windows server之域和組的配置

域和組策略配置

專案學習目標

1.理解域的概念;

2.掌握域安裝;

3.掌握組策略使用。

學習難點

1.域安裝;

2.組策略使用。

專案任務描述

某網路公司的網路中的pc數量具有一定的規模(按照微軟使用域的原則，一般網路中的pc數目多於10臺，則建議採域的管理模式)，因此，公司網路管理員決定採用安裝域和使用組策略的管理模式。如何安裝域和使用組策略的操作？

專案任務劃分

①子任務1:域安裝;

②子任務2:組策略使用。

專案任務實施

(一) 子任務1

域安裝1.工作任務安裝域。

2相關知識點

城是由管理員定義的組物件(計算機、使用者和組)的集合，所有物件共享乙個目錄資料( active drectory)和安全策略。乙個城可能與其他城之間存在安全關係。

城工作方式採用的是集中式的管理，計算機要加人乙個域中，必須經過域管理員的批准，域中所有的資源由域控制器統管理。

域管理員是組織中許可權最大的人員，域管理員可以登入到加人城中的任何一台成員機器，域中所有的資源都在域管理員的控制之下。

域模式適用於較大型的網路。下面來介紹一下關於域的其他內容。

由以上內容可知，域由一些計算機組成，這些計算機按類別分可以分3類，分別為:域控制器、成員伺服器、客戶機，下面分別來介紹。域控制器:域控制器是種伺服器，安裝有活動目錄，主要用來進行網路的安全核查以及資源共享。成員伺服器:成員伺服器也是一種伺服器，它沒有安裝活動目錄，不能提供網路的安全核查等工作，但是可以提供其他網路服務，比如web服務、列印服務等。客戶機:客戶機是網路中只享受服務的機器，客戶機上的作業系統一般為桌面型的，如: windows 98、windows 2000 plesinalkwindows xp等。乙個域中最少要有乙個城控制器，如果擁有多個域控制器，它們之間的關係是平等的，儲存的網路資訊(活動目錄)也是樣的。域中的成員(包括成員伺服器和客戶機)可以從乙個城中脫離出去，但是城控制器卻不能退出一乙個域，非城控制器有兩種登入方法城登入和本地登入城，而控制器不支援本地使用者登入。 3.任務步驟

①在局城網中，要建立單個城下的第一台域控制器，首先要在成員伺服器上安裝上windom server2003安裝成功後進人系統，可以選擇「配置你的伺服器嚮導」或著「執行depromo"進行活動目錄的安裝:建立城控制器，要做的第一件事就是給這台成員伺服器指定乙個固定的ip,在這裡指定情況如下:

計算機名: sever aksidosa8ip: 192.168.1.10

子網掩碼: 255.255.255.0

dns: 192.168.1.10 (本機配置成dns伺服器)

由於windows server 2003在預設的安裝過程中dns是不被安裝的，所以需要手動去新增，新增方法如下:「開始一 -設定一控制面板一新增刪除程式」，然後再單擊『新增刪除windows元件」，則可以看到如圖15-1所示畫面。

②由於在這裡只需要dns. 只選網域名稱系統(dns)，如圖15-2所示。

然後單擊「確定」，一直單擊「下一步」就可以完成整個dns的安裝。在整個安裝過程中須保證windows server 2003安裝光碟位於光碟機中，否則會出現找不到檔案的提示，那麼就需要手動定位了。

③單擊「開始」一「執行」,輸人「depromo」如圖15-3所示。

④回車就可以看到「active directory安裝嚮導」

⑤這裡是乙個相容性的要求，windows 95及nt4.0 sp3以前的版本無法登入執行到windows server 2003的域控制器，盡量採用windows 2000及以上的作業系統作為客戶端。然後單擊「下一步」，如圖15-5所示。

⑥由於這是第一台域控制器.所以選擇第一項「新域的域控制器」，然後單擊「下步」。

⑦既然是第.臺域控制器，那麼就選擇「在新林中的域」。

⑧這裡要指定乙個網域名稱: server.com, 如圖15-8所示。

⑨指定netbios名，注意整個網路裡不能再有一台pc的計算機名叫「server」。

10，在這裡要指定ad資料庫和日誌的存放位置，最好分別放置在不同的磁碟控制器上，如果只有乙個磁碟控制器，建議採用預設。

11，這裡是指定sysvol資料夾的位置，沒有特殊情況，不建議修改。

12，第一次部署時總會出現dns註冊診斷出錯的畫面，主要是因為雖然安裝了dns.但由於並沒有配置它，網路上還沒有可用的dns伺服器，所以才會出現響應超時的現象。因此在這裡要選擇:在這臺計算機上安裝並配置dns伺服器，並將這台dns服務零設為這台計算機的首選dns伺服器」，如圖 15-12所示。

