前言
文章内容应该称之为学习笔记,日常接触到的单位或者用户绝大多数都在IT资产这块投资挺多的,但可惜的是在硬件方面的投资并没有带动提高整体运用水平,这个原因是多方面的,就不做讨论了。
于是将此前的笔记整理,一方面将windows sever提供的相应服务进行梳理;另一方面就是方便自己随时查阅;若是能给需要的人有所帮助就更好了。
当然其中错漏之处还望高手加以指正。也欢迎同行共同探讨交流。
|
|
所有的出发点和网络环境的模拟均基于上图示意。
学习测试环境
VMware Workstation
Windows server 2016 180天试用版
域控制器可以和证书服务共存于一台物理服务器。
OS安装
域控制器-活动目录
目录
存储以某种方式相关联的对象的信息集合,例如通讯录。
活动目录(Active Directory)
是一个全面的目录服务管理方案,提供了对用户、计算机、打印机、文件、应用程序统一管理的方法。
Microsoft Active Directory 服务是Windows 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。
活动目录(Active Directory)主要提供以下功能:
①服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
②用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。
③资源管理:管理打印机、文件共享服务等网络资源。
④桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
⑤应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
其他相关概念[1]
工作组
将电脑划分到不同的组中,方便管理。
域
网络上的用户和计算机组成的一个逻辑组。
工作组模式与域模式的区别
工作组模式(workgroup):所有服务器独立管理,访问资源时,需要为每台服务器创建相同的账户。
域模式(domain):服务器,账户,统一资源管理、统一身份验证,管理员可以在一台服务器管理整个域,访问所有资源。多台客户端相同的配置只需要在域控制器上配置一次,自动应用于所有客户端。
域模式中对账户和资源统一管理的机制就是活动目录。域中所有的账户和资源都在活动目录数据库中登记,用户可以使用活动目录来查找和使用资源。
域控制器
域控制器:Domain Controller,安装了活动目录的计算机,在域环境中,域控统一管理账户数据库,所有的用户登录,资源访问认证等。
首先安装一台windows server服务器,安装完成后处于workgroup模式,把工作组模式的服务器提升为域控制器,然后把所有的工作组客户端加入到这个域控制器,就形成了域架构。
域控提升前需要配制好IP地址、子网掩码、网关,DNS指向自己(地址可以是自己的ip地址也可是127.0.0.1)。
一个域中可以有多台域控,每台域控之间地位平等,任意一台域控上更新的信息,会自动同步到其它域控当中。
在于控制器上便可以统一对用户、权限分配、安全策略、共享资源进行管理。
域和活动目录的关系
域是活动目录的一种实现形式,通过域来管理活动目录。
域控制器-活动目录安装
服务器设置固定地址;具体参数根据实际情况自行决定;
|
|
此处注意,截图时所做实验没有填写DNS但也并未影响安装,后在其他资料讲解中提到需要将DNS指向自己。
更改此虚拟机与物理网络的连接方式(至于原因目前没搞清楚);
|
|
安装域服务-活动目录;
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
域控制器-活动目录的配置
|
|
|
|
|
此处为根域名可以是申请或购买到的域名,如果没有购买域名或是只是内部使用则可随意命名,但如果有而且为方便日后在公司内部搭建其他功能服务器,例如邮件服务器则应输入正式的域名。注意:域名标准写法是不带www的,www的模式是主机名。 |
|
|
|
|
此项可默认,直接下一步。
|
|
|
|
|
|
|
如果此处出现红叉选项则无法安装,需要按照提示处理之后再进行安装。随后开始的安装都在后台进行,不要进行其他操作,更不要中断操作。 |
|
|
安装完成后出现提示,要求重新启动。并且在升级成域控制器后启动速度会变慢,因其承载的管理任务增多。
|
|
|
此登录时可以在登录名处输入“域名用户名(默认管理员)”或“域名.com用户名(默认管理员)”以及“用户名(默认管理员)@域名.com”的方式登录,密码均为之前设置的登录系统的密码。 |
|
|
|
|
客户机加入域-活动目录的配置
继续安装一台虚拟机;系统版本其实并无特殊要求;系统安装完成后需和域控制器处于同一网段。此时首选DNS需指向域控制器,因为默认环境下DNS和域控制器是存在与同一服务器中。
|
|
|
|
|
此时可以按照便于管理和区分的原则对计算机进行重新命名。 |
|
此处输入的账号也可以使用域控制器管理员的默认账号,即administrator。 |
|
|
成功加入之后系统提示重新启动。
|
在域控制器中如果没有创建新的用户前,只能使用administrator管理员账号。同时客户端的本地账号依然存在,还可以只登录本地用户。 |
|
|
|
客户端加域成功后,可以在此处查看验证。 |
域控制器-活动目录中用户(域用户)和计算机的管理
|
|
|
|
|
命令行模式也可完成,运行powershell: PS C:UsersAdministrator> net user ceshi01 Aa2763810@ /add;添加名为test01的用户,密码为A安763810@,密码必须符合复杂性要求; |
|
|
|
|
|
组织单位在有些资料或版本里面标识为OU。 |
|
|
|
|
|
|
|
|
|
此处原则上不能使用中文,否则登录域环境以外的地方会出现错误。 |
|
|
|
|
|
|
|
|
|
|
|
文件及文件夹的共享在此项里面设置。 |
|
|
|
|
|
|
|
此时可以另外安装一台客户端,分配好地址和网关,以及DNS之后(如果网内存在DHCP则不必手工指定);加入到域,可以使用刚建好的用户名和设置的密码登录。注意:其中的DNS一定要指向域控制器。 加入到域后登录时可以使用“域名新建用户名”的方式登录。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
客户端执行此命令则可立即生效,否则客户端只能在两个小时(最长)后生效。 |
域环境下的用户配置文件
配置文件由系统创建,用来保存用户的屏幕主题、鼠标设置,桌面文件等个性化信息。
单机用户的本地配置文件存放于c:user用户名;
漫游配置文件针对的是域环境,方便用户在域环境中的任何一台终端上使用自己习惯的配置。
配置步骤:
建立共享目(用于存放用户配置文件),例如d:profiles。并且开放权限,针对所有漫游用户赋予读写权限;
|
|
|
|
|
|
|
|
同时注意将权限设置为允许。
|
|
建立用户(参考之前的操作)
修改用户属性,针对其进行配置。
|
|
|
|
|
|
配置完成后不知道是测试环境的问题,还是因为域控制器配置问题,点击确定后出现错误,但是配置已经完成。
- 本节内容引用 作者:星空下的赶路人 原文链接:https://www.jianshu.com/p/df585f36f90来源:简书 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
