域—集中管理、统一管理
0 引言
1 概述
1.1 基本概念
1.2 部署域核心条件
1.3 活动目录AD
2 部署域——以win2008为例。
2.1 步骤1:网络设置
2.2 步骤2:安装活动目录
2.3 验证活动目录是否安装成功
2.4 步骤4:将winXP与win7加入域
2.5 步骤5:创建普通域用户
2.6 常见小问题
3 组织单元OU
3.1 概念
3.2 创建
4 组策略GPO
4.1 概述
4.2 创建组策略
4.3 组策略下发原理及顺序☆☆☆
4.3.1 正常情况下
4.3.2 上级设置了强制,下级未做特殊设置
4.3.3 上级未做特殊设置,下级设置阻止继承
4.3.4 上级设置了强制,下级设置阻止继承
4.4 下发组策略
4.4.1 桌面背景下发
4.3.2 禁用运行窗口
4.3.3 执行脚本配置,使用户注销时自动清空D盘垃圾文件
4.3.4 用户开机后不显示按ctrl+alt+del进入命令,直接显示账户密码
4.3.5 密码策略
4.3.6 账户锁定策略
4.4 查看配置了哪些组策略
参考文献
0 引言
本节首先简要介绍了域相关基本概念。其次详细介绍了从还原快照开始配置域环境、客户机接入、设置账户、设置OU、下发组策略(强制更换背景、上级强制、下级阻止继承、自动运行脚本、无需按ctrl+alt+del、命令及安全相关策略)。同时重点讲解了组策略的下发机制及执行原理。
1 概述
1.1 基本概念
(1)域:Domain
(2)作用:用于集中管理、统一管理
(3)内网环境分类:
1)工作组:默认模式,人人平等。不方便集中管理。
2)域:人人不平等,可以实现集中管理和统一管理。
(4)查看方式:右键计算机→属性。
(5)域的组成
1)域控制器:DC(Domain Controller)一般是服务器,可以设置多个。
2)成员机:成员机之间平等。
(6)管理员组
本地管理员组:administrators
域管理员组:Domain admins
1.2 部署域核心条件
(1)安装域控制器——就生成了域环境。
(2)安装了活动目录——就生成了域控制器。
(3)组策略:GPO(group policy),与活动目录配合完成对各成员机的命令下达,在组策略中新建一张表,表中是某条规则,然后把该组策略应用到活动目录中的某个部门。建立规则,将规则应用到域账号,要求域内主机仅能用域账号登录。
(4)DNS服务器:负责解析域内各主机的域名与IP。域控制器兼做DNS服务器。只要加入域,DNS就会自动创建及更新区域配置文件。
1.3 活动目录AD
1)活动目录:AD(Active Directory)
2)特点:集中管理、统一管理。
3)概述:放着公司所有公共资源,可建立域账号,域账号可以登录域内所有成员机。AD是DC的核心,是域的核心,因此域也称AD域、活动目录技术。
tips:
(1)通常画一个三角形,代表域。
(2)域有自己的名称,叫做域名(其实是域名后缀)。域中的每台计算机都有自己的主机名,与域名后缀组成FQDN.
(3)凡是有域的环境,公司所有的电脑,都要指向公司的DNS,而不是互联网的DNS.
(4)当用域账号登录成员机,成员机会去找DC,DC再去查看活动目录AD,能对应AD上的域账号和密码,则可以登录。
2 部署域——以win2008为例。
2.1 步骤1:网络设置
(1)开启win2008虚拟机,关闭防火墙(>>点击运行>>控制面板>>系统和安全>>windows防火墙),需要设置磁盘分区(>>右键计算机>>管理>>存储>>磁盘管理)。
tips(win2008相关知识):
①win2008调出桌面图标。开始→搜索→icon→调出。
②win2008中的相关windows组件已经内置到C盘中了,并不是像winxp那样插光盘进行安装。
③win2008中的相关windows组件去哪安装:>>右键计算机>>管理>>角色(服务器)>>添加角色。注意,本实验的AD不在这里安装,这里安装的效果没那么好,微软有AD特别的安装途径
(2)桥接到虚拟交换机上,如VMnet1.参考《IP地址详解及其相关概念》
(3)配置静态IP地址,如10.1.1.1/24。调出网络适配器设置(右键网络选择属性或打开网络和共享中心)→更改适配器设置→右键本地连接→属性→注意不勾选IPv6(否则可能会影响实验),双击进入IPv4。参考《IP地址详解及其相关概念》.本实验可不配网关,由于不需要上网,另外不要指DNS,安装活动目录时才会弹出将DNS指向自己的对话框。
