1、了解活动目录的相关概念
2、会在Windows服务器上部署域控制器(主/辅),将客户机加入域
3、会在域控制器上设置组策略,从而去影响域中的用户和客户机
4、扩展
(1)如果将一台Windows 2003的域提升为Windows2008的域。
涉及一问题:操作主机的概念
(2)如何对域控制器进行备份,系统状态备份

在早期的时候,所有的计算机都是独立的个体(每台计算机都有自己的用户或组))想要统一管理,在企业中,部署活动目录服务器,从而对企业中的所有用户及计算机进行集中

目录

  • 一、活动目录(AD)
    • 1、概述
    • 2、功能
    • 3、其他概念
  • 二、域的结构
    • 1、物理结构
    • 2、逻辑结构
  • 三、对象管理
    • 1、用户
    • 2、组
    • 3、组织单位(OU)
  • 四、组策略应用
    • 1、策略只能够应用到对应的容器中
    • 2、策略应用
    • 3、组策略规则
  • 五、部署Windows域

一、活动目录(AD)

1、概述

  • 面向Windows服务器中的目录服务(Windows web server)

2、功能

  • 服务器及客户端计算机管理
  • 用户服务
  • 资源管理:打印机、文件共享等等
  • 桌面配置:集中配置统一桌面或者对桌面配置策略(域策略)(gpedit.msc打开本地组策略管理器)
  • 应用系统支撑:财务、OA,办公自动化

3、其他概念

  • AD:是Windows中—种服务
    AD也是一个目录数据库
  • 域:活动目录的—种体现的形式,主要是由域控制器和成员计算机组成
  • 域控制器:一台部署了活动目录服务的服务器
  • 域名空间:定位了网络资源位置
  • 域中的客户机称之为对象,每一个对象都有对应的属性
    (1)对象:表示了具体的事务
    (2)属性:用于描述对象的数据
  • 容器:用于存放对象的空间
  • 域的组策略

二、域的结构

1、物理结构

  • 站点:可以将高速连接的网络中多台域控制放入一个站点(一个站点中至少有一台全局编录服务器)
  • 域控制器

2、逻辑结构

  • 单域:在网络中只建立了一个域
  • 域树:具有连续域名空间的多个域
  • 域林:由一个或多个没有形成连续域名空的的域树组成

三、对象管理

1、用户

2、组

  • 组的作用域
    (1)本地域组:针对本地域,使用范围是本域
    (2)全局组:管理日常维护的目录对象(使用范围整个林及信任域)
    (3)通用组:身份信息记录在全局编录中,查询速度快(使用范围整个林及信任域)

  • 组的类型
    (1)安全组:用来设置访问权限。
    (2)通讯组:用于电子邮件通信

3、组织单位(OU)

  • OU是AD中的容器(容器是用来存放用户或计算机的(对象))
  • 创建:部门、地理位置、对象类型
  • 针对用户实施策略时使用

四、组策略应用

1、策略只能够应用到对应的容器中

2、策略应用

  • 整个域
  • 组织单位(OU)
  • 站点
    域中的组策略称为GPO (group policy object):组策略对象

3、组策略规则

  • 策略的继承与阻止
    (1)下级容器默认会继承来自上级容器的GPO。
    (2)子容器可以阻止继承上级容器的GPO
  • 策略的强制生效和筛选
    (1)强制生效
    强制生效会覆盖阻止继承设置。
    (2)筛选
    可以针对单个特定的计算机或用户配置GPO权限(直接将权限设置为拒绝)

策略优先级问题
本地组策略 L
域策略 D
站点策略 S
OU策略 OU
LSDOU策略的应用顺序:当发生策略冲突时,OU的GPO优先级最高

五、部署Windows域

更新策略:
gpupdate /force

1、准备
打开Windows server 2016之后,配置IP

之后虚拟机配置为主机模式。

最后重新启动
2、开始安装
打开服务器管理器,添加角色和功能向导,一步步安装


在“我的电脑”->“属性”->“高级系统设置”->“计算机名”->”更改”发现计算机隶属于工作组。通过这个可以得出他是一台独立的电脑

3、域服务配置
在服务器管理器中进行配置。
将此此服务器升级为域服务器:


因为无域无林,所以我们选择“添加新林”

在功能级别中,高级别的版本可以兼容低级别的级别,但是低级别的不能兼容高级别的版本。所以一个林的级别是由低级别来决定的




只要无红色的报错,就可以直接安装。橙色的报错,不用管

等待安装完成之后,会自动重启。
4、观察变化

被强制要求更改密码,还不能和原来的密码一样




5、将Windows 10添加入对应的域
(1)新建一个张三用户


注意取消勾选用户下次登录时须更改密码


(2)
Windows 10设置为VMnet1仅主机模式

再来设置IP,将dns服务器设置为域的服务器地址

重启来更新配置。
检查解析zinxin.com

没有问题,那我们就开始添加入对应的域当中
在“我的电脑”->“属性”->“高级系统设置”->“计算机名”->“更改”

能解析出来对应的域的话,就跳出来输入密码页面。注意密码是Windows server 2016的被强制修改后的登录密码。


再次需要重启

之后用其他用户登录zhangsan用户,注意密码是当初新建zhangsan用户时的密码


切换回本地administrator用户,不用输密码。虽然说原本就没有设置密码

管理员用户中,还是有zhangsan这个文件夹,是因为是管理员用户的远古