城是由管理員定義的組物件 (計算機、使用者和組,的集合,所有物件共享個目錄資料aeivin ieco )和安全策略。-個戰可能與其他城之間存在安全關係。
城工作方式採用的是集中式的管理,計算機要加人乙個城中, 必須經過域管理員的批准,域中所有的資源由域控制器統一管理。
域管理員是組織中許可權最大的人員,域管理員可以登入到加人域中的任何臺成員機器,域中所有的資源都在域管理員的控制之下。
域模式適用於較大型的網路。下面來介紹下關於域的其他內容。
由以上內容可知,域由一些計算機組成,這些計算機按類別分可以分3類,分別為:域控制器、成員伺服器、客戶機,下面分別來介紹。域控制器:域控制器是一種服 務器.安裝有活動目錄,主要用來進行網路的安全核查以及資源共享。成員伺服器:成員伺服器也是一種伺服器,它沒有安裝活動目錄,不能提供網路的安全核查等工作,但是可以提供其他網路服務,比如web服務、列印服務等。客戶機:客戶機是網路中只享受服務的機器,客戶機上的作業系統一般為 桌面型的,如: windows 98、w indows 2000 professional、windows xp等。
乙個域中最少要有一 - 個城控制器,如果擁有多個域控制器,它們之間的關係是平等的,儲存的網路資訊(活動目錄)也是一一樣的。 域中的成員(包括成員伺服器和客戶機)可以般網路 從乙個域中脫離出去,但是域控制器卻不能退出乙個域。
採用安裝 非城控制器有兩種登入方法:域登入和本地登入域,而控制器不支援本地使用者登入。
3.任務步驟
①在區域網中,要建立單個域下的第臺域控制器, 首先要在成員伺服器上安裝上windows server 2003,安裝成功後進人系統,可以選擇「配置你的伺服器嚮導」或者「執行dcpromo」進行活動目錄的安裝:
這裡選用「執行depromo」建立域控制器,要做的第一件事就是給這台成員伺服器指定乙個固定的ip,在這裡指定情況如下:
計算機名: server alksjfdifdosa8
ip: 192.168.1.10
子網掩碼: 255.255.255.0
dns: 192. 168.1.10 (本機配置成dns伺服器)
由於windows server 2003在預設的安裝過程中dns是不被安裝的,所以需要手動去新增,新增方法如下:「開始一 設定一控制面板新增刪除程式」, 然後再單擊「新增刪除windows元件」,
由於在這裡只需要dns。只選網域名稱系統(dns)
然後單擊「確定」,一 直單擊「下一步」就可以完成整個dns的安裝。在整個安裝過程中須保證windows server 2003安裝光碟位於光碟機中,否則會出現找不到檔案的提示,那麼就需要手動定位了。
③單擊「開始」→「執行」,輸人「depromo」」
④回車就可以看到「active directory安裝嚮導」,直接單機下一步⑤這裡是乙個相容性的要求,windows 95及nt4.0 sp3以前的版本無法登入執行到windows server 2003的域控制器,盡量採用windows 2000及以上的作業系統作為客戶端。然後單擊「下一步」
⑥由於這裡是第一台控制器,所以選擇第一項 新域的域控制器,然後下一步 ,
⑦既然是第一台域控制器,選擇 在新林中的域
⑧要指定乙個網域名稱 server.com
⑨指定netbios名,注意整個網路裡不能再有一台pc的計算機名叫 server
⑩在這裡要指定ad資料庫和日誌的存放位置,最好分別放置在不同的磁碟控制器上,如果只有乙個磁碟控制器,建議採用預設,
這裡是指定sysvol資料夾的位置,沒有特殊情況,不建議修改
第一次部署時總會出現dns註冊診斷出錯的畫面,主要是因為雖然安裝了dns.但由於並沒有配置它,網路上還沒有可用的dns伺服器,所以才會出現響應超時的現象。因此在這裡要選擇:「在這台計算機 上安裝並配置dns伺服器,並將這台dns伺服器設為這台計算機的首選dns伺服器」
這是個許可權的選擇項, 選擇第項:「只與windows 2000或window server 2003作業系統相容的許可權」,因 為在實驗的整個環境裡,並沒有windows2000以前的作業系統存在。
還原密碼,這是乙個重點,希望大家設定好以後一 定要記住這個密碼,千萬別忘記了。
在確認畫面中,請仔細檢查輸入的資訊是否有誤,尤其是網域名稱要書寫正確,確認無誤,下一步就正式安裝了,幾分鐘後安裝完成,然後立即重新啟動,
然後來看一下安裝了ad後和沒有安裝的時候有什麼區別,首先感覺關機和開機速度明顯變慢了,在看一下登入介面,多出乙個 登入到 的選擇框,
