2023年11月27日发(作者:)
系列文章链接如下:(点击名字即可进入)
企业部署Windows域实验案例
企业域控DC管理案例
企业Windows域环境中的组策略应用案例一
企业Windows域环境中的组策略应用案例二
前言:
工作组网络模型只适合小型网络,如果企业网络中计算机和用户账户数量较多时,我们可以
通过使用Windows域,对网络资源进行集中管理,提高工作效率。本篇博文通过两个案例的
实施,介绍了创建Windows域并将计算机加入域,在域环境下如何对账户、组以及OU进行
管理等。
在小型网络中,管理员通常单独管理每一台计算机,每台计算机都是一个独立的管理单元。
例如,在每台计算机中都需要为访问它的用户创建用户账户。但当网络规模扩大到一定程度
后,如超过10台计算机,每台计算机需要有10个用户访问,那么管理员就要创建100个以
上的用户帐户,相同的工作就要重复很多遍。虽然可以将用户需要访问的资源集中到某台服
务器,但在实际中,并不是所有资源都可以很方便的集中在服务器上。此时可以将网络中的
计算机逻辑上组织到一起,将其视为一个整体,进行集中管理,这种区别于工作组的逻辑环
境叫做Windows域,域是组织与存储资源的核心管理单元。
----------------------------------------------------------------------
案例环境一: 安装活动目录
某公司有100多台计算机和100多名员工,现在需要集中管理计算机、用户账户以及其他网
络资源。需要建立Windows Server 2008域,域名为。
案例描述:
1)在服务器DC01上安装活动目录,域名为“”
2)将客户机加入域
3)创建域用户账户
案例实施:
1)检查DC01是否满足安装活动目录的条件。
一台计算机要安装成DC,必须具备以下几个条件:
1.安装者必须具有本地管理员权限。
2.操作系统版本必须满足条件(Windows Server系列)。
3.本地磁盘至少有一个分区是NTFS文件系统。
4.配置静态的IP地址和子网掩码。
5.有足够的可用磁盘空间。
2)在DC01上安装活动目录。
1.使用如下命令配置IP地址、子网掩码、默认网关、DNS等TCP/IP参数,并使用ipconfig
/all查看配置参数。(我习惯使用命令,大家可以使用图形界面配置)
2.使用管理员账户(Administrator)登录后,运行dcpromo命令,打开“Active Directory
域服务安装向导”,如下图所示:
3.阅读操作系统兼容性说明,单击下一步按钮。
4.在“选择某一部署配置”页面中,选择“在新林中新建域”单选按钮,如下图所示。
5.在“命名林根域”页面中输入域名(本案例为),如下图所示。
6.在“设置林功能级别”页面中选择林功能级别为“Windows Server 2008”,如下图所示。
7.在”其他域控制器选项“页面中选择”DNS服务器“。
8.在”数据库、日志文件和SYSVOL的位置“页面中,接受默认的位置,单击”下一步“按
钮。(在实际环境中最好将这些文件存放到三个不同的卷上,这样可以获得更好的性能,提
高备份和还原的效率)
9.在”目录服务还原模式的Administrator密码“页面中,输入并确认一个强密码,单击”
下一步“按钮,如下图所示。(请牢记此密码,在还原时需要使用,无须与正常模式下
Administrator账户的登录密码一样)
10.在”摘要“页面中,检查所有的选择,如果有某一项不正确,可以单击”上一步“按钮
返回进行修改。如果没有问题,单击”下一步“,如下图所示。
11.开始安装和配置活动目录服务,如下图所示。(可勾选”完成后重新启动(R)”)
3)创建域用户账户dongjun。
创建域用户账户的步骤如下:
1.单击“开始”-“程序”-“管理工具”-“Active Directory 用户和计算机”,打开“Active
Directory用户和计算机“窗口,然后右键单击”Users“,选择“新建”-“用户”命令,
在“新建对象-用户”对话框中输入用户姓名等相关信息,如下图。
2.输入并确认用户密码,如下图所示。
4)将客户机Windows7加入域。
一台计算机要加入域,必须满足一下两个条件:
(1)确保该计算机和域控制器互相连通。
(2)配置正确的DNS地址(在本案例中,DNS服务器即域控制器,所以DNS服务器的地址
为域控制器的IP地址)。
1.配置首选DNS地址为DC01的IP地址,确保计算机和域控制器互相连通。
2.将该计算机加入域。(具体步骤如图所示)
5)验证结果。使用用户dongjun从客户机Windows7可以登录到域。
