域—集中管理、統一管理
0 引言
1 概述
1.1 基本概念
1.2 部署域核心條件
1.3 活動目錄AD
2 部署域——以win2008為例。
2.1 步驟1：網路設定
2.2 步驟2：安裝活動目錄
2.3 驗證活動目錄是否安裝成功
2.4 步驟4：將winXP與win7加入域
2.5 步驟5：建立普通域使用者
2.6 常見小問題
3 組織單元OU
3.1 概念
3.2 建立
4 組策略GPO
4.1 概述
4.2 建立組策略
4.3 組策略下發原理及順序☆☆☆
4.3.1 正常情況下
4.3.2 上級設定了強制，下級未做特殊設定
4.3.3 上級未做特殊設定，下級設定阻止繼承
4.3.4 上級設定了強制，下級設定阻止繼承
4.4 下發組策略
4.4.1 桌面背景下發
4.3.2 禁用執行視窗
4.3.3 執行指令碼配置，使使用者登出時自動清空D盤垃圾檔案
4.3.4 使用者開機後不顯示按ctrl+alt+del進入命令，直接顯示賬戶密碼
4.3.5 密碼策略
4.3.6 賬戶鎖定策略
4.4 檢視配置了哪些組策略
參考文獻
0 引言
本節首先簡要介紹了域相關基本概念。其次詳細介紹了從還原快照開始配置域環境、客戶機接入、設定賬戶、設定OU、下發組策略（強制更換背景、上級強制、下級阻止繼承、自動執行指令碼、無需按ctrl+alt+del、命令及安全相關策略）。同時重點講解了組策略的下發機制及執行原理。

1 概述
1.1 基本概念
（1）域：Domain
（2）作用：用於集中管理、統一管理
（3）內網環境分類：

1）工作組：預設模式，人人平等。不方便集中管理。
2）域：人人不平等，可以實現集中管理和統一管理。
（4）檢視方式：右鍵計算機→屬性。

（5）域的組成

1）域控制器：DC（Domain Controller）一般是伺服器，可以設定多個。
2）成員機：成員機之間平等。
（6）管理員組

本地管理員組：administrators
域管理員組：Domain admins
1.2 部署域核心條件
（1）安裝域控制器——就生成了域環境。
（2）安裝了活動目錄——就生成了域控制器。
（3）組策略：GPO（group policy)，與活動目錄配合完成對各成員機的命令下達，在組策略中新建一張表，表中是某條規則，然後把該組策略應用到活動目錄中的某個部門。建立規則，將規則應用到域賬號，要求域內主機僅能用域賬號登入。
（4）DNS伺服器：負責解析域內各主機的域名與IP。域控制器兼做DNS伺服器。只要加入域，DNS就會自動建立及更新區域配置檔案。

1.3 活動目錄AD
1）活動目錄：AD（Active Directory）
2）特點：集中管理、統一管理。
3）概述：放著公司所有公共資源，可建立域賬號，域賬號可以登入域內所有成員機。AD是DC的核心，是域的核心，因此域也稱AD域、活動目錄技術。
tips:
（1）通常畫一個三角形，代表域。
（2）域有自己的名稱，叫做域名（其實是域名字尾）。域中的每臺計算機都有自己的主機名，與域名字尾組成FQDN.
（3）凡是有域的環境，公司所有的電腦，都要指向公司的DNS,而不是網際網路的DNS.
（4）當用域賬號登入成員機，成員機會去找DC，DC再去檢視活動目錄AD，能對應AD上的域賬號和密碼，則可以登入。

2 部署域——以win2008為例。
2.1 步驟1：網路設定
（1）開啟win2008虛擬機器，關閉防火牆（>>點選執行>>控制面板>>系統和安全>>windows防火牆），需要設定磁碟分割槽（>>右鍵計算機>>管理>>儲存>>磁碟管理）。

tips（win2008相關知識）:
①win2008調出桌面圖示。開始→搜尋→icon→調出。
②win2008中的相關windows元件已經內建到C盤中了，並不是像winxp那樣插光碟進行安裝。
③win2008中的相關windows元件去哪安裝：>>右鍵計算機>>管理>>角色（伺服器）>>新增角色。注意，本實驗的AD不在這裡安裝，這裡安裝的效果沒那麼好，微軟有AD特別的安裝途徑

