Domain(域)

域

域的概念

域实际上代表一种环境(内网环境)，这种环境分两类:

1. 工作组：默认模式

• 查看方式：开始->系统：
  ![]https://pic.downk.cc/item/5e8ad8e7504f4bcb04eedea2.png)

• 特点：人人平等(一台计算机不能控制另一台计算机)，不方便管理

2. 域

• 特点：人人不平等，可以集中管理、统一管理

域的组成

1. 域控制器：DC(Domain Controller)
2. 成员机

域的结构

• 在域里DNS和DC配合工作，计算机加入域的瞬间，DNS会自动在生产解析记录。
• 在DC上有一张活动目录AD(Active Directory)，表里存放着整个域的公共资源，包括域账号(活动目录的特点：集中管理/统一管理)
  

例子(使用域账号登录域中电脑)

• 假如在DC的活动目录上创建一个域账号A，密码为1。
• 一个用户B加入域，B有本地账号(Administrator/User),B加入域后指向域的DNS服务器(凡是有域的情况下，域中所有计算机都指向域DNS服务器)。
• DNS管理员输入域账号(A,1)到计算机B中，在工作组的环境下，计算机B会直接显示账号错误进而拒绝登录；但在域环境下，计算机B会先找到DC，然后向DC发送请求验证域账号(A,1),DC查看活动记录AD后发现有(A,1)账号，会告诉计算机B可以允许该账户登录，计算机B就会在C:\Users下创建一个配置文件新建一个用户(A,1),此后该账户都可成功登录计算机B。

注：在域环境中，域账号可以登录域中所有计算机。

域的部署

1. 安装域控制器，就生成了域环境
2. 安装活动目录AD，就生成了域控制器(DC)

注：域的部署实际上是部署活动目录

实验环境

客户机：Win 7、Win XP
服务器：Windows Server 2008
服务器需要关闭防火墙，所有计算机桥接网络到VMnet3

步骤

1. 为服务器配置静态IP地址10.1.1.1/24：此处选择IPv4
2. 开始->运行(快捷键Win+R)->输入dcpromo命令安装活动目录(此命令也可卸载活动目录，卸载目录还需在服务器管理器中选择删除角色)->下一步->下一步(要勾上安装DNS服务器)
3. 在新林中新建域(林的解释参考下方)->下一步
4. 填写新建域的完全域名(此域名不能重名)
5. 设置林功能
   
6. 设置域功能(域功能作用与林功能类似)->下一步->报错点击是->文件夹路径不能更改点击下一步
7. 设置活动目录登录密码(用于对活动目录进行操作的身份验证，此密码绝对不能泄露！！！)->下一步
8. 登录域Zby\Administrator
9. 查看计算机域设置：计算机->属性
   
10. 查看DNS服务器:开始->管理工具->DNS，计算机将会自动生成域管理器的域名解析记录，如果未出现下图界面则证明域管理器部署失败
    
11. 打开活动目录：开始->管理工具->Active Directory用户和计算机(真正的AD)
    

注：WindowsServer2008部署完域后，已经称为域控制器DC,则此计算机不再拥有本地账户和组，本地账户自动迁移到活动目录的表里，即本地管理员升级变成了域管理员,所有本地组也升级为域组。域中的成员机域账号和本地账号，如果要使用域资源必须使用域账号登录，但是DC没有本地账号，只能登录域。

现有林

公司之间域的运用情景种类：

• 公司共用一个域：公司总部与分公司的两个局域网用专线连接，分公司可以通过专线与公司总部加入一个域
• 分公司与总部用不同的域(域树)：总部使用主域(父域)，分公司使用子域，父域与子域共同构成域树
• 域林：比如公司的一个事业群使用一个域树，最后公司的所有事业群的域树构成域林

注：现在大多数公司还是采用域树

WinXP加入域

1. 配置IP地址，DNS服务器(如果Windows Server2008是DNS服务器则不需配置IP地址，详情请参考DNS篇博客)

• IP地址要与服务器在一个网段
• DNS服务器地址要指向Windows Server 2008的静态IP地址

2. 右键点击我的电脑->选择属性->计算机名->更改
   
   
3. 以域管理员的身份登录(用户名必须为域名\administrator)
   
4. 登录成功
   

Win7加入域

Win7加入域的步骤与WinXP一致。

服务器查看

使用域功能

新建普通域用户

AD界面->右键点击Users->新建->用户->填写信息(用户登录名是域账号，只能使用英文字符）

登录域用户

WinXP

此用户名只能为XX@域名

Win7

在登录界面点击切换用户,输入域账号和密码。

OU组织单位

OU(Organization Unit,组织单位)，作用：用于归类域资源(域用户、域计算机、域组)

例子

公司安全部的域账号放到一个专属于安全部的OU内。

组和OU

相同点：都是用来分类，是一个容器
区别：

• 组：为不同的用户设置权限
• OU：为不同的域账号下发组策略GPO

创建OU

1. 创建组织单位：
   

移动域用户到不同OU

右键点击要移动的用户->所有任务->移动

注：也可对域中的计算机进行上述操作

组策略GPO

• 活动目录(AD)是一个数据库，基于AD衍生出一个活动目录GPO(Group Policy，组策略)。
• 通过组策略可以修改计算机的各种属性，如开始菜单、桌面背景、网络参数等。
• 组策略对计算机的限制是限制一台电脑，而对域用户的限制只是限制一个账户。
• 组策略在域中，是基于OU来下发的。
• 组策略在域中，用户的应用顺序是：LSDOU(Local本地<Site站点<Domain域总组策略<OU组策略)，即OU组策略一定会被应用

例子

计算机B使用域账号登录后，会向DC询问具体要求，DC查阅活动目录，发现计算机B所属的XX部有一个组策略表，DC就会将这张组策略表发给计算机B，计算机B就会读取这张表的具体要求并执行。

创建组策略

1. 开始->管理->组策略管理:
   
2. 右键点击想要创建组策略的域->选择在这个域中创建GPO并在此链接->自定义名称
   

对组策略进行编辑

这里的例子是要求IT部域中所有账户桌面为同一个桌面：

1. 在WindowsServer2008中新建一个文件夹，并设置共享、安全性：
   ①右键点击文件夹->共享->高级共享
   
   ②右键点击文件夹->安全->添加域用户
   

2. 右键点击要编辑的组策略->编辑:
   

3. 右键点击桌面壁纸->属性
   

4. 注销域账户重新登录即可使用组策略统一桌面

注：由于虚拟机的限制性，桌面更换过程可能过慢，此时可以采用在域账户计算机桌面空白处点击右键选择个性化或属性查看当前壁纸

查看组策略

打开组策略管理

强制实施组策略

强制的意思是说组策略应用顺序应用到此组策略时即停止，不会再往下应用其他组策略
右键点击组策略->强制

阻止继承

不再应用该OU之前的组策略(即不再运行LSD组策略)
右键点击OU文件夹->阻止继承

注：当上级强制与下级阻止继承同时设置，强制生效

其他组策略

登录注销时运行脚本

右键点击组策略->编辑->用户->策略->Windows设置->脚本

删除开机Ctrl+alt+delete操作

右键点击组策略->编辑->计算机->策略->Windows设置->安全设置->本地策略->安全选项