目錄

1、Domain（域代表的是一種環境）

2、內網環境

3、域的特點：

4、域的組成：

5、域的部署：

6、活動目錄

7、組策略GPO（group policy）

8、部署安裝活動目錄

9、PC加入域

10、常見小問題

11、OU：組織單位（organization union）

12、組策略：Group Policy = GPO

---

?

域

1、Domain（域代表的是一種環境）

2、內網環境

1）工作組：默認模式，人人平等，不方便及集中管理?

2）域：人人不平等，實現集中管理，統一管理

3、域的特點：

集中/統一管理

4、域的組成：

1）域控制器：DC（Domian Controller）
2）成員機（成員機之間其實是平等的，說不平等只是域控制器）

域一般用三角△表示

活動目錄是核心

5、域的部署：

1）安裝域控制器---就生成了域環境
2）安裝了活動目錄---就生成了域控制器
3）活動目錄：active directory=AD

6、活動目錄

1）AD
2）特點：集中管理/統一管理（域要想實現統一管理，靠的就是AD來完成的）

7、組策略GPO（group policy）

8、部署安裝活動目錄

部署域最終就是安裝活動目錄

計算機右鍵管理——》角色（就是服務器，就是將來在公司作為哪一種服務器角色）【2008可以提供17個大的角色】——》添加角色——》下一步
——》AD域服務【微軟為我們提供了一個安裝路徑，在這里裝效果不太好，以前是在這裝的】

安裝步驟：
1）開啟2008虛擬機，并橋接到VMnet2（2008不像2003，安裝軟件時不要插光盤，已經偷偷內置到C盤）
2）配置靜態IP地址10.1.1.1/24
3）開始--運行--輸入dcpromo安裝活動目錄（這條命令有兩個功能：安裝活動目錄，卸載活動目錄）【dcpromo=Domain Controller Promoter】
彈出向導：勾選DNS--新林中新建域--功能級別都設置為2003--域的FQDN（waffle.com）--設置目錄服務還原密碼（666.com）--勾選安裝后自動重啟（第三步過程見下面所有截圖）

4）登錄域waffle\administrator
DC的本地管理員升級為域管理員

問：登錄域和登錄本地有什么區別？不登錄域意味著你用本地賬號登錄，你只能訪問本地資源，訪問不了域的資源
你要想享受域的資源，你必須登錄域

5）驗證AD是否安裝成功
?

1、計算機右鍵屬性--所屬域
2、DNS服務器中是否字典創建waffle.com區域文件
3、自動注冊DC的域名解析
4、開始--管理工具--AD用戶和計算機
? ? ? computer：普通域成員機列表
? ? ? Domain Controller：DC列表
? ? ? Users：域賬號

驗證一、怎么查看我已經成為域了呢？計算機右鍵屬性

驗證二、點擊開始——》管理工具——》DNS

驗證三、開始——》管理工具——》Active Directory 用戶和計算機（就是活動目錄）

?

9、PC加入域

1、配置IP，并指DNS（就是指DC）
2、計算機右鍵屬性--更改---加入waffle.com域
3、重啟加入域之后，成功使用域用戶登錄成員機

加域：把win7和winxp-2加入waffle.com域

1、把win7加到域里面，先要把win7和DC放到同一個網絡（vmnet2）
2、win7手工配ip：10.1.1.3? ,? ?255.255.255.0，指DNS：10.1.1.1（因為將來要做域名解析）【建議把ipv6前面的√去掉】
3、我的電腦右鍵屬性------更改設置-----計算機名----更改-----隸屬于域（waffle.com）

?

?

1、把winxp-2加到域里面，先要把xp和DC放到同一個網絡（vmnet2）
2、xp手工配ip：10.1.1.2? ,? ?255.255.255.0，指DNS：10.1.1.1（因為將來要做域名解析）
3、我的電腦右鍵屬性---計算機名---更改---隸屬于域（waffle.com）

驗證：

WAFFLE-PC和WINXP-2是成員機，加入域成功

如果發現win7 xinxp登錄都需要ctrl+alt+delete就說明有域

打開winxp-2：

在win2008上users中建立一個普通域用戶（users右鍵新建，點擊用戶）

winxp-2登錄：sp.huang? 密碼123.com? 登錄到WAFFLE：

win7上登錄：
再創建一個用戶：

10、常見小問題

1）加入域不成功
? ?網絡是不是不通！
? ?解析是否能成功解析！（nslookup手工測試）
? ?是否為DNS緩存問題
2）登入域不成功
如XP，已勾選登錄域WAFFLE，不用再寫waffle\xiaofei.wen
3）域用戶的權限
? ?建議將域用戶加入到普通成員機的本地管理員組中（讓成員對自己的電腦有完全控制權限，但是又不能把域管理員賬號給它）
? ?千萬不要把它提升為域管理員，否則他會對公司所有電腦有完全控制權限
先用域管理員身份登錄成員機做更改
用戶名：waffle.com\administrator