（2）橋接到虛擬交換機上，如VMnet1.參考《IP地址詳解及其相關概念》
（3）配置靜態IP地址，如10.1.1.1/24。調出網路介面卡設定（右鍵網路選擇屬性或開啟網路和共享中心）→更改介面卡設定→右鍵本地連線→屬性→注意不勾選IPv6（否則可能會影響實驗），雙擊進入IPv4。參考《IP地址詳解及其相關概念》.本實驗可不配閘道器，由於不需要上網，另外不要指DNS,安裝活動目錄時才會彈出將DNS指向自己的對話方塊。

2.2 步驟2：安裝活動目錄
（1）開始→執行→dcpromo，該命令可安裝/解除安裝活動目錄。（解除安裝需要先將所有域成員剔除回工作組狀態，再把自己扁為普通主機）
（2）出現下圖提示，說明系統在檢測本機是否適合安裝活動目錄。

（3）合適即彈出安裝嚮導。暫時不適用高階嚮導，直接點選下一步。

（4）提示系統差異相容性問題。

（5）DNS相關配置。強烈建議在配置IP的時候不指定DNS伺服器，在此處進行設定。

（6）新建域。絕大多數中大型公司只有一個域；特別大的公司總部設有一個父域如xxx.com，另外分公司設有子域xx.xxx.com，構成域樹；更大的公司總部有父域xx1.com，後因新業務擴充套件新父域xx2.com，兩個或多個域樹構成域林。目前構成林的公司很少，林的命名以這個林中的第一個域來命名。

tips:
①一般公司只有一個域，而分公司與總公司之間通過拉專線，分公司的員工可以通過專線加入總部的域。
②有些特別大型的公司，總公司設定主域，分公司設定子域，構成域樹。

（7）設定第一個域的名稱。程式會自動檢查是否已經有林。

（8）設定林功能級別。根據公司規劃限制後續域控制器最低功能，本次實驗選擇2003。

（9）設定域功能級別。此處設定的是本域的功能級別，域中的其他DC不能低於此版本，子域不受此域功能級別控制，但受林功能級別控制。本次實驗設定2003。

（10）其他設定，直接點下一步。

（11）提示無法建立，點是。

（12）檔案儲存位置，不做修改，直接下一步。

（13）賬戶與密碼，此處為活動目錄的登入密碼（還原密碼），與win2008登入密碼沒有關係，僅當活動目錄出現故障時還原使用。

（14）域設定摘要，檢查設定是否滿足自己要求。

（15）安裝中，安裝完畢後需要重啟電腦。

2.3 驗證活動目錄是否安裝成功
（1）到此，該計算機已成為DC，原有管理員賬號已遷移至活動列表中，自動成為域管理員賬戶。

（2）登入域。用原來的本地管理員賬戶密碼登入，DC只能用域賬戶登入，其餘成員機可以使用本地賬戶登入（在組策略允許的情況下），但是不能享受域資源，只有用域賬戶登入才能享受域資源。
（3）檢視是否生成了域環境。右鍵計算機選擇屬性，計算機屬性顯示已成為域成員，但是未能反映是否時DC。建議作為DC的主機先將計算機名修改為DC後，在進行活動目錄安裝。

（4）檢視DNS。開始→管理工具→DNS。當有員工註冊成為域成員時，將自動生成解析記錄。

（5）檢視域管理相關工具。開始→管理工具→Active Directory 使用者和計算機。其中以AD使用者與計算機最為重要，資訊顯示如下。

2.4 步驟4：將winXP與win7加入域
（1）將winXP與win7與域設定在同一區域網下，均連線同一個交換機，如VMnet1，並配置固定IP（在同一網段），注意，一定要將DNS指向域控制器的IP地址，此實驗為10.1.1.1。

