學習視訊連結：

https://www.bilibili.com/video/BV1JA411x7HM?p=2

安全域的劃分：

DMZ：

DMZ的作用就是緩衝的作用，外網無法直接訪問內網，但是需要獲取內網的資源，就通過外網訪問DMZ，DMZ訪問內網來獲取，上圖的網路安全等級可劃分為三個層次，第一個層次是 外網，也是安全係數最低的，第二個層次就是DMZ區域，安全係數中等，第三個區域就是內網區域，安全係數最高。一般在DMZ區域定製訪問策略。其實很多時候，我們通過網頁打進內網，並不是實際意義上的內網，而是DMZ區域。

域中計算機分類：

• 域控制器
• 成員伺服器
• 客戶機
• 獨立伺服器

首先需要先了解域中活動目錄的概念：

參考文章：https://blog.51cto.com/343308530/1211854

1、活動目錄

要建立Windows域，首先必須理解活動目錄的概念，因為域與活動目錄是密不可分的。那麼，什麼是活動目錄呢？嚴格的說，活動目錄是Windows網路中的目錄服務。對於目錄服務的概念，實際上包含兩層含義：一是活動目錄是一個目錄; 二是活動目錄是一種服務。

這裡所說的目錄不是一個普通的檔案目錄，而是一個目錄資料庫，它儲存著整個域（或整個Windows網路）的使用者賬號、組、印表機、共享資料夾等活動目錄物件的相關資料。這使得使用者可以非常方便地、快速地找到所需資料，也可以方便地對活動目錄中的資料執行新增、刪除、修改、查詢等操作，所以，所以活動目錄也是一種服務。

活動目錄提供了儲存網路上的物件資訊及網路使用者使用該資料的方法，活動目錄有以下特點.

●集中管理。

活動目錄集中組織和管理網路中的資源資訊，它好比一個圖書館的圖書目錄，圖書目錄存放了這個圖書館的圖書資訊，而Window的活動目錄就是Windows網路這個“圖書館”的一個“目錄”，通過它可以方便地管理各種網路資源。

●便捷的網路資源訪問。

活動目錄允許使用者一次登入網路就可以訪問網路中的所有該使用者有權訪問的資源。並且，使用者訪問網路資源時不必知道資源所在的物理位置。活動目錄允許快速、方便地查詢網路資源。網路資源主要包含使用者賬戶、組、共享資料夾、印表機等。

●可擴充套件性。

活動目錄具有強大的可擴充套件性。目錄可以隨著公司或組織的增長而一同擴充套件，允許從一個網路物件較少的小型網路環境發展成大型網路環境。

2、域和域控制器

域是在Windows網路環境中組建客戶機/伺服器網路的實現方式。所謂域，是由網路管理員定義的一組計算機的集合，實際上就是一個網路。在域中，至少有一臺稱為域控制器的計算機，充當伺服器的角色。在域控制器中儲存著整個域的使用者賬號和安全資料庫，即活動目錄資料庫。管理員可以通過修改活動目錄資料庫的配置，實現對整個域的管理和控制。如管理員可以在活動目錄為每個使用者建立域使用者賬號，使他們可登陸域並訪問域的資源。同時，管理員也可以控制所有域使用者的行為，如控制使用者能否登陸，在什麼時間登陸，登陸後能執行哪些操作等。而域中的客戶計算機要訪問域的資源，必須先加入域，並通過管理員為其建立的域使用者賬號（即管理員在域控制器中建立的賬號）登陸域。同時，也必須接受管理員的控制盒管理。總之，建立域後，管理員可以對整個網路實施集中控制和管理。

簡單來說，有活動目錄資料庫的計算機就是域控制器。

DC是Domain Controller的縮寫，即域控制器， AD是active directory的縮寫，即活動目錄。
Domain Controller是一臺計算機，實現使用者，計算機，目錄的統一管理。

域控制器和成員伺服器以及獨立伺服器都是可以相互轉換的，比如說 域內只有唯一臺計算機，即 域控制器 ，這臺計算機如果把 活動目錄給刪了，就會變成獨立伺服器，如果這個域內不只有域控制器，還有其他別的計算機，如果域控制器把活動目錄給刪了，這臺域控制器就會變成 成員伺服器 。

