[网络安全] 域

一、域定义

1.域(Domain)

由一台DC组成，域中主机名为域名，每台主机都有一个域名，必须有一台DNS服务器，去解析域名，域控制器也是DNS服务器，会自动在DNS服务器中创建记录，DC上有一张表活动目录，AD，存放在公共资源，在活动目录中创建的账户是域账户，域的核心是活动目录AD,加入域后,必须使用域账号

1)工作组: 默认模式 ,人人平等，不方管理

2)域: 为了方便统一(集中)管理,人人不平等

3.域的特点：

集中/统一管理

4.域的组成

1）域控制器：(DC Domain Controller)

2)成员机

5.域的部署：

1)安装域控制器, 就生成了域环境

2)安装了活动目录, 就生成了域控制器

3)活动目录: Active Directory =AD

二、活动目录

就比如一个数据库,里面存储了域用户信息

1)特点: 集中管理/统一管理

三、组策略(GPO)

四、部署安装活动目录

1).开启 2008虚拟机,并桥接到vmnet2

2) 配置静态IP,如(10.1.1.1/24)

(右击”网络”,点击”属性”,右击”本地连接”,点击”属性”,配置静态IP,不设置”默认网关”)

3)重新设置

3).安装活动目录

(开始–运行—-输入dcpromo(安装/卸载活动目录),全程点击”下一步”)

1.当遇到”域服务安装向导”时,勾选”通过在此计算机………”

2.遇到 “选择林配置”时,选择”在新林中新建域”

3.输入林的名称(第一个域的名称),

4.设置林功能级别,勾选”2003或2008″即可.

在林中,以后出现多台域控制器时,那些域控制器的操作系统版本不能低于所选择的版本

5.设置域功能级别,勾选”2003或2008″

在树中,子域不能高于所设置的版本级别

6.点击下一步

7.出现报错”无法….”,点击”是”

8.选择路径,不修改,点击下一步

9.设置活动目录还原密码,当需要还原时,输入的账户,不太重要随意输入.

10)当出现报错时,依然点击”是”(正常现象).

五、登录域

当设置好活动目录,重新登录时,之前的本地管理员升级为域管理员,计算机将变成DC,不再显示工作组,而是域。

（右击计算机，“属性”，查看计算机为“xxxx.域名“）

（也可查看，计算机已经自动安装DNS服务器，并添加了本机正向查找记录)

(查看活动目录(AD),开始—管理工具—查看”ACtive…..用户和计算机”)

六、加入域

xp添加进域环境

1).将IP配置于,同一网络(10.1.1.2), 不配置默认网关, 设置DNS服务器为 上面所设置的”10.1.1.1″

2)”我的电脑”,右击属性, 选择”计算机”

3).点击右下角”更改”,输入域名

4).输入域账户 ,用户名格式: 域名\用户名 如:

qq.com\administrator

5).将会弹出,”欢迎加入xx域”,即为加入成功,重启.

6)添加进域后,PC将需要通过 ctrl+alt+del 开始(加入域后的标志)

七、查看域

1. computers 为 域中的计算机
2. Domain Controllers 为 DC用户
3. users 为 域用户

1.添加域用户

1）.右击—users—新建—-用户—填写用户(英文) (普通域用户)

八、常见小问题

1.加入域不成功

1.没有桥接同一网络

2.IP地址不在同一网段

3.配置DNS记录,DNS缓存

2.登录域不成功

1.用户名错误(当登录时,下方显示为域名称时,就直接写用户名即可,不用写域名\….)

3.域用户权限

1.普通用户对域计算机没有 所有权限

2.一个用户需要在本地计算机为 所有权限 , 在域中为 普通权限

在本地administrators组中,加入 域用户

在域中,加入 users组

九、OU:组织单位

作用: 用于归类域资源(域用户,域计算机,域组),公司中可以分部门.

与组区别:

组:为了赋权限OU: 为了下发组策略

创建OU:

1.对着域,右击”新建”—-“组织单位”

2.输入组织名称

3.就像文件夹,可以在旗下继续创建OU

OU图表

添加入 OU:

1. 用户右击—所有任务—-移动—–选择OU.

2. 用户加入OU后会有2个图标

一个计算机: 对计算机所做限制,换了计算机不生效

一个用户: 对用户做限制,使用人 换了计算机操作也生效

十、组策略: Group Policy =GPO

作用:通过组策略可以修改计算机的各种属性,如开始菜单,桌面背景,网络参数等.

组策略在域中,是基于OU下发

组策略在域中下发后,用户的应用顺序是:

L(本地)-S(站点)-D(域)-OU(OU)

冲突时,应用最后一个生效

1.比如:域中下发了 更改壁纸,—首先先看本地,没有限制—看域更改壁纸11.jpg—OU没有限制

最终 :修改壁纸11.jpg

2.

上级OU:3位密码禁止运行按钮1背景

中级OU:0位密码运行按钮2背景

下级OU: 未配置禁止运行按钮未配置

所得结果: 0位密码禁止运行按钮 2背景(由上 到下)

下级OU阻止继承设置 :未配置禁止运行按钮未配置

上级OU强制: 3位密码禁止运行按钮1背景

中级OU 阻止继承 下级OU : 0位密码禁止运行按钮 2背景

(下级OU属于中级OU,中级阻止继承了,下级OU将继承中级OU的配置)

十一、配置组策略

1.开始—管理工具–组策略管理

2.右击–OU—-“在这个域中创建OU…”

3.填写名称

组策略图标(下面那个)

实操:OU中,桌面为 一张固定的图片

右击GPO —-编辑

选择用户—策略—桌面–Active Desktop —桌面墙纸

勾选”已启用”-在墙纸名称中,输入 地址: \\ IP或主机名\文件

`

(当身为网络管理员时,应创建一个共享文件夹,在共享文件夹中,需要添加域中的用户组)

(组策略右击) 上级OU设置 强制：上级对下级强制执行策略，

(OU文件夹右击) 下级OU设置 阻止继承: 只看自己的OU配置,不看上级所有的OU,不受影响

同时设置时,强制大于阻止继承