（2）右鍵計算機屬性→計算機名→更改→加入域。

（3）彈出登入視窗。新使用者加入域，需要獲取DC許可，建議使用域管理員賬戶登入確定。
win7不需要輸入域名，直接輸入賬戶即可。

（4）加入成功，會彈出“歡迎加入xx域”對話方塊，並點選確定重啟計算機，只要重啟才生效。

（5）在DC上檢視活動目錄，點選computers，可以看到新加入的成員機。

（6）DNS區域內容自動更新。

2.5 步驟5：建立普通域使用者
（1）進入DC，開始→管理工具→AD使用者與計算機→右鍵user→新建→使用者。

（2）設定顯示名以及使用者名稱，點下一步後設置密碼，完成。

（3）客戶機登入，介面跟伺服器登入相似，需要按三鍵登入。對於winxp，點選>>選項，在登入到中可以選擇登入域或登入本機；而對於win7，點選切換使用者>>新建使用者。可以通過組策略禁止登入本機。

2.6 常見小問題
（1）加入域不成功的問題

1）是否位於同一區域網中，能否ping通？主要表現為①是否橋接到同一個交換機；②是否配了同一個網段的IP。
2）解析是否能成功？主要表現為①是否指了DNS；②是否DC上沒有出現域（此實驗為zz.com)的解析記錄（可能是IPV6沒有取消勾選，使得域的解析記錄沒有自動生成）。
3）是否有DNS假快取？需要清空DNS快取。
（2）登入域失敗的問題
如winxp系統，如果已經勾選了域，賬號就不用再寫域的字首，直接寫域賬號；win是否寫了域的字首，如本實驗為"zz.com"。
（3）域使用者的許可權
在DC中設定的域使用者，登入成員機時，僅僅是普通使用者，未取得完全控制權限。當公司員工需要以域使用者對自己的電腦具有完全控制權時，若將該域使用者提升為域管理員是不合適的（太危險了，該員工可以完全控制其他員工的電腦），這時可以將該域使用者加入到它自己的計算機的本地管理員組中，以域管理員身份登入成員機，>>右鍵計算機>>管理>>本地使用者和組>>組>>右鍵administrators>>新增到組>>新增>>填寫域使用者名稱>>一直確定。

3 組織單元OU
3.1 概念
組織單位：OU（organization unit），用於歸類域資源方便下發組策略（域使用者、域計算機、域組，比如將資源按不同部門分類，如IT部的計算機及使用者放到IT的OU中，市場部的計算機及使用者放到市場部得OU中）。
注意，OU與組類似，均是為了分類，不過組的目的是為了賦許可權，而OU的目的是為了下發組策略。
3.2 建立
（1）進入DC，開始→管理工具→AD使用者與計算機→右鍵域名（此實驗為zz.com,zz.com可以稱為最大的OU)→新建組織單元。

（2）接下來可以在新建的zz公司這個OU下逐層建立組織架構，如下。

（3）當人事變動時，其OU也應相應調整。例如將上述設定的吳明移動到董事會（注意，不能刪除，每個使用者都有自己的SID，刪了再建個吳明，就不是之前的了），在Users中找到李白→右鍵→所有任務→移動→選擇“zz公司”下的董事會。同樣將杜明移動到市場部的西北區。回到OU檢視詳情如下：

（4）同樣可以對計算機也進行同樣的移動操作，方便後續組策略可以對使用者和對計算機分別進行限制和操作。

tips:
（1）對計算機和對使用者做限制是兩個方向，一個限制的是電腦，一個限制的是使用者。例如，要求某一部門所有使用者登入電腦時，均顯示公司背景，則該要求跟著使用者走，在那登陸都顯示公司背景；要求某一部門所有電腦登入時，均顯示公司背景，則該要求跟著計算機走，無論誰登入都顯示公司背景。
（2）建議將某使用者及其配套的電腦放到同一個OU中，方便控制和管理。

