数据来源
下面会涉及一些IP地址和DNS服务器的一些基础知识不熟悉的可以先看这篇文章:IP地址详解
DNS部署与安全
一、内网环境
1)工作组:默认模式,人人平等,不不方便管理(我和你的电脑是属于平等的,我很难直接控制的你电脑,除非你允许)
2)域:人人不平等,集中管理,统一管理(方便企业统一管理电脑)
二、域的特点
集中/统一管理
三、域的组成
1)域控制器:DC(Domain Controller)
2)成员机
四、域的部署的前提
1)安装域控制器 -- 就生成了域环境
2)安装了活动目录 -- 就生成了域控制器
3)活动目录:AD(Active Directory)
五、活动目录
1)AD
2)特点:集中管理/统一管理(域的特点就来源于活动目录的特点)
六、部署安装活动目录(win2008为例)
安装步骤:
1)开启2008虚拟机,并桥接到vmnet2
2)配置静态IP地址,例如: 10.1.1.1/24
DNS 安装了活动目录会自动配置
3)开始 -- 运行 -- 输入命令:dcpromo # 安装或卸载活动目录
如果刚才配IP时指定了DNS,那下面的这个安装DNS向导就不会出现
林:多个域组成树,多个树组成林,想详细研究的查百度
输入第一个域名称,根级域 -- 下一步
等待
设置林功能级别,设置后以后的值域不能低于这个级别,比如设置2003的以后的子域不能低于2003可以高与使用2008之类的都没问题,级别越高功能越完善,这我选的2003,一般公司用不上子域。
域功能级别,跟林的一样看个人需要进行选择,我这选2008
选择是
设置活动目录的还原密码,如果以后域出现错误出现问题,就可以通过这密码对域进行还原操作
检查一下要创建的域相关信息有无问题,没有下一步
4)等待安装完成 ,勾上完成重新启动
没勾手动重启也行
检查是否安装成功:
1)登录
重启之后电脑就是DC了 ,工作组就变成了域,以前的本地管理员账户就被迁移到活动目录那张表里去了,登录密码还是原来的
更改计算机全名,方便记忆
2)查看DNS有没有安装成功
3)检查活动目录 -- 用户和计算机 (最重要的活动目录数据库)
介绍下域下面比较从要的目录:Computers (里面存放普通域成员机列表) Domain Contrellers(里面存放域控制器,DC列表)Users(域组,里面存放域账号)
域用户组的一些主要组
七、PC加入域
步骤:
1)把同一局域网下的其他计算机加入到win2008的域里面来
配置IP并连接同一个网络,因为我这里的win2008虚拟是桥接到vmnet2,并且IP地址是10.1.1.1 /24,所以我这里其他的计算机也要进行一些配置,让他们和2008虚拟机处于同一作用域下。
注意:如果公司有DNS服务器那一定要设置DNS转发器,让员工能正常上网
2)把winXP客户机加入win2008的域中
输入域管理员账号(就是登录2008这台域计算机的用户名和密码)
加入域成功会有提示 ,并按提示重启计算机
配置完成之后就可以会到2008的域计算机内查看域成员,我把两台虚拟机加入了域,windowsXP和windows7。
3)测试一下,在客户机使用域账号登录
首先:创建普通域用户账号
检查一下没问题就点完成
然后:随便找一台加入了域的虚拟机进行登录
八、把普通的域账号设置为某一个成员机的本地管理员
因为经过上面的步骤所创建的域账号,虽然可以在所有加入域的成员机中登录,但是该账号只是普通用户,很多有关系统的操作该账号都无法操作,但是我们又不能把该账号提升为域的管理员,所以把该域账号设置为某台固定成员机的本地管理员,专门给某个员工使用。
实现步骤:
1)使用域的管理员账号,登录需要设置的成员机(域管理员账号可以登录所有域下的成员机,并拥有最高的管理员权限)
2)打开计算机管理 (如果桌面有我的电脑之类的图标,可以直接右键--管理)
3)选择用户和组 -- 组 -- 管理员组(Administrator)-- 添加 -- 在域中查找需要设置为本地管理员的域账号 -- 确定保存修改
测试一下:
注销,登录刚才设置的域成员账号,尝试是否可以在用户的家目录创建文件,和打开计算机管理,如果是普通用户是做不到的。
九、常见的小问题
1)加入域不成功
检查网络是否连通,命令:ping 目标IP地址
解析是否能成功解析
是为DNS缓存问题
2)登录域不成功
如XP,已勾选登录域,就不用写 域名\域账号,直接 域账号
3)域用户的权限
建议将域用户加入到普通成员机的本地管理员组中,千万不要加入域管理员组,不然他就能管理你公司所有电脑
******本地管理员组:Administrator
******域管理员组:Domain Admins
十、OU:组织单位
作用:用于归类域资源(域用户、域计算机、域组)
使用例子:
1)打开活动目录 -- 用户和计算机
2)域 -- 新建 -- 组织单位 -- 起个组织名称
3)继续在刚才创建好的张三集团创建组织单位,进行细分-- 新建 -- 组织单位 -- 起个组织名称 (分别创建:董事会、市场部、IT部,然后在市场部下面再细分:西北区和东北区)
4)现在就可以把域用户加入到对应的组织架构里面了,比如:把张三加入到董事会 ,李四能力很强发配到西北发展
5)如果以后的组策略不想对用户进行限制,而是对他用的电脑作限制,那可以把对应的电脑移到对应的组织内
十一、GPO:组策略(Group Policy)
1)作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。
2)重点:组策略在域中,是基于OU来下发的!
