【CyberSecurityLearning 7】AD域
目錄
1、Domain(域代表的是一種環境)
2、內網環境
3、域的特點:
4、域的組成:
5、域的部署:
6、活動目錄
7、組策略GPO(group policy)
8、部署安裝活動目錄
9、PC加入域
10、常見小問題
11、OU:組織單位(organization union)
12、組策略:Group Policy = GPO
?
域
1、Domain(域代表的是一種環境)
2、內網環境
1)工作組:默認模式,人人平等,不方便及集中管理?
2)域:人人不平等,實現集中管理,統一管理
3、域的特點:
集中/統一管理
4、域的組成:
1)域控制器:DC(Domian Controller)
2)成員機(成員機之間其實是平等的,說不平等只是域控制器)
域一般用三角△表示
活動目錄是核心
5、域的部署:
1)安裝域控制器---就生成了域環境
2)安裝了活動目錄---就生成了域控制器
3)活動目錄:active directory=AD
6、活動目錄
1)AD
2)特點:集中管理/統一管理(域要想實現統一管理,靠的就是AD來完成的)
7、組策略GPO(group policy)
8、部署安裝活動目錄
部署域最終就是安裝活動目錄
計算機右鍵管理——》角色(就是服務器,就是將來在公司作為哪一種服務器角色)【2008可以提供17個大的角色】——》添加角色——》下一步
——》AD域服務【微軟為我們提供了一個安裝路徑,在這里裝效果不太好,以前是在這裝的】
安裝步驟:
1)開啟2008虛擬機,并橋接到VMnet2(2008不像2003,安裝軟件時不要插光盤,已經偷偷內置到C盤)
2)配置靜態IP地址10.1.1.1/24
3)開始--運行--輸入dcpromo安裝活動目錄(這條命令有兩個功能:安裝活動目錄,卸載活動目錄)【dcpromo=Domain Controller Promoter】
彈出向導:勾選DNS--新林中新建域--功能級別都設置為2003--域的FQDN(waffle.com)--設置目錄服務還原密碼(666.com)--勾選安裝后自動重啟(第三步過程見下面所有截圖)
4)登錄域waffle\administrator
DC的本地管理員升級為域管理員
問:登錄域和登錄本地有什么區別?不登錄域意味著你用本地賬號登錄,你只能訪問本地資源,訪問不了域的資源
你要想享受域的資源,你必須登錄域
5)驗證AD是否安裝成功
?
1、計算機右鍵屬性--所屬域
2、DNS服務器中是否字典創建waffle.com區域文件
3、自動注冊DC的域名解析
4、開始--管理工具--AD用戶和計算機
? ? ? computer:普通域成員機列表
? ? ? Domain Controller:DC列表
? ? ? Users:域賬號
驗證一、怎么查看我已經成為域了呢?計算機右鍵屬性
驗證二、點擊開始——》管理工具——》DNS
驗證三、開始——》管理工具——》Active Directory 用戶和計算機(就是活動目錄)
?
9、PC加入域
1、配置IP,并指DNS(就是指DC)
2、計算機右鍵屬性--更改---加入waffle.com域
3、重啟加入域之后,成功使用域用戶登錄成員機
加域:把win7和winxp-2加入waffle.com域
1、把win7加到域里面,先要把win7和DC放到同一個網絡(vmnet2)
2、win7手工配ip:10.1.1.3? ,? ?255.255.255.0,指DNS:10.1.1.1(因為將來要做域名解析)【建議把ipv6前面的√去掉】
3、我的電腦右鍵屬性------更改設置-----計算機名----更改-----隸屬于域(waffle.com)
?
?
1、把winxp-2加到域里面,先要把xp和DC放到同一個網絡(vmnet2)
2、xp手工配ip:10.1.1.2? ,? ?255.255.255.0,指DNS:10.1.1.1(因為將來要做域名解析)
3、我的電腦右鍵屬性---計算機名---更改---隸屬于域(waffle.com)
驗證:
WAFFLE-PC和WINXP-2是成員機,加入域成功
如果發現win7 xinxp登錄都需要ctrl+alt+delete就說明有域
打開winxp-2:
在win2008上users中建立一個普通域用戶(users右鍵新建,點擊用戶)
winxp-2登錄:sp.huang? 密碼123.com? 登錄到WAFFLE:
win7上登錄:
再創建一個用戶:
10、常見小問題
1)加入域不成功
? ?網絡是不是不通!
