179 lines
6.8 KiB
Markdown
179 lines
6.8 KiB
Markdown
# Active Directory域服务
|
||
|
||
### 一、域服务
|
||
|
||
1. 什么是域
|
||
|
||
> 将来自于网络中的多台计算机,以逻辑的方式组织到一起,实现了集中管理的环境,这种环境称为域
|
||
|
||
2. 域控制器(DC)
|
||
|
||
> 每个域至少有一台域控制器
|
||
|
||
3. 活动目录(简称AD)
|
||
|
||
> 集中管理、便捷的网络资源访问、扩展性
|
||
|
||
4. 升级域控的条件
|
||
|
||
- 具有本地administrator管理员权限
|
||
- 具有足够的磁盘空间
|
||
- TCP/IP的配置(IP地址、子网掩码)
|
||
- 需DNS服务器支持
|
||
- 本地磁盘至少有一个NTFS文件系统的分区
|
||
- 操作系统版本必须为Windows Server版
|
||
|
||
5. 实现域环境
|
||
|
||
|
||
|
||
1. 配置Win2019网络地址
|
||
|
||
- IP:192.168.1.20/24
|
||
- 首选DNS:127.0.0.1
|
||
|
||
2. 安装AD活动目录
|
||
|
||
> 管理 → 添加角色和功能 → 三个下一步 → Active Directory域服务 → 添加功能 → 三个下一步 → 安装
|
||
|
||
3. 将此服务器提升为域控制器
|
||
|
||
> 左侧点击AD DS → 右上角点击更多 → 将此服务器提升为域控制器
|
||
|
||
4. ActiveDirectory域服务配置向导
|
||
|
||
> 添加新林 → 根域名输入ntd.com → 下一步 → 输入目录服务还原模式的密码 → 一路下一步 → 安装
|
||
|
||
5. 检查系统环境
|
||
|
||
> 重启 → 登录系统 → 右击此电脑 → 属性 → 查看为域环境 → 关机创建快照
|
||
|
||
6. win10客户机加入域
|
||
|
||
|
||
|
||
> Win10主机ping 192.168.1.20
|
||
>
|
||
> Win10主机nslookup ntd.com
|
||
>
|
||
> Win10主机右击桌面此电脑 → 属性 → 高级系统设置 → 计算机名 → 更改 → 域 → 输入域名ntd.com →
|
||
>
|
||
> → 确定 → 输入win2019服务上的用户名administrator及密码 → 确定 → 确定 → 重启
|
||
|
||
6. 域用户管理
|
||
|
||
> 域是集中管理的方式:(集权)用户、计算机
|
||
>
|
||
> 默认普通域用户可以登录域中所有除DC之外的电脑
|
||
|
||
1. 打开活动目录
|
||
|
||
> 工具 → Active Directory用户和计算机
|
||
>
|
||
> 运行 → dsa.msc
|
||
|
||
2. 创建域用户
|
||
|
||
> ntd.com → users → 右侧空白处右击 → 新建用户
|
||
>
|
||
> 验证新建的域用户在win10客户端主机登录
|
||
|
||
3. 配置域用户属性
|
||
|
||
- 登录时间:右击用户名 → 属性 → 帐户 → 登录时间
|
||
- 登录到:右击域用户名 → 属性 → 帐户 → 登录到(配置域用户允许登录的主机)
|
||
- 配置域用户1登录到的计算机名为PC1
|
||
- 配置域用户2登录到的计算机名为PC2
|
||
- 验证结果域用户1在PC1可成功登录,域用户2在PC1不允许登录
|
||
- 帐户过期:右击域用户名 → 属性 → 帐户 → 帐户过期
|
||
|
||
4. 组织单位(OU)
|
||
|
||
1. 容器:有效组织活动目录中的对象
|
||
|
||
2. OU的设计方式
|
||
|
||
1. 基于部门的OU
|
||
|
||
> 基于地理位置的OU
|
||
>
|
||
> 基于对象的OU