--------------------------------------------------------------
案例环境二: 域的基本管理
某公司有五个部门:行政部、人事部、工程部、销售部和财务部。网络管理员需要按部门管
理用户账户,并且用户账户在第一次登录域时需要更改密码。
案例描述:
1)在服务器DC01上分别创建行政部、人事部、工程部、销售部和财务部的OU。
2)在各部门OU中创建用户帐户,将已创建用户帐户(dongjun)移动到所属OU中。
3)修改已存在用户(dongjun)的属性,选中“用户下次登录时需更改密码”选项,以保证
用户密码的安全性。
案例实施:
1)在服务器DC01上新建五个OU,名称分别为 行政部、人事部、工程部、销售部、财务部。
打开“Active Directory用户和计算机”窗口,右击域名“”,在弹出的快捷菜
单中,选择“新建”-“组织单位”命令,输入组织单位名称,如下图所示,单击“确定”
按钮。
2)分别在每个OU中创建多个用户账户,在创建账户的时候,选中“用户下次登录时需更改
密码”选项。
3)将用户账户dongjun移动到“销售部”OU中。
4)修改用户账户dongjun的属性,选中“用户下次登录时须更改密码”选项。
5)验证结果。使用其中一个新建用户账户和dongjun登录到域,会提示用户修改密码。
本文出自 “迷你兔” 博客,请务必保留此出处
/4201040/838135
前言:
在上一篇博文“企业部署Windows域实验案例”中,我搭建了一个Windows域,了解了使用
域可以为工作带来很多方便。在一个域中,至少要有一台域控制器,也可以添加多台域控制
器,这样有助于提供容错,平衡负载,提高域服务的可用性和可靠性。本篇博文通过两个案
例的实施,介绍域控制器的管理、额外域控制器的作用以及如何添加或卸载域控制器。
------------------------------------------------------------------------------
Windows域简介:
所谓域,就是由网络管理员定义的一组计算机的集合,实际上就是一个网络。通过使用域,
可以将网络中的多台计算机在逻辑上组织到一起,对网络资源进行集中管理,让用户可以更
便捷的去访问网络资源,从而大大降低网络管理成本。
在域中,至少要有一台域控制器。域控制器中保存着整个域的用户帐号、组、计算机、共享
文件夹等活动目录对象的相关数据,管理员可以通过修改轰动美丽数据库的配置,实现对整
个域的管理和控制。
在规划域结构时,应该从单域开始,这是最容易的域结构,只有单域模式不能满足要求时,
才考虑增加其他的域。当网络中包含多个域时,就会构成域树和域林。
安装域控制器:
通过在一台计算机上安装活动目录,就会将这台计算机安装成域控制器。具体步骤请参考我
的上一篇博文:“企业部署Windows域实验案例”
/4201040/838135
额外域控制器:
如果域中只有一台域控制器,一旦出现软件或物理故障,就以为着公司的业务将出现停滞。
添加额外域控制器,指的是在域中添加第二台甚至更多的域控制器,每台域控制器都拥有一
个Active Directory数据库。如果一台域控制器出现故障,只要域内其他域控制器有一个
是正常的,就可以继续为用户登录或访问网络资源等提供正常服务。
额外域控制器的几点好处:
(1)提供容错功能:
即使其中一台域控制器出现故障,仍可以由其他域控制器继续提供域服务,从而使整个网络
保持正常运行。让用户可以正常登录,并提供用户身份验证。
(2)提供负载均衡:
因为多台域控制器可以同时分担用户审核工作,因此可以加快用户审核速度。当网络内的用
户数量较多,或者多种网络服务都需要身份认证时,应当安装多台域控制器。
(3)更易于用户的链接和访问:
在分支机构用户登录到域网络时,如果都必须由总部的域控制器进行身份验证的话,分支机
构和总部之间的网络连接速度低,则验证的过程可能非常长。而如果在分支机构配置额外域
控制器,分支机构网络用户就可以直接通过额外域控制器进行域网络登录,效率将大大提高。
------------------------------------------------------------------------------
案例环境一:安装额外域控制器
公司搭建了Windows Server 2008域 。域中现在有一台域控制器DC01,DC01上
由用户账户dongjun和计算机账户Windows7。为了加强域的可用性,现在需要安装第2台
域控制器DC02,该如何实现。
案例描述:
1)在域中添加额外域控制器DC02.
