1、什么是域
Domain:域是计算机网络的一种形式,其中所有用户账户,计算机,打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。
两个域之间可以通过建立信任(Trust)关系来进行联系。
AD域
2、内网的环境:
1)工作组:默认模式,人人平等,但是不方便管理
2)域:人人不平等,优点:可以实现集中管理、统一管理
3、域的组成:
1)域控制器(DC:Domain Controller):老大,控制其他成员
2)成员机(之间还是平等的 )
4、域的部署
1)安装域控制器DC—就生成了域环境
2)安装了活动目录AD(核心)—就生成了域控制器
通过安装活动目录:AD(Active Directory)来实现集中管理、统一管理
里面放的是公司的公共资源,也叫域资源,比如在里面创建一个域账号a,就可以通过它来登录成员机的电脑
内网一般会以公司的名字作为这个域的域名,例如:whh.com。每一个员工的电脑都会以员工的姓名作为主机名,那么这些电脑在域里面的名字就是例如:a.whh.com
域账号登录成员机的过程:
使用域账号进行登录
成员机检查本地没有这个账号
成员机向DNS服务器解析DC的IP
向DC汇报有人想要进行登录,将账号密码发送给DC
DC在AD里面找有没有这个账号,有就返回可以登录的指示acess key
这时候成员机接到acess key就会让它登录并且在C:user里面为a账号创建家目录和配置文件
登陆成功后成员机会问DC还有什么要求
DC查询AD将组策略发给成员机
成员机按照组策略来加载一些特定要求,例如:强制成员机有特定桌面壁纸,不能更改
一般公司就不允许使用本地帐号进行登录,会为每一个员工创建一个域账号用来登录,想要访问域资源,必须使用域账号进行登录
注意:在域里面,DC必须与DNS完美搭档,一起配合使用,建议将DC同时设置为DNS(以下实验就是),这时候DNS就不需要再单独创建了,会自动配置这个域的区域文件,并且生成解析记录
全局组(Global Group)
全局组,单域用户访问多域资源(必须是同一个域里面的用户)。只能在创建该全局组的域上进行添加用户和全局组,可以在域林中的任何域中指派权限,全局组可以嵌套在其他组中。
域本地组(Domain Local Group)
域本地组,多域用户访问单域资源(访问同一个域)。可以从任何域添加用户账户、通用组和全局组,只能在其所在域内指派权限。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。
通用组(Universal Group)
通用组,通用组成员来自域林中任何域中的用户账户、全局组和其他的通用组,可以在该域林中的任何域中指派权限,可以嵌套于其他域组中。非常适于域林中的跨域访问。
区别:
域本地组:用户来自于全林,作用于本域
全局组:用户来自于本域,作用于全林
通用组:用户来自于全林,作用于全林
本地域组的权限
Administrators(管理员组)
Remote Desktop Users(远程登录组)
Print Operators(打印机操作员组)
Account Operators(帐号操作员组)
Server Operaters(服务器操作员组)
Backup Operators(备份操作员组)
全局组、通用组的权限
Domain Admins(域管理员组)
Enterprise Admins(企业系统管理员组)
Schema Admins(架构管理员组)
Domain Users(域用户组)
组织单元OU(Organizational Unit)
组织单元是可以将用户、组、计算机和其它组织单位放入其中的AD容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。
性质是最小作用域或单元。
作用:用来归类域资源(域用户、域计算机、域组等)
组策略GPO(Group Policy)
作用:通过组策略可以修改计算机的各种属性,如:桌面背景、网络参数等
组策略在域中下发后,用户的应用顺序是LSDOU,在应用过程中如果出现冲突,后应用的生效!
L:本地组策略
S: 站点,可以理解为林
D: 域的组策略
OU:一系列的组织单元
组策略的阻止继承及强制!
强制:表示下级OU的组策略就不生效了,到这块就停了
A-G-DL-P策略
A(account),表示用户账号
G(Global group),表示全局组
U(Universal group),表示通用组
DL(Domain local group),表示域本地组P(Permission 许可),表示资源权限。
A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更容易。
在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了。
那么目前市场当中有没有一款专业的AD域管理工具呢?答案是肯定的。
ADManager Plus
ADManager Plus作为一款AD域管理软件,可以批量对AD域内用户进行管理,通过CVS文件或者建立通用模板等形式批量创建或修改用户信息。对于上述问题,ADManager Plus则可以轻松解决。不仅如此,ADManager Plus还具备权限分配功能,对域内用户的各类权限进行合理分配。如遇特殊情况则利用其中的委派功能进行相关权限的委派,在事件处理完成后及时回收权限。避免了AD域内用户权限分配凌乱的情况发生。ADManager Plus中还内置150多类报表,通过这些报表管理员可以轻松的对域内的用户状态进行了解。例如:域内用户的近期登录情况,域内用户的密码修改情况等等。通过这些用户状态管理员可以判断接下来如何对用户进行处理。
当然ADManager Plus不仅能对域中用户进行管理,同样对组也可以进行管理,包括:创建,修改,配置等多类功能,对管理员的工作起到极大的帮助作用。
相比以往的AD域管理,利用ADManager Plus管理AD域更加方便,而且在一些事件的处理方面ADManager Plus可以做到更加合理。所以作为一款AD域管理工具它非常合适企业的选择。其将改变IT管理人员的工作形式,对企业AD域合理管理具有重要意义。