域控制器的搭建及相关使用

一、搭建域控制器步骤

FERT公司拓扑如下所示:

域控制器的搭建及相关使用_第1张图片

  1. DNS前期准备
    DNS服务器对域来说是不可或缺的,一方面,域中的计算机使用DNS域名,DNS需要为域中的计算机提供域名解析服务;另外一个重要的原因是域中的计算机需要利用DNS提供的SRV记录来定位域控制器,因此我们在创建域之前需要先做好DNS的准备工作。那么究竟由哪台计算机来负责做DNS服务器呢?一般工程师有两种选择,要么使用域控制器来做DNS服务器,要么使用一台单独的DNS服务器。这里直接使用域控制器来做DNS服务器。

2.设置域控制器的TCP/IP属性
IP地址设为静态,首选DNS设为127.0.0.1

3.Win键+R 输入dcpromo,开始域控制器的创建

域控制器的搭建及相关使用_第2张图片
域控制器的搭建及相关使用_第3张图片
阅读操作兼容性说明,单击下一步按钮;
域控制器的搭建及相关使用_第4张图片
在“选择某一部署配置”页面中,选择“在新林中新建域”;
域控制器的搭建及相关使用_第5张图片
在“命名林根域”页面输入目录林根域的FQDN名,这里命名为yezi.com;

域控制器的搭建及相关使用_第6张图片
域控制器的搭建及相关使用_第7张图片
在“选择林功能级别”页面中选择林功能级别;注,以下是各种级别的支持度。

域控制器的搭建及相关使用_第8张图片
域控制器的搭建及相关使用_第9张图片
域控制器的搭建及相关使用_第10张图片
在“其他域控制器选项”页面中选择“DNS服务器”;
域控制器的搭建及相关使用_第11张图片
设置数据库、日志文件和SYSVOL的存储位置;这里选择默认;
域控制器的搭建及相关使用_第12张图片
在“目录还原模式的Administrator密码“页中,输入密码;
域控制器的搭建及相关使用_第13张图片
在“摘要“页,检查所有的选择,单击下一步;
域控制器的搭建及相关使用_第14张图片
开始安装和配置活动目录服务;
域控制器的搭建及相关使用_第15张图片
安装完成后单击“完成”,如下图所示,服务器需要重启;

域控制器的搭建及相关使用_第16张图片
域控制器的搭建及相关使用_第17张图片
二、搭建额外域控制器步骤(可搭建多个额外域控制器)
设置TCP/IP属性为静态IP地址,DNS设为第一台域控制器的IP地址。
运行Dcpromo,如下图所示。
域控制器的搭建及相关使用_第18张图片
出现Active Directory的安装向导,点击下一步继续。
域控制器的搭建及相关使用_第19张图片
这次我们选择创建现有域的额外域控制器,点击下一步继续。
域控制器的搭建及相关使用_第20张图片
输入域管理员账号,用以证明自己有权限完成额外域控制器的部署。
域控制器的搭建及相关使用_第21张图片
这台服务器将成为adtest.com域的额外域控制器。
域控制器的搭建及相关使用_第22张图片
Active Directory数据库的存储路径使用默认值即可。
域控制器的搭建及相关使用_第23张图片
Sysvol文件夹的存储路径也可以使用默认值。
域控制器的搭建及相关使用_第24张图片
输入目录服务还原模式的管理员密码,以后我们从备份还原Active Directory时可以用到。
域控制器的搭建及相关使用_第25张图片
确认所有的设置无误,点击下一步继续。
域控制器的搭建及相关使用_第26张图片
如下图所示,额外域控制器通过网络从第一个域控制器那里复制Active Directory到本机。
域控制器的搭建及相关使用_第27张图片
Active Directory安装完毕,点击完成后额外域控制器会重新启动,至此,额外域控制器部署结束。
域控制器的搭建及相关使用_第28张图片
部署完毕后,我们打开Active Directory用户和计算机,如下图所示,我们可以看到额外域控制器已经把第一域控制器的Active Directory内容复制了过来。
域控制器的搭建及相关使用_第29张图片
检查第一台域控制器上的DNS服务器,可以看到DNS中已经有了Firneze的SRV记录。
域控制器的搭建及相关使用_第30张图片
至此,部署额外域控制器作为额外域控制器成功完成,从过程来看并不复杂。

