前言关于AD域管理及其权限划分概论: 1. AD域源于微软,适用于windows,为企业集中化管理和信息安全提供强力保障。 2. 提供域中文件夹共享,但同时又对不同用户有不用的权限。 3.通过对设备限制USB接口,网络访问特定网站来实现对企业内部信息的保护和防止流失。 4.个人文件夹可以重定向到服务器文件夹上,实现真正的在同一个域中使用者数据不受固定PC限制既数据跟随用走。 5.用户的权限不需要定制,只需要加入若干个带有不同权限属性的固定组就可以获得相应的权限功能。 我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台Windows服务器,然后将其升级为域控制器。然后创建第二台域控制器,一台成员服务器与一台加入域的Win8计算机。 环境网络192.168.100.1 子网掩码 255.255.255.0 网关192.168.100.2 域名 DC1 192.168.100.11/24 DC2 192.168.100.12/24 Server 192.168.100.13/24 PC1 192.168.100.14/24 创建域的必备条件
注:AD需要一个SYSVOL文件夹来存储域共享文件(例如域组策略有关的文件),该文件夹必须位于NTFS磁盘,系统默认创建在系统盘,为了性能建议按照到其他分区。 创建网络中的第一台域控制器修改机器名和ip先修改ip地址,并且将dns指向自己,并且修改计算机名为DC1,升级成域控后,机器名称会自动变成dc1. 安装域功能选择服务器 选择域服务 提升为域控制器添加新林 此林根域名不要与对外服务器的DNS名称相同,如对外服务的DNS URL为http://www.,则内部的林根域名就不能是,否则未来可能会有兼容问题。
检查DNS服务器内的记录是否完备域控会将自己扮演的角色注册到DNS服务器内,以便让其他计算机能够通过DNS服务器来找到域控。因此先检查DNS服务器内是否已经存在这些记录。需要用域管理员账户来登陆contoso\administrator. 检查主机记录选择管理工具-dns 默认会有一个的区域,主机记录表示域控dc.已经正确的将其主机名与IP地址注册到DNS服务器内。 如果域控制器已经正确的将家里注册到dns服务器,应该还会有_tcp _udp等文件夹。单击_tcp文件夹后可以看到数据类型为服务位置(SRV)的_ldap记录,表示dc1.已经正确的注册为域控制器。还能看到_gc记录全局编录也是由dc1.所扮演。 排除注册失败的问题如果域成员本身的设置或者网络问题,会造成无法将数据注册到DNS服务器。 如果有成员计算机的主机与ip美元正确注册到DNS服务器,可以到此机器上运行ipconfig /registerdns来手动注册。完成后,到DNS服务器检查是否已有正确记录,例如server1.,ip地址192.168.100.13则坚持区域是否有对应的a记录和ip。 如果发现域控制器没有将其扮演的角色注册到dns服务器,也就是没有_tcp文件夹与记录,到服务器中重启netlogon服务 创建更多的域控制器如果一个域内有多个域控制器,可以有如下好处.
我们将dc2.升级为域控制器 首先改名,改ip 后面都和前面一样安装功能 这里不同,将域控添加到现有域,输入域名,并且输入现有权限添加域控的账户contoso\administrator的密码。 只有Enterprise Admins和Domain Admins内的用户有权限创建其他域控制器。 选择从其他域控复制 安装完成后机器会重启,然后在检查DNS记录。 修改dns指向修改dc1和dc2的dns互相将各自的首选dns指向对方域控 将windows计算机加入或脱离域Windows加入域后,就可以访问ad数据库和其他域资源。可以被加域的计算机: Windows server 2012(R2) Windows server 2008(R2) Windows server 2003(R2) Windows 8 Windows 7 Windows vista Windows xp 将windows计算机加入域我们要将server.机器加入域。 先将机器改名改ip。 输入域名和域账户密码 如果报错,请检查dns是否指向域控。 完成后我们可以使用域账户登录此台服务器 计算机名后已自动加上域名 脱离域只要输入工作组并点击确定 成员计算机内的ad管理工具我们有时管理员管理不过来是可以将开账户的权限委派改其他各个部门的行政,委派给他们后,他们当然是不能登陆域控的,这时就要在他们的计算机上安装ad管理工具 Windows server 2012添加功能中,添加远程服务器管理工具 Windows8 和Windows7都去官网下载Remote Server Administration Tools for Windows8/7 创建组织单位与域用户账户可以将用户账户创建到任何一个容器或组织单位(OU)内。先创建业务部的OU.然后再创建用户。 创建组织单位点击 Active Directory管理中心 输入名称 创建用户业务部-新建用户
