关于AD域管理及其权限划分概论:
1. AD域源于微软,适用于windows,为企业集中化管理和信息安全提供强力保障。
2. 提供域中文件夹共享,但同时又对不同用户有不用的权限。
3.通过对设备限制USB接口,网络访问特定网站来实现对企业内部信息的保护和防止流失。
4.个人文件夹可以重定向到服务器文件夹上,实现真正的在同一个域中使用者数据不受固定PC限制既数据跟随用走。
5.用户的权限不需要定制,只需要加入若干个带有不同权限属性的固定组就可以获得相应的权限功能。
我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台Windows服务器,然后将其升级为域控制器。然后创建第二台域控制器,一台成员服务器与一台加入域的Win8计算机。
环境
网络192.168.100.1 子网掩码 255.255.255.0 网关192.168.100.2
域名 contoso.com
DC1 192.168.100.11/24
DC2 192.168.100.12/24
Server 192.168.100.13/24
PC1 192.168.100.14/24
创建域的必备条件
- DNS域名:先要想好一个符合dns格式的域名,如 contoso.com
- DNS服务器:域中需要将自己注册到DNS服务器内,瓤其他计算机通过DNS服务器来找到这台机器,因此需要一台可支持AD的DNS服务器,并且支持动态更新(如果现在没有DNS服务器,则可以在创建域的过程中,选择这台域控上安装DNS服务器)
注:AD需要一个SYSVOL文件夹来存储域共享文件(例如域组策略有关的文件),该文件夹必须位于NTFS磁盘,系统默认创建在系统盘,为了性能建议按照到其他分区。
创建网络中的第一台域控制器修改机器名和ip
先修改ip地址,并且将dns指向自己,并且修改计算机名为DC1,升级成域控后,机器名称会自动变成dc1.contoso.com
安装域功能
选择服务器
选择域服务
提升为域控制器
添加新林
此林根域名不要与对外服务器的DNS名称相同,如对外服务的DNS URL为http://www.contoso.com,则内部的林根域名就不能是contoso.com,否则未来可能会有兼容问题。
- 选择林功能级别,域功能级别。、
此处我们选择的为win 2012 ,此时域功能级别只能是win 2012,如果选择其他林功能级别,还可以选择其他域功能级别
- 默认会直接在此服务器上安装DNS服务器
- 第一台域控制器必须是全局编录服务器的角色
- 第一台域控制器不可以是只读域控制器(RODC)这个角色是win 2008时新出来的功能
- 设置目录还原密码。
目录还原模式是一个安全模式,可以开机进入安全模式时修复AD数据库,但是必须使用此密码
出现此警告无需理会
系统会自动创建一个netbios名称,可以更改。
不支持DNS域名的旧系统,如win98 winnt需要通过netbios名来进行通信
- 数据库文件夹:用了存储AD数据库
- 日志文件文件夹:用了存储AD的更改记录,此记录可以用来修复AD数据库
- SYSVOL文件夹:用了存储域共享文件(例如组策略)
如果计算机内有多个硬盘,建议将数据库与日志文件夹分别设置到不同的硬盘内,分两个硬盘可以提供运行效率,而且分开存储可以避免两份数据同时出现问题,以提高修复AD的能力。(不过我认为现在都是RAID模式了没必要分开,和操作系统分区分开就可以了)
顺利通过检查,直接安装
安装完成重启
域控会将自己扮演的角色注册到DNS服务器内,以便让其他计算机能够通过DNS服务器来找到域控。因此先检查DNS服务器内是否已经存在这些记录。需要用域管理员账户来登陆contosoadministrator.
检查主机记录
选择管理工具-dns
默认会有一个contoso.com的区域,主机记录表示域控dc.contoso.com已经正确的将其主机名与IP地址注册到DNS服务器内。
如果域控制器已经正确的将家里注册到dns服务器,应该还会有_tcp _udp等文件夹。单击_tcp文件夹后可以看到数据类型为服务位置(SRV)的_ldap记录,表示dc1.contoso.com已经正确的注册为域控制器。还能看到_gc记录全局编录也是由dc1.contoso.com所扮演。
排除注册失败的问题
如果域成员本身的设置或者网络问题,会造成无法将数据注册到DNS服务器。
如果有成员计算机的主机与ip美元正确注册到DNS服务器,可以到此机器上运行ipconfig /registerdns来手动注册。完成后,到DNS服务器检查是否已有正确记录,例如server1.contoso.com,ip地址192.168.100.13则坚持区域contoso.com是否有对应的a记录和ip。
如果发现域控制器没有将其扮演的角色注册到dns服务器,也就是没有_tcp文件夹与记录,到服务器中重启netlogon服务
如果一个域内有多个域控制器,可以有如下好处.
