深圳网站建设骏域网站建设,wordpress主题开发ide,凡客建网站,网站设计师发展前景数据来源 下面会涉及一些IP地址和DNS服务器的一些基础知识不熟悉的可以先看这篇文章#xff1a;IP地址详解
DNS部署与安全
一、内网环境 1#xff09;工作组#xff1a;默认模式#xff0c;人人平等#xff0c;不不方便管理#xff08;我和你的电脑是属于平等的#…数据来源 下面会涉及一些IP地址和DNS服务器的一些基础知识不熟悉的可以先看这篇文章IP地址详解
DNS部署与安全
一、内网环境 1工作组默认模式人人平等不不方便管理我和你的电脑是属于平等的我很难直接控制的你电脑除非你允许 2域人人不平等集中管理统一管理方便企业统一管理电脑
二、域的特点 集中/统一管理
三、域的组成 1域控制器DCDomain Controller 2成员机
四、域的部署的前提 1安装域控制器 -- 就生成了域环境 2安装了活动目录 -- 就生成了域控制器 3活动目录ADActive Directory
五、活动目录 1AD 2特点集中管理/统一管理域的特点就来源于活动目录的特点
六、部署安装活动目录win2008为例
安装步骤 1开启2008虚拟机并桥接到vmnet2 2配置静态IP地址例如 10.1.1.1/24 DNS 安装了活动目录会自动配置 3开始 -- 运行 -- 输入命令dcpromo # 安装或卸载活动目录 如果刚才配IP时指定了DNS那下面的这个安装DNS向导就不会出现 林多个域组成树多个树组成林想详细研究的查百度 输入第一个域名称根级域 -- 下一步 等待 设置林功能级别设置后以后的值域不能低于这个级别比如设置2003的以后的子域不能低于2003可以高与使用2008之类的都没问题级别越高功能越完善这我选的2003一般公司用不上子域。 域功能级别跟林的一样看个人需要进行选择我这选2008 选择是 设置活动目录的还原密码如果以后域出现错误出现问题就可以通过这密码对域进行还原操作 检查一下要创建的域相关信息有无问题没有下一步 4等待安装完成 勾上完成重新启动 没勾手动重启也行 检查是否安装成功
1登录
重启之后电脑就是DC了 工作组就变成了域以前的本地管理员账户就被迁移到活动目录那张表里去了登录密码还是原来的 更改计算机全名方便记忆 2查看DNS有没有安装成功 3检查活动目录 -- 用户和计算机 最重要的活动目录数据库 介绍下域下面比较从要的目录Computers 里面存放普通域成员机列表 Domain Contrellers里面存放域控制器DC列表Users域组里面存放域账号 域用户组的一些主要组 七、PC加入域 步骤
1把同一局域网下的其他计算机加入到win2008的域里面来
配置IP并连接同一个网络因为我这里的win2008虚拟是桥接到vmnet2并且IP地址是10.1.1.1 /24所以我这里其他的计算机也要进行一些配置让他们和2008虚拟机处于同一作用域下。 注意如果公司有DNS服务器那一定要设置DNS转发器让员工能正常上网
2把winXP客户机加入win2008的域中 输入域管理员账号就是登录2008这台域计算机的用户名和密码 加入域成功会有提示 并按提示重启计算机 配置完成之后就可以会到2008的域计算机内查看域成员我把两台虚拟机加入了域windowsXP和windows7。 3测试一下在客户机使用域账号登录
首先创建普通域用户账号 检查一下没问题就点完成 然后随便找一台加入了域的虚拟机进行登录 八、把普通的域账号设置为某一个成员机的本地管理员
因为经过上面的步骤所创建的域账号虽然可以在所有加入域的成员机中登录但是该账号只是普通用户很多有关系统的操作该账号都无法操作但是我们又不能把该账号提升为域的管理员所以把该域账号设置为某台固定成员机的本地管理员专门给某个员工使用。
实现步骤 1使用域的管理员账号登录需要设置的成员机域管理员账号可以登录所有域下的成员机并拥有最高的管理员权限 2打开计算机管理 如果桌面有我的电脑之类的图标可以直接右键--管理 3选择用户和组 -- 组 -- 管理员组Administrator-- 添加 -- 在域中查找需要设置为本地管理员的域账号 -- 确定保存修改 测试一下