组策略(GPO)使用
新建组策略:
1)打开组策略管理
2)新建组策略
下发组策略
1)给组织单位张三集团个所有组织单位下发一个桌面的组策略
创建一个文件夹,共享给域成员机下载
选择共享文件夹,并设置权限
把权限都全选上 -- 添加用户:Domain Users (域的所有用户)
外面文件属性这里,也加上 Domain Users (域的所有用户) ,之后关闭就行
回到设置组策略页面,输入图片的网络路径,确定
测试一下
去到域的成员机先注销在登录,虚拟就反应比较慢,右键 -- 属性 -- 桌面能看到之前上传的图片就算是成功了,真实机会比较快
查看自己已启用的策略
强制(强制组策略)
比如上级OU和下级OU分别设置了禁止开始 -- 运行和不禁止开始运行,正常来说是后设置的生效,最后的不禁止生效,但是有个需求是上这个OU及其下面的所有OU都受上级OU的策略影响不能覆盖,这里可以给这个上级OU设置强制
·
阻止继承(阻止继承组策略)
给ou设置阻止继承后,那该ou组织就不会受到其他ou组织的组策略影响,能影响该ou组织的只有他自己的组策略(如果强制和阻止冲突了强制优先)
组策略在域中下发后,用户的应用顺序是:LSDOU
- L本地
- S站点基本用不上
- D域的组策略
- ou组织单位的组策略
- 正常情况下在应用过程中,如果出现冲突,后应用的生效
例子:
上级OU: 桌面:aa.png 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU用户结果:桌面:aa.png 运行:不删除
注意:当上级强制和下级阻止继承同时设置,强制生效hang!
还是上面的例子,如果给上级OU设置强制,那么 下级OU用户结果:
桌面:aa.png 运行:删除行:不删除 (完全沿用上级OU的设置)
2)给用户下发组策略(发一个脚本过去)
如果对批处理基本命令不熟悉的:批处理编写
写个简单的脚本用于实验(如果域的成员机不是XP,改一下第一行的文件生成路径),比如:win7、2008的启动文件夹目录:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
echo @echo off >> "%userprofile%\「开始」菜单\程序\启动\张三.bat"
echo color 0a >> "%userprofile%\「开始」菜单\程序\启动\张三.bat"
echo echo 姓名:张三 >> "%userprofile%\「开始」菜单\程序\启动\张三.bat"
echo echo 年龄:18>> "%userprofile%\「开始」菜单\程序\启动\张三.bat"
echo echo 爱好:小黑子,开庭别哭!!! >> "%userprofile%\「开始」菜单\程序\启动\张三.bat"
echo pause >> "%userprofile%\「开始」菜单\程序\启动\张三.bat"
如果你的不是一个脚本文件,而是命令,那就填写脚本参数
回到组织策略管理,刷新,检查一下
检查没问题,去域的成员机注销用户测试一下,会发现启动文件夹下就自动生成了:张三.bat 并且会自动启动
3)给域下的成员机下发组策略(无需按 Ctrl + Alt + Del 就能登录)
要测试的话,重启成员机的电脑,虚拟机反应慢没成功就多重启几次,我的是第二次重启才成功 文章来源:https://www.toymoban.com/news/detail-768049.html
4)给域下的成员机下发一些有关安全的组策略(如:密码和账户相关的限制等)
文章来源地址https://www.toymoban.com/news/detail-768049.html
到了这里,关于网络管理员必知的域(DOmain)知识:详解部署与操作的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!