4 組策略GPO
4.1 概述
（1）GPO（Group Policy）
（2）作用：通過組策略可以修改計算機的各種屬性，如開始選單、桌面背景、網路引數、登入密碼複雜性、修改密碼最短時間與最長時間等。
（3）重點：組策略在域中，是基於OU來下發的。
（4）組策略有針對計算機與針對使用者兩種，針對計算機的策略將在開機和關機時執行，針對使用者的策略在登入與登出時執行。

4.2 建立組策略
（1）進入DC，開始→管理工具→組策略管理→右鍵zz公司→在這個域中建立GPO並在此處連結→命名建議與該OU一致。

（2）對每一級別均設定一個組策略。

4.3 組策略下發原理及順序☆☆☆
4.3.1 正常情況下
（1）一般情況下組策略執行順序：LSDOU，按這個順序逐級執行，當有衝突時，最後執行的會覆蓋前面執行的，最後執行者生效：

1）L：本地組策略；
2）S：站點；
3）D：域組策略：
4）OU：代表其所屬的一系列OU，逐級OU組策略；
（2）示例：
①以吳明為例：
本地桌面未配置；zz公司設定了zz.jpg，而後面一系列策略都未配置；
執行結果：吳明的桌面為zz.jpg。
②以吳明為例，吳明屬於董事會：
本地：桌面，未配置；刪除執行選單：未配置
上級OU(zz公司)：桌面，zz.jpg；刪除執行選單：啟用
下級級OU(董事會)：桌面，ceo.jpg；刪除執行選單：未配置
吳明的執行結果：桌面，ceo.jpg；刪除執行選單：啟用

4.3.2 上級設定了強制，下級未做特殊設定
（1）上級設定了強制：策略順序執行至強制，後續OU的組策略不執行。
（2）示例：
上級OU： 桌面牆紙：zz圖片； 執行：刪除
下級OU： 桌面牆紙：ceo.jpg ；執行：不刪除
下級OU的執行結果：桌面牆紙：zz圖片； 執行：刪除

4.3.3 上級未做特殊設定，下級設定阻止繼承
（1）下級設定阻止繼承：該級OU前的所有組策略均無效，從該級逐級往下執行：
（2）示例：
上級OU： 桌面牆紙：zz圖片； 執行：刪除
下級OU： 桌面牆紙：未配置 ；執行：不刪除
下級OU的執行結果： 桌面牆紙：未配置 ；執行：不刪除

4.3.4 上級設定了強制，下級設定阻止繼承
（1）當上級強制與下級阻止繼承同時設定時，強制生效，因為後續策略不執行。
（2）示例：
上級OU： 桌面牆紙：zz圖片； 執行：刪除
下級OU： 桌面牆紙：ceo.jpg ；執行：不刪除
下級OU的執行結果：桌面牆紙：zz圖片； 執行：刪除

4.4 下發組策略
舉例講解以下幾種組策略

4.4.1 桌面背景下發
練習：zz公司員工統一用某圖片為桌面背景。
公司員工需要用統一的桌面背景，那麼首先得有桌面背景圖片，且員工都能下載該圖片。那麼桌面背景圖片需要放在DC，且能供員工下載，要麼通過共享下載，要麼通過FTP下載，一般通過共享下載。共享檔案得建立及許可權參考《檔案共享伺服器—建立/訪問共享檔案及禁用共享服務》。
（1）DC機上設定共享資料夾，方便各個成員機在組策略需要時下載所需要的檔案。在DC中→D盤→新建資料夾share→該資料夾應保證所有域使用者都能訪問→右鍵該資料夾→屬性→共享→設定共享許可權。

（2）設定本地NTFS許可權，對該資料夾的安全選項，新增domain users組，並確保賦予讀取下載的許可權。

（3）將zz公司桌面背景圖，存於share資料夾下，確保其副檔名是組策略所允許的jpg或bmp的格式。
（4）將所有域使用者統一設定桌面背景圖片。右鍵zz公司組策略→依次展開→找到桌面桌布→雙擊開啟。

