Toc
  1. 初识windows域
    1. 域的基本知识
      1. 工作组
      2. 域的结构
        1. 操作系统主机角色
      3. 域的系统
        1. 域控(域控制器 ,Domain Controller,简写为DC)
        2. 活动目录(Active Directory 简称 AD)
        3. LDAP入门
        4. 全局编录服务器(GC)
        5. 只读域控制器(RODC)
    2. windows域控服务器的安装与配置
      1. 配置域
      2. win7加入域
        1. 方法1
    3. windows域控功能体验
      1. 域的基本管理:创建部门和用户
      2. 分发软件
        1. 准备msi文件
        2. 分发msi文件
      3. 统一桌面
      4. 其他
Toc
0 results found
Rayi
初识windows域

初识windows域

域的基本知识

工作组

认识域之前,可以先了解一下工作组

工作组是局域网中的一个概念,许多计算机在同一物理地点,通过局域网连接起来的小组。

其中每台计算机的地位都是相同的,没有谁管理谁的这种概念,自己管理自己

例如登录系统,在一个工作组内的A、B、C三台计算机,每台计算机都有自己的用户账户用来登录验证,而不是共用一个验证。工作组环境中的每台计算机都有自己的本机安全账户数据库,称为SAM数据库

这个SAM数据库是干什么用的呢?其实就是平时我们登录电脑时,当我们输入账户和密码后,此时就会去这个SAM数据库验证,如果我们输入的账户存在SAM数据库中,同时密码也正确,SAM数据库就会通知系统让我们登录。而这个SAM数据库默认就存储在C:\WINDOWS\system32\config文件夹中。

当需要连接的计算机数目非常庞大,需要统一管理,而且计算机不在同一物理地点,这时使用工作组就无法满足管理需求,这时候就需要一个统一验证管理计算机的系统,域。

域英文叫DOMAIN——域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation) ,域是一套统一身份验证系统,是企业应用的基础,用身份验证系统完成企业级别的业务系统应用。

信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。

域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。

域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域,每个域都有自己的安全策略,以及它与其他域的安全信任关系。

可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。

而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。登陆到域中的时候,身份验证是采用Kerberos协议在域控制器上进行的,登陆到此计算机则是通过SAM来进行NTLM验证的。

以上是域的一些定义,简单来说,域就类似于学校机房使用的管理软件,对多台计算机统一管理,共享资源(作业下发区)

域的结构

域环境中包括域树、域林、根域

接下来我们contoso这家公司建立起了自己的域,叫contoso.com解决了企业内部的IT环境管理问题,大大降低了管理成本。

但是,好景不长,随着业务的发展,需要在上海,北京成立了子公司,那么跨地域的资源怎么集中管理呢?成本不是又上来了么?

还是用域环境来解决,为contoso.com创建子域,并且在命名的逻辑关系上与contoso.com是连续的。

而下面的bj.contoso.com和sh.contoso.com相对于contoso.com来说是子域

反过来,contoso.com相对于sh.contoso.om和bj.contoso.com来说是父域,他们之间是父子关系

而目前形成的这种逻辑管理结构称之为域树。这样远程分支机构的管理问题也就解决了,成本也随之降低。

img

有发展就有问题产生,很多企业都同时经营了多个项目,同时设立多个相对独立的管理团队和管理机制。

因为作为一个老板想让自己经营的事业立于不败,就要加强自己经营环境的可靠性,说白了就是增加盈利项目来降低自己的实时亏损风险。

那么如何解决多项目运作的集中管理问题呢?

contoso.com这家公司也面临这样的问题,因为他还运作了一个seattle的项目。

域环境同时也更好的提供了这样的扩展方式,为seattle项目建立一个现有林中的域。虽然和contoso.com的命名空间不连续,但是也同属于一家公司,在管理上依然统一集中管理。

大大减少了管理成本的同时,也不会因为集中管理制约seattle项目的发展,因为在整个林中seattle的项目运作还是相对独立的。很快seattle就建立了自己的分支机构,work.seattle.com。

