“SENTING”,再输入用户名和密码,即可登录到域用户。
  • 点击开始,发现用户名是之前设置的域用户zhangxiaofei,表示域用户登录成功。

3. 添加域用户yangtao并在Win 7登录

  • 将Win 7设置为VMnet2,并配置IP和DNS服务器
  • 加入域senting.com
  • 查看Computers,发现添加成功
  • 重复上述步骤,添加新用户yangtao
  • 这个界面是用原用户登录Win7本机
  • 点击“切换用户”,用域用户登录

五、赋予域用户对电脑的完全控制权

1. 以域管理员的身份登录Win7

注意用户名的书写:senting.com\administrator

2. 赋予yangtao对这台电脑的完全控制权

  • 开始 --> “计算机” 右击 --> 管理
  • 本地用户和组-选择组 --> Administrators --> 添加
  • 添加成功
  • 添加后再次切换为yangtao用户登录,yangtao就已经对这台电脑拥有了完全控制权。

遇到的一些小问题
(1)加入域不成功:网络是不是不通 / 解析是否成功解析 / 是否为DNS缓存问题
(2)登入域不成功:在Win XP中,登陆时如果已经勾选登录域QF,那就不用再写senting.com\xiaofei.zhang
(3)域用户的权限:建议将域用户加入到普通成员机的本地管理员组中
【注】本店管理员组:administrators ; 域管理员组:Domain Admins

六、组织单位OU

OU的作用:用来归类域资源(域用户、与计算机、域组)

1. 新建组织单位

  • 开始 --> 管理工具 --> Active Directory 用户和计算机 --> senting.com 右击 --> 新建 --> 组织单位

    • 【注】不是新建 组,不要选择哦
  • 输入组织单位的名称,一般性如果一个公司的域会以公司名来命名
  • 创建好之后,就可以看到“senting集团”啦
  • 重复上述的新租OU的步骤,新建如下图所示的组织架构

2. 将域用户加入对应的组

在Users中找到域用户zhangxiaofei --> 右击 --> 移动 --> 加入它所属的组织“董事会”中

  • 同时将zhangxiaofei的计算机也加入到它对应的组织中
  • zhangxiaofei 及其计算机都成功加入到了“董事会”这个组织中
  • 重复上述步骤,将 yangtao 及其计算机都加入到“东南区”这个组织中

域名:senting.com
zhangxiaofei – Win XP – 董事会
yangtao – Win 7 – 东南区

七、组策略(Group Policy = GPO)

作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。
重点:组策略在域中,是基于OU来下发的!!!

1. 为每个组都建立组策略表

  • 开始 --> 管理工具 --> 组策略管理
  • senting集团 右击 --> 在这个域中创建GPO并在此处链接
  • 这个名称可以与这个组的名字保持一致
  • 重复上述步骤,为每一个组都创建一个组策略

2. 统一域中每一台电脑的桌面

  • Step1. 在服务器的E盘中创建一个共享文件夹share,用于存放桌面壁纸wallpaper(壁纸是.jpg格式)
  • Step2. 将share文件夹 配置为共享文件夹
    • 右击share文件夹 --> 属性 --> 共享 --> 点击“高级共享”
    • 勾选“共享此文件夹” --> 权限 --> Everyone 具有完全控制权
    • 添加 Domain Users,并赋予完全控制权
    • 右击share文件夹 --> 属性 --> 安全 --> Domain Users 的权限是 下图的三个
  • Step3. 在senting集团的组策略中进行设置
    • 右击senting集团组策略 --> 选择编辑
    • 用户配置 --> 策略 --> 管理模板 --> 桌面 --> Active Desktop --> 桌面壁纸
    • 选择“已启用” --> 输入墙纸名称
      【注】因为是共享访问,所以格式为 \10.1.1.1\share\wallpaper.jpg
  • Step4. Win XP 和 Win 7 壁纸修改成功
    • 需要先注销再登录,才能看到壁纸的修改情况
    • 虚拟机会比较慢,所以可以通过 桌面右击–属性 查看桌面是否修改成功


3. LSDOU(策略优先级)

  • LSDOU:

