1. 域
1.1 域概念
域 ---> Domain
域代表着计算机的一种环境,与内网环境相对应。
1.2 内网环境
内网环境实际上是分为两种,一种是工作组,一种是域
-
工作组:默认模式,人人平等 如果你想远程控制他的电脑,你要请求访问他,他允许后才可以。
-
域:人人不平等,集中管理,同一管理
1.3 域的特点
能够实现集中/同一管理
1.4 域的组成
- 域控制器:DC (Domain Controller)
- 成员机
1.5 域的部署:
-
安装域控制器 -- 就生成了域环境
-
安装了活动目录 -- 就生成了域控制器
3)活动目录 : Active Directory = AD
1.6 活动目录
- AD
2)特点: 集中管理/统一管理
一张表,也可以叫做活动目录数据库
2. 安装win2008虚拟机
下载地址:http://www.winwin7.com/JC/Win7JC-3637.html
安装完成后:运行 ---》 icon ---》显示桌面隐藏图标
磁盘管理 c盘分配20G 不够就扩展 新建简单卷 E盘 20G
关闭防火墙 关机--》做快照
3. 部署安装活动目录(AD)
win2008安装服务是不需要从光盘中安装的,已经提前内置在镜像文件中了,其中叫做也不是服务了,是角色
意思是这台2008服务器可以充当的角色,比如DHCP服务角色,DNS服务角色。
3.1 详细步骤
1)开启2008虚拟机,并桥接到 vmnet0
2)配置静态IP地址10.1.1.1
3)开始-运行-输入dcpromo(可以安装AD也可以卸载AD) 安装活动目录。
弹出向导: 勾选DNS-新林中新建域-功能级别都设置为2003-域的FQDN ( qf.com) --设置目录服务还原模式密码
666.com-勾选安装后重启
4) 登录域qfadministrator DC的本地管理员自动升级为域管理
3.2 验证AD是否安装成功:
-
计算机右键属性 -- 所属域
-
DNS服务器中是否自动创建qf.com区域文及自动注册DC的域名解析记录
-
开始 - 管理工具 - AD用户和计算机
-
compute r: 普通域成员机列表
-
Domain Controller : DC列表
-
users : 域账号
-
3.3 新建普通域用户
4. PC加入域
-
配置IP,并指DNS
-
计算机右键属性--更改--加入qf. com域
然后使用DC的本地管理员登录
账号:qfadministrator 密码:123.com
或者用新创建的域用户登录 -
重启加入域后,成功使用域用户登录成员机
5. 常见问题
5.1 加入域不成功
- 网络是不是不通
- 解析是否成功解析
- 是否为DNS缓存的问题
5.2 登录域不成功
- xp,已勾选登录域QF,不用再写qfxiaofei.com
5.3 域用户权限
建议将与用户加入到普通成员机的本地管理员组中,这样这个域用户就可以对这台电脑有完全控制的权限了。
6. OU(组织单位)
作用:用于归类域资源(域用户,域计算机,域组) 组的目的是赋权限,ou的目的是为了下发组策略 都是容器
是一个公司的组织架构 框架
6.1 OU实验
新建一个公司的OU即组织架构
- 千峰集团
- 董事会
- 市场部
- IT部
- 西北区
- 东北区
并把资源(域用户和对应的域计算机)袁梦恩和村霸分别加入到IT部西北区,董事会
一般公司组织架构变动或者来了新员工都是这样操作的
详细步骤:
开始 ---> 管理工具 ---> Activity Directory 用户和计算机
7. 组策略
组策略 (Group Policy) = GP0
作用 : 通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数等。
7.1 组策略实验
为刚新建的千峰集团添加一个组策略,所有公司的电脑桌面壁纸都为a.jpg
, 图片的来源可以在DC电脑上共享
详细步骤 :
开始 --> 管理工具 ---> 组策略管理
右下角 应用 ---> 确定 即可
一般对用户做的组策略注销再次登录就生效了 , 对计算机的话需要重启,一般公司都是在晚上下班之后做组策略
成功了,哈哈哈哈!
7.2 组策略用户应用顺序
重点 : 组策略在域中,是基于0U来下发的! !
组策略在域中下发后,用户的应用顺序是 : LSDOU
- L local 本地组策略
- S 这个是和站有关系的,一般遇不到
- D 域的策略
- OU 各级OU策略 OU是由高到低
在应用过程中,如果出现冲突,后应用的生效
正常情况下: LSDOU顺序
策略 --》 管理模板 --》 开始菜单和任务栏 桌面
上级OU : 桌面: aa 运行: 删除
下级0U : 桌面 : 未配置 运行 : 不删除
下级OU用户结果 : 桌面 : aa 运行 : 不删除
上级OU设置了强制(组策略生效顺序到这个就为止了,冲突了也是强制生效)
下级0U : 桌面 : 未配置 运行 : 删除
下级OU用户结果 : 桌面 : aa 运行 : 不删除
下级OU用户结果 : 桌面 : 未配置 运行 : 删除
下级OU设置了阻止继承(前面的顺序就没有了,只有当前OU的组策略)
下级0U : 桌面 : 未配置 运行 : 删除
下级OU用户结果 : 桌面 : aa 运行 : 不删除
下级OU用户结果 : 桌面 : 未配置 运行 : 不删除
当阻止继承和强制一起出现,最终强制生效
7.3 查看已启用的组策略
点击组策略那张表 ---> 设置 ---> 添加 ---> 添加 ---> 关闭
7.4 练习
-
设置全公司的电脑桌面墙纸都是
a.jpg
除了IT西北部的袁梦恩解决方案:在千峰集团的OU下创建一个GPO,并编辑对电脑墙纸进行启用 并在西北部新建组策略编辑把电脑墙纸改为禁用,这样后应用的就覆盖掉之前的应用了,但是其他电脑应用
-
在董事会部门设置GPO,并要求强制桌面背景, 并验证
-
在董事会部门上级的ou上设置GPO,也进行强制桌面背景,并验证
-
在董事会部门上级的ou上设置GPO,强制删除运行菜单,并验证
-
练习阻止继承,并验证
-
练习向下强制,并验证
-
实现董事会的计算机无须按ctrl+alt+delete