三、创建计算机账号和用户账号
创建计算机账号就是把成员服务器和用户使用的客户机加入域,这些计算机加入域时会在Active Directory中创建计算机账号。这一步可以省略。
设置客户机的DNS为域控制器的DNS
如下图所示,在Berlin的计算机属性中切换到“计算机名”标签,点击“更改”。
域控制器的搭建及相关使用_第31张图片
我们选择让Berlin隶属于域,域名是adtest.com。
域控制器的搭建及相关使用_第32张图片
这时系统需要我们输入一个有权限在Active Directory中创建计算机账号的用户名和口令,我们输入了域管理员的用户名和密码。
域控制器的搭建及相关使用_第33张图片
系统弹出一个窗口欢迎Berlin加入域,这时在Florence上打开Active Directory用户和计算机,如下图所示,我们发现Berlin的计算机账号已经被创建出来了。
域控制器的搭建及相关使用_第34张图片
创建用户账号
创建完计算机账号后,我们需要为企业内的员工在Active Directory中创建关联的用户账号。首先我们应该在Active Directory中利用组织单位展示出企业的管理架构,如下图所示,我们为大家演示一下如何创建一个组织单位。打开Active Directory用户和计算机,选择新建组织单位。
域控制器的搭建及相关使用_第35张图片
输入组织单位的名称,点击确定后一个组织单位就创建完成了,是不是很简单呢。
域控制器的搭建及相关使用_第36张图片
创建了组织单位后,我们就可以在组织单位中创建用户账号了,如下图所示,我们在人事部的组织单位中选择新建一个用户。
域控制器的搭建及相关使用_第37张图片
输入用户的姓名及登录名等参数,点击下一步继续。
域控制器的搭建及相关使用_第38张图片
输入用户密码,选择“密码永不过期”。
域控制器的搭建及相关使用_第39张图片
点击完成后我们就可以轻松地创建出一个用户账号。其实,用户账号中有很多的配置工作需要做,我们在后续的课程中会有一个专题为大家介绍。
域控制器的搭建及相关使用_第40张图片

四、将员工电脑加入域
设置员工电脑DNS为域控制器IP。
以域管理员的身份登陆
域控制器的搭建及相关使用_第41张图片
右击“我的电脑”在计算机名选项下单击更改,输入要加入的域名称;
域控制器的搭建及相关使用_第42张图片
域控制器的搭建及相关使用_第43张图片
域控制器的搭建及相关使用_第44张图片
域控制器的搭建及相关使用_第45张图片
域控制器的搭建及相关使用_第46张图片

五、将员工电脑退出域

1.右键点击我的电脑,选择属性。
域控制器的搭建及相关使用_第47张图片
步骤阅读
2.2
点击“更改设置”。
域控制器的搭建及相关使用_第48张图片
3.3
选择“属性”选项卡,点击“更改”。
域控制器的搭建及相关使用_第49张图片
4.4
弹出“计算机名/域更改”选项卡。
域控制器的搭建及相关使用_第50张图片
5.5
隶属于 选择“工作组”,输入 test。
域控制器的搭建及相关使用_第51张图片
6.6
弹出确认对话框。点击“确认”。
域控制器的搭建及相关使用_第52张图片
7.7
输入 域的管理员用户和密码。加入工作组。
域控制器的搭建及相关使用_第53张图片
域控制器的搭建及相关使用_第54张图片
8.8
重启电脑。
域控制器的搭建及相关使用_第55张图片

六、组策略–设置员工登录域后加入本地管理员组(这样员工自己可以安装卸载软件)

开始—所有程序—组策略管理
域控制器的搭建及相关使用_第56张图片
我们给行政部的臧岩加入本地管理员权限,在行政部上右键,在这个域中创建GPO并在此处链接(C)…

域控制器的搭建及相关使用_第57张图片
设置名称为“加入本地管理员”,然后在上面点右键—编辑,
域控制器的搭建及相关使用_第58张图片
找到用户配置—首选项—控制面板设置—本地用户和组,在右面的空白处点右键,新建本地组,“操作”选更新,下面选中“添加当前用户”,点应用,点确定。
域控制器的搭建及相关使用_第59张图片

然后回到组策略管理,点开“行政部”,点击“本地管理员”,在右边的“安全筛选”中删除Authenticated Users。点击下面的添加,点“高级”,点“立即查找”,下拉找到“臧岩”,选中“臧岩”,点确定,再点确定。这样臧岩登录自己电脑的时候就具有了本地管理员的权限。