而这样的逻辑结构我们称之为域林

在整个域林中所创建的第一个域就是根域,而根域在整个域林中的地位、优先级、重要性、针对其他域的可制约性都是很强大的。而且在一个域林中只能有一个根域。

很多管理员在面对多域环境时很害怕找不到根域,根域有一个很显著的特征,在根域的DC上会有两个特殊的组:

Enterprise admins

Schema admins

img

域的结构图:

img

操作系统主机角色

Active Directory 域服务 (AD DS) 的逻辑结构主要可分为Active Directory林Active Directory域;通过林树和域树之间的组合可以满足各种规模的企业的各种需求;

但是无论怎么进行设置都必须要考虑到以下5个FSMO操作主机角色的放置问题。

FSMOFlexible single master operation的缩写,意思就是灵活单主机操作

营运主机(Operation Masters,又称为Flexible Single Master Operation,即FSMO)是被设置为担任提供特定角色信息的网域控制站,在活动目录中有五种FSMO角色,并且分为两大类:

林级别(在整个林中只能有一台DC拥有访主机角色)

架构主机 (Schema Master)

域命名主机 (Domain Naming Master)

林中上述角色必须是唯一的,意味着在整个林中,只能有一个架构主机角色和一个域命名主机角色。

域级别(在域中只有一台DC拥有该角色)

PDC模拟器(PDC Emulator)

RID主机 (RID Master)

基础架构主机 (Infrastructure Master)

每个域中上述角色都必须是唯一的,即林中的每个域都只能有一个RID主机角色、PDC仿真主机角色以及基础结构主机角色。

FSMO角色功能

2.1 架构主机(Schema Master)

控制活动目录整个林中所有对象和属性的定义,具有架构主机角色的DC是可以更新目录架构的唯一DC

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的,整个目录林中只有一个架构主机。

2.2 域命名主机 (Domain Naming Master)

向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

2.3 PDC模拟器(PDC Emulator)

向后兼容低级客户端和服务器,担任NT系统中PDC角色

时间同步服务源,作为本域权威时间服务器,为本域中其它DC以及客户机提供时间同步服务,林中根域的PDC模拟器又为其它域PDC模拟器提供时间同步!

密码最终验证服务器,当一用户在本地DC登录,而本地DC验证本地用户输入密码无效时,本地DC会查询PDC模拟器,询问密码是否正确。

首选的组策略存放位置,组策略对象(GPO)由两部分构成:GPT和GPC,其中GPC存放在AD数据库中,GPT默认存放PDC模拟器的[url=file://windows/sysvol/sysvol/%3Cdomain]\windows\sysvol\sysvol\目录下,然后通过DFS复制到本域其它DC中。

域主机浏览器,提供通过网上邻居查看域环境中所有主机的功能

2.4:RID主机

Win2003环境中,所有的安全主体都有SID,SID由域SID+序列号组合而成,后者称为相对ID(Relative ID,RID),在Win2003环境中,由于任何DC都可以创建安全主体,为保证整个域中每个DC所创建的安全主体对应的SID在整个域范围唯一性,设立该主机角色,负责向其它DC分配RID池(默认一次性分配512个),所有非RID在创建安全实体时,都从分配给的RID池中分配RID,以保证SID不会发生冲突!

2.5:基础架构主机

基础结构主机的作用是负责对跨域对象引用进行更新,以确保所有域间操作对象的一致性。基础架构主机工作机制是定期会对没有保存在本机的引用对象信息,而对于GC来说,会保存当前林中所有对象信息。如果基础架构主机与GC在同一台机,基础架构主机就不会更新到任何对象。所以在多域情况下,强烈建议不要将基础架构主机设为GC。

将承载这些操作主机角色的域控制器放置在具有高网络可靠性的区域,并确保 PDC 模拟器和 RID 主机始终可用。

3 查询主机角色

在域控制器的命令行控制台中通过命令netdom query fsmo来查询,可以看到这五种操作主机角色全部在第一台域控制器中

[图片2.pngloads/2018/11/%E5%9B%BE%E7%89%87226.png)

