域网络,域环境搭建
活动目录和域,配置AD域网络,客户机加入域,创建域用户,域用户属性,OU与组策略,域策略应用规则
文章目录
- 工作组环境
- 域服务
- 域控制器(DC)
- 活动目录(AD)
- 升级域控的条件
- 实验环境
- 域用户管理
- 组织单位OU
- 域环境组策略的配置
- 为什么配置组策略
工作组环境
工作组 是一种简单、对等的计算机网络组织模式。在微软的术语中,它被称为 “对等网络”。
核心思想: 网络中的每一台计算机都是独立的、平等的。没有中央服务器来控制或管理其他计算机。
可以把它想象成一个 “自由市场” 或 “居民小区”
Windows 工作组环境 是一个为小型、简单网络设计的,无需中央服务器的对等网络模型。它的优点是配置简单、成本低廉,非常适合家庭或极小型办公环境。但其分散的管理模式和较弱的可扩展性使得它完全不适合任何有一定规模和安全性要求的企业网络。对于后者,域环境 是标准的选择。
默认工作组名:WORKGROUP
本地用户本地创建、本地存储、本地登录且只能登录本地一台计算机
域服务
域服务,在微软的体系中,其核心实现是 Active Directory 域服务。
简单来说,它是一个集中式的网络管理模型。在这个模型中,有一台或多台专门的服务器(称为域控制器)来负责对整个网络中的资源(用户、计算机、打印机、文件等)进行统一的管理、认证和授权。
目的:为了更方便的集中管理网络中的计算机
将来自于全国的小伙伴,组织到一起,实现了集中管理的环境,这种环境称为“班”
将来自于网络中的多台计算机,组织到一起,实现了集中管理的环境,这种环境称为 “域”, – 以逻辑的方式
域控制器(DC)
域控制器 是一台运行着 Windows Server 操作系统,并安装了 Active Directory 域服务 角色的服务器。它是整个域网络的 核心大脑和权威中心,负责管理域内所有的安全交互、身份认证和集中式管理。
活动目录(AD)
活动目录(AD)就是微软为Windows网络环境打造的一套“网络花名册”和“统一身份认证与管理系统”。
它的核心作用是集中管理网络中的各种资源,比如用户、电脑、打印机、文件共享等,让管理员能够“一站式”地控制谁可以访问什么。
活动目录可以理解成就是一个程序,谁有活动目录,谁就是域控制器
WinServer2019–有域控的环境
升级域控的条件
- 具有本地Administrator管理员权限
- 具有足够的磁盘空间
- TCP/IP的配置(IP地址、子网掩码)
- 需要DNS服务器支持
- 本地磁盘至少有一个NTFS文件系统的分区
- 操作系统版本必须为Windows Server版
实验环境
将Windows Server2019的环境恢复到 域 的快照
现在的域是 ntd.com
ip地址配成自己能通的网段,DNS服务器写WinServer2019服务器本机地址
打开win11主机
然后把服务器端的防火墙关闭
win11上的配置
主要配置DNS服务器
现在在Win11上能够解析ntd.com
将win11主机加入域中
输入WinServer的账户名密码 – 管理员账户密码
需要重启计算机
现在这台win11就受域控的控制了
域用户管理
现在已经没有 用户和用户组管理了,变成在活动目录里面了
WinServer
创建域用户
这是在WinServer2019上新建的用户
但是在win11上也可以通过用户名xt进行登录
域用户管理
设置用户可以登录的主机
组织单位OU
ou的设计方式是基于部门
创建组织单位
然后可以在组织单位里面新建用户
可以像资源管理器拖动文件一样拖动用户
组织单位
组织单位 是 Active Directory 中的一个容器,用于在一个域内 分组和管理用户、计算机、组等其他AD对象。
简单来说,如果 域 是一家 公司,那么 组织单位 就是公司内部的 各个部门,比如“销售部”、“财务部”、“技术部”。
问题:既然有了组,为什么还需要 OU?
OU 和组有根本不同的用途,它们互为补充,而不是相互替代。 试图只用其中一个,就像试图只用锤子建造一整座房子——你还需要锯子、螺丝刀等其他工具。
核心区别:管理 vs. 授权
这是理解两者差异的黄金法则:
组织单位 主要用于 管理:它是一个容器,用来组织和存放对象(用户、计算机等),以便进行管理操作,例如部署策略和下放管理权。
组 主要用于 授权:它是一个权限分配列表,用来为一组用户授予对资源(如文件、文件夹、打印机、应用程序)的访问权限。
为什么不能只用组?—— OU 的不可替代性
在一个设计良好的 Active Directory 环境中,OU 和组是协同工作的。你使用 OU 来根据业务结构组织和管理你的用户和计算机,然后使用组 来跨越这些 OU 结构,为需要访问共享资源的用户高效地分配权限。两者缺一不可。
用OU来构建你的管理框架,用组来跨越这个框架分配权限。 两者像经纬线一样,共同编织出一张高效、安全的管理网络。
规定(策略)跟着容器(OU)走,权限跟着名单(组)走。
对于大规模的企业而言,可以基于地理位置创建OU,还可以基于对象,基于类型创建OU
还可以进一步创建下级OU
删除OU
如果创建OU的时候,勾选了 【防止容器被意外删除】
那么没法直接删除,右击属性里面也没有删除的设置,需要找到 【高级功能】
再右击 【属性】,就可以把【防止意外删除】的选项给取消掉
域环境组策略的配置
组策略指的是一组策略的集合,有很多策略,并不是把用户加入组,给组分策略
为什么配置组策略
可以统一修改系统、设置程序,调整桌面环境,自动执行脚本,软件分发
禁止域用户更改桌面背景
在域管理器中打开 【组策略管理】
编辑 【默认域策略】
右击点击【编辑】,打开【组策略编辑器】
双击 【组织更改桌面背景】
点击 【已启用】
win11主机要注销重新登录
注意
域用户账户有显示名和登录名之分
如果没有弹出提示,可以强制更新组策略
