AD-多域配置
AD域服务器配置手册
. Windows Terminal Service 终端服务器安装配置文档一:将服务器提升为域服务器如果你的Win2003高级服务器版,没有升级到域控制器,就是nt下常说的dc。
在开始菜单的管理工具中选择“配置服务器”。
next选择“active directory”。
下一步选择“启动active directory向导”。
nextnext默认即可。
next nextnext这里指定一个dns名机子会去搜寻dns服务器,next我的输入"kelaode",你们自定。
默认得,nextnext 确定。
这里我不配置dns,根据自己的情况配置。
next 默认即可。
nextnext next这个需要一些时间。
完成。
重起。
二:用户登录1:设置策略组添加受策略控制组时注意画圈位置,必须使用“应用组策略”,否则策略不能生效右面,可以继续“添加”受此策略控制的组,该组现可管理“政治处”和“指挥处”两个组2:编辑策略组交互登录设置(1)编辑本地策略(如在“管理策略”),添加“通过终端服务容许登录”和“允许本地登录“(2)打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“(下图)(3)打开“默认域安全策略”,在下图中添加远程登录的组此时,即可已完成交互登录的设定!受策略控制组的权限设定1:Netmeeting 禁止文件发送设定2:在“管理模板—资源管理器”中做磁盘访问权限设定,网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定禁用注册表设定,禁用命令提示符,禁止自动播放等在“系统”中如图设定桌面禁用“我的文档、我的电脑、回收站”等属性设定,在“用户配置---管理模板---桌面”中如下配置控制面板设定1、完全禁用控制面板设定,将“禁止访问控制面板“起用”即可!2、控制面板部分禁用设定,不起用“禁止访问控制面板”,然后在起用“直显示指定控制面板程序”,并添加相应的程序名,只显示“键盘、鼠标和字体”等设定如下如,添加intl.cpl 为只显示“字体”,添加main.cpl为显示键盘和鼠标!设置后效果如下图:控制面板程序对照表(见最后附加表)禁止添加删除程序设定,如下图:打印机添加设定在“控制面板——打印机”中,可进行禁止用户添加、删除打印机设定,如下图Ctrl+Alt+Del设定使用Ctrl+Alt+Del时,只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定,将“注销“添加到开始菜单的设定,开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定,如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令!网络设定禁止普通用户访问Tcp/IP高级设置,禁用新建连接,禁止访问LAN连接属性等的设置文件夹重定向1.网络设定:注意DNS设定!2.重定向文件夹权限设定此处注意,最好加入Domain User的共享权限(默认为Everyone)为完全控制,否则会发生不能重定向的现象。
Windows_AD域配置完美版
一为什么需要域?对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。
域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。
但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。
从今天开始,我们将推出Active Directory系列博文,希望对广大学习AD的朋友有所帮助。
今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。
我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。
我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。
假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Pert h。
服务器的职能大家都知道,无非是提供资源和分配资源。
服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。
现在服务器Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。
基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。
首先,如下图所示,我们在服务器上为张建国创建了用户账号。
然后在共享文件夹中进行权限分配,如下图所示,我们只把共享文件夹的读权限授予了用户张建国。
AD域权限设置共29页文档
Windห้องสมุดไป่ตู้ws Server 2003
Windows Server 2003
全局、本地 域、通用
全局组
成员
可作为右边表格 中所示组的成员
作用域 权限
全局组规则 混合模式:同一个域中的用户账户 本机模式:同一个域的用户账户和全局组 混合模式: 域本地组 本机模式: 任何域里的通用和域本地组, 以及相同域的全局组
Power Users
Print Operators
Users
可以更改 TCP/IP 设置并更新和发布 TCP/IP 地址
该组具有创建用户账户和组账户的权利,可以在 Power Users 组、 Users 组和 Guests 组中添加或删除用户,但是不能管理 Administrators组成员 可以创建和管理共享资源
域功能级别