也可以通过使用Dsquery工具单独查看操作主机角色

Dsquery Server –Hasfsmo Schema //查看架构主机

Dsquery Server –Hasfsmo Name //查看域 主机

Dsquery Server –Hasfsmo PDC //查看PDC模拟器主机

Dsquery Server –Hasfsmo RID //查看RID主机

Dsquery Server –Hasfsmo Infr //查看基础结构主机

图片3.png

4 操作主机故障影响

操作主机在Active Directory环境中,肩负着重要的作用,如果操作主机出现问题,将会出现以下问题:

当架构主机不可用时,不能对架构进行更改。在大多数网络环境中,对架构更改的频率很低,并且应提前进行规划,以便使架构主机的故障不至于产生任何直接的问题。

当域命名主机不可用时,不能通过运行DCPROMO向Active Directory中添加域,同时也不能从目录林中删除域,如果在域命名主机不可用时试图通过运行DCPROMO来删除域,那么就会收到一条”RPC 服务器不可用”的消息。

当RID主机不可用时,所遇到的主要问题是不能向域中添加任何新的安全对象,例如用户、组和计算机;如果试图添加,则会出现如下的错误消息:”Windows 不能创建对象,因为:目录服务已经用完了相对标识号池”。

当PDC主机不可用时,在本机模式环境中用户登录失败的可能性增大。如果重新设置用户密码,例如用户忘记密码,然后管理员在一台DC(不是验证DC)上重新设置密码,那么该用户就必须等到密码复制到验证DC之后才能登录。试图编辑组策略对象时出错。

当基础架构主机不可用时,结构主机故障对环境的影响是有限的。最终用户并不能感觉到它的影响,只对管理员执行大量组操作产生影响。这些组操作通常是添加用户和/或重新命名用户。在此情况下,结构主机故障只是会延迟通过Active Directory管理单元引用这些更改的时间。

5 操作主机角色放置优化配置建议

默认情况下,架构主机和域命名主机角色是在根域的第一台DC上,而PDC模拟器,RID主机和基础结构主机默认放置在当前域的第一台DC上。特别是在单域环境中,按默认安装,第一台DC会同时拥有这五种FSMO操作主机角色。万一这台DC损坏,会对域环境造成极大风险!

常见的操作主机角色放置建议如下:

架构主机:拥有架构主机角色的DC不需要高性能,因为在实际环境中不会经常对Schema进行操作的,除非是经常会对Schema进行扩展,不过这种情况非常的少。但要保证可用性,否则在安装Exchange等会扩展AD架构的软件时会出错。

域命名主机:对占有域命名主机的DC也不需要高性能,在实际环境中也不会经常在森林里添加或者删除域的。但要保证高可用性是有必要的,以保证在添加删除当前林中域时可以使用。 一般建议由同一台DC承担架构主机与域域命名主机角色,并由GC放置在同一台DC中。

PDC模拟器:从上述PDC功能中可以看出,PDC模拟器是FSMO五种角色里任务最重的,必须保持拥有PDC的DC有高性能和高可用性。

RID主机:对于占有RID Master的域控制器,没有必要一定要求高性能,因为给其它DC分配RID池的操作不是经常性发生,但要求高可用性,否则在添加用户时出错。

基础架构主机:对于单域环境,基础架构主机实际上不起作用,因为基础架构主机主要作用是对跨域对象引用进行更新,对于单域,不存在跨域对象的更新。基础架构主机对性能和可用性方面的要求较低。基础架构主机的数据主要来自全局编录服务器(GC),全局编录服务器存储其他域的数据。由于基础架构主机和全局编录服务器不兼容,不要将这2个角色放同一台域控制器中。除非:域中只有一个域控制器,否则不应该将基础架构主机角色指派给全局编录服务器。 又或者域中所有的域控制器都存在全局编录,则无论哪个域控制器均可承担基础结构主机角色。

建议将PDC模拟器,RID主机以及基础结构主机放置在一台性能较好的DC中,且尽量不要配置成GC。

对以上FSMO规划总结如下:

1、占有Domain Naming Master角色的域控制器必须同时也是GC;

2、不能把Infrastructure Master和GC放在同一台DC上;

3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上;

4、建议将Schema Master和Domain Naming Master放在同一台域控制器上;

5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上;

6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;

在上面对操作主机角色的介绍中,多次提到了全局编录服务器,下面对全局编录服务器详细介绍。

域的系统

不管是域树还是域林,其都是由域组成的

那么域的内部是由什么系统构成的呢?

