第15节 域之集中管理、统一管理

大家好，欢迎来到IT知识分享网。

0 引言

本节首先简要介绍了域相关基本概念。其次详细介绍了从还原快照开始配置域环境、客户机接入、设置账户、设置OU、下发组策略（强制更换背景、上级强制、下级阻止继承、自动运行脚本、无需按ctrl+alt+del、命令及安全相关策略）。同时重点讲解了组策略的下发机制及执行原理。

1 概述

1.1 基本概念

（1）域：Domain
（2）作用：用于集中管理、统一管理
（3）内网环境分类：

• 1）工作组：默认模式，人人平等。不方便集中管理。
• 2）域：人人不平等，可以实现集中管理和统一管理。

（4）查看方式：右键计算机→属性。

（5）域的组成

• 1）域控制器：DC（Domain Controller）一般是服务器，可以设置多个。
• 2）成员机：成员机之间平等。

（6）管理员组

• 本地管理员组：administrators
• 域管理员组：Domain admins

1.2 部署域核心条件

（1）安装域控制器——就生成了域环境。
（2）安装了活动目录——就生成了域控制器。
（3）组策略：GPO（group policy)，与活动目录配合完成对各成员机的命令下达，在组策略中新建一张表，表中是某条规则，然后把该组策略应用到活动目录中的某个部门。建立规则，将规则应用到域账号，要求域内主机仅能用域账号登录。
（4）DNS服务器：负责解析域内各主机的域名与IP。域控制器兼做DNS服务器。只要加入域，DNS就会自动创建及更新区域配置文件。

1.3 活动目录AD

• 1）活动目录：AD（Active Directory）
• 2）特点：集中管理、统一管理。
• 3）概述：放着公司所有公共资源，可建立域账号，域账号可以登录域内所有成员机。AD是DC的核心，是域的核心，因此域也称AD域、活动目录技术。

tips:
（1）通常画一个三角形，代表域。
（2）域有自己的名称，叫做域名（其实是域名后缀）。域中的每台计算机都有自己的主机名，与域名后缀组成FQDN.
（3）凡是有域的环境，公司所有的电脑，都要指向公司的DNS,而不是互联网的DNS.
（4）当用域账号登录成员机，成员机会去找DC，DC再去查看活动目录AD，能对应AD上的域账号和密码，则可以登录。

2 部署域——以win2008为例。

2.1 步骤1：网络设置

（1）开启win2008虚拟机，关闭防火墙（>>点击运行>>控制面板>>系统和安全>>windows防火墙），需要设置磁盘分区（>>右键计算机>>管理>>存储>>磁盘管理）。

tips（win2008相关知识）:
①win2008调出桌面图标。开始→搜索→icon→调出。
②win2008中的相关windows组件已经内置到C盘中了，并不是像winxp那样插光盘进行安装。
③win2008中的相关windows组件去哪安装：>>右键计算机>>管理>>角色（服务器）>>添加角色。注意，本实验的AD不在这里安装，这里安装的效果没那么好，微软有AD特别的安装途径

（2）桥接到虚拟交换机上，如VMnet1.参考《IP地址详解及其相关概念》
（3）配置静态IP地址，如10.1.1.1/24。调出网络适配器设置（右键网络选择属性或打开网络和共享中心）→更改适配器设置→右键本地连接→属性→注意不勾选IPv6（否则可能会影响实验），双击进入IPv4。参考《IP地址详解及其相关概念》.本实验可不配网关，由于不需要上网，另外不要指DNS,安装活动目录时才会弹出将DNS指向自己的对话框。

2.2 步骤2：安装活动目录

tips:
①一般公司只有一个域，而分公司与总公司之间通过拉专线，分公司的员工可以通过专线加入总部的域。
②有些特别大型的公司，总公司设置主域，分公司设置子域，构成域树。

2.3 验证活动目录是否安装成功

2.4 步骤4：将winXP与win7加入域

2.5 步骤5：创建普通域用户

2.6 常见小问题

（1）加入域不成功的问题

• 1）是否位于同一局域网中，能否ping通？主要表现为①是否桥接到同一个交换机；②是否配了同一个网段的IP。
• 2）解析是否能成功？主要表现为①是否指了DNS；②是否DC上没有出现域（此实验为zz.com)的解析记录（可能是IPV6没有取消勾选，使得域的解析记录没有自动生成）。
• 3）是否有DNS假缓存？需要清空DNS缓存。

3 组织单元OU

3.1 概念

• 组织单位：OU（organization unit），用于归类域资源方便下发组策略（域用户、域计算机、域组，比如将资源按不同部门分类，如IT部的计算机及用户放到IT的OU中，市场部的计算机及用户放到市场部得OU中）。
• 注意，OU与组类似，均是为了分类，不过组的目的是为了赋权限，而OU的目的是为了下发组策略。

3.2 创建

4 组策略GPO

4.1 概述

4.2 创建组策略

4.3 组策略下发原理及顺序☆☆☆

4.3.1 正常情况下

（1）一般情况下组策略执行顺序：LSDOU，按这个顺序逐级执行，当有冲突时，最后执行的会覆盖前面执行的，最后执行者生效：

• 1）L：本地组策略；
• 2）S：站点；
• 3）D：域组策略：
• 4）OU：代表其所属的一系列OU，逐级OU组策略；

（2）示例：
①以吴明为例：
本地桌面未配置；zz公司设置了zz.jpg，而后面一系列策略都未配置；
执行结果：吴明的桌面为zz.jpg。
②以吴明为例，吴明属于董事会：
本地：桌面，未配置；删除运行菜单：未配置
上级OU(zz公司)：桌面，zz.jpg；删除运行菜单：启用
下级级OU(董事会)：桌面，ceo.jpg；删除运行菜单：未配置
吴明的执行结果：桌面，ceo.jpg；删除运行菜单：启用

4.3.2 上级设置了强制，下级未做特殊设置

4.3.3 上级未做特殊设置，下级设置阻止继承

4.3.4 上级设置了强制，下级设置阻止继承

4.4 下发组策略

举例讲解以下几种组策略

4.4.1 桌面背景下发

（10）阻止继承的设置。右键董事会OU→阻止继承，该级OU前的所有组策略均无效，从该级逐级往下执行。注意，上一步的zz公司组策略的强制需要取消，否则这里不会生效；另外，此处对准OU右键。

4.3.2 禁用运行窗口

4.3.3 执行脚本配置，使用户注销时自动清空D盘垃圾文件

（1）再DC上新建一个文件名为clear的文件，修改后缀名为bat，输入以下代码。

d: cd\ cd tmp #进入垃圾文件夹 rd ./s/q #删除 

4.3.4 用户开机后不显示按ctrl+alt+del进入命令，直接显示账户密码

4.3.5 密码策略

4.3.6 账户锁定策略

4.4 查看配置了哪些组策略

参考文献

[1] 第15节 域