配置AD域環境、OU、GPO
文章目錄
配置AD域環境
Active Domain
-
微軟技術:1)工作組:平等 2)域
-
主要優點:集中管理/統一管理
-
域成員:1)域控制器:Domain Controller 2)成員機
-
建立域:
關鍵步驟:1)建立“活動目錄/AD”,擁有AD的PC,稱為DC
2)DC安裝完畢後,一個域也就誕生了
3)然後可以陸續將其他PC加入域 -
活動目錄AD(Active Directory):域的優點體現在活動目錄的優點上
1)優點:實現集中管理
2)AD實際就是一個數據庫,AD中包含域資源(域使用者、域組、域共享、域計算機)
3)AD域需要與DNS伺服器進行配合!!DNS伺服器起到在域中做定位的作用!
4)一個AD域必須有一個唯一的域名。
如: wencoll公司就可以起域名:wencoll.com -
安裝活動目錄:
1)必須有固定的靜態IP地址 (域控制器也是一個伺服器)
2)系統版本必須為伺服器版本
3)建議安裝AD前修改計算機名,並重啟生效
4)安裝AD必須是管理員身份
5)提前規劃好域的名字 ,如xzr.com -
安裝:1)開始–執行–輸入“dcpromo” 開始安裝活動目錄
2)勾選安裝DNS
3)勾選“新林中新建域”
4)設定域名
5)設定“林功能級別”,“域功能級別”,建議保持為2003
6)設定目錄還原密碼
7)開始安裝,並重啟 -
活動目錄安裝完畢後:
1)域控制器的本地使用者全部升級為域使用者。
如:本地administrator升級為域管理員
本地guest升級為域來賓使用者
2)驗證是否成功安裝:
計算機右鍵屬性
計算機右鍵管理,檢查是否還有本地使用者
檢查管理工具中是否有Active Directory 使用者和計算機工具,並檢查是否可以開啟
檢查DNS伺服器是否安裝完畢,並檢查是否存在該域的配置檔案及解析記錄 -
將PC加入域、新建域使用者
1)保證與DC/DNS可以通訊!
2)DNS指向DC!
3)計算機右鍵–屬性–計算機名–更改–輸入域名–輸入管理員賬戶及密碼–成功-重啟
4)加入域成功後,驗證:1.DNS上自動出現解析記錄
2.在AD中,computer自動出現成員機的計算機名
5)在AD上建立一個域使用者,併成功在成員機上登入域! -
在域中做檔案共享伺服器:
1)賦許可權:給域使用者或域組賦許可權
OU、GPO
-
OU(Organization Union):組織單位 作用:用於歸類域資源(域使用者、域計算機、域組)
-
組策略:Group Policy = GPO 需掌握組策略的阻止繼承及強制!
只有組織單元OU才可以附加組策略GPO
作用:可以修改計算機的各種屬性,如開始選單、桌面背景、網路引數等。
組策略在域中,是基於OU來下發的
組策略在域中下發後,使用者的應用順序是:LSDOU
在應用過程中,如果出現衝突,後應用的生效!整個域環境首先要有個名字,就叫域名。域環境也有後綴,比如域名叫 xzr.com。
有了域控制器,就有了域環境。建立域環境重點就是建立域控制器,要想成為域控制器,重要的就是要有AD活動目錄,因此域也叫AD域。
域控制器和域成員都要有自己的計算機名,如域控制器計算機名叫dc1,則計算機在這個域中完整的名字就叫做 dc1.xzr.com
域環境中每個人都有名字,也有後綴,訪問PC可以直接通過訪問域名,則需要DNS伺服器。一般DC和DNS是合二為一的。
DC上有張表叫AD活動目錄表,用來儲存一些資料,如賬號 密碼,這些賬號使用者叫做域使用者。
當域使用者成功在某PC上登入時,會向DC發出請求,請求被控制。
域使用者可以在域中任意一臺PC上登入。同理,域管理員在域中任意一臺PC有完全控制的許可權。
配置檔案 家目錄DNS在伺服器中起到定位的作用
nslook up abc.xzr.com 即可解析到對方的IP地址
\abc\c$ \abc.xzr.com\share 也可以省略 \abc\share由於加入了域環境,PC上登入了域使用者,提交訪問請求時會自動將域使用者提交給伺服器,因此域使用者訪問不用輸入賬號密碼,因為自己只有一個身份,即當前系統的域賬號身份,會自動提交到伺服器。
也可以建立一個域組,把域使用者加到該組,再給該域組賦予許可權,相當於給該組的域使用者加許可權。組的作用還是為了降低許可權賦予的工作量
組策略GPO也是一張檔案一張表,這個表可以基於部門可以基於計算機也可以基於組織單元OU(取決於組織單元的範圍大小)。 當域使用者身份驗證完畢後登陸上去,向DC傳送請求,請求指示請求被控制。域使用者被下發一張GPO組策略表,域使用者便按照組策略GPO的策略進行執行。只有OU才可以附加GPO組策略
整個“域”——xzr.com 就是最大的組織單元
在域下新建組織單位“北京總部” 形成一個資料夾 資料夾中有一個logo代表OU
在他上面還有一個OU 域控制器Domain Controllers,裡面放的不是使用者,而是計算機DC1
| 正常情況下:LSDOU順序 | |
|---|---|
| 上級OU: | 桌面:aa 執行:刪除 |
| 下級OU: | x 執行:不刪除 |
| 則下級OU的使用者結果: 桌面:aa 執行:不刪除 |
| 下級OU設定了阻止繼承: | |
|---|---|
| 上級OU: | 桌面:aa 執行:刪除 |
| 下級OU: | x 執行:不刪除 |
| 則下級OU的使用者結果: 桌面:x 執行:不刪除 |
| ****上級設定了強制: | |
|---|---|
| 上級OU: | 桌面:aa 執行:刪除 |
| 下級OU: | x 執行:不刪除 |
| 則下級OU的使用者結果: 桌面:aa 執行:刪除 |
注意:當上級強制和下級阻止繼承同時設定,強制生效!
- 組策略中下發軟體:
1)只能下發微軟格式的安裝包: .msi
2)建立一個共享資料夾,保證域使用者有許可權,並將要下發的安裝包放到共享資料夾中
3)在組策略中新增下發安裝包(有2種選擇,第1基於計算機下發,第2基於使用者下發)
注意:組策略表包含2個部分:1.計算機配置:只對ou中的計算機資源生效
2.使用者配置:只對ou中的域使用者資源生效
步驟:
1.建立軟體共享資料夾!
2.開啟組策略–使用者–軟體設定,右鍵屬性新增網路路徑
3.新增軟體
4.軟體右鍵屬性–部署–選中“在登入時安裝應用程式”
5.客戶機重啟生效
- AD域的桌面漫遊: \dc1.xzr.com\pic\abc.jpg
1)建立一個共享資料夾,保證域使用者有許可權
2)在普通成員機上,使用域使用者登陸,並登出
3)在普通成員機上,使用域管理員登陸,並將使用者的配置檔案上傳到共享資料夾
4)在DC的活動目錄上,修改使用者的使用者屬性,找到配置檔案,並寫入配置檔案的網路路徑,確定即可!