域控制器的搭建及相关使用
一、搭建域控制器步骤
FERT公司拓扑如下所示:
- DNS前期准备
DNS服务器对域来说是不可或缺的,一方面,域中的计算机使用DNS域名,DNS需要为域中的计算机提供域名解析服务;另外一个重要的原因是域中的计算机需要利用DNS提供的SRV记录来定位域控制器,因此我们在创建域之前需要先做好DNS的准备工作。那么究竟由哪台计算机来负责做DNS服务器呢?一般工程师有两种选择,要么使用域控制器来做DNS服务器,要么使用一台单独的DNS服务器。这里直接使用域控制器来做DNS服务器。
2.设置域控制器的TCP/IP属性
IP地址设为静态,首选DNS设为127.0.0.1
3.Win键+R 输入dcpromo,开始域控制器的创建
阅读操作兼容性说明,单击下一步按钮;
在“选择某一部署配置”页面中,选择“在新林中新建域”;
在“命名林根域”页面输入目录林根域的FQDN名,这里命名为yezi.com;
在“选择林功能级别”页面中选择林功能级别;注,以下是各种级别的支持度。
在“其他域控制器选项”页面中选择“DNS服务器”;
设置数据库、日志文件和SYSVOL的存储位置;这里选择默认;
在“目录还原模式的Administrator密码“页中,输入密码;
在“摘要“页,检查所有的选择,单击下一步;
开始安装和配置活动目录服务;
安装完成后单击“完成”,如下图所示,服务器需要重启;
二、搭建额外域控制器步骤(可搭建多个额外域控制器)
设置TCP/IP属性为静态IP地址,DNS设为第一台域控制器的IP地址。
运行Dcpromo,如下图所示。
出现Active Directory的安装向导,点击下一步继续。
这次我们选择创建现有域的额外域控制器,点击下一步继续。
输入域管理员账号,用以证明自己有权限完成额外域控制器的部署。
这台服务器将成为adtest.com域的额外域控制器。
Active Directory数据库的存储路径使用默认值即可。
Sysvol文件夹的存储路径也可以使用默认值。
输入目录服务还原模式的管理员密码,以后我们从备份还原Active Directory时可以用到。
确认所有的设置无误,点击下一步继续。
如下图所示,额外域控制器通过网络从第一个域控制器那里复制Active Directory到本机。
Active Directory安装完毕,点击完成后额外域控制器会重新启动,至此,额外域控制器部署结束。
部署完毕后,我们打开Active Directory用户和计算机,如下图所示,我们可以看到额外域控制器已经把第一域控制器的Active Directory内容复制了过来。
检查第一台域控制器上的DNS服务器,可以看到DNS中已经有了Firneze的SRV记录。
至此,部署额外域控制器作为额外域控制器成功完成,从过程来看并不复杂。
三、创建计算机账号和用户账号
创建计算机账号就是把成员服务器和用户使用的客户机加入域,这些计算机加入域时会在Active Directory中创建计算机账号。这一步可以省略。
设置客户机的DNS为域控制器的DNS
如下图所示,在Berlin的计算机属性中切换到“计算机名”标签,点击“更改”。
我们选择让Berlin隶属于域,域名是adtest.com。
这时系统需要我们输入一个有权限在Active Directory中创建计算机账号的用户名和口令,我们输入了域管理员的用户名和密码。
系统弹出一个窗口欢迎Berlin加入域,这时在Florence上打开Active Directory用户和计算机,如下图所示,我们发现Berlin的计算机账号已经被创建出来了。
创建用户账号
创建完计算机账号后,我们需要为企业内的员工在Active Directory中创建关联的用户账号。首先我们应该在Active Directory中利用组织单位展示出企业的管理架构,如下图所示,我们为大家演示一下如何创建一个组织单位。打开Active Directory用户和计算机,选择新建组织单位。
输入组织单位的名称,点击确定后一个组织单位就创建完成了,是不是很简单呢。
创建了组织单位后,我们就可以在组织单位中创建用户账号了,如下图所示,我们在人事部的组织单位中选择新建一个用户。
输入用户的姓名及登录名等参数,点击下一步继续。
输入用户密码,选择“密码永不过期”。
点击完成后我们就可以轻松地创建出一个用户账号。其实,用户账号中有很多的配置工作需要做,我们在后续的课程中会有一个专题为大家介绍。
四、将员工电脑加入域
设置员工电脑DNS为域控制器IP。
以域管理员的身份登陆
右击“我的电脑”在计算机名选项下单击更改,输入要加入的域名称;
五、将员工电脑退出域
1.右键点击我的电脑,选择属性。
步骤阅读
2.2
点击“更改设置”。
3.3
选择“属性”选项卡,点击“更改”。
4.4
