《域控制器的搭建详细.doc》由会员分享,可在线阅读,更多相关《域控制器的搭建详细.doc(38页珍藏版)》请在金锄头文库上搜索。
1、在部署其根域的时候,首先应该考虑其安全性,根域一旦崩溃掉,后果将不堪设想,所以我将部署两台域控制器,一台主控,一台额控,以达到冗余的特性。我用windows2003做实验,首先做好基本设置,我的主域控Ip为192.168.1.1,额外域控ip为192.168.1.2一,在主域控上设置好Ip二,为了安全起见,我新建一个账号wangwang,把此账号加入administrators组.三,将当前用户切换到wangwang,开始部署根域。因为此域服务器为根DC,同时也作为DNS服务器,所以选择第二项。此我为目录服务的还原密码,一定要记牢。接下来就慢慢等待。等完成后重启,这样第一台根DC就做好了。域控
2、建好后,想要把成员机器加入到域:出现以下提示,说明就成功加入域了!上文说到了,额外域控充分显示了冗余的特性,对于维护主域控的安全性有可靠的保障。下面我们在主域控的基础是来搭建另一台域控额外域。额外域所在的机器的Ip为:192.168.1.2ip设置如下:开始部署。前面两步与部署主域一样,不同的是第三步:这个时候我们输入的是域管理员的用户名和密码输入域名注意这里输入的还原密码最好和根域保持一致到这一步直到最后完成后重启就好了。接下来我们来看看域中DNS的问题。因为DNS在根域上,域中的用户要求上网,必须将其DNS指向根域,即192.168.1.1,然后再将根域的DNS转发到公网的DNS,这样我们
3、就可以上网了。如下图:但是,如果根域崩了,不能用了,DNS也就不能用了,自然就不能上网了,所以为了安全起见,我们应该在额外DC上创建辅助DNS。然后点击下一步完成即可。最后在根域服务器上作区域复制:注意在客户端设置DNS的时候最好填入两个DNS,一个主的,一个辅的,当主域失效了,我们就可以提升额外域控为主域控了。建立子域之前,我们最好先将子域所在的机器加入域,然后再提升为子域。ip设置如下:加入域的方法在前文提到,不说了。我们接着来提升子域。此时我想建立子域,则填写内容如下:此时的NETBios名只是SH,其实我们也可以将其改成全域名SH_YINHE_COM,方便记忆。好了,接下来的设置和部署
4、主域和额外域一样,不说了。等完成后重启就OK了!下面就来部署林中的第二棵域树了。首先来看Ip设置:注意,建立第二棵域树之前要先在根DNS上建立好相对应的域名,我先在根域DNS上建好域名,如下:好了!开始部署第二棵域树了。不同的地方在于:注意此时的新域名应该写了嗯,接下来就一样了,等完成后重启。在域环境中,组策略显得尤为重要,作为一个域管理员,要时刻有效的管理域中的成员,就必须对组策略熟之又熟,它是我们域中的一个十分强大的管理机制,我们要学懂它,恐怕还得多下点功夫,下面我单把脚本的应用和软件限制策略作一下简单的叙述:1、脚本。我们知道,在组策略中分为两大模块:计算机配置和用户配置。对计算机做配置
5、只是作用于某台计算机,对用户配置做配置只是作用于某用户,不过,计算机配置的优先级是大于用户配置的优先级的,明白了这点,我们就可以有目的的去做配置了。首先,我在域中新建了一个组织单元“精英计划”,在“精英计划”下面又建了两个 用户。我现在想对张三和李四同时做脚本策略,那么我们就对“精英计划”这个组织单元做策略好了。点击“精英计划”属性,点组策略。然后新建策略点编辑,既然对用户对策略,我们就对“用户配置”做配置。我们先点开“登录”,然后点“添加”这时我手动作一个“登录”脚本好了,把这个做好的脚本粘贴到上面的面板中好了,我们接着点“确定”就可以了,我们用同样的方法做一个用户注销脚本不同的是在用户配置
6、中点击“注销”最后,等配置好了我们来刷新组策略(刷新策略有利于策略及时生效)到用户机器上看一下结果用账号“张三”登录到域中登录后就会出现“登录脚本”提示了然后我们来注销“张三”这个用户2. 软件限制策略首先新建一条策略编辑该策略(我们还是对用户进行配置)点击“创建软件限制策略”,我们可以看到“安全级别”和“其他规则”,“安全级别”定义了策略的表现形式(“不允许的”和“不受限的”),“其他规则”就包含了软件限制策略的四条规则(证书规则、哈希规则、Internet区域规则和路径规则)。下面我就“哈希规则”做一下演示:新建“哈希规则:我们看到需要对某个文件哈希,浏览文件,我们下面就对用户的“cmd.
7、exe”文件哈希,不过在这里要提示一下,用户一般为xp用户,其C:windowssystem32cmd.exe文件和windows2003的cmd.exe文件是不同的,既然要对用户做软件限制,那我们必须将xp系统的cmd.exe文件先拷贝到服务器上,然后再浏览的这个文件的所在,就可以了!我们先把xp系统的cmd.exe文件找到:把这个文件拷贝到域服务器上,我放到桌面好了:这时浏览到桌面的cmd.exe文件后可以看见已经变成了哈希函数,安全级别为“不允许的”,即是说用户无法使用cmd.exe这个程序。然后立即刷新组策略到用户机器上验证结果,用“李四”登录:在登录后运行cmd程序可以看到此时已受限
8、制了。实验完毕。在域中,文件夹重定向和漫游配置用户的设定很大程度上方便了用户在域中登录的随意性,就是说用户无论在域中的哪一台机器上登录,其有关文档和配置信息都会如实的反馈给用户,很方便!一、文件夹重定向。文件夹重定向的意思就是说将用户的文档从一个有效的网络途径定向的服务器或者别的机器上,在不同的机器上登录自己的账号都能轻松的索取自己的文档,和共享有点类似。首先我选择在域服务器上新建一个共享的文件夹share,给everyone完全控制的共享权限,给creator owner 和system完全控制的ntfs权限。对组织单元“精英计划”新建一条策略“文件夹重定向”编辑该策略,并选择用户配置下的文
9、件夹重定向,我们对“我的文档”作重定向,点击属性,然后如下图设置。完成后刷新组策略即可。我先在client1上用“张三”登录登录后可以查看桌面上“我的文档”属性,就会发觉“我的文档”已经定向到了域服务器上了。我打张三的“我的文档”,在里面新建了一个记事本好,我注销张三用户,重新到cliente2上登录。我们同样看到了刚才在client1上建立的记事本。我们再回到域服务器上,可以看见共享文件夹share里自动建立了一个名为zhangsan的文件夹,该文件夹里就是张三的我的文档了,但是这个文件夹除了张三外是没人有权限打开的,除非是域管理员夺取权限了。二.漫游用户配置。漫游用户配置其实很简单,只需要将用户的配置文件定向到服务器上即可。我先在服务器上新建一个名为“漫游用户配置文件”的文件夹,并且给everyone完全控制的共享权限,给creator owner和system完全控制的NTFS权限。好了,我对李四作配置:我在配置文件路径中写的是:漫游用户配置文件%username%好了,我用李四在客户端登录:我们需要对李四进行注销,才能将李四的配置文件上传的服务器上我已夺取李四的权限,我打开,可以看见里面就是李四的配置文件了。好了,实验完毕。