2.2 步骤2:安装活动目录
(1)开始→运行→dcpromo,该命令可安装/卸载活动目录。(卸载需要先将所有域成员剔除回工作组状态,再把自己扁为普通主机)
(2)出现下图提示,说明系统在检测本机是否适合安装活动目录。
(3)合适即弹出安装向导。暂时不适用高级向导,直接点击下一步。
(4)提示系统差异兼容性问题。
(5)DNS相关配置。强烈建议在配置IP的时候不指定DNS服务器,在此处进行设置。
(6)新建域。绝大多数中大型公司只有一个域;特别大的公司总部设有一个父域如xxx.com,另外分公司设有子域xx.xxx.com,构成域树;更大的公司总部有父域xx1.com,后因新业务扩展新父域xx2.com,两个或多个域树构成域林。目前构成林的公司很少,林的命名以这个林中的第一个域来命名。
tips:
①一般公司只有一个域,而分公司与总公司之间通过拉专线,分公司的员工可以通过专线加入总部的域。
②有些特别大型的公司,总公司设置主域,分公司设置子域,构成域树。
(7)设置第一个域的名称。程序会自动检查是否已经有林。
(8)设置林功能级别。根据公司规划限制后续域控制器最低功能,本次实验选择2003。
(9)设置域功能级别。此处设置的是本域的功能级别,域中的其他DC不能低于此版本,子域不受此域功能级别控制,但受林功能级别控制。本次实验设置2003。
(10)其他设置,直接点下一步。
(11)提示无法创建,点是。
(12)文件存储位置,不做修改,直接下一步。
(13)账户与密码,此处为活动目录的登录密码(还原密码),与win2008登录密码没有关系,仅当活动目录出现故障时还原使用。
(14)域设置摘要,检查设置是否满足自己要求。
(15)安装中,安装完毕后需要重启电脑。
2.3 验证活动目录是否安装成功
(1)到此,该计算机已成为DC,原有管理员账号已迁移至活动列表中,自动成为域管理员账户。
(2)登录域。用原来的本地管理员账户密码登录,DC只能用域账户登录,其余成员机可以使用本地账户登录(在组策略允许的情况下),但是不能享受域资源,只有用域账户登录才能享受域资源。
(3)查看是否生成了域环境。右键计算机选择属性,计算机属性显示已成为域成员,但是未能反映是否时DC。建议作为DC的主机先将计算机名修改为DC后,在进行活动目录安装。
(4)查看DNS。开始→管理工具→DNS。当有员工注册成为域成员时,将自动生成解析记录。
(5)查看域管理相关工具。开始→管理工具→Active Directory 用户和计算机。其中以AD用户与计算机最为重要,信息显示如下。
2.4 步骤4:将winXP与win7加入域
(1)将winXP与win7与域设置在同一局域网下,均连接同一个交换机,如VMnet1,并配置固定IP(在同一网段),注意,一定要将DNS指向域控制器的IP地址,此实验为10.1.1.1。
(2)右键计算机属性→计算机名→更改→加入域。
(3)弹出登录窗口。新用户加入域,需要获取DC许可,建议使用域管理员账户登录确定。
win7不需要输入域名,直接输入账户即可。
(4)加入成功,会弹出“欢迎加入xx域”对话框,并点击确定重启计算机,只要重启才生效。
(5)在DC上查看活动目录,点击computers,可以看到新加入的成员机。
(6)DNS区域内容自动更新。
2.5 步骤5:创建普通域用户
(1)进入DC,开始→管理工具→AD用户与计算机→右键user→新建→用户。
(2)设置显示名以及用户名,点下一步后设置密码,完成。
(3)客户机登录,界面跟服务器登录相似,需要按三键登录。对于winxp,点击>>选项,在登录到中可以选择登录域或登录本机;而对于win7,点击切换用户>>新建用户。可以通过组策略禁止登录本机。
2.6 常见小问题
(1)加入域不成功的问题
1)是否位于同一局域网中,能否ping通?主要表现为①是否桥接到同一个交换机;②是否配了同一个网段的IP。
2)解析是否能成功?主要表现为①是否指了DNS;②是否DC上没有出现域(此实验为zz.com)的解析记录(可能是IPV6没有取消勾选,使得域的解析记录没有自动生成)。
3)是否有DNS假缓存?需要清空DNS缓存。
(2)登入域失败的问题
如winxp系统,如果已经勾选了域,账号就不用再写域的前缀,直接写域账号;win是否写了域的前缀,如本实验为"zz.com"。
(3)域用户的权限
