Windows域的管理
目錄
域的管理
域使用者賬戶的管理
- 建立域使用者賬戶
- 配置域使用者賬戶屬性
- 驗證使用者的身份
- 授權或拒絕對域資源的訪問
組的管理
組的型別
- 安全組:安全組有安全標識(SID),能夠給其授權訪問本地資源或網路資源。即能授權訪問資源,也可以利用其群發電子郵件
- 通訊組: 通迅組沒有安全標識(SID),不能授權其訪問資源,只能用來群發電子郵件
組的作用域
- 本地域組: 代表的是對某個資源的訪問許可權。 只能授權其訪問本域資源,其他域中的資源不能授權其訪問。
- 全域性組: 建立全域性組是為了合併工作職責相似的使用者的賬戶,只能將本域的使用者和組新增到全域性組。在多域環境中不能合併其他域中的使用者。
- 通用組:和全域性組的作用一樣,目的是根據使用者的職責合併使用者。 與全域性組不同的是,在多域環境中它能夠合併其他域中的域使用者帳戶,比如可以把兩個域中的經理帳戶新增到一個通用組。
點選Users容器,然後在右邊框中可對已存在的使用者修改屬性,可以修改組的屬性,也可以右鍵,然後新建使用者。
組織單位OU的管理
- OU的概念
- OU的應用
Active Directory 域內的資源是以物件(Object)的形式存在,例如使用者、計算機都是物件,而物件是通過屬性(Attribute)來描述其特徵的,也就是物件本身是一些屬性的集合
容器與組織單位
- 容器(Container)與物件相似,它有自己的名稱,也是一些屬性的集合,不過容器內可以包含其他物件(例如使用者、計算機等物件),還可以包含其他容器。
- 組織單位(Organization Units,OU)是一個比較特殊的容器,其中除了可以包含其他物件與組織單位之外,還有組策略(Group Policy)的功能。
預設容器和組織單位
- Builtin容器: Builtin容器是Active Driectory預設建立的第一個容器,主要用於儲存域中本地安全組。
- Computers容器: Computers容器是Active Driectory預設建立的第2個容器,用於存放Windows Server 2008域內所有成員計算機的計算機賬號。
- Domain Controllers組織單位: Domain Controllers是一個特殊的容器,主要用於儲存當前域控制器下建立的所有子域和輔助域。
- Users容器:Users容器主要用於儲存安裝Active Driectory時系統自動建立的使用者和登入到當前域控制器的所有使用者賬戶。
組織單位的管理
OU的概念: OU是AD中的容器,可在其中存放使用者、組、計算機和其他OU,而且可以設定組策略
- 建立OU: 基於部門,如行政部、人事部;基於地理位置,如北京、上海;基於物件,如使用者、計算機
- 刪除OU: 取消“防止物件被意外刪除”
比如上圖中的Student就是我們自己新建的組織單位OU,我們可以把相關的使用者或主機加入到Student組織單位中,然後對該組織單位設定組策略,那麼就可以對其內的所有使用者或主機生效
新增額外域控制器
在一個域中,一般域控伺服器至少有2個或者以上。所以,我們得新增額外的域控伺服器。在任何一臺域控制器上都可以修改AD中的內容,每臺域控制器上AD中的內容都是同步的
新增額外域控制器的條件
- 具有域管理員許可權
- 計算機TCP/IP引數配置正確 IP、DNS伺服器地址
- 作業系統版本必須受當前域功能級別支援
新增額外域控制器的步驟
- 檢視當前域功能級別
- 將計算機加入到當前域
- 執行dcpromo命令安裝活動目錄
解除安裝域控伺服器
執行 dcpromo 命令進行常規解除安裝,如果該域內還有其他域控制器,該域控制器會被降級為成員伺服器,如果是域內最後一個域控制器,該域控制器會被降級為獨立伺服器。
解除安裝域控制器的注意事項
確認所有域控制器都處於聯機狀態,確認還有其他域控制器承擔著“全域性編錄”角色,在“Active Directory站點和服務”控制檯中,檢視並手工轉移“全域性編錄”角色
組策略應用
計算機配置成域控伺服器後,或計算機加入一個域後,會發現本地的安全策略已經呈灰色的,配置不了了。在一個域中,通過在域控伺服器上配置組策略,來對域中的主機或域中的使用者去設定策略
組策略:Windows作業系統中的組策略是管理員為使用者或計算機定義並控制程式、網路資源和作業系統行為的主要工具。通過使用組策略可以對計算機或者使用者設定相應的策略
組策略的功能
- 賬戶策略的設定
- 本地策略的設定
- 指令碼的設定
- 使用者工作環境的設定
- 軟體的安裝與刪除
- 限制軟體執行
- 資料夾的重定向
- 限制訪問可移動裝置
組策略優點
減小管理成本,只需設定一次,相應的計算機或使用者即可應用,減小使用者單獨配置錯誤的可能性,可以針對特定物件設定特定的策略
組策略物件
GPO (Group Policy Object)的概念:儲存組策略的所有配置資訊,AD中的一種特殊物件
預設GPO:預設域策略、預設域控制器策略
GPO連結:只能連結到站點、域、OU
組策略的應用規則
- 策略繼承與阻止:下級容器可以繼承或阻止應用其上級容器的GPO設定
- 策略累加與衝突: 多個GPO設定可以累加或發生衝突被覆蓋
- 策略強制生效: 使下級容器強制執行其上級容器的GPO設定
- 篩選:阻止一個容器內的使用者或計算機應用其GPO設定
策略繼承與阻止
下級容器預設會繼承來自上級容器的GPO ,子容器可以阻止繼承上級容器的GPO ,右擊容器→阻止繼承
策略累加與衝突
如果多個組策略設定不衝突,則最終的有效策略是所有組策略設定的累加 如果多個組策略設定衝突,則後應用的組策略覆蓋先應用的組策略
組策略應用順序
組策略應用順序:
- 首先應用本地組策略
- 如果有站點組策略,則應用
- 接著應用域策略
- 最後應用OU上的策略
- 如果同一個OU上鍊接了多個GPO,則按照連結順序從高到低逐個應用
策略強制生效:強制生效是上級容器強制下級容器執行其GPO設定
篩選:篩選可以阻止一個GPO應用於容器內的特定計算機或使用者 委派→許可權設定
開啟本地組策略:WIN+R鍵開啟執行視窗,然後輸入: gpedit.msc
開啟組策略:管理工具-->組策略管理