win server 2012域控与活动目录的设置
windows server 2012活动目录知识点总结
•负责整个森林的同步时间(kerberos在允许用户访问网络资源之前,检查时间同步)
•net time /setsntp:
•目的:为防用户的密码被猜测,当密码错误次数达到预设值时,该账号将被锁定BadPasswordCount
–当用户设置和计算机设置发生冲突时,忽略用户设置而执行计算机设置
–如果多个GPO链接到同一个OU,那么所有GPO的配置将被累加作为最后的有效配置。如果这些GPO配置有冲突,则以排在GPO列表最上面的GPO配置为优先。
–“本地计算机策略”的优先权最低,也就是在其策略配置与站点、域、OU的策略配置发生冲突时,本地计算机策略无效。
域:
域是活动目录中逻辑结构的核心单元,是一个有安全边界的计算机集合。一个域包含许多计算机,它们由管理员设定,共用一个目录数据库,一个域有一个唯一的名字。
容器与OU:
–容器与对象相似,有自己的名称,也是一些属性的集合。容器可以包含其它的对象,也可以包含其它的容器。OU是AD中的一个特殊的容器,他可以包含对象、OU和组策略。
–gpupdate /force
组策略间的冲突
•组策略的配置具有累加性
•如果发生冲突,默认的状态下,实施最后的设置
–来自父容器的GPO设置和来自子容器的GPO设置发生冲突。子容器的设置后执行并发挥作用
–当站点、域、OU的GPO策略发生冲突时,则以处理顺序在后的GPO优先。
处理优先顺序为:站点的GPO、域的GPO、OU的GPO
•每台DC各自记录用户错误尝试密码的次数;
•密码输入正确后,BadPasswordCount置0;
•PDC累积各DC上该值总和,一旦超过预设值:
Windows Server 2012 活动目录项目式教程项目22 组策略的管理
项目分析
为了解决有些组策略没有应用上的问题,必须 明白组策略的应用优先级,站点策略 < 域策略 < 父OU策略 < 子OU策略,这样才能将组策略 部署到位,如果父OU策略设置了一个限制,子 OU不想要继承,可以【阻止继承】,如果父 OU策略需要强制下发,可以将父OU策略设置 为【强制】,这样尽管子OU不想要继承,设置 【阻止继承】也无济于事。
下面就常见的几种组策略管理进 行举例说明: 1、组策略的阻止和强制继承 2、组策略的备份和还原 3、查看组策略 4、针对某个对象查看其组策略
我问你答
(1) 配置好组策略后可以通过什么方式进行查看? (2) 父OU和子OU的组策组策略? (4) 能否实现某个用户不应用其OU的策略?
项目22 组策略的管理
课程的内容 通过组策略管理工具进行组策略管理,域管理员可以方便的完成 下列任务:
•可以直观的查看组策略设置、禁用组策略的用户设置或计算机设置 •配置组策略筛选,可以使组策略只应用到满足特定查询条件的用户和计算机上, 例如将部署软件的组策略只应用到windows7的客户端计算机中。 •组策略的授权管理:创建组策略、编辑组策略、链接组策略到特定OU等。 •配置计算机的用户组策略环回处理模式,可以更改域用户登录时应用组策略的 行为。 •使用组策略建模和组策略结果监控组策略应用,排除组策略应用中的错误。 •组策略的备份与还原。
了一定的困扰,公司希望通过规范的管理组策略,从而
提高域环境的可用性,实现域用户和计算机的高效管理。
相关知识 1.查看组策略设置
组策略的设置有三种状态:“未配置”、“已启用
”和“已禁用”。
2.指定组策略的状态
组策略的状态可以是“已启用”、“已禁用所有设
置”、“已禁用计算机配置设置”和“已禁用用户
windows-server-2012-部署活动目录服务
windows server 2012 部署活动目录服务今天我们来学习如何在Windows Server 2012中创建域.安装前提条件:1.安装者必须具有本地管理员权限2.操作系统版本必须满足条件(Windows Server 2008 除Web版外都满足)3.本地磁盘至少有一个分区是NTFS文件系统4.有TCP/IP设置(IP位置、子网掩码等)5.有相应的DNS服务器支持6.静态的IP位置,并把DNS指向自己的IP位置7.有足够的可用空间注意:Dcpromo.exe 已弃用。
在 Windows Server 2012 中,如果你从命令提示符运行dcpromo.exe(无任何参数),你将收到引导你到服务器管理器的信息,在该服务器管理器中,你可使用“添加角色”向导安装 Active Directory 域服务。
如果你从命令提示符运行 dcpromo /unattend,你仍可执行使用 Dcpromo.exe 的无人参与安装。