在DC中设置的域用户,登入成员机时,仅仅是普通用户,未取得完全控制权限。当公司员工需要以域用户对自己的电脑具有完全控制权时,若将该域用户提升为域管理员是不合适的(太危险了,该员工可以完全控制其他员工的电脑),这时可以将该域用户加入到它自己的计算机的本地管理员组中,以域管理员身份登录成员机,>>右键计算机>>管理>>本地用户和组>>组>>右键administrators>>添加到组>>添加>>填写域用户名>>一直确定。
3 组织单元OU
3.1 概念
组织单位:OU(organization unit),用于归类域资源方便下发组策略(域用户、域计算机、域组,比如将资源按不同部门分类,如IT部的计算机及用户放到IT的OU中,市场部的计算机及用户放到市场部得OU中)。
注意,OU与组类似,均是为了分类,不过组的目的是为了赋权限,而OU的目的是为了下发组策略。
3.2 创建
(1)进入DC,开始→管理工具→AD用户与计算机→右键域名(此实验为zz.com,zz.com可以称为最大的OU)→新建组织单元。
(2)接下来可以在新建的zz公司这个OU下逐层建立组织架构,如下。
(3)当人事变动时,其OU也应相应调整。例如将上述设置的吴明移动到董事会(注意,不能删除,每个用户都有自己的SID,删了再建个吴明,就不是之前的了),在Users中找到李白→右键→所有任务→移动→选择“zz公司”下的董事会。同样将杜明移动到市场部的西北区。回到OU查看详情如下:
(4)同样可以对计算机也进行同样的移动操作,方便后续组策略可以对用户和对计算机分别进行限制和操作。
tips:
(1)对计算机和对用户做限制是两个方向,一个限制的是电脑,一个限制的是用户。例如,要求某一部门所有用户登录电脑时,均显示公司背景,则该要求跟着用户走,在那登陆都显示公司背景;要求某一部门所有电脑登录时,均显示公司背景,则该要求跟着计算机走,无论谁登录都显示公司背景。
(2)建议将某用户及其配套的电脑放到同一个OU中,方便控制和管理。
4 组策略GPO
4.1 概述
(1)GPO(Group Policy)
(2)作用:通过组策略可以修改计算机的各种属性,如开始菜单、桌面背景、网络参数、登录密码复杂性、修改密码最短时间与最长时间等。
(3)重点:组策略在域中,是基于OU来下发的。
(4)组策略有针对计算机与针对用户两种,针对计算机的策略将在开机和关机时执行,针对用户的策略在登录与注销时执行。
4.2 创建组策略
(1)进入DC,开始→管理工具→组策略管理→右键zz公司→在这个域中创建GPO并在此处链接→命名建议与该OU一致。
(2)对每一级别均设置一个组策略。
4.3 组策略下发原理及顺序☆☆☆
4.3.1 正常情况下
(1)一般情况下组策略执行顺序:LSDOU,按这个顺序逐级执行,当有冲突时,最后执行的会覆盖前面执行的,最后执行者生效:
1)L:本地组策略;
2)S:站点;
3)D:域组策略:
4)OU:代表其所属的一系列OU,逐级OU组策略;
(2)示例:
①以吴明为例:
本地桌面未配置;zz公司设置了zz.jpg,而后面一系列策略都未配置;
执行结果:吴明的桌面为zz.jpg。
②以吴明为例,吴明属于董事会:
本地:桌面,未配置;删除运行菜单:未配置
上级OU(zz公司):桌面,zz.jpg;删除运行菜单:启用
下级级OU(董事会):桌面,ceo.jpg;删除运行菜单:未配置
吴明的执行结果:桌面,ceo.jpg;删除运行菜单:启用
4.3.2 上级设置了强制,下级未做特殊设置
(1)上级设置了强制:策略顺序执行至强制,后续OU的组策略不执行。
(2)示例:
上级OU: 桌面墙纸:zz图片; 运行:删除
下级OU: 桌面墙纸:ceo.jpg ;运行:不删除
下级OU的执行结果:桌面墙纸:zz图片; 运行:删除
4.3.3 上级未做特殊设置,下级设置阻止继承
(1)下级设置阻止继承:该级OU前的所有组策略均无效,从该级逐级往下执行:
(2)示例:
上级OU: 桌面墙纸:zz图片; 运行:删除
下级OU: 桌面墙纸:未配置 ;运行:不删除
下级OU的执行结果: 桌面墙纸:未配置 ;运行:不删除
4.3.4 上级设置了强制,下级设置阻止继承
(1)当上级强制与下级阻止继承同时设置时,强制生效,因为后续策略不执行。
(2)示例:
上级OU: 桌面墙纸:zz图片; 运行:删除
下级OU: 桌面墙纸:ceo.jpg ;运行:不删除
下级OU的执行结果:桌面墙纸:zz图片; 运行:删除
4.4 下发组策略