|
||
>
|
||
> 基于混合的OU
|
||
|
||
2. 验证创建与删除OU
|
||
|
||
> 先创建OU
|
||
>
|
||
> 然后删除OU查看提示
|
||
>
|
||
> 查看 → 高级功能
|
||
>
|
||
> 右击将要删除的OU → 属性 → 对象 → 取消防止意外删除的勾选
|
||
>
|
||
> 右击将要删除的OU → 删除
|
||
|
||
5. 域环境组策略的配置
|
||
|
||
1. 组策略(一组策略的集和)
|
||
|
||
> 可以统一修改系统、设置程序
|
||
>
|
||
> 调整桌面环境、安全设置、自动执行脚本、软件分发
|
||
|
||
- 验证1:禁止域用户更改桌面背景
|
||
|
||
> 工具 → 组策略管理
|
||
>
|
||
> 
|
||
>
|
||
> 右击Default DomainPolicy → 编辑 → 用户配置 → 策略 → 管理模板 → 控制面板 → 个性化 → 双击阻止更改桌面背景 → 启用
|
||
>
|
||
> 域用户在win10客户端主机登录,验证能否更改桌面背景
|
||
|
||
- 验证2:域用户登录时显示消息标题与文本
|
||
|
||
> 右击Default DomainPolicy → 编辑 → 计算机配置 → 策略 → windows设置 → 安全设置 → 本地策略 → 安全选项 →
|
||
>
|
||
> → 交互式登录:试图登录的消标题 → 试图登录的消息文本
|
||
>
|
||
> > 域用户在win10客户端主机登录,验证消息提示
|
||
|
||
- 验证3:配置默认域控制器策略(用户登录时显示消息标题与文本)
|
||
|
||
> 工具 → 组策略管理
|
||
>
|
||
> 
|
||
>
|
||
> 右击Default Domain Controllers Policy → 编辑 → 计算机配置 → 策略 → windows设置 → 安全设置 → 本地策略 → 安全选项 → 交互式登录:试图登录的消标题 → 试图登录的消息文本
|
||
>
|
||
> > 注销服务器登录前弹出消息提示、对比域用户客户端主机登录消息内容的区别。
|
||
|
||
- 组策略默认设置对象(默认GPO)
|
||
|
||
> 默认域策略(Default Domain Policy)
|
||
>
|
||
> 默认域控制器策略(Default Domain Controllers Policy)
|
||
|
||
### 二、更新策略组
|
||
|
||
在Windows Server中,要更新策略组,可以使用`gpupdate`命令。以下是`gpupdate`命令的一些主要参数和用法:
|
||
|
||
1. **基本用法**:
|
||
- 使用`gpupdate`命令可以更新计算机和用户的组策略设置。
|
||
2. **参数**:
|
||
- `/target:computer`:仅更新计算机策略设置。
|
||
- `/target:user`:仅更新用户策略设置。
|
||
- `/force`:重新应用所有策略设置,无论这些设置是否已更改。
|
||
- `/wait:<VALUE>`:设置在返回到命令提示符之前等待策略处理完成的秒数。例如,`/wait:0`表示不等待,`/wait:-1`表示无限期等待。
|
||
- `/logoff`:在更新组策略设置后注销。
|
||
- `/boot`:在应用组策略设置后重启计算机。
|
||
- `/sync`:导致下一个前台策略应用程序同步完成。
|
||
3. **示例**:
|
||
- 若要强制对所有组策略设置进行后台更新(无论这些设置是否已更改),可以使用命令`gpupdate /force`。
|
||
4. **注意事项**:
|
||
- 默认情况下,组策略可以继承和累积,并影响Active Directory容器及其子容器中的所有计算机和用户。
|
||
- 计算机启动时将应用计算机设置的组策略,而在用户登录时应用用户策略。
|
||
- 系统会定期在后台刷新组策略,默认每90分钟发生一次。
|
||
|