Windows域的管理
目錄
域的管理
默認(rèn)容器
組織單位的管理
添加額外域控制器
卸載域控服務(wù)器
組策略應(yīng)用
域的管理
域用戶賬戶的管理
- 創(chuàng)建域用戶賬戶
- 配置域用戶賬戶屬性
- 驗(yàn)證用戶的身份
- 授權(quán)或拒絕對域資源的訪問
組的管理
組的類型
- 安全組:安全組有安全標(biāo)識(SID),能夠給其授權(quán)訪問本地資源或網(wǎng)絡(luò)資源。即能授權(quán)訪問資源,也可以利用其群發(fā)電子郵件
- 通訊組: 通迅組沒有安全標(biāo)識(SID),不能授權(quán)其訪問資源,只能用來群發(fā)電子郵件
組的作用域
- 本地域組: 代表的是對某個資源的訪問權(quán)限。 只能授權(quán)其訪問本域資源,其他域中的資源不能授權(quán)其訪問。
- 全局組: 創(chuàng)建全局組是為了合并工作職責(zé)相似的用戶的賬戶,只能將本域的用戶和組添加到全局組。在多域環(huán)境中不能合并其他域中的用戶。
- 通用組:和全局組的作用一樣,目的是根據(jù)用戶的職責(zé)合并用戶。 與全局組不同的是,在多域環(huán)境中它能夠合并其他域中的域用戶帳戶,比如可以把兩個域中的經(jīng)理帳戶添加到一個通用組。
點(diǎn)擊Users容器,然后在右邊框中可對已存在的用戶修改屬性,可以修改組的屬性,也可以右鍵,然后新建用戶。
組織單位OU的管理
- OU的概念
- OU的應(yīng)用
Active Directory?域內(nèi)的資源是以對象(Object)的形式存在,例如用戶、計(jì)算機(jī)都是對象,而對象是通過屬性(Attribute)來描述其特征的,也就是對象本身是一些屬性的集合
容器與組織單位
- 容器(Container)與對象相似,它有自己的名稱,也是一些屬性的集合,不過容器內(nèi)可以包含其他對象(例如用戶、計(jì)算機(jī)等對象),還可以包含其他容器。
- 組織單位(Organization Units,OU)是一個比較特殊的容器,其中除了可以包含其他對象與組織單位之外,還有組策略(Group Policy)的功能。
默認(rèn)容器和組織單位
- Builtin容器: Builtin容器是Active Driectory默認(rèn)創(chuàng)建的第一個容器,主要用于保存域中本地安全組。
- Computers容器: Computers容器是Active Driectory默認(rèn)創(chuàng)建的第2個容器,用于存放Windows Server 2008域內(nèi)所有成員計(jì)算機(jī)的計(jì)算機(jī)賬號。
- Domain Controllers組織單位: Domain Controllers是一個特殊的容器,主要用于保存當(dāng)前域控制器下創(chuàng)建的所有子域和輔助域。
- Users容器:Users容器主要用于保存安裝Active Driectory時系統(tǒng)自動創(chuàng)建的用戶和登錄到當(dāng)前域控制器的所有用戶賬戶。
組織單位的管理
OU的概念: OU是AD中的容器,可在其中存放用戶、組、計(jì)算機(jī)和其他OU,而且可以設(shè)置組策略
- 創(chuàng)建OU: 基于部門,如行政部、人事部;基于地理位置,如北京、上海;基于對象,如用戶、計(jì)算機(jī)
- 刪除OU: 取消“防止對象被意外刪除”
比如上圖中的Student就是我們自己新建的組織單位OU,我們可以把相關(guān)的用戶或主機(jī)加入到Student組織單位中,然后對該組織單位設(shè)置組策略,那么就可以對其內(nèi)的所有用戶或主機(jī)生效?