弹出“计算机名/域更改”选项卡。
5.5
隶属于 选择“工作组”,输入 test。
6.6
弹出确认对话框。点击“确认”。
7.7
输入 域的管理员用户和密码。加入工作组。
8.8
重启电脑。
六、组策略–设置员工登录域后加入本地管理员组(这样员工自己可以安装卸载软件)
开始—所有程序—组策略管理
我们给行政部的臧岩加入本地管理员权限,在行政部上右键,在这个域中创建GPO并在此处链接(C)…
设置名称为“加入本地管理员”,然后在上面点右键—编辑,
找到用户配置—首选项—控制面板设置—本地用户和组,在右面的空白处点右键,新建本地组,“操作”选更新,下面选中“添加当前用户”,点应用,点确定。
然后回到组策略管理,点开“行政部”,点击“本地管理员”,在右边的“安全筛选”中删除Authenticated Users。点击下面的添加,点“高级”,点“立即查找”,下拉找到“臧岩”,选中“臧岩”,点确定,再点确定。这样臧岩登录自己电脑的时候就具有了本地管理员的权限。
最后win键+r,输入gpupdate /force 立即更新组策略
七、组策略—员工电脑禁用可移动磁盘
开始—所有程序—组策略管理
我们给行政部的悟空禁用可移动磁盘,在行政部上右键,在这个域中创建GPO并在此处链接(C)…
设置名称为“禁用可移动磁盘”,然后在上面点右键—编辑,
找到计算机配置—策略—管理模板—系统—可移动存储访问,双击右边的“可移动磁盘:拒绝执行权限”,选中“已启用”,点确定,下面的“可移动磁盘:拒绝读取权限”和“可移动磁盘:拒绝写入权限”做相同操作。
然后回到组策略管理,点开“行政部”,点击“禁用可移动磁盘”,在右边的“安全筛选”中删除Authenticated Users。点击下面的添加,点“高级”,点“立即查找”,下拉找到“悟空”,选中“悟空”,点确定,再点确定。这样悟空就不能在自己的电脑上使用可移动磁盘了。
最后win键+r,输入gpupdate /force 立即更新组策略
八、组策略—密码复杂性
打开组策略管理,找到域名下的“Default Domain Policy”,右键编辑
找到计算机配置—策略—Windows设置—安全设置—帐户策略—密码策略。
如果不设置密码复杂性,可以将“密码必须符合复杂性要求”设置为已禁用。
最后win键+r,输入gpupdate /force 立即更新组策略
九、组策略—域控制器不可用时客户机仍可以继续登录
打开组策略管理,找到域名下的“Default Domain Policy”,右键编辑
找到计算机配置—策略—Windows设置—安全设置—本地策略—安全选项。
如果上图中的这一项设置“没有定义”,则客户机可以在域控制器宕机情况下继续无限次登录,如果设置为10次,则客户机可以登录10次。
最后win键+r,输入gpupdate /force 立即更新组策略
十、域共享文件夹和备份到额外域控制器
1.域共享文件夹
在此我们设置行政部的人都可以访问software文件夹。
打开Active Directory用户和计算机,在Users上右键新建组,取名“行政部”,然后将行政部的臧岩和悟空加入到这个组内。
在磁盘上建立一个文件夹用作共享文件夹,右键属性,共享,点击“共享(S)…”,点击共享,点完成。
点“安全”—“高级”—“更改权限”—“添加(D)…”—“高级(A)…”,点立即查找,找到“行政部”,双击,点确定。
然后选中“完全控制”,点确定,点确定,点关闭。
员工电脑win键+r,输入\域控制器IP,即可访问。
2.备份到额外域控制器
第一域控制器上的共享文件夹内的文档会实时备份到额外域控制器。当然删除文件时,额外域控制器上的文件也会自动删除。
首先在第一域控制器建立各部门共享文件夹,如下图所示:
将Allway Sync10.4.0和NetworkDriveManager复制到额外域控制器。两款软件都为免安装版。
打开NetworkDriveManager,点“驱动器”—“添加网络驱动器”
网络位置输入第一域控制器上共享文件夹的地址,设置驱动器名称,点执行,点OK,如下图:
打开Allway Sync,将language设置为中文,点“同步组(Z)”,点“新建同步组”,然后按照下图操作。
之后点下面的“分析”,如果中间有提示,就点“确定”,,然后点“同步”,这时,文件已经同步完成了。
下面设置自动同步:点操作界面的“查看”,点“选项”。如下图
点“软件共享”–“同步规则”,在“自动同步删除”和“自动同步覆盖”前面打勾。点应用点确定。
点“同步计划”,设置每隔指定时间同步、在文件变动时同步等等。点应用点确定。
点“对错误情况的处理”,在“容错策略”—“自动同步”下,全部设置为“跳过”。在“告警策略”—“自动同步”中,全部设置为“确认”。点应用,点确定。
注意:设置完成之后将这两个软件最小化,但是不要关闭。