前言
文章內容應該稱之為學習筆記,日常接觸到的單位或者使用者絕大多數都在IT資產這塊投資挺多的,但可惜的是在硬體方面的投資並沒有帶動提高整體運用水平,這個原因是多方面的,就不做討論了。
於是將此前的筆記整理,一方面將windows sever提供的相應服務進行梳理;另一方面就是方便自己隨時查閱;若是能給需要的人有所幫助就更好了。
當然其中錯漏之處還望高手加以指正。也歡迎同行共同探討交流。
所有的出發點和網路環境的模擬均基於上圖示意。
學習測試環境
VMware Workstation
Windows server 2016 180天試用版
域控制器可以和證書服務共存於一臺物理伺服器。
OS安裝
域控制器-活動目錄
目錄
儲存以某種方式相關聯的物件的資訊集合,例如通訊錄。
活動目錄(Active Directory)
是一個全面的目錄服務管理方案,提供了對使用者、計算機、印表機、檔案、應用程式統一管理的方法。
Microsoft Active Directory 服務是Windows 平臺的核心元件,它為使用者管理網路環境各個組成要素的標識和關係提供了一種有力的手段。
活動目錄(Active Directory)主要提供以下功能:
①伺服器及客戶端計算機管理:管理伺服器及客戶端計算機賬戶,所有伺服器及客戶端計算機加入域管理並實施組策略。
②使用者服務:管理使用者域賬戶、使用者資訊、企業通訊錄(與電子郵件系統整合)、使用者組管理、使用者身份認證、使用者授權管理等,按省實施組管理策略。
③資源管理:管理印表機、檔案共享服務等網路資源。
④桌面配置:系統管理員可以集中的配置各種桌面配置策略,如:使用者使用域中資源許可權限制、介面功能的限制、應用程式執行特徵限制、網路連線限制、安全配置限制等。
⑤應用系統支撐:支援財務、人事、電子郵件、企業資訊門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。
其他相關概念[1]
工作組
將電腦劃分到不同的組中,方便管理。
域
網路上的使用者和計算機組成的一個邏輯組。
工作組模式與域模式的區別
工作組模式(workgroup):所有伺服器獨立管理,訪問資源時,需要為每臺伺服器建立相同的賬戶。
域模式(domain):伺服器,賬戶,統一資源管理、統一身份驗證,管理員可以在一臺伺服器管理整個域,訪問所有資源。多臺客戶端相同的配置只需要在域控制器上配置一次,自動應用於所有客戶端。
域模式中對賬戶和資源統一管理的機制就是活動目錄。域中所有的賬戶和資源都在活動目錄資料庫中登記,使用者可以使用活動目錄來查詢和使用資源。
域控制器
域控制器:Domain Controller,安裝了活動目錄的計算機,在域環境中,域控統一管理賬戶資料庫,所有的使用者登入,資源訪問認證等。
首先安裝一臺windows server伺服器,安裝完成後處於workgroup模式,把工作組模式的伺服器提升為域控制器,然後把所有的工作組客戶端加入到這個域控制器,就形成了域架構。
域控提升前需要配製好IP地址、子網掩碼、閘道器,DNS指向自己(地址可以是自己的ip地址也可是127。0。0。1)。
一個域中可以有多臺域控,每臺域控之間地位平等,任意一臺域控上更新的資訊,會自動同步到其它域控當中。
在於控制器上便可以統一對使用者、許可權分配、安全策略、共享資源進行管理。
域和活動目錄的關係
域是活動目錄的一種實現形式,透過域來管理活動目錄。
域控制器-活動目錄安裝
伺服器設定固定地址;具體引數根據實際情況自行決定;
此處注意,截圖時所做實驗沒有填寫DNS但也並未影響安裝,後在其他資料講解中提到需要將DNS指向自己。
更改此虛擬機器與物理網路的連線方式(至於原因目前沒搞清楚);
安裝域服務-活動目錄;
域控制器-活動目錄的配置
此處為根域名可以是申請或購買到的域名,如果沒有購買域名或是隻是內部使用則可隨意命名,但如果有而且為方便日後在公司內部搭建其他功能伺服器,例如郵件伺服器則應輸入正式的域名。注意:域名標準寫法是不帶www的,www的模式是主機名。
此項可預設,直接下一步。
如果此處出現紅叉選項則無法安裝,需要按照提示處理之後再進行安裝。隨後開始的安裝都在後臺進行,不要進行其他操作,更不要中斷操作。
安裝完成後出現提示,要求重新啟動。並且在升級成域控制器後啟動速度會變慢,因其承載的管理任務增多。
此登入時可以在登入名處輸入“域名\使用者名稱(預設管理員)”或“域名。com\使用者名稱(預設管理員)”以及“使用者名稱(預設管理員)@域名。com”的方式登入,密碼均為之前設定的登入系統的密碼。
客戶機加入域-活動目錄的配置
繼續安裝一臺虛擬機器;系統版本其實並無特殊要求;系統安裝完成後需和域控制器處於同一網段。此時首選DNS需指向域控制器,因為預設環境下DNS和域控制器是存在與同一伺服器中。
此時可以按照便於管理和區分的原則對計算機進行重新命名。
此處輸入的賬號也可以使用域控制器管理員的預設賬號,即administrator。
成功加入之後系統提示重新啟動。
在域控制器中如果沒有建立新的使用者前,只能使用administrator管理員賬號。同時客戶端的本地賬號依然存在,還可以只登入本地使用者。
客戶端加域成功後,可以在此處檢視驗證。
域控制器-活動目錄中使用者(域使用者)和計算機的管理
命令列模式也可完成,執行powershell:
PS C:\Users\Administrator> net user ceshi01 Aa2763810@ /add;新增名為test01的使用者,密碼為A安763810@,密碼必須符合複雜性要求;
組織單位在有些資料或版本里面標識為OU。
此處原則上不能使用中文,否則登入域環境以外的地方會出現錯誤。
檔案及資料夾的共享在此項裡面設定。
此時可以另外安裝一臺客戶端,分配好地址和閘道器,以及DNS之後(如果網記憶體在DHCP則不必手工指定);加入到域,可以使用剛建好的使用者名稱和設定的密碼登入。注意:其中的DNS一定要指向域控制器。
加入到域後登入時可以使用“域名\新建使用者名稱”的方式登入。
客戶端執行此命令則可立即生效,否則客戶端只能在兩個小時(最長)後生效。
域環境下的使用者配置檔案
配置檔案由系統建立,用來儲存使用者的螢幕主題、滑鼠設定,桌面檔案等個性化資訊。
單機使用者的本地配置檔案存放於c:\user\使用者名稱;
漫遊配置檔案針對的是域環境,方便使用者在域環境中的任何一臺終端上使用自己習慣的配置。
配置步驟:
建立共享目(用於存放使用者配置檔案),例如d:\profiles\。並且開放許可權,針對所有漫遊使用者賦予讀寫許可權;
同時注意將許可權設定為允許。
建立使用者(參考之前的操作)
修改使用者屬性,針對其進行配置。
配置完成後不知道是測試環境的問題,還是因為域控制器配置問題,點選確定後出現錯誤,但是配置已經完成。
本節內容引用 作者:星空下的趕路人 原文連結:https://www。jianshu。com/p/df585f36f90來源:簡書 著作權歸作者所有。商業轉載請聯絡作者獲得授權,非商業轉載請註明出處。