active domain
微軟技術:1)工作組:平等 2)域
主要優點:集中管理/統一管理
域成員:1)域控制器:domain controller 2)成員機
建立域:
關鍵步驟:1)建立「活動目錄/ad」,擁有ad的pc,稱為dc
2)dc安裝完畢後,乙個域也就誕生了
3)然後可以陸續將其他pc加入域
活動目錄ad(active directory):域的優點體現在活動目錄的優點上
1)優點:實現集中管理
2)ad實際就是乙個資料庫,ad中包含域資源(域使用者、域組、域共享、域計算機)
3)ad域需要與dns伺服器進行配合!!dns伺服器起到在域中做定位的作用!
4)乙個ad域必須有乙個唯一的網域名稱。
如: wencoll公司就可以起網域名稱:wencoll.com
安裝活動目錄:
1)必須有固定的靜態ip位址 (域控制器也是乙個伺服器)
2)系統版本必須為伺服器版本
3)建議安裝ad前修改計算機名,並重啟生效
4)安裝ad必須是管理員身份
5)提前規劃好域的名字 ,如xzr.com
安裝:1)開始–執行–輸入「dcpromo
」 開始安裝活動目錄
2)勾選安裝dns
3)勾選「新林中新建域」
4)設定網域名稱
5)設定「林功能級別」,「域功能級別」,建議保持為2003
6)設定目錄還原密碼
7)開始安裝,並重啟
活動目錄安裝完畢後:
1)域控制器的本地使用者全部公升級為域使用者。
如:本地administrator公升級為域管理員
本地guest公升級為域來賓使用者
2)驗證是否成功安裝:
計算機右鍵屬性
計算機右鍵管理,檢查是否還有本地使用者
檢查管理工具中是否有active directory 使用者和計算機工具,並檢查是否可以開啟
檢查dns伺服器是否安裝完畢,並檢查是否存在該域的配置檔案及解析記錄
將pc加入域、新建域使用者
1)保證與dc/dns可以通訊!
2)dns指向dc!
3)計算機右鍵–屬性–計算機名–更改–輸入網域名稱–輸入管理員賬戶及密碼–成功-重啟
4)加入域成功後,驗證:1.dns上自動出現解析記錄
2.在ad中,computer自動出現成員機的計算機名
5)在ad上建立乙個域使用者,並成功在成員機上登入域!
在域中做檔案共享伺服器:
1)賦許可權:給域使用者或域組賦許可權
ou(organization union):組織單位 作用:用於歸類域資源(域使用者、域計算機、域組)
組策略:group policy = gpo 需掌握組策略的阻止繼承及強制!
只有組織單元ou才可以附加組策略gpo
作用:可以修改計算機的各種屬性,如開始選單、桌面背景、網路引數等。
組策略在域中,是基於ou來下發的
組策略在域中下發後,使用者的應用順序是:lsdou
在應用過程中,如果出現衝突,後應用的生效!
