数据来源
下面会涉及一些IP地址和DNS服务器的一些基础知识不熟悉的可以先看这篇文章:IP地址解读
DNS布署与安全
一、内网环境
1)工作组:默认模式,人人平等,不不便捷管理(我和你的笔记本是属于平等的,我很难直接控制的你笔记本,除非你容许)
2)域:人人不平等,集中管理,统一管理(方便企业统一管理笔记本)
二、域的特征
集中/统一管理
三、域的组成
1)域控制器:DC(Domain Controller)
2)成员机
四、域的布署的前提
1)安装域控制器 -- 就生成了域环境
2)安装了活动目录 -- 就生成了域控制器
3)活动目录:AD(Active Directory)
五、活动目录
1)AD
2)特点:集中管理/统一管理(域的特征就来源于活动目录的特征)
六、部署安装活动目录(win2008为例) 安装步骤:
1)开启2008虚拟机,并桥接到vmnet2
2)配置静态IP地址,例如: 10.1.1.1/24
DNS 安装了活动目录会手动配置
3)开始 -- 运行 -- 输入命令:dcpromo # 安装或卸载活动目录
如果刚刚配IP时指定了DNS,那下边的这个安装DNS向导就不会出现
林:多个域组成树,多个树组成林,想详尽研究的查百度
输入第一个域名称,根级域 -- 下一步
等待
设置林功能级别,设置后之后的值域不能高于这个级别,比如设置2003的之后的子域不能高于2003可以高与使用2008之类的都没问题,级别越高功能越建立,这我选的2003,一般公司用不上子域。
域功能级别,跟林的一样看个人须要进行选择,我这选2008
选择是
设置活动目录的还原密码,如果之后域出现错误出现问题,就可以通过这密码对域进行还原操作
检查一下要创建的域相关信息有无问题,没有下一步
4)等待安装完成 ,勾上完成重新启动
没勾自动重启也行
检查是否安装成功: 1)登录
重启以后笔记本就是DC了,工作组就弄成了域,以前的本地管理员帐户就被迁移到活动目录那张表里去了,登录密码还是原先的
更改计算机全名,方便记忆
2)查看DNS有没有安装成功
3)检查活动目录 -- 用户和计算机 (最重要的活动目录数据库)
介绍下域下边比较从要的目录:Computers (里面储存普通域成员机列表)Domain Contrellers(里面储存域控制器,DC列表)Users(域组,里面储存域帐号)
域用户组的一些主要组
七、PC加入域 步骤: 1)把同一局域网下的其他计算机加入到win2008的域上面来
配置IP并联接同一个网路,因为我这儿的win2008虚拟是桥接到vmnet2,并且IP地址是10.1.1.1 /24,所以我这儿其他的计算机也要进行一些配置,让她们和2008虚拟机处于同一作用域下。
注意:如果公司有DNS服务器那一定要设置DNS转发器,让职工能正常上网
2)把winXP客户机加入win2008的域中
输入域管理员帐号(就是登陆2008这台域计算机的用户名和密码)
加入域成功会有提示 ,并按提示重启计算机
配置完成以后就可以会到2008的域计算机内查看域成员,我把两台虚拟机加入了域,windowsXP和windows7。
3)测试一下,在客户机使用域帐号登入
首先:创建普通域用户帐号
检查一下没问题就点完成
然后:随便找一台加入了域的虚拟机进行登陆
八、把普通的域帐号设置为某一个成员机的本地管理员
因为经过前面的步骤所创建的域帐号,虽然可以在所有加入域的成员机中登陆,但是该帐号只是普通用户,很多有关系统的操作该帐号都难以操作,但是我们又不能把该帐号提高为域的管理员,所以把该域帐号设置为某台固定成员机的本地管理员,专门给某个职工使用。
实现步骤: 1)使用域的管理员帐号,登录须要设置的成员机(域管理员帐号可以登陆所有域下的成员机,并拥有最高的管理员权限)
2)打开计算机管理 (如果桌面有我的笔记本之类的图标,可以直接右键--管理)
3)选择用户和组 -- 组 -- 管理员组(Administrator)-- 添加 -- 在域中查找须要设置为本地管理员的域帐号 -- 确定保存更改
测试一下:
注销,登录刚刚设置的域成员帐号,尝试是否可以在用户的家目录创建文件,和打开计算机管理,如果是普通用户是做不到的。
九、常见的小问题 1)加入域不成功
检查网路是否连通,命令:ping 目标IP地址
解析是否能成功解析
是为DNS缓存问题
2)登录域不成功
如XP,已勾选登入域,就不用写 域名\域帐号,直接 域帐号
3)域用户的权限
建议将域用户加入到普通成员机的本地管理员组中,千万不要加入域管理员组,不然他能够管理你公司所有笔记本
******本地管理员组:Administrator
******域管理员组:Domain Admins
十、OU:组织单位
作用:用于归类域资源(域用户、域计算机、域组)
使用事例: 1)打开活动目录 -- 用户和计算机
2)域 -- 新建-- 组织单位-- 起个组织名称
3)继续在刚刚创建好的张三集团创建组织单位,进行细分-- 新建-- 组织单位-- 起个组织名称 (分别创建:董事会、市场部、IT部,然后在市场部下边再细分:西北区和东北区)
4)现在就可以把域用户加入到对应的组织构架上面了,比如:把张三加入到董事会 ,李四能力很强发配到东北发展
5)如果之后的组策略不想对用户进行限制,而是对他用的笔记本作限制,那可以把对应的笔记本移到对应的组织内
十一、GPO:组策略(Group Policy)
1)作用:通过组策略可以更改计算机的各类属性,如开始菜单、桌面背景、网络参数等。
2)重点:组策略在域中,是基于OU来下发的!
