AD域详细介绍和部署
文章目录
- 网络基础
- 域
- 一、概述
- 二、部署域模式
- 1. 部署活动目录(AD)
- 2. 客户机加入域
- 3. 组织单位(OU)
- 4. 组策略
- 4.1 概述
- 4.2 创建GPO
- 4.3 组策略应用顺序
- 4.4 编辑测试组策略
- 4.5 阻止继承
- 4.6 强制组策略
- 4.7 计算机&用户脚本
- 4.8 计算机配置安全设置
- 5. A-G-DL-P策略
网络基础
域
一、概述
- 计算机内网模式
- 工作组
在工作组模式的网络中,各服务器都是独立的,而且各服务器中的帐户和资源也是各自进行管理的。所以,管理员需要为每台服务器建立帐户,在管理时也需要分别登录各服务器完成管理工作。授权用户访问不同的服务器时,也需要分别登录。 - 域
在域模式的网络中,服务器可以集中进行管理,域中的帐户和资源也是集中管理的。所以,管理员登录到服务器后就可以管理整个域并可以访问所有共享资源。在域模式的网络中,需要一个对帐户和资源进行统一管理的机制,这个机制就是活动目录(Active Directory)。域中所有的帐户和共享资源都需要在活动目录中进行登记,用户可以利用活动目录查找和使用这些资源。基于域模式的网络可大大减轻管理的复杂度和工作量,通常用于结构较复杂的网络。
- 域(Domain)是计算机网络的一种形式,其中所有用户帐户 ,计算机,打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。
- 特点
集中、同一管理网络资源。 - 组成
- 域控制器(Domain Controller,DC):是一台安装并运行Active Directory的服务器,它管理用户和域交互之间的所有安全相关方面,集中安全性和管理。一个域可以有一个或多个域控制器,各域控制器间地位平等,管理员可以在任一台域控制器上更新域中的信息,更新的信息会自动传递到网络中的其他域控制器中。
- 成员机:它是域中的成员,成员服务器不执行用户身份验证,也不存储安全策略信息,这些工作由域控制器完成,这样,可以让成员服务器有更高的处理能力来处理网络中的其他服务。在域结构的网络中,身份验证与服务是分开的,这样可以提高服务器的效率。
- 活动目录
由于网络规模较大,这时我们就会考虑把网络中对象,比如计算机、用户帐户、组帐户、打印机、共享文件夹进行分类后存放在一个数据库中,并做好检索信息, 以利于查找、管理和使用这些对象(资源)。这个有层次结构的数据库,就是活动目录数据库,简称AD库。我们把存放有活动目录数据库的计算机称为域控制器。
通过DNS定位,找到指定的客户机或客户机去找DC。
二、部署域模式
1. 部署活动目录(AD)
环境准备:windows 2008虚拟机作为服务器(需关闭防火墙),win xp虚拟机做客户机,桥接到虚拟网络VMnet2
- 设置静态IP地址
注意:去掉ipv6网络!
- 运行dcpromo,安装AD
这里会提醒你必须配置DNS客户端,需要勾选该选项
在新林中新建一个域:
域树组成的网络结构就是林。
配置一个根域名:
设置功能级别(建议都windows 2003):
设置目录服务还原模式管理员密码:此密码和登录密码不同,还原密码是当域出现问题进行还原操作的,一般用不到。
确认完成:
- 登录测试
本地管理员升级为域管理员
查看主机信息:
查看DNS服务,已经为我们配置好了一个chen.com域名:
查看AD:
2. 客户机加入域
- 配置网络(保证客户机和服务器在同一网络VMnet2)桥接配置IP地址和DNS
- 修改工作模式
将工作组改为域(我的电脑属性)
3. 连接域
使用域管理员登录:
查看域成员:
- 新建域普通用户
使用域普通用户登录:
成功登录!