整個域環境首先要有個名字,就叫網域名稱。域環境也有字尾,比如網域名稱叫 haha.com。dns在伺服器中起到定位的作用有了域控制器,就有了域環境。建立域環境重點就是建立域控制器,要想成為域控制器,重要的就是要有ad活動目錄,因此域也叫ad域。
域控制器和域成員都要有自己的計算機名,如域控制器計算機名叫dc1,則計算機在這個域中完整的名字就叫做 dc1.haha.com
域環境中每個人都有名字,也有字尾,訪問pc可以直接通過訪問網域名稱,則需要dns伺服器。一般dc和dns是合二為一的。
dc上有張表叫ad活動目錄表,用來儲存一些資料,如賬號 密碼,這些賬號使用者叫做域使用者。
當域使用者成功在某pc上登入時,會向dc發出請求,請求被控制。
域使用者可以在域中任意一台pc上登入。同理,域管理員在域中任意一台pc有完全控制的許可權。
配置檔案 家目錄
nslook up abc.haha.com 即可解析到對方的ip位址
\abc\c$ \abc.haha.com\share 也可以省略 \abc\share
由於加入了域環境,pc上登入了域使用者,提交訪問請求時會自動將域使用者提交給伺服器,因此域使用者訪問不用輸入賬號密碼,因為自己只有乙個身份,即當前系統的域賬號身份,會自動提交到伺服器。
也可以建立乙個域組,把域使用者加到該組,再給該域組賦予許可權,相當於給該組的域使用者加許可權。組的作用還是為了降低許可權賦予的工作量
組策略gpo也是一張檔案一張表,這個表可以基於部門可以基於計算機也可以基於組織單元ou(取決於組織單元的範圍大小)。 當域使用者身份驗證完畢後登陸上去,向dc傳送請求,請求指示請求被控制。域使用者被下發一張gpo組策略表,域使用者便按照組策略gpo的策略進行執行。只有ou才可以附加gpo組策略
整個「域」——xzr.com 就是最大的組織單元
在域下新建組織單位「北京總部」 形成乙個資料夾 資料夾中有乙個logo代表ou
在他上面還有乙個ou 域控制器domain controllers,裡面放的不是使用者,而是計算機dc1
正常情況下:lsdou順序
上級ou:
桌面:aa 執行:刪除
下級ou:
x 執行:不刪除
則下級ou的使用者結果: 桌面:aa 執行:不刪除
下級ou設定了阻止繼承:
上級ou:
桌面:aa 執行:刪除
下級ou:
x 執行:不刪除
則下級ou的使用者結果: 桌面:x 執行:不刪除
****上級設定了強制:
上級ou:
桌面:aa 執行:刪除
下級ou:
x 執行:不刪除
則下級ou的使用者結果: 桌面:aa 執行:刪除
注意:當上級強制和下級阻止繼承同時設定,強制生效!組策略中下發軟體:
1)只能下發微軟格式的安裝包: .msi
2)建立乙個共享資料夾,保證域使用者有許可權,並將要下發的安裝包放到共享資料夾中
3)在組策略中新增下發安裝包(有2種選擇,第1基於計算機下發,第2基於使用者下發)
注意:組策略表包含2個部分:1.計算機配置:只對ou中的計算機資源生效
2.使用者配置:只對ou中的域使用者資源生效
步驟:1.建立軟體共享資料夾!
2.開啟組策略–使用者–軟體設定,右鍵屬性新增網路路徑
3.新增軟體
4.軟體右鍵屬性–部署–選中「在登入時安裝應用程式」
5.客戶機重啟生效
ad域的桌面漫遊: \dc1.haha.com\pic\abc.jpg
1)建立乙個共享資料夾,保證域使用者有許可權
2)在普通成員機上,使用域使用者登陸,並登出
3)在普通成員機上,使用域管理員登陸,並將使用者的配置檔案上傳到共享資料夾
4)在dc的活動目錄上,修改使用者的使用者屬性,找到配置檔案,並寫入配置檔案的網路路徑,確定即可!
AD域介紹與配置
ad的全稱是active directory 活動目錄 域 domain 1 域是windows網路中獨立執行的單位,域之間相互訪問則需要建立信任關係 即trust relation 信任關係是連線在域與域之間的橋梁。當乙個域與其他域建立了信任關係後 2 兩個域之間不但可以按需要相互進行管理,還可以...
Jenkins配置AD域認證
配置 hosts解析 vim etc hosts 9.110.187.100替換為實際域控ip 9.110.187.100 itcmp.com 安裝外掛程式 外掛程式管理 可選外掛程式 active directory plugin 安裝後重啟jenkins獲取ad bind dn可在域中cmd下執...
ad域 禁用賬號 AD域策略如何限制軟體執行
1.軟體限制策略概論 軟體限制策略 就是來限制使用者對軟體的執行的。1.1軟體限制策略的優先順序 他是利用組策略gpo來 設定的,所以可以在本地計算機 站點 域和ou等不同地方來設定。優先順序由低到高 1.2 軟體限制策略的規則 分為兩種安全級別 1 不受限制的 unrestricted 既登入使用...