注销登录刚才设置的域成员账号尝试是否可以在用户的家目录创建文件和打开计算机管理如果是普通用户是做不到的。 九、常见的小问题 1加入域不成功 检查网络是否连通命令ping 目标IP地址 解析是否能成功解析 是为DNS缓存问题 2登录域不成功 如XP已勾选登录域就不用写 域名\域账号直接 域账号 3域用户的权限 建议将域用户加入到普通成员机的本地管理员组中千万不要加入域管理员组不然他就能管理你公司所有电脑
******本地管理员组Administrator
******域管理员组Domain Admins 十、OU组织单位 作用用于归类域资源域用户、域计算机、域组
使用例子 1打开活动目录 -- 用户和计算机 2域 -- 新建 -- 组织单位 -- 起个组织名称 3继续在刚才创建好的张三集团创建组织单位进行细分-- 新建 -- 组织单位 -- 起个组织名称 分别创建董事会、市场部、IT部然后在市场部下面再细分西北区和东北区 4现在就可以把域用户加入到对应的组织架构里面了比如把张三加入到董事会 李四能力很强发配到西北发展 5如果以后的组策略不想对用户进行限制而是对他用的电脑作限制那可以把对应的电脑移到对应的组织内 十一、GPO组策略Group Policy 1作用通过组策略可以修改计算机的各种属性如开始菜单、桌面背景、网络参数等。 2重点组策略在域中是基于OU来下发的
组策略GPO使用
新建组策略 1打开组策略管理 2新建组策略 下发组策略 1给组织单位张三集团个所有组织单位下发一个桌面的组策略 创建一个文件夹共享给域成员机下载 选择共享文件夹并设置权限 把权限都全选上 -- 添加用户Domain Users 域的所有用户 外面文件属性这里也加上 Domain Users 域的所有用户 之后关闭就行 回到设置组策略页面输入图片的网络路径确定 测试一下
去到域的成员机先注销在登录虚拟就反应比较慢右键 -- 属性 -- 桌面能看到之前上传的图片就算是成功了真实机会比较快 查看自己已启用的策略 强制强制组策略 比如上级OU和下级OU分别设置了禁止开始 -- 运行和不禁止开始运行正常来说是后设置的生效最后的不禁止生效但是有个需求是上这个OU及其下面的所有OU都受上级OU的策略影响不能覆盖这里可以给这个上级OU设置强制 ·
阻止继承阻止继承组策略
给ou设置阻止继承后那该ou组织就不会受到其他ou组织的组策略影响能影响该ou组织的只有他自己的组策略如果强制和阻止冲突了强制优先 组策略在域中下发后用户的应用顺序是LSDOU
L本地S站点基本用不上D域的组策略ou组织单位的组策略 正常情况下在应用过程中如果出现冲突后应用的生效
例子 上级OU 桌面aa.png 运行删除 下级OU 桌面未配置 运行不删除 下级OU用户结果桌面aa.png 运行不删除
注意当上级强制和下级阻止继承同时设置强制生效hang
还是上面的例子如果给上级OU设置强制那么 下级OU用户结果
桌面aa.png 运行删除行不删除 完全沿用上级OU的设置
2给用户下发组策略发一个脚本过去
如果对批处理基本命令不熟悉的批处理编写 写个简单的脚本用于实验如果域的成员机不是XP改一下第一行的文件生成路径比如win7、2008的启动文件夹目录C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup echo echo off %userprofile%\「开始」菜单\程序\启动\张三.bat
echo color 0a %userprofile%\「开始」菜单\程序\启动\张三.bat
echo echo 姓名张三 %userprofile%\「开始」菜单\程序\启动\张三.bat
echo echo 年龄18 %userprofile%\「开始」菜单\程序\启动\张三.bat
echo echo 爱好小黑子开庭别哭!!! %userprofile%\「开始」菜单\程序\启动\张三.bat
echo pause %userprofile%\「开始」菜单\程序\启动\张三.bat如果你的不是一个脚本文件而是命令那就填写脚本参数 回到组织策略管理刷新检查一下 检查没问题去域的成员机注销用户测试一下会发现启动文件夹下就自动生成了张三.bat 并且会自动启动 3给域下的成员机下发组策略无需按 Ctrl Alt Del 就能登录 要测试的话重启成员机的电脑虚拟机反应慢没成功就多重启几次我的是第二次重启才成功
4给域下的成员机下发一些有关安全的组策略如密码和账户相关的限制等