组策略(GPO)使用 新建组策略: 1)打开组策略管理
2)新建组策略
下发组策略
1)给组织单位张三集团个所有组织单位下发一个桌面的组策略
创建一个文件夹,共享给域成员机下载
选择共享文件夹,并设置权限
把权限都全选上 -- 添加用户:Domain Users (域的所有用户)
外面文件属性这儿,也加上 Domain Users (域的所有用户) ,之后关掉就行
回到设置组策略页面,输入图片的网路路径,确定
测试一下
去到域的成员机先注销在登陆,虚拟就反应比较慢,右键 -- 属性 -- 桌面能看到之前上传的图片即使是成功了,真实机会比较快
查看自己已启用的策略
强制(强制组策略)
比如上级OU和下级OU分别设置了严禁开始 -- 运行和不严禁开始运行,正常来说是后设置的生效,最后的不严禁生效,但是有个需求是上这个OU及其下边的所有OU都受上级OU的策略影响不能覆盖,这里可以给这个上级OU设置强制
·
阻止承继(阻止承继组策略)
给ou设置制止承继后,那该ou组织就不会遭到其他ou组织的组策略影响,能影响该ou组织的只有他自己的组策略(如果强制和制止冲突了强制优先)
组策略在域中下发后,用户的应用次序是:LSDOU
例子:
上级OU: 桌面:aa.png 运行:删除
下级OU: 桌面:未配置 运行:不删掉
下级OU用户结果:桌面:aa.png 运行:不删掉
注意:当上级强制和下级制止承继同时设置,强制生效hang!
还是里面的事例,如果给上级OU设置强制,那么下级OU用户结果:
桌面:aa.png 运行:删除行:不删掉 (完全承袭上级OU的设置)
2)给用户下发组策略(发一个脚本过去)
如果对批处理基本命令不熟悉的:批处理编撰
写个简单的脚本用于实验(如果域的成员机不是XP,改一下第一行的文件生成路径),比如:win7、2008的启动文件夹目录:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
echo @echo off >> "%userprofile%\「开始」菜单\程序\启动\张三.bat"
echo color 0a >> "%userprofile%\「开始」菜单\程序\启动\张三.bat"
echo echo 姓名:张三 >> "%userprofile%\「开始」菜单\程序\启动\张三.bat"
echo echo 年龄:18>> "%userprofile%\「开始」菜单\程序\启动\张三.bat"
echo echo 爱好:小黑子,开庭别哭!!! >> "%userprofile%\「开始」菜单\程序\启动\张三.bat"
echo pause >> "%userprofile%\「开始」菜单\程序\启动\张三.bat"
如果你的不是一个脚本文件,而是命令,那就填写脚本参数
回到组织策略管理,刷新,检查一下
检查没问题,去域的成员机注销用户测试一下,会发觉启动文件夹下就手动生成了:张三.bat 并且会手动启动
3)给域下的成员机下发组策略(无需按 Ctrl + Alt + Del 就能登入)
要测试的话,重启成员机的笔记本,虚拟机反应慢没成功就多重启几次,我的是第二次重启才成功
4)给域下的成员机下发一些有关安全的组策略(如:密码和帐户相关的限制等)
