1. 英文名称:Domain

  2. 内网环境:

    1. 工作组:默认模式,人人平等
    2. 域:人人不平等,集中管理,统一管理

  3. 域的特点:

    集中/统一管理

  4. 域的组成:

    1. 域控制器:DC(Domain Controller)
    2. 成员机

  5. 域的部署:

    1. 安装域控制器–就生成了域环境
    2. 安装了活动目录–就生成了域控制器
    3. 活动目录:Active

  6. 活动目录

    1. AD
    2. 特点:集中管理/统一管理

  7. 组策略GPO

  8. 部署安装活动目录

    1. 服务器开启2008虚拟机,并桥接网卡vmnet2

    2. 配置静态ip地址(例:10.1.1.1/24)

    3. 开始-允许-输入命令dcpromo,安装活动目录。

      安装时普通安装,不选择高级安装,在安装程序中选择在本计算机安装DNS服务器服务,在新林中新建域,设置目录林根级域名,设置林功能级别表示林中之后的DC系统版本不能低于此版本,设置域功能级别表示此域中之后的DC系统不能低于此版本,有DNS委派报错正常,点击是,3个路径仅了解不需要更改,设置活动目录独有密码,最后确认信息,勾选完成后重新启动。

    4. 验证

      一台服务器安装DC后,本地管理员账号自动升级为域管理员。

      验证DNS服务器正向查找区域是否出现本次设置的域名以及相关主机记录。

      验证Active Directory用户和计算机,打开管理页面后,查看域下的Computers文件夹,此文件夹表示普通域成员,Domain Controllers表示域控制器,Users表示域管理员,是从本地账户全部转移过来的。

  9. PC加入域

    普通用户计算机加入域,在我的电脑右键属性,计算机名选项,重命名计算机或加入域,点击更改,写入正确的域名,点击确定填写正确的账号密码登录。

    在域控制器管理界面点击Computers刷新查看域内的用户。

    在域控制器管理界面点击Users新建用户,正确填写信息,之后用户使用新建好的账户登录域。

    将客户机使用的域用户账号加入到客户机本地管理员用户组中,最好使用域管理员账号登录客户机,找到本地用户组并打开,点击添加账号,账号的查找位置应该默认为域,添加相对应的账号信息。

    本地管理员组:administrators

    域管理员组:Domain Admins

  10. OU:组织单位

    作用:用于归类域资源(域用户、域计算机、域组)

    在域管理界面,域名右键新建组织单位,设置名称,勾选防止容器被意外删除。新建好的名称旁有图标,图标里有个小log才是OU。

  11. 组策略:Group Policy = GPO

    作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。

    组策略在域中,是基于OU来下发的。

    组策略在域中下发后,用户的应用顺序是:LSDOU(本地L>站点S>域D>OU层次的GPO)

    在应用过程中,如果出现冲突,后应用的生效。

  12. 组策略的阻止继承和强制

    正常情况下:LSDOU:

    上级OU:桌面:aa 运行:删除

    下级OU:桌面:未配置 运行:不删除

    下级OU用户结果:桌面:aa 运行:不删除

    下级OU设置了阻止继承:

    上级OU:桌面:aa 运行:删除

    下级OU:桌面:未配置 运行:不删除

    下级OU用户结果:桌面:未配置 运行:不删除

    上级设置了强制:

    上级OU:桌面:aa 运行:删除

    下级OU:桌面:未配置 运行:不删除

    下级OU用户结果:桌面:aa 运行:删除

    当上级强制和下级阻止继承同时设置时,强制生效。