域环境部署
域
1. Domin
2. 内网环境
2.1 工作组:默认模式,人人平等
2.2 域:人人不平等,集中管理,统一管理
3. 域的特点
集中/统一管理
4. 域的组成
4.1 域控制器(DC,domin controller)
域控制服务器
4.2 成员机(域成员)
5. 域的部署
- 安装域控制器–>就生成了域环境
- 安装了活动目录–>就生成了域控制器
- 活动目录:Active Directory = AD
6. 活动目录
- AD
- 特点:集中/统一管理
7. 组策略GPO
8. 部署安装活动目录
开启2008虚拟机,并桥接到vm2
配置静态IP
10.1.1.1/24
开始->运行->dcpromo(可安装和卸载域活动目录)
将本机服务器设为DNS服务器
新林中新建域
林功能级别设置为2003(如果不是低级别,以后设置就不能比它低)
域功能级别设置为2003(和上面同样的道理)
域的FQDN(sculptor.com)
设置目录服务还原密码@200816hy
勾选安装后重启
验证是否安装成功
登录域sculptor/Administrotor,DC的本地管理员升级为域管理员
验证AD是否安装成功:
1-计算机右键属性->所属域,
2-DNS服务器中是否自动创建sculptor.com区域文件
3-自动注册DC的域名解析记录
4-开始->管理工具->AD用户和计算机
computer:普通域成员机列表
Domin Controller:DC列表
users:域账户
5-新建普通域用户组
Users->新建用户->用户名:haoyuan.liu->密码:@200816hy
PC加入域
1-配置IP:10.1.1.2/24,并指向DNS:10.1.1.1
2-计算机右键属性->更改->加入sculptor.com域
3-重启加入域后,成功使用域用户登录成员机:haoyuan.liu
常见小问题
1)加入域不成功
网络是不是不通!
解析是否能成功解析!
是否为DNS缓存问题
2)登入域不成功
如XP,已勾选登录域QF,不用再写qf\xiaofei.wen
3)域用户的权限
建议将域用户加入到普通成员机的本地管理员组中本地管理员组:administrators
域管理员组:Domain AdminsOU:组织单位
作用:用于归类域资源(域用户、域计算机、域组)sculptor.com下新建组织单位(有logo图标的才是OU)
用户移动:右击->所以任务
用户电脑移动:computers中找到计算机进行移动
将用户和计算机拉到同一部门下为了组策略设限是区别对待是限制用户还是计算机
组策略:Group Policy = GPO
作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。重点:组策略在域中,是基于OU来下发的!!
组策略在域中下发后,用户的应用顺序是:LSDOU
在应用过程中,如果出现冲突,后应用的生效!正常情况下:LSDOU顺序
上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU用户结果:桌面:aa 运行:不删除
下级OU设置了阻止继承:
上级OU: 桌面:aa 运行:删除
下级OU: 桌面:未配置 运行:不删除
下级OU用户结果: 桌面:未配置 运行:不删除
强制:
锁死上级,不考虑下级
9. GPO练习
- 在董事会部门设置GPO,并要求强制桌面背景,并验证
- 在董事会部门上级的ou上设置GPO,也进行强制桌面背景,并验证
- 在董事会部门上级的ou上设置GPO,强制删除运行菜单,并验证
- 练习阻止继承,并验证
- 练习向下强制,并验证
- 实现董事会的计算机无须按ctrl+alt+delete,并验证
10. 部署环境
1)win2008IP:10.1.1.1/24
2)win2003IP:10.1.1.2/24
10.1 win2008部署DC/DNS
DNS要转发最近的公网:202.106.0.20
DNS中对准服务器右击->属性->转发器->编辑
如果不转发的话,所以员工都指向这个DC,不转发外网的话所有员工无法上网。
10.2 win2003部署DHCP/IIS/文件共享
10.2.1 DHCP部署
1-配置IP:10.1.1.2/24,并指向DNS:10.1.1.1
2-计算机右键属性->更改->加入sculptor.com域
驱动->安装可选windows组件->DHCP(网络服务)->IIS(应用程序服务器)->万维网服务
文件复制来源E盘
DHCP中:授权->新建作用域,DNS的IP:10.1.1.1/24(指向公司唯一dns服务器)
10.2.2 文件共享部署
新建共享文件夹,属性:Everyone 完全控制,剩余的单独设置安全权限,添加Domain users
安全权限中取消父项继承