什么是域？AD域的详细介绍

文章目录

1、什么是域2、内网的环境：3、域的组成：4、域的部署域账号登录成员机的过程：什么是林 全局组（Global Group）域本地组（Domain Local Group）通用组（Universal Group）本地域组的权限全局组、通用组的权限成员机加入域（一台XP：192.168.0.86，一台win7：192.168.0.87），过程一样，这里用xp做演示域用户的权限 组织单元OU（Organizational Unit）组策略GPO（Group Policy）组策略的阻止继承及强制！ A-G-DL-P策略

(资料图片仅供参考)

1、什么是域

Domain：域是计算机网络的一种形式，其中所有用户账户，计算机，打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。

两个域之间可以通过建立信任（Trust）关系来进行联系

2、内网的环境：

1）工作组：默认模式，人人平等，但是不方便管理 2）域：人人不平等，优点：可以实现集中管理、统一管理

3、域的组成：

1）域控制器（DC：Domain Controller）：老大，控制其他成员 2）成员机（之间还是平等的 ）

4、域的部署

1）安装域控制器DC—就生成了域环境 2）安装了活动目录AD（核心）—就生成了域控制器

通过安装活动目录：AD（Active Directory）来实现集中管理、统一管理里面放的是公司的公共资源，也叫域资源，比如在里面创建一个域账号a，就可以通过它来登录成员机的电脑

内网一般会以公司的名字作为这个域的域名，例如：whh.com。每一个员工的电脑都会以员工的姓名作为主机名，那么这些电脑在域里面的名字就是例如：a.whh.com

域账号登录成员机的过程：

使用域账号进行登录成员机检查本地没有这个账号成员机向DNS服务器解析DC的IP向DC汇报有人想要进行登录，将账号密码发送给DCDC在AD里面找有没有这个账号，有就返回可以登录的指示acess key这时候成员机接到acess key就会让它登录并且在C:\user里面为a账号创建家目录和配置文件登陆成功后成员机会问DC还有什么要求DC查询AD将组策略发给成员机成员机按照组策略来加载一些特定要求，例如：强制成员机有特定桌面壁纸，不能更改

一般公司就不允许使用本地帐号进行登录，会为每一个员工创建一个域账号用来登录，想要访问域资源，必须使用域账号进行登录

注意：在域里面，DC必须与DNS完美搭档，一起配合使用，建议将DC同时设置为DNS（以下实验就是），这时候DNS就不需要再单独创建了，会自动配置这个域的区域文件，并且生成解析记录

1）打开2008服务器，桥接到VMnet2，配置静态IP：192.168.0.88/24

2）安装活动目录AD

注意：2008和2003不一样，它的所有的安装包都已经下载进C盘了，不用再打开光盘进行下载了 方法：开始----运行----输入dcpromo，进行安装 注意：这条命令同时也是卸载命令，不想要一个域的话，首先将所有成员机踢出域，然后输入这条命令进行卸载就好了 正在检测是否有合适的安装环境…检测完毕，出现安装向导 点击下一步，直到这块 勾上之后，点击下一步 选择在新林中新建域

什么是林

这时候我们发现了一个新名词：林，见名知意：就是好多域的组合（太大了一般用不到） 下一步，填写域名 检查是否有冲突 林控制级别：其中的域控制器服务器版本不能低于选中的级别 域功能级别：在域中的备份DC版本不能低于已选级别

下一步 下一步，选择是，创建文件目录 下一步，创建还原密码 下一步 确认没问题，点击下一步完成安装 勾选重新启动，等一会儿

3）登录域MG\Administrator

DC的本地管理员自动升级为域管理员 验证AD是否安装成功 1、查看是否已加入域 2、查看DNS是否自动生成区域文件，自动注册DC的域名及IP解析记录 3、打开AD查看目录 查看目录

全局组（Global Group）

全局组，单域用户访问多域资源（必须是同一个域里面的用户）。只能在创建该全局组的域上进行添加用户和全局组，可以在域林中的任何域中指派权限，全局组可以嵌套在其他组中。

域本地组（Domain Local Group）

域本地组，多域用户访问单域资源（访问同一个域）。可以从任何域添加用户账户、通用组和全局组，只能在其所在域内指派权限。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。

通用组（Universal Group）

通用组，通用组成员来自域林中任何域中的用户账户、全局组和其他的通用组，可以在该域林中的任何域中指派权限，可以嵌套于其他域组中。非常适于域林中的跨域访问。

区别：

域本地组：用户来自于全林，作用于本域全局组：用户来自于本域，作用于全林通用组：用户来自于全林，作用于全林

本地域组的权限

Administrators（管理员组）Remote Desktop Users（远程登录组）Print Operators（打印机操作员组）Account Operators（帐号操作员组）Server Operaters（服务器操作员组）Backup Operators（备份操作员组）

全局组、通用组的权限

Domain Admins（域管理员组）Enterprise Admins（企业系统管理员组）Schema Admins（架构管理员组）Domain Users（域用户组）

成员机加入域（一台XP：192.168.0.86，一台win7：192.168.0.87），过程一样，这里用xp做演示

首先设置虚拟网卡和DC一样

设置网卡属性 加入域 成功，重启并生效 使用域账号登录成员机 新建两个普通域用户 登录XP 登陆成功 登录win7 成功

域用户的权限

刚才我们创建的用户都是普通域用户，无法对成员机有完全控制权限，这时候又不想将它们设置为域管理员，又想让它们对成员机完全控制，可以用域管理员账号登录成员机，将普通域用户添加至成员机的本地管理员组就可以实现了 可以看到，域管理员组Domain Admins已经加入到了本地管理员组Administrators

组织单元OU（Organizational Unit）

组织单元是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。性质是最小作用域或单元。 作用：用来归类域资源（域用户、域计算机、域组等）

组策略GPO（Group Policy）

作用：通过组策略可以修改计算机的各种属性，如：桌面背景、网络参数等

组策略在域中，是基于OU下发的。

创建组策略 实验一：强制设置用户登录后所有电脑背景都是要求的图片

创建一个共享文件夹，将背景图放进去

编辑组策略 编辑桌面墙纸策略，填写UNC路径 用户登录成员机，桌面配置成功，且不能更改 实验二：让西北地区的用户登录背景为西北独有照片

编辑西北区组策略 成功 组策略在域中下发后，用户的应用顺序是LSDOU，在应用过程中如果出现冲突，后应用的生效！ L：本地组策略 S： 站点，可以理解为林 D： 域的组策略 OU：一系列的组织单元

组策略的阻止继承及强制！

强制：表示下级OU的组策略就不生效了，到这块就停了 西北区的组策略不生效了，壁纸又换回去了 阻止继承（强制取消）：将不受上级OU的的限制，只受自己OU的限制，结果：背景又换回西北地区独有照片

强制和阻止继承一起使用，强制生效！！！

查看已定义的组策略 一些其他的组策略

A-G-DL-P策略

A(account)，表示用户账号G(Global group)，表示全局组U(Universal group)，表示通用组DL(Domain local group)，表示域本地组P(Permission 许可)，表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更容易。在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了。