4.1概述4.3组策略应用步骤4.4编辑测试4.5组策略4.6

AD域部署教程（AD域的建立与加入）张世龙02-17 09:3937 浏览量

文章目录网络基础设施1、Overview2、Deploy Domain Model 1.Deploy ad(2.Client Join Domain3.Organizational Unit) OU) 4.1Overview4.3 Group策略应用步骤4.4 编辑测试组策略4.5 组策略4.6 中继

网络域1，计算机内网模式工作组简介

在工作组网络中，每台服务器都是独立的，因此管理员必须为每台服务器创建一个帐户，并分别登录到每台服务器，才能完成管理时的管理任务。在对访问不同服务器的用户进行身份验证时，他们也必须分别登录。领域

在域模式网络中，集中管理服务器以及域中的帐户和资源。因此，登录该服务的管理员可以管理整个域并访问所有共享资源。域模式网络需要一种统一管理帐户和资源的机制。机制是（活动目录）。域中的所有帐户和共享资源都必须在 ActiveDirectory 中注册，用户可以使用 ActiveDirectory 搜索和使用。基于域模式的网络大大降低了管理的复杂性和工作量。通常用于复杂的网络。域是一种计算机网络形式，其中所有用户帐户、计算机、打印机和其他安全主体都注册在一个或多个中央计算机集群（称为域控制器）中。

集中统一管理网络资源。域控制器 (DC) 是安装和运行 Active Directory、管理用户与域交互的所有安全相关方面并提供安全保护的服务器。一个域可以包含一个或多个域控制器。域控制器之间的状态是平等的，管理员可以通过其中一个域控制器更新域中的信息，更新后的信息会自动传送到网络中的其他域控制器。成员机器：域的成员。成员服务器不进行用户认证，也不存储安全策略信息。这项工作由域控制器完成ad域服务器 本地账号，这增加了处理网络上其他服务的处理能力。在域结构网络中，认证与服务分离，提高服务效率。活动目录

由于网络规模较大，在这种情况下，网络中的对象（如计算机、用户帐户、组帐户、打印机和共享文件夹）被分类并存储在数据库中，然后创建搜索信息来创建这些对象与这个层次结构的数据库是活动目录数据库，简称AD库。存储活动目录数据库的计算机称为域控制器。

在 DNS 位置中，找到指定的一个或多个客户端并找到 DC。

二、部署域模型 1.准备部署活动目录（ad）环境：windows 2008虚拟机作为服务器（需要关闭防火墙），win xp虚拟机作为客户端，虚拟网络

静态 IP 地址设置

注意：删除 ipv6 网络！

运行 dcpromo 并安装 AD

这是一个警告，您必须配置 DNS 客户端。必须选中此选项

在新林中创建一个新域：

域树的网络结构是一片森林。

设置根域名：

建议使用 Windows 2003 设置功能级别。

设置目录服务恢复模式的管理员密码。此密码与登录密码不同，并且恢复密码通常不可用，因为它会在域出现问题时执行恢复操作。

确认完成：

登录并将本地管理员提升为域管理员

查看主机信息：

检查DNS服务，你已经配置了chen.com域名。

查看广告：

2.客户端加入域配置网络（确保客户端和服务器在同一个网络VMnet2）桥接配置IP地址和DNS

改变工作模式

将工作组更改为域（我的电脑属性）

3.连接到域

使用域管理员登录：

查看域成员：

新域的普通用户

使用域的普通用户登录：

登录成功！

注意：

本地管理员组：管理员

域管理员组：域管理员

3. 组织单位（OU） 组织单位（Organizational Unit）用于Active Directory域资源（域用户、域计算机、域组）为333333新开

将用户客户端移动到 OU

4.组策略4.1组策略概述（Group Policy Ob

ject, GPO)：通过组策略控制修改计算机的各种属性，部分控制用户在计算机上可以做什么或不可以做什么，例如：执行密码复杂性策略，防止用户选择过于简单的密码，允许或阻止未识别用户从远程计算机连接到网络共享、阻止对 Windows 任务管理器的访问或限制对特定文件夹的访问。这样的一组配置称为组策略对象。组策略在域中，基于 OU 发布。4.2 创建 GPO

可以在每个 OU 下创建 GPO。

4.3 组策略应用顺序

组策略在域下发后，用户应用顺序：LSD OU

这是：

第一步L：应用本地组策略对象中的设置；第二步S：应用站点组策略对象中的设置；第三步D：应用域组策略对象中的设置；第四步OU：应用组策略对象中的管理单元设置。

由于最后应用的策略设置会覆盖之前应用的设置，这意味着在设置冲突的情况下，最高级别的 Active Directory 组策略设置将优先，即最终的结果是，域中设置的策略将覆盖本地政策。

例如：

OU有两级：Group 01、 Finance Department，Group 01是Finance Department的上级OU；

01组的组策略：桌面壁纸要求为a.jpg，取消开机启动功能；

财务部组策略：要求桌面壁纸为b.jpg，不配置开机功能。

用户gsdcg在财务部，获得的权限为：桌面壁纸为b.jpg，不能修改桌面壁纸，不能使用开机启动功能。

4.4 编辑测试组策略

测试上面的例子。

启动一个win 7虚拟机作为gsdcg的客户端。用户gsdcg位于01集团财务部西北区。编辑集团01集团政策

（组策略：桌面壁纸为a.jpgad域服务器 本地账号，删除开始运行功能）