注意:
本地管理员组:administrators
域管理员组:Domian Admins
3. 组织单位(OU)
- 组织单位(Organizational Unit),用于归类域资源(域用户、域计算机、域组),是可以指派组策略设置或委派管理权限的最小作用域或单元。如果把AD比作一个公司的话,那么每个OU就是一个相对独立的部门。
- 新建OU
- 将用户&客户机移动到某OU中
4. 组策略
4.1 概述
- 组策略(Group Policy Object,GPO):通过组策略控制修改计算机的各种属性,在部分意义上是控制用户可以或不能在计算机上做什么,例如:施行密码复杂性策略避免用户选择过于简单的密码,允许或阻止身份不明的用户从远程计算机连接到网络共享,阻止访问Windows任务管理器或限制访问特定文件夹。这样一套配置被称为组策略对象。
- 组策略在域中,是基于OU发下来的。
4.2 创建GPO
每一个OU下都可以创建一个GPO。
4.3 组策略应用顺序
组策略在域中下发后,用户的应用顺序:L S D OU
即:
- 第一步L:应用本地组策略对象中的设置;
- 第二步S:应用站点组策略对象中的设置;
- 第三步D:应用域组策略对象中的设置;
- 第四步OU:应用管理单元组策略对象中的设置。
由于最后被应用的策略设置将会覆盖之前应用的设置,这意味着在设置互相冲突的情况下,最高级别的活动目录下组策略设置将会取得优先权,也就是说,最终的结果是,域中设置的策略将会覆盖本地策略。
例如:
有两级OU:集团01、财务部,集团01为财务部的上级OU;
集团01的组策略:要求桌面壁纸为a.jpg,取消开始运行功能;
财务部的组策略:要求桌面壁纸为b.jpg,对开始运行功能不做配置。
用户张三在财务部,他所得到的权限即:桌面壁纸为b.jpg且不能修改桌面壁纸,不能使用开始运行功能。
4.4 编辑测试组策略
测试上述举例。
- 开启一台win 7虚拟机作为张三的客户机,用户张三位于集团01的财务部的西北区。
- 编辑集团01组策略
(组策略:桌面壁纸为a.jpg,删除开始运行功能)
在集团01该OU下新建一个GPO,进行编辑:
在组策略编辑器中有非常多的策略对应windows上的所有功能。
- 编辑桌面壁纸组策略:
新建一个共享文件夹sharewallpaper,放置壁纸 a.jpg:
保证所有的domain users都可以共享该文件夹:
保证所有的domain users都有权限使用该共享文件夹:
编辑组策略:
注意壁纸的名称为服务器地址加路径不需要磁盘名:
- 编辑配置删除开始运行功能组策略:
- 编辑财务部西北部组策略
(组策略:桌面壁纸为b.jpg,对开始运行功能不做要求)
在该OU下新建一个GPO,进行编辑
- 编辑桌面壁纸组策略:
在上面的共享文件夹sharewallpaper,再放置一个壁纸 b.jpg:
编辑组策略:
- 重启win 7客户机,查看组策略效果
壁纸b.jpg生效:
开始运行受组策略限制:
查看某个GPO编辑的哪些组策略:
- 总结:
组策略应用顺序为 L S D OU,当设置互相冲突的情况下,域中设置的策略将会覆盖本地策略,较低OU的GPO会覆盖较高OU的GPO;当设置不冲突时,较低OU的GPO会共享较高OU的GPO!!
4.5 阻止继承
在OU上右键选择阻止继承,该OU不受其他OU的GPO限制。
4.6 强制组策略
当选择了强制,该OU下的OU都只遵循该GPO,组策略顺序到强制这里就停止执行了!
注意:强制权限大于阻止继承,即一旦上级OU选择了强制GPO,阻止继承就会失效!
4.7 计算机&用户脚本
计算机配置里的脚本:启动和关机,只要计算机启动就会执行;
用户配置里的脚本:登录和注销,在用户登录才会执行的脚本配置
添加脚本:
编写需要的脚本,添加至组策略,如清理垃圾等。
4.8 计算机配置安全设置
- 交互式登录
无须按 alt+ctrl+del登录
- 密码策略
注:
强制密码历史:可以设置n个记住的密码,当n=2时,在你修改密码时,不能使用前两次修改过的密码。
用可还原的加密来存储密码:密码以hash值存储,不可还原,当你选择了该项密码可由hash值还原密码(不建议选该项)
5. A-G-DL-P策略
- A(account):表示用户账号
- G(Global group):表示全局组
- U(Universal group):表示通用组
- DL(Domain local group):表示域本地组P(Permission 许可),表示资源权限。
- A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更容易。
- 在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了。
AD域详细介绍和部署相关推荐
- Windows AD域功能介绍、Windows AD域方案介绍
Windows AD域功能介绍.Windows AD域方案介绍 功能一.AD域管理 https://www.manageengine.cn/products/ad-manager/ 1.AD域管理 通 ...