*********本地管理員組：administrators
*********域管理員組：Domain Admins

11、OU：組織單位（organization union）

作用：用于歸類域資源（域用戶、域計算機、域組）

活動目錄就是一張表，一個數據庫，叫活動目錄數據庫
computers：里面放的都是域成員的列表
domain controllers：DC的列表
users：用戶列表
這些都稱為域資源
這些資源如果不歸類，在成百上千的人里面去找一個人的話，很難找。我們最好把這些資源分門別類，就需要用到OU
我們把相同的資源或者相同的部門資源按照某種方式進行歸類，比如IT部人員的域賬號放到IT的OU中去，財務部放到另外一個OU。
組和OU的作用是一樣的，都可以理解為是一個容器，而組的目的是為了賦權限，OU誕生的目的是為了下發組策略（組策略就是對員工的強制限制）
組策略就是一張表，這張表要基于OU下發

OU怎么創建？
win2008-1：開始-管理工具-AD用戶和計算機
對準域（waffle.com）右鍵--新建--組織單位---名稱：（比如是千峰集團）

對準“千鋒集團”再新建幾個組織單位“董事會”、“市場部”、“IT部”
這就是公司的組織架構

把原來創建的“黃圣鵬”這個用戶：單擊鼠標右鍵---所有任務----移動---千鋒集團董事會，把“楊濤”移動到西北區
如果將來想對西北區的人做限制，只需要寫一個組策略映到西北區里面去，西北區里面的所有資源都會受限制
同時也把computers里面楊濤的電腦也移動到西北區，黃圣鵬的電腦也移動到董事會（因為今后想對電腦做操作），對用戶操作和對電腦操作是不一樣的

?

12、組策略：Group Policy = GPO

作用：通過組策略可以修改計算機的各種屬性，如開始菜單、桌面背景、網絡參數、密碼復雜性等。

每個電腦都有組策略，沒有域也有組策略（本地組策略優先級最低）

***重點：組策略在域中，是基于OU來下發的（而不是基于組下發的）！！

win2008-1：開始--管理工具--組策略管理

給千鋒集團建立組策略表：千鋒集團右鍵——》創建GPO（名稱建議和OU一樣，方便記憶，千鋒集團）

現在希望“千鋒集團”所有的人桌面背景是卡通（cartoon.jpg）圖片（最千鋒集團下面的組策略表做最合適，對Default Domain Policy做也可以，不推薦，DC不要輕易做組策略）

創建一個共享文件夾，讓員工都能訪問：

? ?

對用戶配置一般注銷一下就能生效
對計算機配置一般要重啟后才生效

?

***組策略在域中下發后，用戶的應用順序是：LSDOU（L：本地local，S：站點，理解為林【一般忽略】，D：域domain，OU表示一系列OU：千鋒集團--IT--董事會--市場部--西北區）
***在應用過程中，如果出現沖突，后應用的生效！

****正常情況下：LSDOU順序【沒有強制也沒有阻止繼承】
例：

上級OU：? ? ? ? ? ? ? ?桌面：aa? ? ? ? ?運行：刪除

下級OU：? ? ? ? ? ? ? ?桌面：未配置 ?運行：不刪除? ?（未配置就是默認，不受控制，員工隨意設置就行）

下級OU用戶結果：桌面：aa? ? ? ? ? 運行：不刪除

****下級OU設置了阻止繼承：對準“西北區”這個文件夾右鍵阻止繼承（設置了阻止繼承就不再看LSD，直接看自己的OU）——》意思是一點擊阻止繼承，上級的所有OU對我沒有任何影響

上級OU：? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?桌面：aa? ? ? ?運行：刪除

下級OU（設置阻止繼承）：? ? ? ? ? ? ? ? 桌面：未配置 運行：不刪除（未配置就是沒有做要求）

下級OU用戶結果：? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?桌面：未配置 運行：不刪除

****上級設置了強制：對準“千峰集團”組策略右鍵強制（圖標會上鎖，意思是在應用順序上到這就為止了，后面就不再看了，沖突了也無效）

上級OU（設置強制）： ? ? ? ? ? 桌面：aa ? ? 運行：刪除

下級OU：? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 桌面：未配置 運行：不刪除

下級OU的用戶結果：? ? ? ? ? ? ? 桌面：aa ? 運行：刪除

注意：當上級強制和下級阻止繼承同時設置，強制生效！【強制最大】

查看千峰集團做了哪些組策略：
選中千鋒集團——右側的設置——警告里面點擊添加——點開策略下面的管理模板

GPO練習：
1.在董事會部門設置GPO，并要求強制桌面背景，并驗證
2.在董事會部門上級的ou上設置GPO,也進行強制桌面背景，并驗證
3.在董事會部門上級的ou上設置GPO,強制刪除運行菜單，并驗證
4.練習阻止繼承，并驗證
5.練習向下強制，并驗證
6.實現董事會的計算機無須按ctrl+alt+delete，并驗證

?

總結

以上是生活随笔為你收集整理的【CyberSecurityLearning 7】AD域的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。