阅读量: 63
AD域服务(Active Directory活动目录)
一、部署Windows域
1. 活动目录(AD)
- 概述
- 在早期的时候,所有的计算机都是独立的个体(每台计算机都有自己的用户或组)想要统一管理,在企业中,部署活动目录服务器,从而对企业中的所有用户及计算机进行集中
- 活动目录是面向Windows服务器中的目录服务(Windows web server不能使用)
- 功能
- 服务器及客户机管理
- 用户服务进行管理
- 资源管理:打印机、文件共享等
- 桌面配置:集中配置统一桌面、对桌面配置策略(域策略)(gpedit.msc是打开本地组策略管理器)
- 应用系统支撑:财务、OA、办公自动化
- 其他概念
- AD:是Windows中的一种服务、也是一个目录数据库
- 域:活动目录的一种体现的形式,主要是由域控制器和成员计算机组成
- 域控制器:一台部署了活动目录服务的服务器
- 域名空间::定位了网络资源位置
- 针对于域中的客户机称之为对象,每一个对象(表示了具体的事务)都有对应的属性(用于描述对象的数据)
- 容器:用于存放对象的空间
- 域的组策略
2. 域的结构
-
物理结构
- 站点:可以将高速连接的网络中多台域控制放入一个站点(一个站点中至少有一台全局编录服务器)
- 域控制器
-
逻辑结构
- 单域:在网络中只建立了一个域
- 域树:具有连续域名空间的多个域
- 域林:有一个或多个没有形成连续域名空间的域树组成
二、对象管理
1. 用户
2. 组
- 组的作用域
- 本地域组:针对本地域,使用范围是本域
- 全局组:管理日常维护的目录对象,使用范围是整个林和信任域
- 通用组:身份信息记录在全局编录中,查询速度快使用范围是整个林和信任域
- 组的类型
- 安全组:用来设置访问权限
- 通讯组:用于电子邮件通信
3. 组织单位
- OU是AD中的容器(容器是用来存放用户或计算机的对象)
- 创建:基于部门、地理位置、对象类型
- 针对用户实施策略时使用
三、域组策略应用
- 策略只能应用到对应的容器当中
- 域中组策略称为GPO(group policy nbject):组策略对象
1. 策略应用
2. 组策略规则
- 策略的继承和阻止
- 下级容器默认会继承来自上级容器的GPO
- 子容器可以阻止继承上级容器的GPO
- 策略的强制生效和筛选
- 强制生效:会覆盖阻止继承设置
- 筛选:针对单个特定的计算机或用户配置GPO权限(直接将权限设置为拒绝)
3. 策略优先级
- 策略的应用顺序
- 当发生策略冲突时,OU的GPO优先级最高