    • L 应用本地组策略
    • S 应用站点组策略
    • D 应用域的组策略
    • OU 应用OU组策略
  • 组策略应用时的冲突:只有上下级对于某一个策略都进行了配置,才会产生冲突。
  • 在应用过程中,如果出现冲突,后应用的策略生效
  • 组策略的强制:如果senting集团组策略是强制,那么不管下面是否有别的组策略,这个域所有的计算机都必须使用senting集团组策略。
  • 组策略的阻止继承:在上级没有设置强制的前提下,设置了“阻止继承”的组不会继承所有上级的组策略,只会用自己的组策略。
例一
上级OU: 桌面 a ; 运行 删除
下级OU: 桌面 未配置 ;运行 不删除LSDOU顺序
**********正常情况下:
下级OU用户结果:桌面 a ;运行 不删除*********下级OU设置了组织继承:
下级OU用户结果:桌面 未配置 ;运行 不删除*********上级设置了强制:
下级OU用户结果:桌面 a ;运行 删除注意:当上级强制和下级阻止继承同时设置,强制生效!

例二
上级OU:3       禁止运行     a
中级OU:4       运行        未配置
下级OU:未配置   禁止运行    未配置 下级OU的LSDOU顺序:
**********正常情况下:4       禁止运行    a
**********下级OU设置了组织继承:未配置   禁止运行    未配置
**********上级设置了强制:3       禁止运行     a
**********下级OU设置了组织继承+上级设置了强制:3       禁止运行     a

(1)董事会这个组单独使用一种壁纸

只需要在“董事会”组策略中设置单独的壁纸

  • “董事会”这个组使用wallpaper2.jpg,将wallpaper2.jpg放入share文件夹

  • 服务器修改“董事会”组策略配置壁纸

  • 登录Win XP(zhangxiaofei属于董事会),壁纸已经更换为wallpaper2.jpg

  • 登录Win 7(yangtao不属于董事会),壁纸仍为wallpaper1.jpg

(2)组策略的强制

  • 如果将senting集团组策略设置强制,那么就算董事会配置了桌面的组策略,Win XP的壁纸依旧为wallpaper1.jpg,无法更换为wallpaper2.jpg

(3)组策略的阻止继承

  • 前提:senting集团没有设置“强制”。

4. 查看已经设置的组策略

  • 单击 senting集团组策略 --> 设置 --> 添加
  • 直接点击“添加”
  • 点击“关闭”
  • 查看当前已经设置的组策略

5. 设置注销时清除垃圾文件的组策略

  • Step1. 在服务器上写一个清除垃圾文件的脚本文件clear.bat
  • Step2. 在Win7上创建文件夹tmp,里面用于存放垃圾文件
  • Step3. 开始 --> 管理工具 --> 组策略管理 --> senting集团组策略右击 --> 编辑 --> Windows设置-脚本 --> 注销
  • Step4. 注销 --> 属性 --> 添加 --> 选择“浏览”
  • Step5. 直接把脚本复制粘贴到浏览的窗口 --> 点击“打开”
  • Step6. 查看组策略管理,设置成功
  • Step7. 注销Win7,重新登录,发现tmp文件夹中的垃圾文件被清除了

6. 一些其他的组策略

  • 开机无需按 Ctrl + Alt + Del
  • 设置密码的要求

【千锋】网络安全300集笔记P37-P41

用Win2008搭建域相关推荐

  1. 如何搭建域环境(来自内网安全攻防)

    我们通常说的内网渗透测试,很大程度上就是与渗透测试域渗透测试.搭建域渗透测试环境,在Windows的活动目录环境下进行一系列操作,掌握其运行方法和运行机制,便于对内网的安全维护. 在该实验中,我们配置 ...

  2. Windows Server 2008搭建域环境---安装活动目录

    搭建域环境 首先搭建一个单域环境,掌握活动目录的功能,后面的章节将会讲授活动目录树活动目录林,以及林之间的信任.在现阶段只介绍单域单域控制器环境中如何使用活动目录集中管理和统一身份验证. 目标 u 学 ...

  3. outlook域用户名怎么填_内网渗透 | 搭建域环境

    搭建域环境 目录 部署域架构 如何加入域 域中主机的登录 SRV出错及解决办法 SRV记录注册不成功的可能原因 禁用域中的账户 将计算机退出域 添加域用户 部署域结构 在域架构中,最核心的就是DC(D ...

