域,Domain。
计算机域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可。
1.一台计算机在内网环境中有两种工作模式:
- 工作组:默认模式,人人平等,但不利于统一管理
- 域:不平等,方便统一集中管理。通常用于大型网络--公司、学校等。
实际上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
2.域的组成:
- 域控制器 Domain Controller,DC
- 成员机
域有域的名字,叫域名,例如qf.com,域中某台电脑域名叫做xx.qf.com。那有域名就得有解析,那么就需要有DNS服务器,里面创建一个区域配置文件,在域中,DC同时也是DNS服务器,在计算机加入域时,DC自动会在区域配置文件添加域名和ip映射。
DC中有一张表,叫做活动目录Active Directory,保存公共资源,例如域账号(不是本地帐号,登录计算机时使用域账号,可以在域中任意一台计算机上登录)、组策略GPO。
3.域的部署
- 在服务器上安装活动目录
- 开始-运行-输入dcpromo
- 接下来,没有安装DNS服务插件需要先安装DNS插件,因为DC也是一台DNS服务器
重启后可以看到工作状态
右键计算机属性-所属域
DNS服务器中自动创建新域的区域文件,同时自动注册DC的域名解析记录
普通用户加入域
1.配置IP,将DNS指向DC
2.右键我的电脑-属性-计算机名-更改-输入将要加入的域
3.重新启动加入域,使用域用户登录成员机。
3.OU:组织单位
作用:用于归类域资源(域用户、域计算机、域组)
和用户组的作用类似,但用户组的目的是为了方便控制权限,而组的目的是为了方便下发组策略。
新建OU
4.组策略GPO
作用:通过组策略可以修改计算机的各种属性,如开始菜单、远程背景、网络参数等。
组策略在域中,是基于OU来下发的
组策略在域中下发后,用户的应用顺序是:LSDOU(local本地、site站点、Domain域|总组策略、OU组策略),从前往后检测,最后应用的生效。
下发组策略:
除了修改桌面,常用的还有
- 给域成员下发批处理命令组策略,当注销清楚本地缓存等等。
- 安全设置->账户策略->密码策略->密码复杂度要求、长度、最短最长使用期限
- 账户锁定时间、锁定阈值(3词无效后锁定30分钟)
5.强制和阻止继承
- 上级组策略启用强制的意思是,组策略到此结束,不再看下面的组策略了。
- 对文件夹右键阻止继承,意思是不看上面的组策略,只看自己的组策略
二者同时启动,强制>阻止继承。
如果给某人分配域账号,并且让他对自己电脑有完全控制权,可以将此账号加入该电脑的本地管理员组而不是域管理员组。可以先用域管理员账号登录到该电脑,把此域账号加入到本地管理员组。