7 部署活动目录域

一、创建域环境

1、域: 逻辑组织起来,集中管理。

2、域控制器(DC):控制整个域的用户账户和安全数据库。

3、活动目录(active directory):AD

   特点:

       集中管理

       便捷的网络资源访问

       可扩展性

 

4、域和AD概念

  

域树:具有连续的域名空间的多个域

   林:林由一个或多个域树组成

 

5DC条件(6点)

 

6、安装AD             运行输入:dcpromo

   升级、删除AD       运行输入:dcpromo

 

7、域功能级别

                                                         

8、将客户机加入域

       1)设置客户机的IP、子网掩码、DNS

       2)通过域账户加入域

 

9DNS服务作用

        1、域名采用DNS标准

        2、定位DCSRV记录,即服务资源定位记录,作用将服务解析成域名)

 

一、域资源管理 

通过“AD用户和计算机” 工具创建和管理用户、组、OU     dsa.msc

1、域用户账户 

存储在AD数据库

注意:

       显示名 OU中唯一

       登录名 在域中唯一(最长20字符)

   

用户属性:

登录时间:限制用户登录域的时间。

登录到:限制用户登录到域的计算机。

 

2、组

1)组的类型:

       安全组: 赋权限;电子邮件通讯

       通讯组:电子邮件通讯

 

2)组的作用域范围

       本地域组

范围:本域

成员: 所有域的用户、全局组、通用组;本域的本地域组      

       全局组

范围:整个林及信任域

成员: 本域的用户、全局组   

       通用组

范围:整个林及信任域

成员:所有域的用户、全局组、通用组

 

3、组织单位(OU

       概念

容器:有效地组织活动目录对象

委派控制

组策略

       设计方式

基于部门的OU

基于地理位置的OU

基于对象类型的OU

OU的设计也可以是混合的

       OU的委派管理

作用:减轻管理员的工作负担。让某用户或组管理适当的任务

OU委派功能的删除

 

思考题:  怎样让一个普通域用户能够只对自己的电脑有完全控制的权利?

 

8 组策略应用

一、组策略

1、作用:

    1)方便地管理AD中的计算机和用户

    2)灵活、降低用户和计算机环境设置的总费用、推行安全的计算机规范。

   打开方式gpedit.mscmmc适用于XP/2000/2003/2008系统)

 

2、结构:

      1)组策略的具体设置数据保存在GPO(组策略对象)中 (默认域策略、默认域控制器策略)

            GPO控制SDOU中用户和计算机

      2)站点

           一个站点中可以有多个域 ;一个域中可以有多个站点

          作用: 优化复制;使用户可靠、高速连接到DC

      3GPC(组策略容器GPT(组策略模版)

 

3、内容:

     计算机配置和用户配置

 

二、组策略应用规则

1、继承与阻止继承

2、累加(一个容器中有多个GPO冲突,最上面的一个后应用,优先级高)

3、应用顺序LSDOU(活动目录容器)

4、强制生效(上下冲突、下级阻止继承)

5、筛选

 

AD中的逻辑组织:林、域树、域、OU

AD中的物理组织:DC、站点

 

三、软件设置

分发软件、修复软件、删除软件、升级软件

1、分发软件步骤:

   1)获取windows安装程序包(.msi)格式

   2)将安装程序放入新创建共享文件夹中(给足2个权限)

   3)创建或修改GPO

 

2、指派与发布的区别

   分配:分配给计算机或用户

   发布:只能发布给用户。

分配比发布更具强制性