系统与网络安全------Windows系统安全(10)
资料整理于网络资料、书本资料、AI,仅供个人学习参考。
域与活动目录
域相关概念
域和域控制器
- 域(Domain)
集中管理网络中多台计算机的一种逻辑模式
有别于工作组的对等式管理
是组织与存储资源的核心管理单元
- 域控制器(Domain Controller)
每个域中至少有一台域控制器
集中存放整个域的用户账号和安全数据库
活动目录概念
- 活动目录(Active Directory)
Windows网络中的目录服务
提供了存储网络对象信息并使网络用户使用这些数据的方法
- 活动目录特点
集中管理、便捷的网络资源(用户/组账号、共享文件夹、打印机)访问
可扩展性
创建AD域网络
域控升级条件
- 升级域控的条件
安装者必须具有本地管理员权限
操作系统版本必须为Windows Server版
本地磁盘至少有一个分区是NTFS文件系统
静态TCP/IP设置(IP地址、子网掩码等)
有相应的DNS服务器支持
有足够的可用磁盘空间
安装AD活动目录
安装第一台域控制器
- 推荐步骤:
设置网络环境和主机名
Active Directory域服务
提升为域控制器
在新林中新建域
林功能级别
设置目录服务还原模式的Administrator密码
安装
设置网络参数和主机名
- 配置域控制器网络环境
添加活动目录
- 添加Active Directory域服务
活动目录安装向导
- 添加新林、输入域名
- 林功能级别及目录服务还原密码
- 安装
加入域网络
客户计算机加入域
- 配置客户端网络环境
- 设置 ”计算机名/域更改“
- 输入域用户账户名
- 确定域成员身份
域用户管理
创建域用户
创建域用户账户
- 域用户账户存储在活动目录数据库中
- 创建域用户的工具
”Active Directory用户和计算机“
- 显示名
在同一个组织单位(OU)内应唯一
- 用户登录名
在整个域内唯一
最长20字符
域用户属性
配置域用户账户属性
- 登录时间
默认任意时间都能登录
- 登录到
可限制登录的计算机
- 账户过期
OU与组策略
OU组织单元
- 概念
容器:有效地组织活动目录对象
- 设计方式
基于部门的OU
基于地理位置的OU
基于对象类型的OU
OU的设计也可以是混合的
域组策略
组策略的作用
- 组策略(一组策略的集合)
可以统一修改系统、设置程序
调整桌面环境、安全设置、自动执行脚本、软件分发
- 使用组策略可以
对整个域设置组策略,可影响所有成员计算机和域用户的工作环境
对OU设置组策略,可影响该OU下的所有计算机和域用户的工作环境
降低布置用户和计算机环境的总费用,方便推行公司计算机使用规范及安全策略
组策略设置对象
- 组策略的具体设置保存在GPO中
- 默认的2个GPO
默认域策略(Default Domain Policy)
默认域控制器策略(Default Domain Controllers Policy)
计算机配置与用户配置