- 提高用户登录的效率:如果同时有多台域控制器对客户提供服务,可以分担审核用户登录身份(账户与密码)的负担,让用户登录效率更佳。
- 排错功能:如果有域控制器发生故障,此时依然能有其他正常的域控制器继续提供域服务器。
我们将dc2.contoso.com升级为域控制器
首先改名,改ip
后面都和前面一样安装功能
这里不同,将域控添加到现有域,输入域名contoso.com,并且输入现有权限添加域控的账户contosoadministrator的密码。
只有Enterprise Admins和Domain Admins内的用户有权限创建其他域控制器。
选择从其他域控复制
安装完成后机器会重启,然后在检查DNS记录。
修改dns指向
修改dc1和dc2的dns互相将各自的首选dns指向对方域控
Windows加入域后,就可以访问ad数据库和其他域资源。可以被加域的计算机:
Windows server 2012(R2)
Windows server 2008(R2)
Windows server 2003(R2)
Windows 8
Windows 7
Windows vista
Windows xp
将windows计算机加入域
我们要将server.contoso.com机器加入域。
先将机器改名改ip。
输入域名和域账户密码
如果报错,请检查dns是否指向域控。
完成后我们可以使用域账户登录此台服务器
计算机名后已自动加上域名
脱离域
只要输入工作组并点击确定
我们有时管理员管理不过来是可以将开账户的权限委派改其他各个部门的行政,委派给他们后,他们当然是不能登陆域控的,这时就要在他们的计算机上安装ad管理工具
Windows server 2012
添加功能中,添加远程服务器管理工具
Windows8 和Windows7
都去官网下载Remote Server Administration Tools for Windows8/7
创建组织单位与域用户账户可以将用户账户创建到任何一个容器或组织单位(OU)内。先创建业务部的OU.然后再创建用户。
创建组织单位
点击 Active Directory管理中心
输入名称
创建用户
业务部-新建用户
- 用户UPN登录:用户可以利用这个域电子邮箱格式相同的名称(wang@contoso.com)来登录域,此名称被称为User Principal Name(UPN)。此名在林中是唯一的。
- 用户名SamAccountName登录:用户也可以利用此名称(contosowang)来登录。其中wang是NetBios名。同一个域中此名称必须是唯一的。Windows NT Windows 98等旧版系统不支持UPN,因此在这些计算机上登录时,只能使用此登录名。
使用新账户登录域
我们使用2种方法来登录域
除了域Administrators等少数组内的成员外,其他一般域账户默认无法登陆到域控上,除非另外开放。
赋予用户在域控登录权限
一般用户必须在域控上拥有允许本地登录的权限,才能在域控上登录。此权限可以用过组策略来开放。
系统管理工具-组策略管理
计算机配置-策略-windows设置-安全设置-本地策略-用户权限分配-允许本地登录,然后将用户或组加入到列表内
组策略配置完成需要应用到域控才有效,应用方法有三种:
- 将域控制器重启
- 等域控制器自动应用此策略,可能需要等待5分钟或更久
- 手动应用:到域控制器上运行gpupdate或gpupdateforce
多台域控制器的情况
如果域内有多台域控制器,则设置的安全设置值,先被存储到PDC操作主机角色的域控制器内,默认由第一台域控制器扮演。
Active Directory用户和计算机-选择contoso.com右键操作主机
需要等待设置值从PDC操作主机复制到其他域控制器后,他们才会应用这些设置值。什么时候应用分两种情况:
- 自动复制:PDC操作主机默认15秒后悔自动将其复制出去,因此其他域控制器可能需要等15秒或更久才能接受到此设置值。
- 手动复制:到任何一台域控制器上选择Active Directory站点和服务-Sites-Default-First-Name Servers单击要接收设置的域控制器-NTDS Settings-立即复制。如下图DC1是操作主机,DC2是需要接收的域控
