文章目录
- 网络基础
- 域
- 一、概述
- 二、部署域模式
- 1. 部署活动目录(AD)
- 2. 客户机加入域
- 3. 组织单位(OU)
- 4. 组策略
- 4.1 概述
- 4.2 创建GPO
- 4.3 组策略应用顺序
- 4.4 编辑测试组策略
- 4.5 阻止继承
- 4.6 强制组策略
- 4.7 计算机&用户脚本
- 4.8 计算机配置安全设置
- 5. A-G-DL-P策略
网络基础
域
一、概述
- 计算机内网模式
- 工作组
在工作组模式的网络中,各服务器都是独立的,而且各服务器中的帐户和资源也是各自进行管理的。所以,管理员需要为每台服务器建立帐户,在管理时也需要分别登录各服务器完成管理工作。授权用户访问不同的服务器时,也需要分别登录。 - 域
在域模式的网络中,服务器可以集中进行管理,域中的帐户和资源也是集中管理的。所以,管理员登录到服务器后就可以管理整个域并可以访问所有共享资源。在域模式的网络中,需要一个对帐户和资源进行统一管理的机制,这个机制就是活动目录(Active Directory)。域中所有的帐户和共享资源都需要在活动目录中进行登记,用户可以利用活动目录查找和使用这些资源。基于域模式的网络可大大减轻管理的复杂度和工作量,通常用于结构较复杂的网络。
- 域(Domain)是计算机网络的一种形式,其中所有用户帐户 ,计算机,打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。
- 特点
集中、同一管理网络资源。 - 组成
- 域控制器(Domain Controller,DC):是一台安装并运行Active Directory的服务器,它管理用户和域交互之间的所有安全相关方面,集中安全性和管理。一个域可以有一个或多个域控制器,各域控制器间地位平等,管理员可以在任一台域控制器上更新域中的信息,更新的信息会自动传递到网络中的其他域控制器中。
- 成员机:它是域中的成员,成员服务器不执行用户身份验证,也不存储安全策略信息,这些工作由域控制器完成,这样,可以让成员服务器有更高的处理能力来处理网络中的其他服务。在域结构的网络中,身份验证与服务是分开的,这样可以提高服务器的效率。
- 活动目录
由于网络规模较大,这时我们就会考虑把网络中对象,比如计算机、用户帐户、组帐户、打印机、共享文件夹进行分类后存放在一个数据库中,并做好检索信息, 以利于查找、管理和使用这些对象(资源)。这个有层次结构的数据库,就是活动目录数据库,简称AD库。我们把存放有活动目录数据库的计算机称为域控制器。
通过DNS定位,找到指定的客户机或客户机去找DC。
二、部署域模式
1. 部署活动目录(AD)
环境准备:windows 2008虚拟机作为服务器(需关闭防火墙),win xp虚拟机做客户机,桥接到虚拟网络VMnet2
- 设置静态IP地址
注意:去掉ipv6网络!
- 运行dcpromo,安装AD
这里会提醒你必须配置DNS客户端,需要勾选该选项
在新林中新建一个域:
域树组成的网络结构就是林。
配置一个根域名:
设置功能级别(建议都windows 2003):
设置目录服务还原模式管理员密码:此密码和登录密码不同,还原密码是当域出现问题进行还原操作的,一般用不到。
确认完成:
- 登录测试
本地管理员升级为域管理员
查看主机信息:
查看DNS服务,已经为我们配置好了一个chen.com域名:
查看AD:
2. 客户机加入域
- 配置网络(保证客户机和服务器在同一网络VMnet2)桥接配置IP地址和DNS
- 修改工作模式
将工作组改为域(我的电脑属性)
3. 连接域
使用域管理员登录:
查看域成员:
- 新建域普通用户
使用域普通用户登录:
成功登录!