添加額外域控制器
在一個域中,一般域控服務(wù)器至少有2個或者以上。所以,我們得添加額外的域控服務(wù)器。在任何一臺域控制器上都可以修改AD中的內(nèi)容,每臺域控制器上AD中的內(nèi)容都是同步的
添加額外域控制器的條件
- 具有域管理員權(quán)限
- 計(jì)算機(jī)TCP/IP參數(shù)配置正確 IP、DNS服務(wù)器地址
- 操作系統(tǒng)版本必須受當(dāng)前域功能級別支持
添加額外域控制器的步驟
- 查看當(dāng)前域功能級別
- 將計(jì)算機(jī)加入到當(dāng)前域
- 運(yùn)行dcpromo命令安裝活動目錄
卸載域控服務(wù)器
運(yùn)行 dcpromo 命令進(jìn)行常規(guī)卸載,如果該域內(nèi)還有其他域控制器,該域控制器會被降級為成員服務(wù)器,如果是域內(nèi)最后一個域控制器,該域控制器會被降級為獨(dú)立服務(wù)器。
卸載域控制器的注意事項(xiàng)
確認(rèn)所有域控制器都處于聯(lián)機(jī)狀態(tài),確認(rèn)還有其他域控制器承擔(dān)著“全局編錄”角色,在“Active Directory站點(diǎn)和服務(wù)”控制臺中,查看并手工轉(zhuǎn)移“全局編錄”角色
組策略應(yīng)用
計(jì)算機(jī)配置成域控服務(wù)器后,或計(jì)算機(jī)加入一個域后,會發(fā)現(xiàn)本地的安全策略已經(jīng)呈灰色的,配置不了了。在一個域中,通過在域控服務(wù)器上配置組策略,來對域中的主機(jī)或域中的用戶去設(shè)置策略
組策略:Windows操作系統(tǒng)中的組策略是管理員為用戶或計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源和操作系統(tǒng)行為的主要工具。通過使用組策略可以對計(jì)算機(jī)或者用戶設(shè)置相應(yīng)的策略
組策略的功能
- 賬戶策略的設(shè)置
- 本地策略的設(shè)置
- 腳本的設(shè)置
- 用戶工作環(huán)境的設(shè)置
- 軟件的安裝與刪除
- 限制軟件運(yùn)行
- 文件夾的重定向
- 限制訪問可移動設(shè)備
組策略優(yōu)點(diǎn)
減小管理成本,只需設(shè)置一次,相應(yīng)的計(jì)算機(jī)或用戶即可應(yīng)用,減小用戶單獨(dú)配置錯誤的可能性,可以針對特定對象設(shè)置特定的策略
組策略對象
GPO (Group Policy Object)的概念:存儲組策略的所有配置信息,AD中的一種特殊對象
默認(rèn)GPO:默認(rèn)域策略、默認(rèn)域控制器策略
GPO鏈接:只能鏈接到站點(diǎn)、域、OU
組策略的應(yīng)用規(guī)則
- 策略繼承與阻止:下級容器可以繼承或阻止應(yīng)用其上級容器的GPO設(shè)置
- 策略累加與沖突: 多個GPO設(shè)置可以累加或發(fā)生沖突被覆蓋
- 策略強(qiáng)制生效: 使下級容器強(qiáng)制執(zhí)行其上級容器的GPO設(shè)置
- 篩選:阻止一個容器內(nèi)的用戶或計(jì)算機(jī)應(yīng)用其GPO設(shè)置
策略繼承與阻止
下級容器默認(rèn)會繼承來自上級容器的GPO ,子容器可以阻止繼承上級容器的GPO ,右擊容器→阻止繼承
策略累加與沖突
如果多個組策略設(shè)置不沖突,則最終的有效策略是所有組策略設(shè)置的累加 如果多個組策略設(shè)置沖突,則后應(yīng)用的組策略覆蓋先應(yīng)用的組策略
組策略應(yīng)用順序
組策略應(yīng)用順序:
- 首先應(yīng)用本地組策略
- 如果有站點(diǎn)組策略,則應(yīng)用
- 接著應(yīng)用域策略
- 最后應(yīng)用OU上的策略
- 如果同一個OU上鏈接了多個GPO,則按照鏈接順序從高到低逐個應(yīng)用
策略強(qiáng)制生效:強(qiáng)制生效是上級容器強(qiáng)制下級容器執(zhí)行其GPO設(shè)置
篩選:篩選可以阻止一個GPO應(yīng)用于容器內(nèi)的特定計(jì)算機(jī)或用戶 委派→權(quán)限設(shè)置
?
打開本地組策略:WIN+R鍵打開運(yùn)行窗口,然后輸入:?gpedit.msc
打開組策略:管理工具-->組策略管理
?
相關(guān)文章:Windows中的工作組和域
總結(jié)
以上是生活随笔為你收集整理的Windows域的管理的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Windows中的权限设置、文件压缩、文
- 下一篇: Windows各版本以及漏洞