2)为客户机Windows7添加第2个DNS地址,使在DC01宕机的时候用户可以正常登录域。
案例实施:
1)准备好域控制器DC01,服务器DC02和已加入域的客户机Windows7。
02的IP地址为192.168.100.100/24。
s7的IP地址为192.168.100.10,DNS地址为192.168.100.100,已加入域
。
具体步骤请参考我的上一篇博文:“企业部署Windows域实验案例”
/4201040/838135
2)将计算机DC02加入到域中。
1.配置DC02的IP地址为192.168.100.200,DNS地址为192.168.100.100。
2.在DC02上运行Active Directory域服务安装向导,将其加入域。
(与安装第一台域控制器类似,这里列出大致步骤)
3.更改DC02的第1个DNS地址为192.168.100.200,第2个DNS地址为192.168.100.100。
3)在DC01上打开“网络连接”,将网卡禁用(模拟DC01宕机的情况)。
4)在客户机Windows7上添加第2个DNS地址192.168.100.200。
5)验证结果,重新启动客户机Windows7,使用用户账户dongjun还是可以登录到域。
----------------------------------------------------------------------
案例环境二:卸载域控制器
公司搭建了Windows Server 2008域 ,域中有两台域控制器DC01和DC02,现在
DC02要改做其他用途,不再担任域控制器的角色,需要将DC02卸载。
案例描述:
在DC02上卸载活动目录,使其成为一台普通成员服务器。
案例实施:
1)准备好域控制器DC01、DC02和已加入域的客户机Windows7。
2)在DC02上卸载Active Directory。
1.使用域管理员账户登录到DC02。
2.在DC02上运行Active Directory域服务安装向导,将其卸载。
3)在客户机Windows7上删除第2个DNS地址。
本文出自 “迷你兔” 博客,请务必保留此出处
/4201040/838379
前言:
通过在每一台客户机上配置本地安全策略,可以加强工作组中计算机的安全性。在域环境中,
如果要对多台客户机进行同样的安全设置,是否需要在每一台计算机是上单独配置呢?答案
是否定的,可以通过组策略对多台客户机进行统一配置。本篇博文通过两个案例的实施,介
绍组策略的作用,如何创建组策略,组策略的应用顺序,配置组策略的继承、阻止继承、强
制生效和筛选等功能,最后介绍通过组策略完成软件的分发。
---------------------------------------------------------------------
本案例紧接着“企业部署Windows域实验案例”“企业域控DC管理案例”进行实施。
---------------------------------------------------------------------
组策略简介:
组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机
制。通俗来说,它是介于控制面板和注册表之间的一种修改系统、设置程序的工具。利用组
策略可以修改Windows系统的桌面、开始菜单、IE浏览器以及其他组件等许多设置。
通过在域中实施组策略,管理员可以很方便的管理 Active Directory 中的所有用户和计算
机的工作环境,如用户桌面环境,计算机启动/关机与用户登录/注销时执行的脚本文件、软
件安装、安全设置等,大大提高了管理员管理和控制用户和计算机的能力。
使用组策略带来的几点好处:
1)减少管理成本,因为只需设置一次,相应的用户或计算机即可全部应用规定的设置。
2)减少用户单独配置错误的可能。
3)可以针对特定对象(用户和计算机)实施特定策略。
-------------------------------------------------------------------------------
案例环境一: 组策略应用
某公司网络采用Windows Server 2008域环境进行管理,各部门员工用户账户都位于各自部
门的OU中,OU“销售部”中包含员工用户账户UserA、UserB,OU“财务部”中包含用户账
户UserC,OU“人事部”中包含用户UserD,默认OU“computer”中包含客户机Windows7。
现在公司要求销售部员工应用统一的桌面背景,不能随意更改,其他各部门员工可以自定义
其桌面背景。
案例描述:
1)在OU“销售部”下新建GPO“wallpaper_sales”。
2)对GPO“wallpaper_sales”进行设置,为销售部员工设置统一桌面。
预备知识:
组策略的所有配置信息都存放在GPO(Group Policy Object,组策略对象)中,组策略被
视为Active Directory中的一种特殊对象,可以将GPO和活动目录的容器(站点、域和OU)
连接起来,以影响容器中的用户和计算机。组策略是通过组策略对象来进行管理的。
默认组策略:
当Windows Server 2008 域创建完成时,默认有两个GPO。一个是Default Domain Policy
(默认域策略),另一个是Default Domain Controller Policy(默认域控制器策略),