13，如圖15-13所示，這是乙個許可權的選擇項，選擇第二項:「只與 windows 2000或window server 2003作業系統相容的許可權」,因為在實驗的整個環境裡，並沒有windows2000以前的作業系統存在。

14，如圖15- 14所示，還原密碼，這是乙個重點，希望大家設定好以後定要記住這個密碼，千萬別忘記了。

15，確定畫面，檢查輸入資訊是否有誤，尤其是網域名稱。

16，單擊完成

17，單擊。立即重新啟動

18，然後來看一下安裝了ad後和沒有安裝的時候有些什麼區別，首先第一感覺就是天機和開機的速度明顯變慢了，再看下登入介面，多出了乙個「登入到」的選擇框。

19，進入系統，右鍵單擊我的電腦，選擇屬性，單擊計算機名

20，安裝完成後，檢驗域控制器的ad是否正常

21，檢視ad資料庫檔案。

22，檢視系統自建的srv記錄

23，檢視預設的ad結構目錄

24，檢視事件日誌

1.工作任務

組策略使用:使用組策略為使用者組或計算機組定義自動的配置，包括基於登錄檔的策略設定、安全設定、軟體安裝、指令碼、資料夾重定向、遠端安裝服務和ntemet xpore護的選項。

2.相關知識點

(1)組策略

組策略設定定義了系統管理員需要管理使用者桌面環境的各種元件，例如使用者可用的程式、使用者桌面上出現的程式以及「開始」選單選項等。

組策略不僅應用於使用者和客戶端計算機，還應用於成員伺服器、域控制器以及管理範圍內的任何計算機。預設情況下,應用於域的組策略會影響域中的所有計算機和使用者。

使用組策略為使用者組或計算機組定義自動的配置，包括基於登錄檔的策略設定、安全設定、軟體安裝、指令碼、資料夾重定向、遠端安裝服務和hnemnet eploren 維護的選項。

使用組策略物件(gpo) ,管理員可以集中管理aivie dretor結構中的計算機和使用者。組策略的工作方式是，每當重新啟動、使用者登入或強制重新整理組策略時，目標計算機利用active directry多層結構的特點，對每個cpo設定進行檢查。因此，每次只須設定-個使用者或計算機，借助windows 200000提供的功能，可以將策略強制在所有客戶端計算機上執行，直到更改組策略。

組策略的優先順序高於使用者設定的登錄檔和本地首選項，在登入、重啟、強制重新整理組策略時，組策略都會覆蓋本地首選項。

( 2)使用組策略的前提

①客戶端和伺服器必須執行在windows 2000/xp/2003或以上版本系統，對較早版本的計算機，組策略不會對它們產生影響。

②組策略需要使用完全合法的城名，而不是nebios名，因此需要存在dns服務才能保證組策略被正常處理。

③不能關閉icmp協議。客戶端計算機必須可以ping 通網路上的城控制器，否測組策略處理將會失敗。

預設情況下，新使用者賬戶和計算機賬戶分別建立④使用組策略需要active directory。在user和computers容器中，而不可能直接在這此容器中使用組策略。可以通過redinus.exe和redircomp.exe兩個工具把組策略應用到新使用者和新計算機。

3.任務步驟

2，開啟建立的ou1的屬性

3，單擊open按鈕，進入組策略管理器

4，單擊open按鈕，進入組策略管理器

5，新建組策略 op1

6，編輯組策略op1

⑥在使用者配置下，制定「對桌面的顯示屬性的設定實施禁用」的組策略，這樣ou1下的所有使用者和組內使用者在任何臺主機登入本域後，其桌面的顯示屬性的設定將被禁用，如圖15- -34所示。

7，clientxp-01是ou1下的使用者zhangsan登入到server.com域的一台主機，這裡用來驗證組策略的實施結果，檢視clientxp- -01 主機桌面的顯示屬性的設定，可見矩形框處原「設定」按鈕消失，說明實施的組策略生效，如圖15-35所示。

windows server之域和組的配置

轉殖Windows Server 2012域控制器

Windows Server 2008更改網域名稱

Windows Server體驗之管理

windows server之域和組的配置

轉殖Windows Server 2012域控制器

Windows Server 2008更改網域名稱

Windows Server體驗之管理

相關推薦