使用新账户登录域我们使用2种方法来登录域 利用新用户账户登录域控除了域Administrators等少数组内的成员外,其他一般域账户默认无法登陆到域控上,除非另外开放。 赋予用户在域控登录权限一般用户必须在域控上拥有允许本地登录的权限,才能在域控上登录。此权限可以用过组策略来开放。 系统管理工具-组策略管理 计算机配置-策略-windows设置-安全设置-本地策略-用户权限分配-允许本地登录,然后将用户或组加入到列表内 组策略配置完成需要应用到域控才有效,应用方法有三种:
多台域控制器的情况如果域内有多台域控制器,则设置的安全设置值,先被存储到PDC操作主机角色的域控制器内,默认由第一台域控制器扮演。 Active Directory用户和计算机-选择右键操作主机 需要等待设置值从PDC操作主机复制到其他域控制器后,他们才会应用这些设置值。什么时候应用分两种情况:
如果是组策略设置,则他先辈存储在PDC操作主机内,但如果Active Directory用户账户或其他对象有改动,则这些改动会先被存储在所连接的域控制器,同时系统默认会在15秒后自动将此改动数据复制到其他域控制器。 如果要查询目前连接的域控制器,可以如下图在Active Directory管理中心控制台中将鼠标指针对着图中的contoso,他就会显示所连接的域控制器。如果要更改连接其他控制器,单击更改域控制器。 域用户个人数据的设置每个域用户账户内部都有一些相关的属性数据,例如地址 电话等,域用户可以通过这些属性来查找Active Directory内的用户,因此这些数据越完整越好。 限制登录时间与登录计算机我们可以限制用户的登录时间已经能用使用某些计算机来登录域。 如下图只能允许用户在正常上班时间内登录电脑 默认用户可以登录所有非域控制器的成员计算机,不过可以限制他们只能利用某些特定计算机来登录域。如下图限制只能登录server计算机。 Active Directory轻型目录服务为了让支持目录访问的应用程序,可以在没有域的环境内享有目录服务的好处,Windows Server 2012内提供了Active Directory轻型目录服务 AD LDS,它可以让你在计算机内创建多个目录服务器的环境,每个环节被称为一个AD LDS实例,每个实例拥有独立的目录设置,架构,数据库。 Active Directory回收站在旧版的操作系统中,如果系统管理员误将ad对象删除,就需要进入目录服务还原模式。还原麻烦,并且在还原好重启时,域无法提供服务。 虽然windows server 2008 R2新增了ad回收站,让系统管理员不需要进入目录服务还原模式,就可以救回被删除的对象,但是却不是很好用,例如需要通过复杂的命令与步骤。 Windows server 2012 的ad回收站又有了进一步的改良,他提供容易使用的图像界面管理工具。 要启用ad回收站,林与域功能级别必须是Windows Server 2008 R2(含)以上的级别。注意,一旦启用回收站,就无法在禁用,因此域与林功能基本也无法在被降级。 启用Active Directory回收站打开Active Directory管理中心,单击左侧的域名contoso,单击右侧的启用回收站 报错了 因为域内有多个域控制器,需要等设置值被复制到所有的域控制器后,ad回收站功能才会完全正常。(我做实验,节约性能还有一台辅助域控没有打开) 开启辅助域控并复制设置值后再次开启回收站。 删除组织单位试着将业务部删除,但是先将防止删除的选项删除 取消勾选防止意外删除。 接着删除业务部 还原组织单位接下来,要通过回收站来救回组织单位,双击deleted objects。 选择要救回的组织单位,单击还原 删除域控制器与域可以通过降级的方式来删除域控制器,也就是将Actice Directory从域控制器删除。在降级前先注意以下事项: 如果域内还有其他域控制器存在,则它会被降级为该域的成员服务器。 如果这台域控制器是此域内的最后一台域控制器,域内也没有其他的域控制器存在了,因此域将被删除,而域控制器也将会被降级为独立的服务器。 注:建议先将成员服务器server.脱离域,因为在域删除后,这台服务器的账户就无法登陆域了(域删除后,也可以再将成员服务器脱离域)。 必须是Enterprise Admins组的成员,才能有权限删除域内的最后一台域控制器。如果此域之下还有子域,请先删除子域。
删除域控制器步骤:取消勾选 先降级 选择拥有权限的账户 如因为故障无法删除此域控制器(如,在删除时,需要能够连接企图域控制器,但是一直无法连接)此时可以勾选强制删除此域控制器。 属于降级后的本地administrator密码 降级后服务器会重启,并重新登陆 虽然这台服务器已经不再是域控了,不过此时域服务组件依然存在还是要继续去删除。 删除最后一台域控当域中已经没有其他域控制器时,最后一台删除时会多此选项。 删除dns区域和应用程序分区 完成后将管理工具删除 转载博客园大神:王哥哥哥哥 |
|