AD域的详细介绍

大家好，欢迎来到IT知识分享网。

1、什么是域

Domain：域（区域）是计算机网络的一种形式，其中所有用户账户，计算机，打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。

两个域之间可以通过建立信任（Trust）关系来进行联系。

2、内网的环境：

1）工作组：默认模式，人人平等，但是不方便管理

2）域：人人不平等，优点：可以实现集中管理、统一管理

3、域的组成：

1）域控制器（DC：Domain Controller）：老大，控制其他成员

2）成员机（之间还是平等的 ）

4、域的部署

1）安装域控制器DC—就生成了域环境

2）安装了活动目录AD（核心）—就生成了域控制器

通过安装活动目录：AD（Active Directory）来实现集中管理、统一管理里面放的是公司的公共资源，也叫域资源，比如在里面创建一个域账号a，就可以通过它来登录成员机的电脑。

内网一般会以公司的名字作为这个域的域名，例如：whh.com。每一个员工的电脑都会以员工的姓名作为主机名，那么这些电脑在域里面的名字就是例如：a.whh.com

域账号登录成员机的过程：

• 使用域账号进行登录
• 成员机检查本地没有这个账号
• 成员机向DNS服务器解析DC的IP
• 向DC汇报有人想要进行登录，将账号密码发送给DC
• DC在AD里面找有没有这个账号，有就返回可以登录的指示acess key
• 这时候成员机接到acess key就会让它登录并且在C:\user里面为a账号创建家目录和配置文件
• 登陆成功后成员机会问DC还有什么要求
• DC查询AD将组策略发给成员机
• 成员机按照组策略来加载一些特定要求，例如：强制成员机有特定桌面壁纸，不能更改

一般公司就不允许使用本地帐号进行登录，会为每一个员工创建一个域账号用来登录，想要访问域资源，必须使用域账号进行登录

注意：在域里面，DC必须与DNS完美搭档，一起配合使用，建议将DC同时设置为DNS（以下实验就是），这时候DNS就不需要再单独创建了，会自动配置这个域的区域文件，并且生成解析记录。

1）打开2008服务器，桥接到VMnet2，配置静态IP：192.168.0.88/24

2）安装活动目录AD

正在检测是否有合适的安装环境…检测完毕，出现安装向导

点击下一步，直到这块

勾上之后，点击下一步

选择在新林中新建域

什么是林

这时候我们发现了一个新名词：林，见名知意：就是好多域的组合（太大了一般用不到）

下一步，填写域名

检查是否有冲突

林控制级别：其中的域控制器服务器版本不能低于选中的级别

域功能级别：在域中的备份DC版本不能低于已选级别

下一步

下一步，选择是，创建文件目录

下一步，创建还原密码

下一步

确认没问题，点击下一步完成安装

勾选重新启动，等一会儿 

3）登录域MG\Administrator

DC的本地管理员自动升级为域管理员

验证AD是否安装成功

1、查看是否已加入域

2、查看DNS是否自动生成区域文件，自动注册DC的域名及IP解析记录

3、打开AD查看目录

查看目录

全局组（Global Group）

全局组，单域用户访问多域资源（必须是同一个域里面的用户）。只能在创建该全局组的域上进行添加用户和全局组，可以在域林中的任何域中指派权限，全局组可以嵌套在其他组中。

域本地组（Domain Local Group）

域本地组，多域用户访问单域资源（访问同一个域）。可以从任何域添加用户账户、通用组和全局组，只能在其所在域内指派权限。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。

通用组（Universal Group）

通用组，通用组成员来自域林中任何域中的用户账户、全局组和其他的通用组，可以在该域林中的任何域中指派权限，可以嵌套于其他域组中。非常适于域林中的跨域访问。

区别：

• 域本地组：用户来自于全林，作用于本域
• 全局组：用户来自于本域，作用于全林
• 通用组：用户来自于全林，作用于全林

本地域组的权限

• Administrators（管理员组）
• Remote Desktop Users（远程登录组）
• Print Operators（打印机操作员组）
• Account Operators（帐号操作员组）
• Server Operaters（服务器操作员组）
• Backup Operators（备份操作员组）

全局组、通用组的权限

• Domain Admins（域管理员组）
• Enterprise Admins（企业系统管理员组）
• Schema Admins（架构管理员组）
• Domain Users（域用户组）

成员机加入域（一台XP：192.168.0.86，一台win7：192.168.0.87），过程一样，这里用xp做演示

域用户的权限

组织单元OU（Organizational Unit）

组织单元是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。
性质是最小作用域或单元。
作用：用来归类域资源（域用户、域计算机、域组等）

组策略GPO（Group Policy）

作用：通过组策略可以修改计算机的各种属性，如：桌面背景、网络参数等

组策略在域中，是基于OU下发的。

创建一个共享文件夹，将背景图放进去

编辑组策略

编辑桌面墙纸策略，填写UNC路径

用户登录成员机，桌面配置成功，且不能更改


实验二：让西北地区的用户登录背景为西北独有照片

组策略的阻止继承及强制！

强制和阻止继承一起使用，强制生效！！！

A-G-DL-P策略

• A(account)，表示用户账号
• G(Global group)，表示全局组
• U(Universal group)，表示通用组
• DL(Domain local group)，表示域本地组P(Permission 许可)，表示资源权限。
• A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更容易。
• 在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了。

转自：AD域的详细介绍_我是大肥鼠的博客-CSDN博客_ad域