域控(域控制器 ,Domain Controller,简写为DC)

在域中,至少有一台服务器负责每一台介入域的验证工作和管理工作。

域控制器内包含了域内的账户、密码、属于这个域的计算机等信息构成的数据库(活动目录 Active Directory 简称 AD)

域控是活动目录的存储地方,也就是说活动目录存储在域控制器内。

安装了活动目录的计算机就称为域控制器,其实在你第一次安装活动目录的时候,你安装活动目录的那台计算机就成为了域控制器。一个域可以有一台或多台域控制器。最经典的做法是做一个主辅域控。

当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。

不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。

活动目录(Active Directory 简称 AD)

活动目录是微软Windows Server中,负责架构中大型网路环境的集中式目录管理服务(Directory Services)。

目录服务在微软平台上从Windows Server 2000开始引入,所以我们可以理解为活动目录是目录服务在微软平台的一种实现方式。当然目录服务在非微软平台上都有相应的实现。

Windows Server 2003的域环境与工作组环境最大的不同是,域内所有的计算机共享一个集中式的目录数据库(又称为活动目录数据库),它包含着整个域内的对象(用户账户、计算机账户、打印机、共享文件等)和安全信息等等,而活动目录负责目录数据库的添加,修改,更新和删除。

所以我们要在Windows Server 2003上实现域环境,其实就是要安装活动目录。

活动目录为我们实现了目录服务,提供对企业网络环境的集中式管理。

比如在域环境中,只需要在活动目录中创建一次Bob账户,那么就可以在任意200台电脑中的一台上登录Bob,如果要为Bob账户更改密码,只需要在活动目录中更改一次就可以了,也就是说域用户信息保存在活动目录中。

img

LDAP(Lightweight Directory Access Protocol),轻量目录访问协议,是一种用来查询与更新 Active Directory 的目录服务通信协议。AD 域服务利用 LDAP 命名路径(LDAP naming path)来表示对象在 AD 内的位置,以便用它来访问 AD 内的对象。(关于LDAP的介绍见下文)

AD 域内的资源以对象(Object)的形式存在,例如用户、计算机与打印机等都是对象,而对象则通过属性(Attriburte)来描述其特征,也就是说对象本身是一些属性的集合

例如,创建一个账户张三,则必须添加一个对象类型(object class)为用户的对象(也就是用户账户),然后在这个用户账户内输入张三的姓名、登录账户、电话号码和电子邮件等信息,这其中的用户账户就是对象,而姓名、登录账户等数据就是该对象的属性,张三就是对象类型为用户(user)的对象

常用对象有:

域(Domain)

域是AD的根,是AD的管理单位。域中包含着大量的域对象,如:组织单位(Organizational Unit),组(Group),用户(User),计算机(Computer),联系人(Contact),打印机,安全策略等。、

可简单理解为:公司总部。

组织单位(Organization Unit)

组织单位简称为OU,是一个容器对象,可以把域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位可以包含下列类型的对象:用户,计算机,工作组,打印机,安全策略,其他组织单位等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。

可以简单理解为:分公司。

群组(Group)

群组是一批具有相同管理任务的用户账户,计算机账户或者其他域对象的一个集合。例如公司的开发组,产品组,运维组等等。可以简单理解为分公司的某事业部。

群组类型分为两类:

安全组:用来设置有安全权限相关任务的用户或者计算机账户的集合。比如:Tiger组都可以登录并访问某ftp地址,并拿到某个文件。
通信组:用于用户之间通信的组,适用通信组可以向一组用户发送电子邮件。比如:我要向团队内10为成员都发送同一封邮件这里就要抄送9次,而使用组的话我直接可以发送给@Tiger,所有Tiger组内的成员都会收到邮件。