如果是组策略设置,则他先辈存储在PDC操作主机内,但如果Active Directory用户账户或其他对象有改动,则这些改动会先被存储在所连接的域控制器,同时系统默认会在15秒后自动将此改动数据复制到其他域控制器。
如果要查询目前连接的域控制器,可以如下图在Active Directory管理中心控制台中将鼠标指针对着图中的contoso,他就会显示所连接的域控制器。如果要更改连接其他控制器,单击更改域控制器。
每个域用户账户内部都有一些相关的属性数据,例如地址 电话等,域用户可以通过这些属性来查找Active Directory内的用户,因此这些数据越完整越好。
我们可以限制用户的登录时间已经能用使用某些计算机来登录域。
如下图只能允许用户在正常上班时间内登录电脑
默认用户可以登录所有非域控制器的成员计算机,不过可以限制他们只能利用某些特定计算机来登录域。如下图限制只能登录server计算机。
为了让支持目录访问的应用程序,可以在没有域的环境内享有目录服务的好处,Windows Server 2012内提供了Active Directory轻型目录服务 AD LDS,它可以让你在计算机内创建多个目录服务器的环境,每个环节被称为一个AD LDS实例,每个实例拥有独立的目录设置,架构,数据库。
在旧版的操作系统中,如果系统管理员误将ad对象删除,就需要进入目录服务还原模式。还原麻烦,并且在还原好重启时,域无法提供服务。
虽然windows server 2008 R2新增了ad回收站,让系统管理员不需要进入目录服务还原模式,就可以救回被删除的对象,但是却不是很好用,例如需要通过复杂的命令与步骤。
Windows server 2012 的ad回收站又有了进一步的改良,他提供容易使用的图像界面管理工具。
要启用ad回收站,林与域功能级别必须是Windows Server 2008 R2(含)以上的级别。注意,一旦启用回收站,就无法在禁用,因此域与林功能基本也无法在被降级。
启用Active Directory回收站
打开Active Directory管理中心,单击左侧的域名contoso,单击右侧的启用回收站
报错了
因为域内有多个域控制器,需要等设置值被复制到所有的域控制器后,ad回收站功能才会完全正常。(我做实验,节约性能还有一台辅助域控没有打开)
开启辅助域控并复制设置值后再次开启回收站。
删除组织单位
试着将业务部删除,但是先将防止删除的选项删除
取消勾选防止意外删除。
接着删除业务部
还原组织单位
接下来,要通过回收站来救回组织单位,双击deleted objects。
选择要救回的组织单位,单击还原
可以通过降级的方式来删除域控制器,也就是将Actice Directory从域控制器删除。在降级前先注意以下事项:
如果域内还有其他域控制器存在,则它会被降级为该域的成员服务器。
如果这台域控制器是此域内的最后一台域控制器,域内也没有其他的域控制器存在了,因此域将被删除,而域控制器也将会被降级为独立的服务器。
注:建议先将成员服务器server.contoso.com脱离域,因为在域删除后,这台服务器的账户就无法登陆域了(域删除后,也可以再将成员服务器脱离域)。
必须是Enterprise Admins组的成员,才能有权限删除域内的最后一台域控制器。如果此域之下还有子域,请先删除子域。
- 如果此域控制器是全局编录服务器,请检查其所在站点内是否还有其他全局编录服务器,如果没有,请先指定另一台域控制器来扮演全局编录服务器,否则将影响用户登录。Active Directory站点和服务-Site- Defalut-First-Site-Name – Server-NTDS Setting并单击鼠标右键-属性-勾选全局编录
- 如果删除的域控制器是林内最后一台域控制器,则林辉被一起删除。Enterprise Admins组的成员才有权限删除这台域控制器与林。
删除域控制器步骤:
取消勾选
先降级
选择拥有权限的账户
如因为故障无法删除此域控制器(如,在删除时,需要能够连接企图域控制器,但是一直无法连接)此时可以勾选强制删除此域控制器。
属于降级后的本地administrator密码
降级后服务器会重启,并重新登陆
虽然这台服务器已经不再是域控了,不过此时域服务组件依然存在还是要继续去删除。
删除最后一台域控
当域中已经没有其他域控制器时,最后一台删除时会多此选项。
删除dns区域和应用程序分区
完成后将管理工具删除