注意:
本地管理员组:administrators
域管理员组:Domian Admins
3. 组织单位(OU)
- 组织单位(Organizational Unit),用于归类域资源(域用户、域计算机、域组),是可以指派组策略设置或委派管理权限的最小作用域或单元。如果把AD比作一个公司的话,那么每个OU就是一个相对独立的部门。
- 新建OU
- 将用户&客户机移动到某OU中
4. 组策略
4.1 概述
- 组策略(Group Policy Object,GPO):通过组策略控制修改计算机的各种属性,在部分意义上是控制用户可以或不能在计算机上做什么,例如:施行密码复杂性策略避免用户选择过于简单的密码,允许或阻止身份不明的用户从远程计算机连接到网络共享,阻止访问Windows任务管理器或限制访问特定文件夹。这样一套配置被称为组策略对象。
- 组策略在域中,是基于OU发下来的。
4.2 创建GPO
每一个OU下都可以创建一个GPO。
4.3 组策略应用顺序
组策略在域中下发后,用户的应用顺序:L S D OU
即:
- 第一步L:应用本地组策略对象中的设置;
- 第二步S:应用站点组策略对象中的设置;
- 第三步D:应用域组策略对象中的设置;
- 第四步OU:应用管理单元组策略对象中的设置。
由于最后被应用的策略设置将会覆盖之前应用的设置,这意味着在设置互相冲突的情况下,最高级别的活动目录下组策略设置将会取得优先权,也就是说,最终的结果是,域中设置的策略将会覆盖本地策略。
例如:
有两级OU:集团01、财务部,集团01为财务部的上级OU;
集团01的组策略:要求桌面壁纸为a.jpg,取消开始运行功能;
财务部的组策略:要求桌面壁纸为b.jpg,对开始运行功能不做配置。
用户张三在财务部,他所得到的权限即:桌面壁纸为b.jpg且不能修改桌面壁纸,不能使用开始运行功能。
4.4 编辑测试组策略
测试上述举例。
- 开启一台win 7虚拟机作为张三的客户机,用户张三位于集团01的财务部的西北区。
- 编辑集团01组策略
(组策略:桌面壁纸为a.jpg,删除开始运行功能)
在集团01该OU下新建一个GPO,进行编辑:
在组策略编辑器中有非常多的策略对应windows上的所有功能。
- 编辑桌面壁纸组策略:
新建一个共享文件夹sharewallpaper,放置壁纸 a.jpg:
保证所有的domain users都可以共享该文件夹:
保证所有的domain users都有权限使用该共享文件夹:
编辑组策略:
注意壁纸的名称为服务器地址加路径不需要磁盘名:
- 编辑配置删除开始运行功能组策略:
- 编辑财务部西北部组策略
(组策略:桌面壁纸为b.jpg,对开始运行功能不做要求)
在该OU下新建一个GPO,进行编辑
- 编辑桌面壁纸组策略:
在上面的共享文件夹sharewallpaper,再放置一个壁纸 b.jpg:
编辑组策略:
- 重启win 7客户机,查看组策略效果
壁纸b.jpg生效:
开始运行受组策略限制:
查看某个GPO编辑的哪些组策略:
- 总结:
组策略应用顺序为 L S D OU,当设置互相冲突的情况下,域中设置的策略将会覆盖本地策略,较低OU的GPO会覆盖较高OU的GPO;当设置不冲突时,较低OU的GPO会共享较高OU的GPO!!
4.5 阻止继承
在OU上右键选择阻止继承,该OU不受其他OU的GPO限制。
4.6 强制组策略
当选择了强制,该OU下的OU都只遵循该GPO,组策略顺序到强制这里就停止执行了!
注意:强制权限大于阻止继承,即一旦上级OU选择了强制GPO,阻止继承就会失效!
4.7 计算机&用户脚本
计算机配置里的脚本:启动和关机,只要计算机启动就会执行;
用户配置里的脚本:登录和注销,在用户登录才会执行的脚本配置
添加脚本:
编写需要的脚本,添加至组策略,如清理垃圾等。
4.8 计算机配置安全设置
- 交互式登录
无须按 alt+ctrl+del登录
- 密码策略
注:
强制密码历史:可以设置n个记住的密码,当n=2时,在你修改密码时,不能使用前两次修改过的密码。
用可还原的加密来存储密码:密码以hash值存储,不可还原,当你选择了该项密码可由hash值还原密码(不建议选该项)
5. A-G-DL-P策略
- A(account):表示用户账号
- G(Global group):表示全局组
- U(Universal group):表示通用组
- DL(Domain local group):表示域本地组P(Permission 许可),表示资源权限。
- A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更容易。
- 在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了。