支持的域控 制器
支持的组作 用域
Windows 2000 混合模式 (默
认) Windows NT® Server 4.0, Windows Server 2000, Windows Server 2003
全局、本地域
Windows 2000 本机模式
Windows Server 2000, Windows Server 2003
AD域权限设置
31、园日涉以成趣,门虽设而常关。 32、鼓腹无所思。朝起暮归眠。 33、倾壶绝余沥,窥灶不见烟。
34、春秋满四泽,夏云多奇峰,秋月 扬明辉 ,冬岭 秀孤松 。 35、丈夫志四海,我愿不知老。
用户账户管理
用户账户 域用户账户名称 用户账户命名约定的制定准则 用户账户在 Active Directory 层次结构中的位置 用户账户的密码选项 要求或限制更改密码
AD域服务器详细搭建
步骤四,在“常规”选项卡的“描述”文本框中输入对域控制器的一般描 述。如果不希望域控制器的可受信任用来作为委派,可禁用“信任计算 机作为委派”复选框。
步骤五,选择“操作系统”选项卡,在该选项卡中,显示出操作系统的名 称、版本以及Service Pack,管理员只能查看并不能修改这些内容。
5.3.1 设置域控制器属性(3)
步骤七,当管理员为域控制器添加多个组时,还可为域控制器设置一个主要 组。要设置主要组,在“隶属于”列表框中选择要设置的主要组,一般为 Domain Controllers,也可为Cert Publishers,然后单击“设置主要组”按 钮即可。 步骤八,选择“位置”选项卡,可以设置域控制器的位置。 步骤九,选择“管理者”选项卡,要更改域控制器的管理者,可单击“更改” 按钮,打开“选择用户或联系人”对话框,选择新的管理人即可。要删除管 理者,可单击“清除”按钮来删除;要查看和修改管理者属性,可单击“查 看”按钮,打开该管理者属性对话框来进行操作。
图5-3 服务器角色配置窗口
5.2.2 安装活动目录(7)
步骤九,单击“下一步”,打开如图5-9所示的“数据库和日志文件 文件夹”对话框,在“数据库文件夹”文本框中输入保存数据库的位 置,或者单击“浏览”按钮选择路径,在“日志文件夹”文本框中输 入保存日志的位置或单击“浏览”按钮选择路径。
注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日 志保存在不同的硬盘上。
5.2.2 安装活动目录(9)
步骤十二,单击“下一步”,打开如图5-12所示的“权限”对话框,为用户和 组选择默认权限,如果单位中还存在或将要用Windows 2000的以前版本,选择 “与Windows 2000之前的服务器操作系统兼容的权限”。否则,选择“只与 Windows 2000或Windows Server 2003操作系统兼容的权限”。
2008 AD 域服务部署配置 额外域控 adprep命令
选择Active Directory 域服务部署配置安装Active Directory 域服务(AD DS) 时,可以选择以下可能的部署配置之一:向域中添加新的域控制器向林中添加新的子域,或作为一个选项添加新的域树注意只有在选中位于Active Directory 域服务安装向导的“欢迎使用Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时,用于安装新域树的选项才会出现。
创建新的林下列各部分将详细介绍上述的每个部署配置。
向域中添加新的域控制器如果域中已有一个域控制器,则可以向该域添加其他域控制器,以提高网络服务的可用性和可靠性。
通过添加其他域控制器,有助于提供容错,平衡现有域控制器的负载,以及向站点提供其他基础结构支持。
当域中有多个域控制器时,如果某个域控制器出现故障或必须断开连接,该域可继续正常工作。
此外,多个域控制器使客户端在登录网络时可以更方便地连接到域控制器,从而还可以提高性能。
准备现有域向现有的Active Directory 域添加运行Windows Server 2008 R2 的域控制器之前,必须通过运行Adprep.exe 来准备林和域。
请务必运行Windows Server 2008 R2 安装介质随附的Adprep 版本。
此版本的Adprep 可以添加运行Windows Server 2008 R2 的域控制器所需的架构对象和属性,并且可以修改对新对象和现有对象的权限。
根据需要为环境运行以下adprep 参数:添加运行Windows Server 2008 R2 的域控制器之前,请在承载架构操作主机角色(架构主机)的林中的域控制器上运行一次adprep /forestprep。
若要运行此命令,您必须是包括架构主机的域的Enterprise Admins 组、Schema Admins 组和Domain Admins 组的成员。
此外,请在每个计划将运行Windows Server 2008 R2 的域控制器添加到其中的域中,在承载基础结构操作主机角色(基础结构主机)的域控制器上运行一次adprep /domainprep /gpprep。
AD域权限控制案例配置解析
一、实验环境AD域控制器和DNS服务器ip:13.200.1.100Windows7主机一:13.200.1.104Windows7主机二:13.200.1.105二.AD域控制器和DNS的安装这一步不是必须的,在安装Active Directory 域服务时可以同时装上DNS服务器。
Active Directory 域服务安装向导-->其它域控制服务器,勾上DNS服务器也有同样效果,鉴于服务器配置容易出现一些未知小错误,还是提前安装上比较省心。