計算機屬於這個域，是這個域的成員，就叫這個域的成員伺服器，如果不屬於這個域，和這個域沒有任何關係，就叫獨立伺服器，獨立伺服器加入域之後就會變成成員伺服器。

1.域控制器

域控制器是安裝活動目錄（ActiveDirectory）的計算機。域控制器主要負責管理使用者對網路的各種許可權，包括登入網路、賬號的身份驗證以及訪問目錄和共享資源等。WindowsNTServer4.0中的域控制器根據功能可以分為主域控制器（PDC）和備份域控制器（BDC）兩種。而在 windows2000中已不存在此區別，所有的域控制器都是平等的。也就是說，當把windowsNTServer4.0的備份與控制器加入到 windows200Server域時，會自動升級為域控制器。當一個網路中只存在一臺windows2000Server伺服器時，一般要設定為域控制器。

2.成員伺服器

成員伺服器不能作為獨立的伺服器，只能是域的成員。它不處理與賬號相關的資訊，如登入網路，身份驗證等，不需要安裝活動目錄，也不儲存與系統安全策略相關的資訊。但是，在成員伺服器上可以為使用者或組設定訪問許可權，允許使用者連線到該伺服器並使用相應資源。成員伺服器一般也執行有 windows2000Server/AdvancedServer作業系統，主要用於以下型別的伺服器：專用伺服器。應用伺服器、Web伺服器、資料庫伺服器、遠端訪問伺服器等。在中小型區域網中，如果不構建內部的Web伺服器，一般很少使用成員伺服器。

3.獨立伺服器

獨立伺服器是指雖然執行有Windows2000Server作業系統，但不作為域成員的計算機。也就是說它是一臺具有獨立操作功能的計算機，在此計算機上不再提供其他使用者的賬號資訊，也不提供登入網路的身份驗證等工作。獨立伺服器可以工作組的形式與其他計算機組建成對等網，在訪問其他計算機資源的同時，也可將自己的資源提供給其他計算機訪問。

當初次安裝windows2000Server時，可以選擇是域控制器、成員伺服器或獨立伺服器。在安裝後，伺服器還可以根據應用需要進行調整，即可以將域控制伺服器降級為成員伺服器或獨立伺服器，也可以在成員伺服器或獨立伺服器上安裝活動目錄（ActiveDirectory）來升級成域控制器。本實驗我們的目的是組建一個windows2000Server小型區域網，這類區域網中一般只有一臺伺服器，所以這臺伺服器一定是域控制器。

內許可權：

關於全域性組，本地組和通用組，看了幾遍也不明白通用組，全域性組，本地組的概念，問了大佬之後說可以不用瞭解，這裡先掠過，不過如果真的有三分之一必要的話，還是應該深度研究。

放一篇文章： https://www.cnblogs.com/IvanChen/p/4494696.html

可以看到，通用組的許可權很大。一般的話是不會把賬號直接新增到通用組的，先會新增到全域性組，然後再把全域性組中比較穩定的賬號新增到通用組中。

A-G-DL-P策略

內建組許可權

把全域性組，本地組，和通用組統稱為內建組。這些組有相對應的許可權。

比較重要的幾個本地組的許可權

第一個就是管理員組，在活動目錄中預設有管理員組，在域中是最強大的組。

第二個就是印表機操作員組，這個組的成員可以管理印表機，建立、管理、以及刪除網路印表機，還有一個特點就是可以本地登入域控制器，關閉域控制器

第三個就是賬號管理員組，可以建立或者管理域中的使用者和組，並可以設定許可權，但是有一個特點就是不能更改管理員組的賬號和密碼，預設還可以本地登入到域控制器

第四個就是伺服器管理員組，這一組的成員可以管理域伺服器，可以建立，刪除，管理任何伺服器裡面的共享目錄，比如網路印表機，關閉域控制器，等等

第五個就是備份組，備份組的成員可以在域控制器中執行備份和還原操作，並可以在本地登入和關閉域控制器

第六個就是遠端登入組，授予遠端登陸的許可權

接下來介紹幾個全域性組和通用組的許可權

第一個就是域管理員組，如果希望某使用者成為域管理員，直接把他新增到這個組中即可

第二個就是企業系統管理員組