这可让组织继续使用基于 dcpromo.exe 的自动化 Active Directory 域服务 (AD DS) 安装例程,直到它们可以使用 Windows PowerShell 重写那些例程。
实验环境使用1台虚拟机,DC的IP是192.168.6.1,DNS位置指向自己.1.首先检查操作系统的版本2.检查网络的IP位置和DNS位置指向3.打开“服务器管理器”,点击“添加角色和功能”4.选择“基于角色或基于功能的安装”5.选择安装角色的服务器6.选择安装“AD域服务”7.完成AD域服务的安装8.开始进行“AD域服务配置向导”9.选择新建林,域名为10.选择林功能级别和域功能级别,指定是否为DNS服务器和全局编目GC11.制定DNS委派12.设置NETBIOS名13.指定AD DS数据库,日志文件和SYSVOL存放位置14.检查安装参数选项15.首先验证后进行AD的安装16.安装AD成功后进行重新启动,打开“服务器管理器”查看17.打开"AD用户和计算机"工具进行查看18.打开"DNS服务器"工具进行查看19.打开"组策略管理"工具进行查看20.打开"AD管理中心"工具进行查看本文出自“微软技术专题”博客,请务必保留此出处bbb://nickzp.blog.51ctoaaa/12728/1064693。
windows 2012 域控基本知识
windows 2012 域控基本知识Windows Server 2012是微软推出的一款服务器操作系统,它具备许多功能和特点,而其中一个重要的功能就是域控制器(Domain Controller)。
一、什么是域控制器域控制器是Windows Server中的一个角色,用于集中管理和控制域中的用户、计算机和资源。
它允许管理员在整个网络中设置和管理全局策略,同时提供用户认证和授权的功能。
域控制器通常作为中心节点,在企业网络中起到关键的作用。
二、域的概念和作用1. 域的定义:在Windows Server中,域是由一组计算机和资源组成的逻辑网络,这些计算机和资源由一个公共的身份认证和安全机制管理。
域允许用户通过单一登录认证访问所有的网络资源。
2. 域的作用:域的建立使得网络管理更加简便和安全。
通过域控制器,管理员可以集中管理用户和计算机账户,实现统一的身份认证和授权机制。
域还提供了分层授权和管理权限的能力,可以根据不同的组织结构和安全需求对用户和计算机进行灵活的管理。
三、Windows Server 2012中的域控制器安装和配置1. 安装域控制器:要安装域控制器,首先需要将Windows Server 2012服务器添加到现有的域或创建一个新的域。
然后,通过“服务器管理器”或命令行工具执行“添加角色和功能”向导,选择“域控制器”角色,并按照提示完成安装过程。
2. 配置域控制器:安装完成后,需要进行一些配置来使域控制器正常工作。
首先,需要指定域的名称和安全设置。
然后,设置域控制器的网络连接、IP地址和DNS等网络设置。
还可以配置域的全局策略、用户和计算机对象的属性,以及安全和审计设置。
3. 备份和恢复:域控制器存储着大量的关键数据,因此备份和恢复操作非常重要。
Windows Server 2012提供了一套完整的备份和恢复工具,可以对域控制器的系统状态、活动目录数据库和配置信息进行定期备份,并在需要时进行恢复。
Windows Server 2012服务器配置与实训学习单元2 活动目录配置与用户管理
任务一
建立域控制器
任务实施 Windows Server 2012上安装活动目录域服务
1.在Windows Server 2012上安装活动目录域服务
14)确认制定域控制器的功能和站点信息,并设置DSRM密码,点击“下一 步”。
任务一
建立域控制器
任务实施 Windows Server 2012上安装活动目录域服务
任务一
建立域控制器
任务背景与分析
3.任务工单
客户名称: xx学校网络中心
任务单号:P2014060201
现场地点 客户要求 现场环境及参数
XX学校网络中心机房
日期:
2014年9月2日
1)建立域控制器 2)通过CMD指令行验证AD是否安装成功。 3)确认NetBios域名,指定AD DS数据库、日志和SYSVOL的存储位置 ,并查看配置的详细信息。 4)域控制器名称为“”
任务一
建立域控制器
任务背景与分析
2.任务分析 根据该校校园网络的业务需求并结合该学校的具体网络实 际,可以看出该网络规模还是很大的,客户要求安装域控 制器来对各部门和相关教师的办公电脑进行统一管理。要 完成此任务,就必须了解活动目录及域控制器的有关知识 和操作。本任务实现的工作流程是:确认用户需求与功能 分析-填写安装工单-安装规划-实施域控制器安装-完成配 置基本服务。
任务一
建立域控制器
任务实施 Windows Server 2012上安装活动目录域服务
1.在Windows Server 2012上安装活动目录域服务