•开始菜单-->管理工具-->服务器管理器•选择左侧树形菜单“角色”节点,右键“添加角色”点击“下一步按钮”勾选“DNS 服务器”点击“下一步”按钮点击“下一步”按钮点击“安装”按钮点击“关闭”按钮,重启服务器!二、AD域控制的配置开始菜单-->运行-->输入命令“dcpromo”à点击“确定” 按钮进入安装界面弹出Active Directory 域服务安装向导,并点击“下一步”按钮点击“下一步”按钮选择“在新林中新建域”并点击“下一步”按钮输入域名并点击“下一步”按钮我们这里的域为:林功能级别选择“Windows Server 2008 R2” 并点击“下一步”按钮点击“下一步”按钮,如果最初没有安装DNS服务器,此处可以勾选并安装点击“下一步”按钮弹出DNS提示框,点击“是“按钮,继续安装点击“下一步”按钮输入Administrator密码和确认密码,点击“下一步”按钮点击“下一步”按钮点击“完成”按钮,重启服务器四、权限分配设置共享文件夹用户权限Test1为只读Test2为可读可写六、加入域Test1用户加入域Test2用户加入域七、验证文件夹权限Test1上面的文件操作可以下载文件不能上传文件Test2可以上传也可以下载。
AD域服务器配置使用手册
Windows Terminal Service 终端服务器安装配置文档一:将服务器提升为域服务器如果你的Win2003高级服务器版,没有升级到域控制器,就是nt 下常说的dc。
在开始菜单的管理工具中选择“配置服务器”。
next选择“active directory”。
下一步选择“启动active directory向导”。
nextnext默认即可。
nextnextnext这里指定一个dns名机子会去搜寻dns服务器,next我的输入"kelaode",你们自定。
默认得,nextnext确定。
这里我不配置dns,根据自己的情况配置。
next默认即可。
nextnextnext这个需要一些时间。
完成。
重起。
二:用户登录1:设置策略组添加受策略控制组时注意画圈位置,必须使用“应用组策略”,否则策略不能生效右面,可以继续“添加”受此策略控制的组,该组现可管理“政治处”和“指挥处”两个组2:编辑策略组交互登录设置(1)编辑本地策略(如在“管理策略”),添加“通过终端服务容许登录”和“允许本地登录“(2)打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“(下图)(3)打开“默认域安全策略”,在下图中添加远程登录的组此时,即可已完成交互登录的设定!受策略控制组的权限设定1:Netmeeting 禁止文件发送设定2:在“管理模板—资源管理器”中做磁盘访问权限设定,网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定“系统”中如图设定在“用户配置---管理模板---桌面”中如下配置1、完全禁用控制面板设定,将“禁止访问控制面板“起用”即可!2、控制面板部分禁用设定,不起用“禁止访问控制面板”,然后在起用“直显示指定控制面板程序”,并添加相应的程序名,只显示“键盘、鼠标和字体”等设定如下设置后效果如下图:控制面板程序对照表(见最后附加表)禁止添加删除程序设定,如下图:打印机添加设定在“控制面板——打印机”中,可进行禁止用户添加、删除打印机设定,如下图使用Ctrl+Alt+Del时,只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定,将“注销“添加到开始菜单的设定,开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定,如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令!网络设定禁止普通用户访问Tcp/IP高级设置,禁用新建连接,禁止访问LAN连接属性等的设置1. 网络设定:注意DNS设定!2. 重定向文件夹权限设定此处注意,最好加入Domain User的共享权限(默认为Everyone)为完全控制,否则会发生不能重定向的现象。
AD域安装配置
AD域搭建1.添加用户和角色2.默认下一步3.安装类型选择“基于角色或基于功能的安装”,下一步4.选择服务器5.选择域服务6.在选择功能界面,不需要选择任何功能,直接下一步7.确认已经选择所有需要安装的组件后,点击安装8.点击关闭9.提升为域控制器10.添加新林(此林根域名不要与对外服务器的DNS名称相同)11.选择林功能级别,域功能级别默认会直接在此服务器上安装DNS服务器第一台域控制器必须是全局编录服务器角色第一台域控制器不可以是只读域控制器(RODC)设置目录还原密码(目录还原模式是一个安全模式,可以开机进入安全模式时修复AD数据库,但是必须使用此密码)12.出现此警告无需理会,下一步13.系统会自动创建一个netbios名称14.数据库文件夹:用来存储AD数据库日志文件文件夹:用来存储AD的更改记录,此记录可以用来修复AD数据库SYSVOL文件夹:用来存储域共享文件(例如组策略)(如果计算机内有多个硬盘,建议将数据库与日志文件夹分别放置在不同的硬盘内,分两个硬盘可以提供运行效率,而且分开存储可以避免两份数据同时出现问题,以提高修复AD的能力,或只与操作系统分区分开就可以)15.顺利通过检查,直接安装若提示无法新建域,因本地Administrator帐户密码不符合要求执行cmd—net user administrator /password req:yes16.完成安装后重启17.检查DNS服务器内的记录是否完备域控会将自己扮演的角色注册到DNS服务器内,以便让其他计算机能够通过DNS 服务器来找到域控。
因此先检查DNS服务器内是否已经存在这些记录,需要用域管理员帐户来登录检查主机记录选择管理工具—DNS18.默认会有一个的区域,主机记录表示域控已经正确的将其主机名与ip地址注册到DNS服务器内。