举例讲解以下几种组策略
4.4.1 桌面背景下发
练习:zz公司员工统一用某图片为桌面背景。
公司员工需要用统一的桌面背景,那么首先得有桌面背景图片,且员工都能下载该图片。那么桌面背景图片需要放在DC,且能供员工下载,要么通过共享下载,要么通过FTP下载,一般通过共享下载。共享文件得创建及权限参考《文件共享服务器—创建/访问共享文件及禁用共享服务》。
(1)DC机上设置共享文件夹,方便各个成员机在组策略需要时下载所需要的文件。在DC中→D盘→新建文件夹share→该文件夹应保证所有域用户都能访问→右键该文件夹→属性→共享→设置共享权限。
(2)设置本地NTFS权限,对该文件夹的安全选项,添加domain users组,并确保赋予读取下载的权限。
(3)将zz公司桌面背景图,存于share文件夹下,确保其扩展名是组策略所允许的jpg或bmp的格式。
(4)将所有域用户统一设置桌面背景图片。右键zz公司组策略→依次展开→找到桌面壁纸→双击打开。
(5)点击已启用,在图纸名称栏填写网络地址+文件名+后缀。点击确定。
(6)先注销,再使用域用户登录winxp,查看桌面背景,若不成功,则刷新下或重新注销再登录。桌面背景如下,域组策略执行成功。
(7)假如公司规定董事会成员需要用另外的桌面背景。对董事会组策略另外设置桌面背景,类似操作设置。注意,填写路径时需要填写网络路径,且图片名需要带扩展名。
(8)确保账户吴明是位于董事会组下,重启电脑用吴明的账户登录,查看桌面变化。该策略与zz公司组策略冲突,会覆盖zz公司策略,而执行董事会这个组策略。
(9)假如公司改了规定,接下来一个月,公司所有成员的桌面背景均为zz.jpg。有两种方法,一种是将董事会组策略下的桌面墙纸那个策略改为未配置,第二种是将zz公司组策略设置强制执行,设置后组策略执行到此就截止了,不受后续策略的影响。右键zz公司组策略→勾选强制。注意,此处对准组策略右键。
(10)阻止继承的设置。右键董事会OU→阻止继承,该级OU前的所有组策略均无效,从该级逐级往下执行。注意,上一步的zz公司组策略的强制需要取消,否则这里不会生效;另外,此处对准OU右键。
4.3.2 禁用运行窗口
从“开始”菜单中删除“运行”菜单,启用就删除,禁用就不删除,未配置就保持其他配置。当该项策略启用后,用户无法通过win+r启用运行窗口。
4.3.3 执行脚本配置,使用户注销时自动清空D盘垃圾文件
(1)再DC上新建一个文件名为clear的文件,修改后缀名为bat,输入以下代码。
d:
cd\
cd tmp #进入垃圾文件夹
rd ./s/q #删除
1
2
3
4
(2)在客户机D盘下先新建一个tmp文件夹,并生成一堆垃圾文件。
(3)找到用户策略,双击注销。
(4)>>添加>>浏览,将刚刚写好的批处理文件黏贴到默认路径下,选中该文件,并·依次确定。
4.3.4 用户开机后不显示按ctrl+alt+del进入命令,直接显示账户密码
(1)理解该功能的实现是针对计算机还是用户,由于是计算机开机时生效的,因此是针对计算机的。
(2)依次展开→找到该策略并双击→启用。
4.3.5 密码策略
(1)依次展开→找到该策略→启用。
(2)复杂性原则:要求满足3/4原则,及大小写、特殊符号、数字,需要有其中至少三种。
(3)最短使用期限:限制不能频繁修改密码。
(4) 最长使用期限:要求定期改密码,默认是42天。
(5)强制密码历史:不能重复使用历史上最近几种密码。
练习:
4.3.6 账户锁定策略
(1)依次展开→找到该策略→启用。
(2)账户锁定阈值:防止暴力破解,当错误输入密码的次数达到设定的次数后锁定,之后即使输入正确的密码也进不去。需要等待一段时间或找域管理员在活动目录中找到该用户→右键→属性→解锁。
(3)账户锁定时间:当账户锁定时需要等待的时间,过了这段时间后输入正确的密码才有效。
(4)重置账户锁定计数器:设定时间,从开始输错密码后开始计时,达到设定时间后输错密码次数重置为0,可重新输密码。设置时间要等于或小于账户锁定时间。一般设置等于账户锁定时间。
4.4 查看配置了哪些组策略
参考文献
[1] 第15节 域
————————————————
版权声明:本文为CSDN博主「像风一样9」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/m0_64378913/article/details/122075450