最后win键+r,输入gpupdate /force 立即更新组策略
域控制器的搭建及相关使用_第60张图片
七、组策略—员工电脑禁用可移动磁盘

开始—所有程序—组策略管理

我们给行政部的悟空禁用可移动磁盘,在行政部上右键,在这个域中创建GPO并在此处链接(C)…
设置名称为“禁用可移动磁盘”,然后在上面点右键—编辑,

找到计算机配置—策略—管理模板—系统—可移动存储访问,双击右边的“可移动磁盘:拒绝执行权限”,选中“已启用”,点确定,下面的“可移动磁盘:拒绝读取权限”和“可移动磁盘:拒绝写入权限”做相同操作。

然后回到组策略管理,点开“行政部”,点击“禁用可移动磁盘”,在右边的“安全筛选”中删除Authenticated Users。点击下面的添加,点“高级”,点“立即查找”,下拉找到“悟空”,选中“悟空”,点确定,再点确定。这样悟空就不能在自己的电脑上使用可移动磁盘了。

最后win键+r,输入gpupdate /force 立即更新组策略

八、组策略—密码复杂性
打开组策略管理,找到域名下的“Default Domain Policy”,右键编辑
找到计算机配置—策略—Windows设置—安全设置—帐户策略—密码策略。
域控制器的搭建及相关使用_第61张图片
如果不设置密码复杂性,可以将“密码必须符合复杂性要求”设置为已禁用。
最后win键+r,输入gpupdate /force 立即更新组策略
九、组策略—域控制器不可用时客户机仍可以继续登录
打开组策略管理,找到域名下的“Default Domain Policy”,右键编辑
找到计算机配置—策略—Windows设置—安全设置—本地策略—安全选项。
域控制器的搭建及相关使用_第62张图片
如果上图中的这一项设置“没有定义”,则客户机可以在域控制器宕机情况下继续无限次登录,如果设置为10次,则客户机可以登录10次。
最后win键+r,输入gpupdate /force 立即更新组策略

十、域共享文件夹和备份到额外域控制器
1.域共享文件夹
在此我们设置行政部的人都可以访问software文件夹。
打开Active Directory用户和计算机,在Users上右键新建组,取名“行政部”,然后将行政部的臧岩和悟空加入到这个组内。

在磁盘上建立一个文件夹用作共享文件夹,右键属性,共享,点击“共享(S)…”,点击共享,点完成。
点“安全”—“高级”—“更改权限”—“添加(D)…”—“高级(A)…”,点立即查找,找到“行政部”,双击,点确定。
然后选中“完全控制”,点确定,点确定,点关闭。

员工电脑win键+r,输入\域控制器IP,即可访问。
2.备份到额外域控制器
第一域控制器上的共享文件夹内的文档会实时备份到额外域控制器。当然删除文件时,额外域控制器上的文件也会自动删除。
首先在第一域控制器建立各部门共享文件夹,如下图所示:
域控制器的搭建及相关使用_第63张图片

将Allway Sync10.4.0和NetworkDriveManager复制到额外域控制器。两款软件都为免安装版。

打开NetworkDriveManager,点“驱动器”—“添加网络驱动器”

域控制器的搭建及相关使用_第64张图片
网络位置输入第一域控制器上共享文件夹的地址,设置驱动器名称,点执行,点OK,如下图:
域控制器的搭建及相关使用_第65张图片

打开Allway Sync,将language设置为中文,点“同步组(Z)”,点“新建同步组”,然后按照下图操作。
域控制器的搭建及相关使用_第66张图片

之后点下面的“分析”,如果中间有提示,就点“确定”,,然后点“同步”,这时,文件已经同步完成了。
域控制器的搭建及相关使用_第67张图片
下面设置自动同步:点操作界面的“查看”,点“选项”。如下图
域控制器的搭建及相关使用_第68张图片

点“软件共享”–“同步规则”,在“自动同步删除”和“自动同步覆盖”前面打勾。点应用点确定。

点“同步计划”,设置每隔指定时间同步、在文件变动时同步等等。点应用点确定。

点“对错误情况的处理”,在“容错策略”—“自动同步”下,全部设置为“跳过”。在“告警策略”—“自动同步”中,全部设置为“确认”。点应用,点确定。

注意:设置完成之后将这两个软件最小化,但是不要关闭。

你可能感兴趣的:(windows,运维)