? ?解析是否能成功解析!(nslookup手工測試)
? ?是否為DNS緩存問題
2)登入域不成功
如XP,已勾選登錄域WAFFLE,不用再寫waffle\xiaofei.wen
3)域用戶的權限
? ?建議將域用戶加入到普通成員機的本地管理員組中(讓成員對自己的電腦有完全控制權限,但是又不能把域管理員賬號給它)
? ?千萬不要把它提升為域管理員,否則他會對公司所有電腦有完全控制權限
先用域管理員身份登錄成員機做更改
用戶名:waffle.com\administrator
*********本地管理員組:administrators
*********域管理員組:Domain Admins
11、OU:組織單位(organization union)
作用:用于歸類域資源(域用戶、域計算機、域組)
活動目錄就是一張表,一個數據庫,叫活動目錄數據庫
computers:里面放的都是域成員的列表
domain controllers:DC的列表
users:用戶列表
這些都稱為域資源
這些資源如果不歸類,在成百上千的人里面去找一個人的話,很難找。我們最好把這些資源分門別類,就需要用到OU
我們把相同的資源或者相同的部門資源按照某種方式進行歸類,比如IT部人員的域賬號放到IT的OU中去,財務部放到另外一個OU。
組和OU的作用是一樣的,都可以理解為是一個容器,而組的目的是為了賦權限,OU誕生的目的是為了下發組策略(組策略就是對員工的強制限制)
組策略就是一張表,這張表要基于OU下發
OU怎么創建?
win2008-1:開始-管理工具-AD用戶和計算機
對準域(waffle.com)右鍵--新建--組織單位---名稱:(比如是千峰集團)
對準“千鋒集團”再新建幾個組織單位“董事會”、“市場部”、“IT部”
這就是公司的組織架構
把原來創建的“黃圣鵬”這個用戶:單擊鼠標右鍵---所有任務----移動---千鋒集團董事會,把“楊濤”移動到西北區
如果將來想對西北區的人做限制,只需要寫一個組策略映到西北區里面去,西北區里面的所有資源都會受限制
同時也把computers里面楊濤的電腦也移動到西北區,黃圣鵬的電腦也移動到董事會(因為今后想對電腦做操作),對用戶操作和對電腦操作是不一樣的
?
12、組策略:Group Policy = GPO
作用:通過組策略可以修改計算機的各種屬性,如開始菜單、桌面背景、網絡參數、密碼復雜性等。
每個電腦都有組策略,沒有域也有組策略(本地組策略優先級最低)
***重點:組策略在域中,是基于OU來下發的(而不是基于組下發的)!!
win2008-1:開始--管理工具--組策略管理
給千鋒集團建立組策略表:千鋒集團右鍵——》創建GPO(名稱建議和OU一樣,方便記憶,千鋒集團)
現在希望“千鋒集團”所有的人桌面背景是卡通(cartoon.jpg)圖片(最千鋒集團下面的組策略表做最合適,對Default Domain Policy做也可以,不推薦,DC不要輕易做組策略)
創建一個共享文件夾,讓員工都能訪問:
? ?
對用戶配置一般注銷一下就能生效
對計算機配置一般要重啟后才生效
?
***組策略在域中下發后,用戶的應用順序是:LSDOU(L:本地local,S:站點,理解為林【一般忽略】,D:域domain,OU表示一系列OU:千鋒集團--IT--董事會--市場部--西北區)
***在應用過程中,如果出現沖突,后應用的生效!
****正常情況下:LSDOU順序【沒有強制也沒有阻止繼承】
例:
上級OU:? ? ? ? ? ? ? ?桌面:aa? ? ? ? ?運行:刪除
下級OU:? ? ? ? ? ? ? ?桌面:未配置 ?運行:不刪除? ?(未配置就是默認,不受控制,員工隨意設置就行)
下級OU用戶結果:桌面:aa? ? ? ? ? 運行:不刪除
****下級OU設置了阻止繼承:對準“西北區”這個文件夾右鍵阻止繼承(設置了阻止繼承就不再看LSD,直接看自己的OU)——》意思是一點擊阻止繼承,上級的所有OU對我沒有任何影響
上級OU:? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?桌面:aa? ? ? ?運行:刪除
下級OU(設置阻止繼承):? ? ? ? ? ? ? ? 桌面:未配置 運行:不刪除(未配置就是沒有做要求)
下級OU用戶結果:? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?桌面:未配置 運行:不刪除
****上級設置了強制:對準“千峰集團”組策略右鍵強制(圖標會上鎖,意思是在應用順序上到這就為止了,后面就不再看了,沖突了也無效)
上級OU(設置強制): ? ? ? ? ? 桌面:aa ? ? 運行:刪除
下級OU:? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 桌面:未配置 運行:不刪除
下級OU的用戶結果:? ? ? ? ? ? ? 桌面:aa ? 運行:刪除
注意:當上級強制和下級阻止繼承同時設置,強制生效!【強制最大】
查看千峰集團做了哪些組策略:
選中千鋒集團——右側的設置——警告里面點擊添加——點開策略下面的管理模板
GPO練習:
1.在董事會部門設置GPO,并要求強制桌面背景,并驗證
2.在董事會部門上級的ou上設置GPO,也進行強制桌面背景,并驗證
3.在董事會部門上級的ou上設置GPO,強制刪除運行菜單,并驗證
4.練習阻止繼承,并驗證
5.練習向下強制,并驗證
6.實現董事會的計算機無須按ctrl+alt+delete,并驗證
?
總結
以上是生活随笔為你收集整理的【CyberSecurityLearning 7】AD域的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【CyberSecurityLearni
- 下一篇: BUUCTF-WEB:[强网杯 2019