1. 程式人生 > >Windows Server 2012 域控 子域 只讀域 輔助域

Windows Server 2012 域控 子域 只讀域 輔助域

spa 分離 星期 主機 一次 應該 war 互訪 打印機

2018820

14:11

  1. 域與活動目錄

什麽是域

域(Domain)是Windows網絡中獨立運行的單位,域之間相互訪問則需要建立信任關系(Trust Relation)。信任關系是連接在域與域之間的橋梁。當一個域與其他域建立了信任關系後,兩個域之間不但可以按需要相互進行管理,還可以跨網分配文件和打印機等設備資源,使不同的域之間實現網絡資源的共享與管理。

為什麽需要域

如果資源分布在N臺服務器上,那麽用戶需要資源時就要分別登陸這N臺服務器,也就需要N個賬號。一個用戶如此,那M個呢,管理員也就需要給他們創建N*M個賬戶,這樣不僅負責而且難管理。

有了域,管理員只需要給每個用戶創建一個域用戶,用戶只需在域中登陸一次就可以訪問域中的資源,實現了單一登陸。

技術分享圖片

用戶信息是存放在域中的域控制器(DC,Domain Controller)上,上圖中,可以在服務器中選定一臺或者幾臺服務器作為域控制器。有多臺域控制器時,各個域控制器是平等的,每個域控制器上都有所在域的全部用戶的信息,域控制器之間需要同步這些信息。而其它不適域控制器的服務器僅僅是提供資源。

什麽是活動目錄

活動目錄(Active Directory)是Windows 2003Server平臺提供的目錄服務。在中央數據庫中存放信息,使用戶在網絡上只擁有一個用戶賬號。目錄是存儲各種對象的一個物理上的容器,目錄服務是使目錄中所有信息和資源發揮作用的服務。

信息的安全性大大增強,引入基於策略的管理,使系統的管理更加明朗,具有很強的可擴展性、可伸縮性、智能的信息復制能力,與DNS集成緊密、與其他目錄服務具有互操作性、具有靈活的查詢。

活動目錄邏輯結構:域、組織單元、樹、林。

域控制器(DC,Domain Controller)上存放著域中所有用戶、組、計算機等信息(實際上域控制器存放的信息還不止這些),域控制器把這些信息存放在活動目錄中。

活動目錄和DNS 的關系

在TCP/IP網絡中,DNS(Domain Name System)是用來解決計算機名字和IP地址的映射關系的,活動目錄和DNS是緊密不可分的,活動目錄使用DNS服務器來登記域控制器的IP、各種資源的定位等,在一個域林中至少要有一個DNS服務器存在,所以安裝活動目錄時需要同時安裝DNS。此外,域的命名也是采用DNS的格式來命名的。

  1. 活動目錄與組織單元

? 對象:用戶、計算機、打印機、組等等。每個對象都有自己的屬性以及屬性值。

? 組織單元(OU,Organization Unit):組織單元是用來把對象按邏輯進行分組,便於管理、查找、授權和訪問。組織單元只表示單個域中的對象集合(可包括組對象)組織單元具有繼承性,子單元能夠繼承父單元的acl。同時域管理員可授予用戶對域中所有組織單位或單個組織單位的管理權限。就像一個公司的各個部門的主管,權力平均化能更有效的管理。

技術分享圖片

Windows Server 2012R2 域與活動目錄項目搭建

2018825

9:14

  • 安裝並配置域

? 活動目錄設計

} 域名與控制器的安裝位置

n 中小企業,為簡單起見,在網絡中只安裝一個域控制器

n 域的名字應該和DNS域名一樣,為:DCServer.network.com

n 其它所有計算機加入到域中

} 組織單元的設計

n 我們這裏根據公司的行政架構來設計OU

n 各部門的用戶、組、計算機、打印機等均放到對應的組織單元上

實驗拓撲圖

實驗用VMware Workstation Pro虛擬機來模擬服務器和客戶機,虛擬機之間采用內部網絡的網絡連接方式,其中SUBDCServer充當域成員服務器服務器,DCServer和RODCSever(系統Windows Server 2012r2)為域控制器。

技術分享圖片

DCServer:

技術分享圖片

更改主機名:

技術分享圖片

  • 安裝AD域控和DNS服務器。

技術分享圖片

  • 下一步直至安裝。

技術分享圖片

  • 提升為域控制器。

技術分享圖片

  • 選擇添加林。(因要求來定域名)

技術分享圖片

  • 輸入密碼,域控密碼,用於域控降級,刪除使用。

技術分享圖片

  • 下一步,直到安裝。

技術分享圖片

技術分享圖片

  • 安裝好重啟計算機,由於活動目錄的存在。啟動時間會變長,發現建立好的域NETWORK。

技術分享圖片

  • 在域控控制器上登錄時,只能以域中的用戶登錄。雖然用戶名仍然為Administrator,但Administrator是域用戶。(該圖在工具內Active Director用戶和計算機)。

技術分享圖片

  • 把客戶機(服務器)加入域中

    a. 三種角色: 域控制器,成員服務器和獨立服務器。

    b. 服務器的這個三個角色可以發生改變。

    技術分享圖片

SUBDCServer:

技術分享圖片

  • 打開電腦右鍵屬性。

技術分享圖片

  • 更改設置,

技術分享圖片

  • 點擊更改。

技術分享圖片

  • 設置主機名和域名加入域控,輸入賬號密碼。賬號默認Administrator。

技術分享圖片

技術分享圖片

  • 加入成功,重啟電腦。

技術分享圖片

  • 重啟之後,打開計算機屬性。

技術分享圖片

  • 在DCServer域控制上可以查看到。

技術分享圖片

  • 把服務器(計算機)從域中脫離

技術分享圖片

  • 安裝活動目錄後的變化

    使用"Active Drirectory用戶和計算機"工具來管理用戶和組。

    a.創建一個網絡部組織單元,內有用戶一,用戶登錄名為[email protected],密碼為network.com,登錄目標client。

    b. 創建一個業務部組織單元,內有用戶二,用戶登錄名為[email protected],密碼為network.net登錄段早上八點到晚上六點。

  • 打開DCServer上Active Drirectory用戶計算機。

技術分享圖片

  • 右鍵創建組織單位。

技術分享圖片

技術分享圖片

  • 右鍵創建用戶。

技術分享圖片

  • 用戶登錄名。

技術分享圖片

  • 選擇用戶不能更改密碼和密碼永不過期。密碼為network.com

技術分享圖片

  • 點擊查看,選擇高級功能。

技術分享圖片

  • 打開網絡部,右鍵選擇用戶選擇屬性。

技術分享圖片

  • 點開賬戶,點擊登錄到,添加登錄目標client。

技術分享圖片

  • 點擊添加,選擇client,確定。

技術分享圖片

b. 創建一個業務部組織單元,內有用戶二,用戶登錄名為[email protected],密碼為network.net登錄段早上八點到晚上六點。

  • 同上創建組織單位,名稱為業務部。

技術分享圖片

  • 點開賬號,點擊登錄時間。

技術分享圖片

  • 點擊星期一到星期日早上八點到之前拒絕登錄,晚上六點之後拒絕登錄

技術分享圖片

技術分享圖片

  • 創建子域。

創建子域通常用於以下幾種情況:

  • 一個已經從公司中分離出來的獨立經營的子公司。
  • 有些公司的部門或小組基於對特殊技術的需要,而與其他部門相對獨立的運行。
  • 基於安全的考慮。

創建子域的好處主要用以下幾個方面。

  • 便於管理自身的用戶和計算機,並允許采用不同於父域的管理策略。
  • 有利於子域資源的安全管理。

在父子域環境中,由於父子域間會建立雙向可傳遞的父子信任關系,因此父域用戶默認可以使用子域的計算機;同理,子域用戶也可以使用父域的計算機。

技術分享圖片

技術分享圖片

  • 將RODCServer加入到域裏面。

技術分享圖片

  • 安裝Active Drirectory域服務和DNS服務。

技術分享圖片

  • 選擇下一步,直到安裝。

技術分享圖片

  • 點擊提升為域控制器。

技術分享圖片

  • 選擇第二個輸入新域名RODCServer,並點擊更改輸入域用戶和密碼,默認administrator。

技術分享圖片

  • 設置域管理密碼,點擊下一步到安裝為止。

技術分享圖片

  • 點擊安裝。

技術分享圖片

  • 打開ActiveDirectory域信任關系,點擊network.com右鍵屬性。

技術分享圖片

  • 點擊信任查看。

技術分享圖片

  • 在RODCServer上創建目錄。

技術分享圖片

  • 右鍵屬性,點擊安全。

技術分享圖片

  • 選擇第一個,點擊編輯,點擊確定。

技術分享圖片

  • 選擇高級。

技術分享圖片

  • 選擇位置。

技術分享圖片

  • 權限不僅僅可以給域中的用也可以給林中的用戶。

技術分享圖片

技術分享圖片

  • 只讀域控,輔助域控。

    只讀域控制器(Read-only Domian ControllerRODC)的AD DS數據庫只可以被讀取,不可以被修改,也就是說用戶或應用程序無法直接修改RODCAD DS數據庫。RODCAD DS數據庫內容只能夠從其他可讀寫的域控制器復制過來。 RODC主要設計給遠程分公司網絡來使用的,因為一般來說遠程分公司的網絡規模比較小,用戶人數較少,此網絡的安全措施或許並不如總公司完備,也可能缺乏IT技術人員,因此采用RODC可避免因其AD DS數據庫被破壞影響整個AD DS環境。

    輔助域控制器,在主域控不工作的事情下,輔助可以頂替他繼續工作。

  • 先將SUBDCServer加入,network域中。

技術分享圖片

  • 安裝Active Drirectory域,並提升為域控制器。

技術分享圖片

  • 選擇將域控添加到現有的域。

技術分享圖片

  • 點擊更改輸入域控用戶和密碼。

技術分享圖片

技術分享圖片

  • 選擇只讀域控做只讀域控制器,不勾選只讀,做輔助域控。輸入密碼還原模式密碼。

技術分享圖片

  • 默認選擇下一步,選擇DCServer.network.com

技術分享圖片

  • 選擇下一步到安裝。

技術分享圖片

技術分享圖片

根據https://blog.csdn.net/kamroselee/article/details/79342787 撰寫

請使用手機"掃一掃"x

Windows Server 2012 域控 子域 只讀域 輔助域