查看这两个GPO的方法:在“开始”-“管理工具”中打开“组策略管理”控制台(或者在
“开始”-“运行”中输入打开“组策略管理”控制台)。展开左侧窗口中的各个
节点,找到“组策略对象”,打开后就可以看到这两个默认的GPO,如下图所示:
GPO链接:
GPO用来保存组策略,必须进一步指定GPO所链接的对象才能将组策略应用到指定对象。GPO
只能链接至Active Directory的站点、域或组织单位。此站点、域和组织单位,统称为SDOU
(Site、Domain、Organizational Unit),即为活动目录的容器,容器中包含的用户和计
算机这两种活动目录对象会受到组策略的控制。
单击组策略对象中的“Default Domain Controllers Policy”,在右侧窗口中可以看到该
GPO已经链接到了组织单位“Domain Controllers”,如下图所示:
单击组策略对象的“Default Domain Policy”,在右侧窗口中可以看到该GPO已经链接到
了域(此处为)。如下图所示:
组策略中包含计算机和用户配置。计算机配置对容器中的计算机起作用,用户配置则对容
器中的用户起作用。
案例实施:
1)准备域控制器和客户机。
1.正确配置各主机的网络参数,确保从客户端能正确登录。
(具体步骤请参考我的前两篇博文:1.“企业部署Windows域实验案例”2.“企业域控DC
管理案例”)
2.准备一张图片“wallpaper_”,充当统一的桌面背景。 (自恋一下,拿张自己
的照片,哈哈)
3.将上面的图片放置在域控制器DC01的共享文件夹wallpaper中,域用户对该文件夹拥有
读取权限。
共享权限+NTFS权限设置即可
2)在OU“销售部”上新建GPO并对其编辑。
1.在OU“销售部”上新建GPO,名为“wallpaper_sales”。
2.编辑GPO“wallpaper_sales”,设置应用墙纸“wallpaper_”。
3)验证结果。
1.使用用户账户UserA或UserB登录域,应用的是统一的桌面背景。(使用Windows的桌面
个性化是修改不鸟桌面的)
2.使用用户帐户UserC或UserC登录域,应用的是自定义桌面背景。
通过个性化可以任意更改桌面。
如果组策略未生效,可以分别在域控制器和客户机上运行“gpupdate /force”命令刷新组
策略。
案例环境二:组策略的应用规则
企业Windows域环境中的组策略应用案例二
/4201040/840003
前言:
组策略的影响方位非常广泛,域内所有的用户和计算机都可能会受到约束,因此,应用组策
略之前应明确组策略的各种应用规则,如组策略的继承与阻止、累加与冲突和强制生效等,
以方便利用这些规则顺利的实现用户的需求。
上一篇博文:企业Windows域环境中的组策略应用案例一 :
/4201040/839500
在上一篇博文中我通过一个案例“创建组策略”详细介绍了什么是组策略、组策略的作用、
如何创建组策略等。本篇博文是上篇博文的延续,通过案例二,来介绍组策略的应用顺序、
配置组策略的继承、阻止继承、强制生效和筛选等功能,最后介绍通过组策略完成软件的分
发。
-----------------------------------------------------------------
本案例紧接着“企业部署Windows域实验案例”“企业域控DC管理案例”进行实施。
-----------------------------------------------------------------
组策略的继承与阻止:
在默认情况下,下层容器会继承来自上层容器的GPO。如下图所示,OU“销售部”会继承域
“”的组策略;子OU“销售部_北京”和“销售部_上海”会继承其上级OU“销售
部”的组策略。
子容器也可以阻止继承上层容器的组策略。在上图中,若OU“销售部_北京”不需要应用来
自上级OU的组策略,可以右击“销售部_北京”,在其弹出菜单中选择“阻止继承”,如下
图所示,这样OU“销售部_北京”就不会应用任何组策略。
组策略的累加与冲突:
如果容器的多个组策略设置不冲突,则最终的有效策略是所有组策略设置的累加。
如果容器的多个组策略设置冲突(对相同项目进行了不同设置),组策略则按以下顺序被应
用:LSDOU。它表示 本地(Local)、站点(Site)、域(Domain)、组织单位(Organizational
Unit)。默认情况下,当策略设置发生冲突时,后应用的策略将覆盖前面的策略。
每台运行Windows版本系统的计算机都只有一个本地组策略对象。如果计算机在工作组环境
下,将会应用本地组策略对象。如果计算机加入域,则除了受到本地组策略的影响,还可能
受到站点、域和OU组策略对象的影响。如果策略之间发生冲突。则后应用的策略其作用。
总之:组策略按如下顺序应用。
1)首先应用本地组策略对象。
2)如果有站点组策略对象,则应用。
3)然后应用域组策略对象。
4)如果计算机或用户属于某个OU,则应用OU上的组策略对象。
5)如果计算机或用户属于某个OU的子OU,则应用子OU上组策略对象。
6)如果同一个容器下链接了多个组策略对象,则链接顺序最低的组策略对象最后处理,因
此它具有最高的优先级。
组策略的强制生效:
根据上面的介绍,下级容器可以对上级容器的GPO采用阻止继承的操作,或者下级容器设置
一个与上级容器相对冲突的GPO,从而使上级容器的GPO不能生效。如何使上级容器的GPO
强制生效呢?
