一、域和域控制器

1、域(Domain):将网络中的多台计算机一逻辑的方式组织到一起,进行集中管理,这种集中管理的环境称为域。

2、域控制器(Domain Controller):每个域中至少有一台域控制器、集中存放整个域的用户账号和安全数据库,安装了活动目录的主机称为域控制器。

3、域控制器(Active Directory):活动目录是一个目录数据库,存储整个windows网络中对象的相关信息。也是一种服务,可对活动目录中数据执行各   种操作。

4、活动目录的优点:集中管理、便捷的网络资源访问、可扩展性。

5、域树:具有连续域名空间的多个域(有相同后缀)。

6、域林:由一个或多个域树组成,林中的每个域树都有唯一的名称空间,之间不连续。

二、安装DC的必备条件

1、本地管理员权限

2、操作系统版本必须满足条件WEB版除外

3、有TCP/IP设置

4、有足够的可用磁盘空间

5、NTFS分区(至少有一个NTFS分区)

6、需DNS的支持。

三、安装DC

1、开始-运行-dcpromo

2、选择在新林域中新建域

3、域功能级别:域功能级别只能升不能降,一般安装时保持默认,2000支持2000server、2003、2008;2003支持2003、2008、2008R2;2008支持2008、2008R2;2008支持2008R2;

4、数据库和日志文件夹默认保存位置c:\windows\NTDS;Svsvol文件夹的位置必须为NTFS分区。

5、输入目录服务还原模式的Adnimistrators密码。

四、将客户端加入域

1、客户机加入域的条件:计算机IP地址和DNS配置正确、确保该计算机和域控制器互相连通(pingDC的ip、nslookup 域名(测试能否解析)

2、将客户机加入域:右击计算机属性-高级系统设置-计算机名-更改-点击域-输入域名称。

五、Windows域的基本管理

1、域用户账户的管理:开始-运行-dsa.msc;创建域用户账户;注:用户显示名当前容器唯一,登录名域中唯一。

2、配置域用户账户属性:登录时间 登录到。

3、组的管理 安全组:为用户设置访问权限;通讯组:用于电子邮件通信,包含联系人和用户账户;组的作用域:本地域组:针对本域的资源创建本地域组;全局组:适用范围:整林及信任域。通用组:适用范围:整林及信任域,这一点和全局组相似。身份信息记录在全局编录中,查询速度快。子域或者信任域创建全局组,具有相同权限的用户加入到全局组,再将全局组加到本地域组,再给本地域组分权限。

4、OU(组织单位):是AD中的容器,可在其中存放用户、组、计算机和其他ou。创建OU的方式:基于部门 基于地理位置 基于对象 基于混合。删除OU:查看-选择高级功能-右击OU属性-对象-取消防止意外删除即可直接删除OU。

五、组策略:一组策略的集合(与组没关系),作用:可以统一修改系统,设置程序;调整桌面环境、安全设置、自动执行脚本、软件分发。

七、组策略的优点:减小管理成本、只须设置一次,相应的计算机或用户即可应用、减小用户单独配置错误的可能性、可以针对特定对象设置特定的策略

八、组策略对象

1、GPO:存储组策略的所有配置信息,AD中的一种特殊对象。

2、默认GPO:默认域策略(Default Domain Policy);默认域控制器策略(Default Domain Controllers Policy).

3、GPO链接:只能链接到站点、域、OU。

4、组策略的简单应用:禁止用户修改桌面背景;

  开始-管理工具-组策略管理-右击指定的OU-创建GPO-命名为禁止修改桌面背景-右击精致修改桌面背景-编辑(打开组策略编辑器)-用户配置-策略-管理模板-控制面板-个性化-双击阻止更改桌面墙纸-已启用-确定。

  开始-运行-gpupdate /force(强制刷新策略)

验证:1禁止域中所有用户修改桌面背景;2在实验1的基础上实现caiwu OU 的用户可以修改桌面背景;3在实验2的基础上,在默认域策略上配置强制生效      ,实现caiwu OU的用户不可以修改桌面背景。

九、组策略的应用规则

1、策略继承与阻止:下级容器可以继承或阻止应用其上级容器的GPO设置。

2、策略强制生效:使下级容器强制执行其上级容器的GPO设置。

3、策略累加与冲突:多个GPO设置在不冲突的情况下如冲突后应用生效;组策略顺序:LSDOU:本地组策略 站点 域 OU;如OU与子OU冲突,子OU生效。

验证:在实验3的基础上上取消caiwuOU 的阻止继承,取消域策略的强制,然后再caiwu OU 创建一个新的GPO,设置用户打开浏览器的默认主页为      http://www.tarena.com.cn.

