# Active Directory域服务 ### 一、域服务 1. 什么是域 > 将来自于网络中的多台计算机,以逻辑的方式组织到一起,实现了集中管理的环境,这种环境称为域 2. 域控制器(DC) > 每个域至少有一台域控制器 3. 活动目录(简称AD) > 集中管理、便捷的网络资源访问、扩展性 4. 升级域控的条件 - 具有本地administrator管理员权限 - 具有足够的磁盘空间 - TCP/IP的配置(IP地址、子网掩码) - 需DNS服务器支持 - 本地磁盘至少有一个NTFS文件系统的分区 - 操作系统版本必须为Windows Server版 5. 实现域环境 ![image-20240812185806924](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240812185806924.png) 1. 配置Win2019网络地址 - IP:192.168.1.20/24 - 首选DNS:127.0.0.1 2. 安装AD活动目录 > 管理 → 添加角色和功能 → 三个下一步 → Active Directory域服务 → 添加功能 → 三个下一步 → 安装 3. 将此服务器提升为域控制器 > 左侧点击AD DS → 右上角点击更多 → 将此服务器提升为域控制器 4. ActiveDirectory域服务配置向导 > 添加新林 → 根域名输入ntd.com → 下一步 → 输入目录服务还原模式的密码 → 一路下一步 → 安装 5. 检查系统环境 > 重启 → 登录系统 → 右击此电脑 → 属性 → 查看为域环境 → 关机创建快照 6. win10客户机加入域 ![image-20240812190108542](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240812190108542.png) > Win10主机ping 192.168.1.20 > > Win10主机nslookup ntd.com > > Win10主机右击桌面此电脑 → 属性 → 高级系统设置 → 计算机名 → 更改 → 域 → 输入域名ntd.com → > > → 确定 → 输入win2019服务上的用户名administrator及密码 → 确定 → 确定 → 重启 6. 域用户管理 > 域是集中管理的方式:(集权)用户、计算机 > > 默认普通域用户可以登录域中所有除DC之外的电脑 1. 打开活动目录 > 工具 → Active Directory用户和计算机 > > 运行 → dsa.msc 2. 创建域用户 > ntd.com → users → 右侧空白处右击 → 新建用户 > > 验证新建的域用户在win10客户端主机登录 3. 配置域用户属性 - 登录时间:右击用户名 → 属性 → 帐户 → 登录时间 - 登录到:右击域用户名 → 属性 → 帐户 → 登录到(配置域用户允许登录的主机) - 配置域用户1登录到的计算机名为PC1 - 配置域用户2登录到的计算机名为PC2 - 验证结果域用户1在PC1可成功登录,域用户2在PC1不允许登录 - 帐户过期:右击域用户名 → 属性 → 帐户 → 帐户过期 4. 组织单位(OU) 1. 容器:有效组织活动目录中的对象 2. OU的设计方式 1. 基于部门的OU > 基于地理位置的OU > > 基于对象的OU > > 基于混合的OU 2. 验证创建与删除OU > 先创建OU > > 然后删除OU查看提示 > > 查看 → 高级功能 > > 右击将要删除的OU → 属性 → 对象 → 取消防止意外删除的勾选 > > 右击将要删除的OU → 删除 5. 域环境组策略的配置 1. 组策略(一组策略的集和) > 可以统一修改系统、设置程序 > > 调整桌面环境、安全设置、自动执行脚本、软件分发 - 验证1:禁止域用户更改桌面背景 > 工具 → 组策略管理 > > ![image-20240812190818168](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240812190818168.png) > > 右击Default DomainPolicy → 编辑 → 用户配置 → 策略 → 管理模板 → 控制面板 → 个性化 → 双击阻止更改桌面背景 → 启用 > > 域用户在win10客户端主机登录,验证能否更改桌面背景 - 验证2:域用户登录时显示消息标题与文本 > 右击Default DomainPolicy → 编辑 → 计算机配置 → 策略 → windows设置 → 安全设置 → 本地策略 → 安全选项 → > > → 交互式登录:试图登录的消标题 → 试图登录的消息文本 > > > 域用户在win10客户端主机登录,验证消息提示 - 验证3:配置默认域控制器策略(用户登录时显示消息标题与文本) > 工具 → 组策略管理 > > ![image-20240813190651132](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240813190651132.png) > > 右击Default Domain Controllers Policy → 编辑 → 计算机配置 → 策略 → windows设置 → 安全设置 → 本地策略 → 安全选项 → 交互式登录:试图登录的消标题 → 试图登录的消息文本 > > > 注销服务器登录前弹出消息提示、对比域用户客户端主机登录消息内容的区别。 - 组策略默认设置对象(默认GPO) > 默认域策略(Default Domain Policy) > > 默认域控制器策略(Default Domain Controllers Policy) ### 二、更新策略组 在Windows Server中,要更新策略组,可以使用`gpupdate`命令。以下是`gpupdate`命令的一些主要参数和用法: 1. **基本用法**: - 使用`gpupdate`命令可以更新计算机和用户的组策略设置。 2. **参数**: - `/target:computer`:仅更新计算机策略设置。 - `/target:user`:仅更新用户策略设置。 - `/force`:重新应用所有策略设置,无论这些设置是否已更改。 - `/wait:`:设置在返回到命令提示符之前等待策略处理完成的秒数。例如,`/wait:0`表示不等待,`/wait:-1`表示无限期等待。 - `/logoff`:在更新组策略设置后注销。 - `/boot`:在应用组策略设置后重启计算机。 - `/sync`:导致下一个前台策略应用程序同步完成。 3. **示例**: - 若要强制对所有组策略设置进行后台更新(无论这些设置是否已更改),可以使用命令`gpupdate /force`。 4. **注意事项**: - 默认情况下,组策略可以继承和累积,并影响Active Directory容器及其子容器中的所有计算机和用户。 - 计算机启动时将应用计算机设置的组策略,而在用户登录时应用用户策略。 - 系统会定期在后台刷新组策略,默认每90分钟发生一次。