如下图步骤所示:可以实现强制下级生效上级的某个GPO
“强制生效”会覆盖“阻止继承”设置,这也成为网络管理员对网络进行统一管理的一种方
法。
筛选:
上面介绍的GPO都应用于容器下的所有用户和计算机。但实际环境中会有这样的需求:例如
销售部的所有普通用户都受GPO约束,而销售部经理的账户不受此约束,这个功能要依靠筛
选来实现。筛选可以实现阻止一个GPO应用于容器内部特定用户和计算机。
容器中的用户和计算机之所以受GPO的影响,是因为他们对GPO拥有读取和应用组策略的权
限。如果用户或计算机账户没有读取和应用组策略的权限,组策略将拒绝执行。
软件分发:
网络管理员在布置域中软件时,常常需要在很多太计算机上对同一软件进行安装或卸载。如
果在每台计算机上重复这些操作,工作量大而且容易出错,有没有一种能减少工作量的方法
呢?利用GPO设置软件分发策略,可以实现对容器下所有用户和计算机的软件管理。有效提
升软件部署效率。
利用GPO给容器下的计算机或者用户分发软件,需要经过以下几个步骤:
1)获取Windows安装程序包文件;该程序包含一个 .msi 文件已经必要的相关的安装文
件。
2)将安装程序包文件存放到一个软件分发点。软件分发点是服务器上的一个共享文件夹,
用户都有访问权限。
3)创建或修改GPO,该GPO包含软件分发的内容。
------------------------------------------------------------------
案例环境二: 组策略的应用规则
某公司网络采用Windows Server 2008 域环境进行管理,各部门员工用户账户都位于各自
部门的OU中,OU“销售部”中包含普通员工用户帐户UserA、UserB和部门经理用户账户
ManagerA,OU“财务部”中包含用户账户“UserC, OU“人事部”中包含用户UserD,默认
OU“computer”中包含客户机Windows7。现在公司要求全体员工都不能运行命令提示符,
除销售部员工要使用统一的桌面背景,销售部员工使用销售部统一的桌面背景,销售部经理
可以自定义桌面背景。
案例描述:
1)使用默认域策略禁止所有用户运行命令提示符。
2)使用默认域策略为所有员工设置公司的统一桌面背景。
3)利用组策略的应用顺序原则,在OU“销售部”下新建GPO“wallpaper_sales”,为销售
部员工设置统一桌面。
4)使用筛选规则使销售部经理可以自定义桌面背景。
案例实施:
1)准备域控制器和客户机。
1.正确配置各主机的网络参数,确保从客户端能正确登录域。
(本案例紧接着“企业部署Windows域实验案例”“企业域控DC管理案例”进行实施,具
体步骤请参考)
2.准备两张图片,“wallpaper_”充当公司统一的桌面背景;
“wallpaper_”充当销售部统一的桌面背景。
3.将上面的两张图片放置在域控制器DC01的共享文件夹wallpaper中,域用户对该文件夹
拥有读取权限。
(设置相应的共享可NTFS权限即可)
2)编辑默认域策略对其进行配置。
1.编辑默认域策略,启用选项“阻止访问命令提示符”。
2.编辑默认域策略,设置应用墙纸“wallpaper_”。
3)在OU“销售部”上新建GPO并对其编辑。
1.在OU“销售部”上新建GPO,名为“wallpaper_sales”。
2.编辑GPO“wallpaper_sales”,设置应用墙纸“wallpaper_”。
3.对GPO“wallpaper_sales”、委派权限,添加ManagerA的拒绝读取和拒绝应用组策略权
限。
4)验证结果。
1.使用UserA或UserB从客户机Windows7登录域,应用了销售部统一桌面背景,无法运行
命令提示符。
2.使用UserC和UserD从客户机Windows7登录域,应用了公司统一桌面背景,无法运行命
令提示符。
本文出自 “迷你兔” 博客,请务必保留此出处
/4201040/840003
发布评论