验证:在实验4的基础上配置默认域策略用户打开的浏览器的你、默认主页为http://www.baidu.com,用caiwu OU 的用户验证打开浏览器的默认个人主页。

4、筛选:阻止一个容器内的用户或计算机应用其GPO设置,在组策略管理界面中-单击指定的GPO-在右侧窗口中选择委派-高级-添加用户-勾选拒绝读取和应用组策略。

验证:caiwuOU经理用户不收禁止修改桌面背景策略的影响。

必默内容:TCP/IP是20世纪70年代中期美国国防部为ARFANET开发的网络体系结构。

应用层-》应用层-》应用层 表示层 会话层

传输层-》传输层-》传输层

互联网层-》互联网层-》网络层

网络接口层-》数据链路层、物理层-》数据链路层、物理层

TCP/IP4层传输  TCP/IP5层模型  OSI7层模型



实验名称:升级域控的过程


实验过程:


首先我们需要了解一下升级域控制器所需要的条件:


1、本地管理员权限


2、操作系统版本必须满足条件WEB版除外


3、有TCP/IP设置


4、有足够的可用磁盘空间


5NTFS分区(至少有一个NTFS分区)


6、需DNS的支持。


步骤1:准备省级环境


将服务器快照到初始状态,准备好一台客户端,桥接网络,配置IP


步骤2:开始升级


开始-运行-dcpromo,出现升级界面,


域和域控制器以及组策略【笔记|实验】_第1张图片

这个过程稍慢,需等待一定时间


域和域控制器以及组策略【笔记|实验】_第2张图片

单击下一步之道下面的界面


域和域控制器以及组策略【笔记|实验】_第3张图片

选择在新林域中新建域,单击下一步


域和域控制器以及组策略【笔记|实验】_第4张图片

为域取名字,单击下一步


域和域控制器以及组策略【笔记|实验】_第5张图片

功能级别只能升不能降,一般安装时保持默认,2000支持2000server200320082003支持200320082008R22008支持20082008R22008支持2008R2


域和域控制器以及组策略【笔记|实验】_第6张图片

打对勾,单击下一步。


域和域控制器以及组策略【笔记|实验】_第7张图片

4、数据库和日志文件夹默认保存位置c\windows\NTDS;Svsvol文件夹的位置必须为NTFS分区

域和域控制器以及组策略【笔记|实验】_第8张图片

至此,升级完成,待,服务器,将进入一个全新的域环境。


实验名称:组策略应用规则


实验过程:


步骤1配置实验环境


创建OU caiwu,并在这个OU 下创建两个用户 cd dc



域和域控制器以及组策略【笔记|实验】_第9张图片

步骤2:策略继承与阻止:下级容器可以继承或阻止应用其上级容器的GPO设置。


我们先在全域应用一个策略,阻止用户cd更改桌面背景



开始-管理工具-组策略管理-右击域策略点编辑


域和域控制器以及组策略【笔记|实验】_第10张图片

用户配置-策略-管理模板-控制面板-个性化-双击阻止更改桌面墙纸-


域和域控制器以及组策略【笔记|实验】_第11张图片

已启用-确定。


域和域控制器以及组策略【笔记|实验】_第12张图片

  开始-运行-gpupdate /force(强制刷新策略)


域和域控制器以及组策略【笔记|实验】_第13张图片

用加入域客户端电脑登入服务器


我们发现,竟然无法修改桌面背景了,这是因为OU 继承了域的组策略


域和域控制器以及组策略【笔记|实验】_第14张图片

回到服务器,打开组策略编辑器,右键caiwuOU,点击阻止继承


域和域控制器以及组策略【笔记|实验】_第15张图片



重新进入客户机


域和域控制器以及组策略【笔记|实验】_第16张图片

经过阻止继承操作,cd用户又可以修改桌面背景了。


步骤3、策略强制生效:使下级容器强制执行其上级容器的GPO设置

域和域控制器以及组策略【笔记|实验】_第17张图片

右击域策略,点击强制,则OU强制继承域策略,客户端仍无法修改桌面背景


步骤4策略累加与冲突



在步骤3的基础上上取消caiwuOU 的阻止继承,取消域策略的强制,然后caiwu OU 创建一个新的GPO,设置用户打开浏览器的默认主页为      http://www.tarena.com.cn.



域和域控制器以及组策略【笔记|实验】_第18张图片

用客户端登入,打开浏览器,发现默认主页变为了http://www.tarena.com.cn


且桌面背景无法修改


wKiom1NRRL6CUr-yAACFXohVZ6Y730.jpg

域和域控制器以及组策略【笔记|实验】_第19张图片

在步骤4的基础上配置默认域策略用户打开的浏览器的你、默认主页为http://www.baidu.com,用caiwu OU 的用户验证打开浏览器的默认个人主页。



域和域控制器以及组策略【笔记|实验】_第20张图片

实验发现

浏览器默认主页还是http://www.tarena.com.cn


实验证明:多个GPO设置在不冲突的情况下如冲突后应用生效;组策略顺序:LSDOU:本地组策略 站点 域 OU;如OU与子OU冲突,子OU生效。



实验结果:经过实验,组策略编辑器的运用很灵活,在工作的时候更应该注意策略的应用规则。