1)设置指定AD角色服务器的IP地址和DNS服务器地址,因为是安装活动目 录,所以二者要一致。
2)点击“服务器管理器”。
Windows Server 2012 活动目录项目式教程项目9 将域成员设定为客户机的管理员
项目9 将域成员设定为客户机 的管理员
课程的内容
域客户机的权限与域用户的关系 域客户机管理员的权限管理
域组账户和域客户机组账户
域用户权限分配的原则
项目背景
EDU公司基于Windows Server 2012活动目录管理公司 员工和计算机。网络部有部分员工负责域的维护与管理, 部分员工负责公司服务器群(如WEB服务器、FTP服务 器、数据库服务器等)的维护与管理,部分员工分管其 它业务部门计算机的维护与管理。面对网络管理与维护 的分工越来越细,该如何赋予员工的域操作权限以匹配 其工作职责? 案例1:域控制器的备份与还原由张工负责,域管理员 该如何给张工设置合理的工作权限? 案例2:李工是软件测试组员工,因经常需要安装相关 软件并配置测试环境,需要获得工作计算机的管理权限, 域管理员又该如何处理?
项目分析
对于案例2,李工的要求是提升他的 工作计算机的管理权限,属于域成员 计算机的工作范畴,所以应当将李工 的域账号加入到他的工作计算机的本 地管理员组即可。
问题?
1、域组账户的作用? 2、域特殊组的作用? 3、域各职能管理员的权限分配? 4、域成员的权限分配?源自项目实训题 项目要求:
将域成员设定为客户机的管理员权限,使用用户主名 方式登录到客户机,打开客户机的本地连接的 TCP/IP属性,查看是否锁定,并截取实验结果。
相关知识
域计算机的用户账户与组账户 内置组、特殊组 域控制器的用户账户和组账户 内置组、预定义组、特殊组 域控制器的用户权限 域成员计算机的用户权限
权限分配的原则 “权限最小化”原则
项目分析
对于案例1,张工仅负责域控制器的备份 与还原,域控制器的备份与还原属于域控 制器的工作范畴,所以应当在域控制器内 置组中找到相应的组,这里显然对应于 【Backup Operators】组,所以仅需将张 工对应的域账号加入到该组中(域控制器 的备份与还原需要安装【Windows Server Backup】功能)。
Windows Server 2012网络管理项目教程项目2 :活动目录的配置与管理
任务1实施过程1:安装活动目录
3、安装活动目录时的登录用户必须有管理员组(Administrators)权限;
4、符合DNS规格的域名,如; 5、有相应DNS服务器的支持,用于解析域名而且当前服务器的TCP/IP设置 里的DNS地址需要配置成该DNS服务器地址;
2.2 任务1:创建网络中第一台域控制器
典型的AD结构图
域林
域
abc公司根域 xyz公司根域
信任关系 组织单元
xyz公司销售子 域
域树
finance.xyz.co m xyz公司财务子 域finance.ab.co m abc公司财务子 域
abc公司销售子 域
Windows网络管理(Windows Server 2012版)
项目2 :活动目录的配置与管理
2.0 案例场景
ABC公司近年发展迅猛,规模不断扩大,员工人数从十几人增加到几百人。 公司内部计算机数量增加到500余台,与此同时,公司的网络管理工作越来 越重,越来越困难。随着网络规模的扩大,原来简单易用的工作组网络模型 暴露了越来越多的问题,如:用户权限无法统一管理,软件无法集中分发, 共享文件权限混乱等等。公司网络管理部门决定在一台Windows Server 2012 服务器(IP:10.1.1.100/8)上启用活动目录服务,实现对公司内网的所有计 算机,用户帐号,共享资源,安全策略的集中管理。
工作组与域模式
Windows中的“工作组”(Work Group)是将不同的计算 机按功能分别列入不同的组中,以便于管理。如一个公司, 会分为财务部、销售部等,然后财务部的计算机全部列入 财务部的工作组中,销售部的计算机全部都列入销售部的 工作组中等。如果需要访问财务部的资源,就在“网上邻 居”里找到财务部的工作组,双击即可看到那个财务部的 计算机了。
Windows Server 2012 活动目录项目式教程项目6 修改用户的密码策略
相关知识
活动目录下用户密码的管理 1、域客户机用户账户的密码管理 总体原则:回收用户账号、强密码策略
2、域用户账户的密码管理 默认情况下,一个域只能有一套密码策略,并且这套 密码策略由域安全密码策略管理。 域功能级别在windows server 2008 R2,可以部署多元 化密码策略。
项目分析
针对本项目中公司提出的密码策略需求, 域管理员可以通过修改【Default Domain Policy】的用户密码策略进行对应的配置 即可。
问题?