（5）點選已啟用，在圖紙名稱欄填寫網路地址+檔名+字尾。點選確定。

（6）先登出，再使用域使用者登入winxp，檢視桌面背景，若不成功，則重新整理下或重新登出再登入。桌面背景如下，域組策略執行成功。

（7）假如公司規定董事會成員需要用另外的桌面背景。對董事會組策略另外設定桌面背景，類似操作設定。注意，填寫路徑時需要填寫網路路徑，且圖片名需要帶副檔名。

（8）確保賬戶吳明是位於董事會組下，重啟電腦用吳明的賬戶登入，檢視桌面變化。該策略與zz公司組策略衝突，會覆蓋zz公司策略，而執行董事會這個組策略。

（9）假如公司改了規定，接下來一個月，公司所有成員的桌面背景均為zz.jpg。有兩種方法，一種是將董事會組策略下的桌面牆紙那個策略改為未配置，第二種是將zz公司組策略設定強制執行，設定後組策略執行到此就截止了，不受後續策略的影響。右鍵zz公司組策略→勾選強制。注意，此處對準組策略右鍵。

（10）阻止繼承的設定。右鍵董事會OU→阻止繼承，該級OU前的所有組策略均無效，從該級逐級往下執行。注意，上一步的zz公司組策略的強制需要取消，否則這裡不會生效；另外，此處對準OU右鍵。

4.3.2 禁用執行視窗
從“開始”選單中刪除“執行”選單，啟用就刪除，禁用就不刪除，未配置就保持其他配置。當該項策略啟用後，使用者無法通過win+r啟用執行視窗。

4.3.3 執行指令碼配置，使使用者登出時自動清空D盤垃圾檔案
（1）再DC上新建一個檔名為clear的檔案，修改後綴名為bat，輸入以下程式碼。

d:
cd\
cd tmp #進入垃圾資料夾
rd ./s/q #刪除
1
2
3
4
（2）在客戶機D盤下先新建一個tmp資料夾，並生成一堆垃圾檔案。
（3）找到使用者策略，雙擊登出。

（4）>>新增>>瀏覽，將剛剛寫好的批處理檔案黏貼到預設路徑下，選中該檔案，並·依次確定。

4.3.4 使用者開機後不顯示按ctrl+alt+del進入命令，直接顯示賬戶密碼
（1）理解該功能的實現是針對計算機還是使用者，由於是計算機開機時生效的，因此是針對計算機的。
（2）依次展開→找到該策略並雙擊→啟用。

4.3.5 密碼策略
（1）依次展開→找到該策略→啟用。

（2）複雜性原則：要求滿足3/4原則，及大小寫、特殊符號、數字，需要有其中至少三種。
（3）最短使用期限：限制不能頻繁修改密碼。
（4） 最長使用期限：要求定期改密碼，預設是42天。
（5）強制密碼歷史：不能重複使用歷史上最近幾種密碼。
練習：

4.3.6 賬戶鎖定策略
（1）依次展開→找到該策略→啟用。

（2）賬戶鎖定閾值：防止暴力破解，當錯誤輸入密碼的次數達到設定的次數後鎖定，之後即使輸入正確的密碼也進不去。需要等待一段時間或找域管理員在活動目錄中找到該使用者→右鍵→屬性→解鎖。
（3）賬戶鎖定時間：當賬戶鎖定時需要等待的時間，過了這段時間後輸入正確的密碼才有效。
（4）重置賬戶鎖定計數器：設定時間，從開始輸錯密碼後開始計時，達到設定時間後輸錯密碼次數重置為0，可重新輸密碼。設定時間要等於或小於賬戶鎖定時間。一般設定等於賬戶鎖定時間。

4.4 檢視配置了哪些組策略

參考文獻
[1] 第15節 域
————————————————
版權宣告：本文為CSDN博主「像風一樣9」的原創文章，遵循CC 4.0 BY-SA版權協議，轉載請附上原文出處連結及本宣告。
原文連結：https://blog.csdn.net/m0_64378913/article/details/122075450