Windows操作系统进阶：AD域

1、了解活动目录的相关概念
2、会在Windows服务器上部署域控制器（主/辅)，将客户机加入域
3、会在域控制器上设置组策略，从而去影响域中的用户和客户机
4、扩展
（1）如果将一台Windows 2003的域提升为Windows2008的域。
涉及一问题:操作主机的概念
（2）如何对域控制器进行备份，系统状态备份

在早期的时候，所有的计算机都是独立的个体（每台计算机都有自己的用户或组)）想要统一管理，在企业中，部署活动目录服务器，从而对企业中的所有用户及计算机进行集中

一、活动目录(AD)

1、概述

• 面向Windows服务器中的目录服务(Windows web server)

2、功能

• 服务器及客户端计算机管理
• 用户服务
• 资源管理:打印机、文件共享等等
• 桌面配置:集中配置统一桌面或者对桌面配置策略（域策略)(gpedit.msc打开本地组策略管理器)
• 应用系统支撑:财务、OA，办公自动化

3、其他概念

• AD:是Windows中—种服务
  AD也是一个目录数据库
• 域:活动目录的—种体现的形式，主要是由域控制器和成员计算机组成
• 域控制器:一台部署了活动目录服务的服务器
• 域名空间:定位了网络资源位置
• 域中的客户机称之为对象，每一个对象都有对应的属性
  （1）对象:表示了具体的事务
  （2）属性:用于描述对象的数据
• 容器：用于存放对象的空间
• 域的组策略

二、域的结构

1、物理结构

• 站点:可以将高速连接的网络中多台域控制放入一个站点（一个站点中至少有一台全局编录服务器)
• 域控制器

2、逻辑结构

• 单域:在网络中只建立了一个域
• 域树:具有连续域名空间的多个域
• 域林:由一个或多个没有形成连续域名空的的域树组成

三、对象管理

1、用户

2、组

• 组的作用域
  (1)本地域组:针对本地域，使用范围是本域
  (2)全局组:管理日常维护的目录对象（使用范围整个林及信任域)
  (3)通用组:身份信息记录在全局编录中，查询速度快（使用范围整个林及信任域)

• 组的类型
  (1)安全组:用来设置访问权限。
  (2)通讯组:用于电子邮件通信

3、组织单位(OU)

• OU是AD中的容器（容器是用来存放用户或计算机的(对象))
• 创建:部门、地理位置、对象类型
• 针对用户实施策略时使用

四、组策略应用

1、策略只能够应用到对应的容器中

2、策略应用

• 整个域
• 组织单位（OU)
• 站点
  域中的组策略称为GPO (group policy object):组策略对象

3、组策略规则

• 策略的继承与阻止
  (1)下级容器默认会继承来自上级容器的GPO。
  (2)子容器可以阻止继承上级容器的GPO
• 策略的强制生效和筛选
  (1)强制生效
  强制生效会覆盖阻止继承设置。
  (2)筛选
  可以针对单个特定的计算机或用户配置GPO权限（直接将权限设置为拒绝)

策略优先级问题
本地组策略 L
域策略 D
站点策略 S
OU策略 OU
LSDOU策略的应用顺序:当发生策略冲突时，OU的GPO优先级最高

五、部署Windows域

更新策略：
gpupdate /force

1、准备
打开Windows server 2016之后，配置IP

之后虚拟机配置为主机模式。

最后重新启动
2、开始安装
打开服务器管理器，添加角色和功能向导，一步步安装


在“我的电脑”->“属性”->“高级系统设置”->“计算机名”->"更改"发现计算机隶属于工作组。通过这个可以得出他是一台独立的电脑

3、域服务配置
在服务器管理器中进行配置。
将此此服务器升级为域服务器：

因为无域无林，所以我们选择“添加新林”

在功能级别中，高级别的版本可以兼容低级别的级别，但是低级别的不能兼容高级别的版本。所以一个林的级别是由低级别来决定的




只要无红色的报错，就可以直接安装。橙色的报错，不用管

等待安装完成之后，会自动重启。
4、观察变化

被强制要求更改密码，还不能和原来的密码一样




5、将Windows 10添加入对应的域
（1）新建一个张三用户


注意取消勾选用户下次登录时须更改密码


（2）
Windows 10设置为VMnet1仅主机模式

再来设置IP，将dns服务器设置为域的服务器地址

重启来更新配置。
检查解析zinxin.com

没有问题，那我们就开始添加入对应的域当中
在“我的电脑”->“属性”->“高级系统设置”->“计算机名”->“更改”

能解析出来对应的域的话，就跳出来输入密码页面。注意密码是Windows server 2016的被强制修改后的登录密码。


再次需要重启

之后用其他用户登录zhangsan用户，注意密码是当初新建zhangsan用户时的密码


切换回本地administrator用户，不用输密码。虽然说原本就没有设置密码

管理员用户中，还是有zhangsan这个文件夹，是因为是管理员用户的远古