1、如何保障域客户机本地账户的安 全?
2、域密码 否不遵从组策略配置?
项目实训题
项目要求:
1、修改用户的密码策略和帐户锁定策略,重置用户密 码,并登录域,尝试锁定帐户,并使用域管理员将 该帐户进行解除锁定操作,并截取实验结果。
项目6 修改用户的密码策略
课程的内容
域安全策略的影响范围? 域控制器策略的影响范围?
什么叫复杂性密码?
普通用户可以登录域控制器吗? 针对不同用户,是否可以有不同的密码策略?
项目背景
EDU公司已经使用域环境一段时间了,但是许多员工反 映使用复杂密码非常的麻烦,这样一来给员工工作带来 一定的麻烦,为此公司重新制定了一套密码策略方案, 方案如下: 1、取消复杂密码限定 2、密码长度不能低于6位 3、密码使用期限无限制 4、员工五次输入密码错误,将锁定帐户30分钟。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验三将一台计算机加入域中(W7)
1 克隆/初始化:sysprep.exe,
要求我们输入用户名和密码
(admin:Win2012)
2 修改计算机名,IP地址,DNS服务器(?)
3 加入到域中
报错?
ping域控,若不通,检查IP,检查DNS,
检查网卡(模式,是否激活)
4去域控中观察,并截图
“AD用户和计算机”工具-->computers,找到新加入的W7
“DNS”管理工具,找到域,找到新加入的W7
//tech/WS网络管理_网管/
实验四添加用户
在域控中,
1 利用管理工具添加一个组织单位(嘉鑫),
2 在该组织单位中添加一个用户(黄嘉鑫hjx)
3 在“AD用户和计算机”中找到该用户,并截图
在客户端中,
以该域用户登录,并截图
实验五批量添加用户(PPT4),用其中一个登录在域控中1 批量添加用户
2 在“AD用户和计算机”中找到这些用户,并截图
3在客户端中以其中一个域用户登录,并截图1账户被禁用
2尝试启用账户
3以其中一个域用户登录成功
实验六UPN
1添加新的UPN后缀
2修改账户属性
3使用新的UPN登录
实验七其他用户管理内容
1查找用户
将黄嘉鑫办公室设置成“董事长办公室”,将罗益亮、陈韶亮、陈志坤的办公室设置成“总经理办公室”。
打开查找工具
查找条件设置设置查找字段
查找结果
2向组中添加用户新建组
填写组名
通过修改组属性添加用户
找到成员标签,添加用户
3添加列
将“办公室位置”的显示加入搜索结果的列中。
添加列
开始查找
添加用户
实验八WS2012_0401_组策略:入门
1 观察组策略,拍快照(组策略配置之前)
2 实验8.1(P12)普通用户在域控上登录(1)普通用户在域控上无法登录
(2)修改组策略
(3)验证:是在哪里验证
3实验8.2(P23)去掉Win7开始菜单中的“音乐”选项(1)菜单中存在“音乐”选项
(2)在GPO启动该策略
4思考题:可以把“游戏去掉”吗?
可以。