【笔记】WindowsServer的域控制

发表于 更新于 分类于 阅读次数:

前言

在WindowsServer2008上部署活动目录(DC)服务器,从而创建域环境

配置静态IP

  • 右键网络->属性

  • 更改适配器设置

  • 右键本地连接->属性

  • 取消勾选Internet协议版本6->选中Internet协议版本4->属性

  • 勾选使用下面的IP地址->填写IP地址和子网掩码,DNS填写本机->确定

  • 关闭

安装服务器软件

  • 开始->运行->填写dcpromo->确定

  • 下一步

  • 下一步

  • 勾选通过在此计算机上安装DNS服务器服务来自动更正问题(A)。这还会将IP设置配置为使用此DNS服务器进行名称解析。->下一步

  • 勾选在新林中新建域->下一步

  • 填写目录林根级域的FQDN->下一步

  • 选择林功能级别->下一步

  • 选择域功能级别->下一步

  • 下一步

  • 是,该计算机将使用DHCP服务器自动分配的IP地址(不推荐)

如果当前网络中其他计算机有DHCP分配的IP地址而不是静态IP地址,可能会弹出此窗口

  • 下一步

  • 填写一个用于还原域的密码->下一步

  • 下一步

  • 勾选完成后重新启动

验证安装成功

  • 开始->管理工具->DNS

  • 正向查找区域->域名->能找到本机DNS解析,表示安装活动目录成功

加入到域(WindowsXP)

指定DNS

  • 右键网上邻居->属性

  • 右键本地连接->属性

  • 选中Internet协议->属性

  • 勾选使用下面的IP地址>填写IP地址和子网掩码->首选DNS服务器填服务器IP地址->确定

主要是手动指定DNS服务器

  • 关闭

加入到域

  • 右键->我的电脑->属性

  • 计算机名->更改

  • 勾选并填写域名->确定

  • 填写域管理员的用户名和密码->确定

  • 确定

  • 确定

  • 确定

  • 立即重启计算机

登录

  • ctrl+alt+del

  • 使用本地管理员用户登录

加入到域(Windows7)

指定DNS

  • 右键网络->属性

  • 更改适配器设置

  • 右键本地连接->属性

  • 取消勾选Internet协议版本6->选中Internet协议版本4->属性

  • 勾选使用下面的IP地址->输入IP地址和子网掩码->首选DNS服务器指定服务器->确定

  • 关闭

加入到域

  • 右键计算机->属性

  • 更改设置

  • 更改

  • 勾选->填写域名->确定

  • 输入域管理员用户名和密码->确定

  • 确定

  • 确定

  • 关闭

  • 立即重新启动

登录

  • ctrl+alt+del

  • 使用本地管理员密码登录

创建域用户

  • 开始->管理工具->Active Directory 用户和计算机

  • Users右键->新建->用户

  • 填写用户登录名->下一步

用户登录名通常格式为名英文.姓英文

  • 填写密码确认密码->下一步

  • 完成

通过域用户登录(WindowsXP)

  • ctrl+alt+del

  • 选项->登录到改为域名->填写域用户的用户名密码->确定

通过域用户登录(Windows7)

  • ctrl+alt+del

  • 切换用户

  • 其他用户

  • 使用域用户的用户名和密码登录

域用户的用户名格式为域名\域用户名

将域用户提升为本地管理员(Windows7)

  • ctrl+alt+del

  • 切换用户

  • 其他用户

  • 使用域管理员账户登录

  • 开始->右键计算机->管理

  • 本地用户和组->->右键Administrators->添加到组

  • 添加

  • 输入需要提权的域用户名->检测名称->确定

  • 确定

创建组织单位

  • 开始->管理工具->Active Directory 用户和计算机

  • 右键域名->新建->组织单位

  • 填写名称->确定

将用户加入到组织单位

  • 选中Users->右键用户->移动

  • 选择组织架构文件夹->确定

将计算机加入到组织单位

  • 选中Computers->右键计算机->移动

  • 选择组织架构文件夹->确定

组策略

目录结构

1
2
3
4
5
6
+ 域名
  - Default Domain Policy
  + Domain Controllers
    - Default Domain Controllers
  + 自定义组织架构
    - 自定义组织架构的策略

添加策略

  • 在想要添加策略的组织架构的根目录添加策略

  • 开始->管理工具->组策略管理

  • 右键想要添加策略的组织架构->在这个域中创建GPO并在此处链接

  • 填写名称(推荐与组织架构名相同)->确定

添加脚本策略

  • 创建一个脚本

  • 右键策略->编辑

  • 计算机配置->Windows设置->脚本(启动/关机)->双击启动

  • 添加

  • 浏览

  • 复制默认策略下发的共享文件夹路径

  • 资源管理器->找到脚本文件所在的文件夹->再打开一个资源管理器->粘贴共享文件夹路径在地址栏->把脚本文件放在这个文件夹内

  • 回到组策略编辑器->选中脚本文件->打开

  • 确定

  • 确定

添加开机无需按ctrl+alt+del的策略

  • 右键策略->编辑

  • 计算机配置->Windows设置->安全设置->本地策略->安全选项->双击交互方式登录:无须按Ctrl+Alt+Del

  • 勾选定义此策略设置->勾选已启用>确定

编辑策略

  • 以桌面下发策略为例子

  • 右键策略->编辑

  • 选择需要配置的策略,双击配置

  • 选择已启用->编辑配置->确定

查看已经配置的策略

  • 选中想要查看的策略->设置->添加

  • 添加->关闭

强制策略

  • 无视策略执行顺序,当前域及子域强制执行策略

  • 右键策略->强制

阻止继承

  • 无视策略执行顺序,阻止继承父域策略

  • 右键域->阻止继承

同时出现阻止继承和强制策略

  • 当阻止继承和强制策略同时出现时,阻止继承失效

完成

参考文献

哔哩哔哩——千锋教育网络安全学院