  4. windows server 2008 r2 搭建域隔离用户的ftp

    环境:xx公司有分为职员.主管.经理三个部门,目前有用户职员3名.主管2名.经理1名.搭建ftp服务器,为公司三类用户提供ftp服务,ftpserver加入到域. ftpserver :提供ftp服务 ...

  5. 咋搭建域控服务器,Active Directory虚拟机搭建域控服务器环境

    前言 还是和上一章一样,痛苦过后还是记录下给后来人提供便利为妙. 虚拟机选择:建议Hyper-V或者VMware 系统选择:建议WIindows Server 2003及以上 我这里是使用VMware ...

  6. 咋搭建域控服务器,服务器搭建域控与SQL Server的AlwaysOn环境过程(一) 搭建域控服务器...

    0 准备阶段 1. Windows Server 服务器 3台(其中域控服务器配置可降低一个水准,目前博主试用的是:域控服务器--2核4G 数据库服务器(节点)--4核8G ) 2. SQL Serv ...

  7. Windows2008服务器 搭建域控制器

    Windows2008服务器 搭建域控制器 说明 环境说明 搭建过程 检测域是否建立成功 说明 本文为在Windows2008服务器上搭建域控制器的过程说明,记录自用,也希望能够共同学习,如有不足,请 ...

  8. 使用win2012 与 Win2012搭建子域和 使用win2008与win2012 搭建域林,建立域信任关系

    搭建子域 环境:已有一台Win2012作为父域控,父域为 win.com ,ip:192.168.3.132 目的:子域控为 win2012,搭建一个子域 son.win.com, ip:192.16 ...

  9. 解决使用adprep升级windows2003/win2008/win2012域时遇到的问题

    服务器域要迁移,从win2003迁移到2008和2012,用adprep准备升级时,从2008 r2 cd 安装盘 拷贝过来的 support文件夹下 adprep,发现用adprep /forest ...

最新文章

  1. linux nginx php 目录权限,Nginx环境中配置网站目录权限设置
  2. hadoop块的存储方式
  3. 从敲入 URL 到浏览器渲染完成、对HTTP协议的理解
  4. 浅谈Docker:DockerLinux安装,镜像管理命令,镜像制作命令,容器管理命令,数据卷,DockerFile,Docker-compose
  5. 3.建造者模式(Builder)
  6. STM32网络之SMI接口
  7. 怎样把照片中的头像扶正_微信头像用对了,2020运气差不了
  8. nginx html目录 404 盘符_nginx配置场景分析 location /
  9. div自动滚动_简易数据分析 10 | Web Scraper 翻页——抓取「滚动加载」类型网页
  10. linux - mysql 异常:Ignoring query to other database
  11. Gigapixel AI 6.0 for Mac(图片无损放大软件)
  12. 电脑计算机无法加载,电脑网页视频一直显示无法加载插件
  13. C# UDP Socket ReceiveFrom 远程主机强迫关闭了一个现有的连接。
  14. DuKBitmapImages 图片压缩处理技术
  15. MYSQL排序加分页报错Out of sort memory, consider increasing server sort buffer size
  16. 图灵学院Java开发笔记
  17. Yuga Labs「高处不胜寒」
  18. go标准库的中文翻译
  19. 强化学习蘑菇书Easy RL第一章
  20. 史上最全的大数据入门手册!

热门文章

  1. Altium Designer 之【差分线】和【等长线】
  2. JavaScript:二维码生成与解析
  3. Filter过滤器url-pattern的两种方式
  4. 反垃圾邮件软件_网络安全界的扛把子!大蜘蛛杀毒软件!货硬,价更香!
  5. 计算机音乐惊雷乐谱,彼岸吉他谱频道-求谱惊雷,皮卡丘多多,求吉他谱,尤克里里谱,简谱,五线谱,钢琴谱,乐队总谱,乐谱-彼岸吉他 - 一站式吉他爱好者服务平台...
  6. 怎么对document.write写出来的内容调整对齐方式_干不过写PPT的?麦肯锡老阿姨教你4招...
  7. 【计算机毕业设计】民宿管理平台
  8. 企业邮箱购买如何收费,企业邮箱价格是多少
  9. 关于PCB设计必须掌握的基础知识
  10. 一款android上的纸牌类小游戏