進入系統後,單機我的電腦,選擇屬性,單機 計算機名選項卡,
完成安裝後,應該檢驗域控制器的ad安裝是否正常,檢視sysvol資料夾是否正常。
檢視ad資料庫檔案,檢視系統自建的srv記錄,檢視預設的ad結構目錄,檢視事件日誌。
組策略使用
(1) 組策略
組策略設定定義了系統管理員需要管理使用者桌面環境的各種元件,例如使用者可用的程式、使用者桌面上出現的程式以及「開始」選單選項等。
使用組策略物件編輯器可以為特定使用者組建立特殊的桌面配置,指定的組策略設定包含在組策略物件( gpo )中,而組策略物件又與active directory物件(站點、域或組織單位)相關聯。
組策略 不僅應用於使用者和客戶端計算機,還應用於成員伺服器、域控制器以及管理範圍內的任何計算機。預設情況下,應用於域的組策略會影響城中的所有計算機和使用者電使用維支略為使用者組或計算機維定義自動的配置。包括基於註用表的策略設定,安全維護的選項。|設定軟體安裝、指令碼、檔案交重定向、運程安裝服務和各種組策略功能。
使用組策略物件(gpo).管理員可以集中管理acive din moy結構中的計算機和使用者。組策略的工作方式是,每當重新啟動、使用者登入或強制重新整理組策略時,目標計算機利用active diretery多層結構的特點,對每個cpo設定進行檢查。因此,每次只須設定乙個使用者或計算機,借助w indows 2000提供的功能,可以將策略強制在所有客戶端計算機上執行,直到更改組策略。
組策略的優先順序高於使用者設定的登錄檔和本地首選項,在登入、重啟、強制重新整理組策略時,組策略都會覆蓋本地首選項。
(2)使用組策略的前提
①客戶端和伺服器必須執行在windows 2000/xp/2003或以上版本系統,對較早版本的計算機,組策略不會對它們產生影響。
②組策略需要使用完全合法的網域名稱,而不是nebios名,因此需要存在dns服務才能保證組策略被正常處理。
③不能美閉icmp協議。客戶端計算機必須可以ping通網路上的城控制器,否則組策略處理將會失敗。
④使用組策略需要acive dctoon預設情況下,新使用者賬戶和計算機賬戶分別建立在user和computers容器中,而不可能直接在這些容器中使用組策略。可以通過redinusr.exe和redircomp.exe兩個工具把組策略應用到新使用者和新計算機。
3.任務步驟
組策略在實施前,極力建議安裝gpne.nsi組策略編輯工具程式
開啟先建立的oui的屬性
單擊open,進入組策略管理器,
新建組策略op1
編輯組策略op1
在使用者配置下,制定「對桌面的顯示屬性的設定實施禁用」的組策略,這樣ou1下的所有使用者和組內使用者在任何一-臺主機登入本域後,其桌面的顯示屬性的設定將被禁用.
clientxp-01是ou1下的使用者zhangsan登入到server.com域的一台主機,這裡用來驗證組策略的實施結果。檢視clientxp. -01主機桌面的顯示屬性的設定,可見矩形框處原「設定」按鈕消失,說明實施的組策略生效,
如果前面的系列操作沒 有出錯,而又沒有組策略作用的效果,可在cmd.exe命令提示下執行gpupdate/force,在重新檢視圖中的顯示結果。
關於組策略配置
一 rsop自動檢測法 要想恢復組策略的設定,最簡單的方法無非是逐一檢視策略專案。在預設情況下,策略專案的 狀態 顯示應為 未被配置 如圖1 如果被他人進行了更改,則會顯示 已啟用 或 已禁用 的提示。不過組策略中的設定項 多如牛毛 想要在眾多項中找到被修改的位置,顯然太過費時費力,這時不妨試試簡單...
組策略妙用 通過組策略禁止域使用者更改IP位址
禁止更改ip位址 如果允許使用者能夠自己更改ip位址,就有可能和網路中其他計算機ip位址衝突。有些單位的網路管理員配置好計算機的ip位址後,不想讓使用者自己更改。以下示例將會演示禁止使用者更改ip位址一種方法。4.9.1示例 禁止使用者更改ip位址 沒有管理員許可權的使用者,預設就沒有許可權更改計算...
ad域下發策略 域滲透組策略有關學習
域內有個共享資料夾,domain sysvol domain,域內主機全能訪問,裡面儲存了組策略相關的檔案,在一開始搭建域控的時候就設定好的預設路徑。這裡測試了2008的,通過組策略去修改密碼。新建乙個gpo。編輯 使用者配置 首選項 控制面板 本地使用者和組 設定好物件許可權等,可以在詳細資訊中看...