- 单台AD域控安装和部署配置
单台AD域控安装和部署配置 环境 准备工作 设置主机名 配置静态ip地址 安装AD域服务 添加角色和功能 开始之前-安装类型-服务器选择,都默认下一步 服务器角色 功能,默认下一步 AD DS,默认下 ...
- 操作系统笔记——AD域及桌面策略部署
域:集中管理一个计算机集群的环境(实现文件共享,集中统一,便于管理) 角色: 1.域控:管理域内的计算机 2.域用户:被管理的计算机 域是共享用户账号,计算机账号和安全策略的计算机账号和安全策略的计算 ...
- 在微软AD域环境下批量部署安装软件
第一步:要保证你的软件是MSI格式的.如果不是,请看第二步. 第二步:制作MSI安装包,我用了Advanced Installer 制作msi安装包 2.1 网上下载的exe的软件,请先将这个软件安装 ...
- 用户登录与AD域集成
1.关于AD域的介绍 AD的全称是Active Directory:活动目录 域(Domain): 1)域是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Rela ...
- AD域是什么意思?有什么用?
我们都知道AD域在企业内网中扮演了重要的角色,集身份验证和服务管理于一身.但很多少数人,不清楚AD域是什么意思?AD域有什么用?今天我们小编就跟大家一起聊聊.AD域是什么意思?AD域是Windows网 ...
- Skype For Business 2015 综合部署系列二:AD域部署及Skype安装先决条件
本篇博文进入Skype for business 2015 综合部署系列的第二部分:将详细的介绍如何配置AD 域环境 ,如何配置DNS 服务器 ,如何建立CA 证书机构 ,如何配置计算机自动申请证书策 ...
- AD域环境搭建超详细
AD域环境搭建1/2 工具 环境介绍 Windows Server 2012 的配置 AD域环境搭建2/2(这是第二篇) 文章太长分两篇写了 工具 Vmware.Windows10 环境介绍 Wind ...
- ad域控查看ldap端口命令_工作笔记(一)LDAP和AD介绍以及使用LDAP操作AD域
1. LDAP入门 1.1 定义 LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写,LDAP标准实际上是在X.500标准基础上产生的一个简化 ...
最新文章
- iptables-save和iptables-restore
- Western Subregional of NEERC, Minsk, Wednesday, November 4, 2015 Problem G. k-palindrome dp
- 对计算机上的浏览器的介绍,Edge浏览器的前世今生 史上最全Edge浏览器介绍
- vsphere6.7+Horizon7.8推送桌面遇到的一些问题
- P4245 【模板】任意模数NTT
- C++ 使用静态变量和静态方法统计学生分数和学生个数
- cent 8.0 安装tomcat 9.0_JDK-TOMCAT-MYSQL安装
- ThreadLocal是救火队长
- eclipse中git插件配置 编辑
- [hdu5372 Segment Game]树状数组
- 【学习笔记】第二章——处理机调度的概念、层次、时机、切换过程 调度方式、调度算法的指标
- jQuery源码研究分析学习笔记-jQuery.extend()、jQuery.fn.extend()(八)
- pads 文本不能修改_修改PDF文件很难?其实很简单,只是你少了一个好用的PDF编辑器...
- html三列布局和两列布局,CSS 常见两列布局、三列布局
- Warning: Stopping rpcbind.service, but it can still be activated by:rpcbind.socket
- 1925异常 xshell_Xmanager Power Suite 6
- css表格文字超数量就竖排_css实现文字竖排
- 代理IP的直接转发与隧道转发
- 基础乐理--增长音值的补充记号
- 【SLAM学习笔记4】卡方检验chi-square
热门文章
- kafka-eagle-2.0.1安装及使用(超详细)
- Linux基础篇——Linux进程、服务管理
- 2022强国杯初赛部分题目
- arcgis操作导入点线表
- 路由器老掉线的原因之一
- 鼓励师加成太刺激了,鼻血喷了半斤,代码不一会儿就写完了...
- SDU信息门户(8)组队和文件系统分析
- [html]分享一个喜庆节日能用的代码
- HDU6411 带劲的and和(2018百度之星复赛,并查集,位运算,思路)
- node js+sql 后端分页查询效率越来越低解决方案