用户(User)

AD中域用户是最小的管理单位,域用户最容易管理又最难管理,如果赋予域用户的权限过大,将带来安全隐患,如果权限过小域用户无法正常工作。可简单理解成为某个工作人员。

域用户的类型,域中常见用户类型分为:

普通域用户:创建的域用户默认就添加到”Domain Users”中。
域管理员:普通域用户添加进”Domain Admins”中,其权限升为域管理员。
企业管理员:普通域管理员添加进”Enterprise Admins”后,其权限提升为企业管理员,企业管理员具有最高权限。

一个AD的大致结构(LDAP 数据的组织方式):

img

对于微软的活动目录域环境来说,活动目录数据库的可谓是其核心内容。在AD数据库中包含了关于域环境的几乎所有基础数据,从本质上讲,AD数据库是事务处理类型的数据库。正是因为该数据库地位特殊,所以对其维护和管理就显得极为重要了。

活动目录数据库包含大量核心基础数据,应该妥善保护,及时备份。活动目录数据库是“dit”格式的数据库,和Exchange Server使用的数据库格式相同。Windows Server2012中维护活动目录数据库,只要停止AD DS域服务即可维护数据库。

Active Directory数据库是一个事务处理数据库系统,通过日志文件支持回滚操作,从而确保将事务提交到数据库中,与Active Directory关联的文件包括:

Ntds.dit,Active Directory数据库文件;

Edbxxxxx.log 事务日志文件;

Edb.chk 检查点文件;

Res1.log和Res2.log 预留的日志文件;

Temp.edb 临时数据库维护文件;

Edbtmp.log 日志暂存文件;

1 Ntds.dit

Ntds.dit随着数据库的填充而不断增大,日志的大小是固定的10MB。对数据进行的任何更改都会被首先写到当前日志文件中,然后写入Active Directory数据库文件。

2 Edb.log

Edb.log是当前的日志文件。对数据库进行更改后,会将该更改写入到Edb.log文件中。当Edb.log文件充满事务之后,被重新命名为Edbxxxxx.log。(从00001开始,并使用十六进制累加)。由于Active Directory使用循环记录,所以日志文件写入数据库之后,旧日志文件会被及时删除,任何时刻都可以查看edb.log文件。而且还可能有一个或多个Edbxxxxx.log文件。

3 Res1.log和Res2.log

Res1.log和Res2.log是预留日志空间文件,确保在此驱动器上预留(在此情况下)最后的20MB磁盘空间。采取这种做法的原因:为了给日志文件提供足够的空间,以便在其他所有磁盘空间都已使用的情况下可以正常关机。

4 Edb.chk

Edb.chk是数据库检查点文件,检查点是标识数据库引擎需要重复播放日志的点,通常在恢复或初始化时验证数据库的一致性。出于性能考虑,日志文件应该位于数据库所在磁盘以外的其他磁盘上,以减少磁盘争用情况。进行备份时,会创建新的日志文件。

5 Temp.edb

Temp.edb文件是数据库维护时使用的临时文件,用于存储当前进程中处理的信息。

6 Edbtmp.log日志文件是当前日志文件(Edb.log)填满时的暂时日志填充文件。Edbtmp.log文件被创建后,已有的Edbtmp.log文件被重命名为下一个日志文件,然后Edbtmp.log文件被重名为Edb.log。因为该文件名的使用很短暂,通常都看不到。

7 文件位置

默认状态下,活动目录数据库文件位于“C:\Windows\NTDS”目录中。

离线整理活动目录数据库

对AD的整理分为两种,一种是离线整理,另外一种是联机整理,每12小时进行一次。两者的不同之处在于:联机整理不会减少数据库的大小,而离线整理可以做到这一点。

1 在线整理:DC会每隔12小时自动运行所谓的“垃圾收集程序”来整理AD库,它只是将资料有效率的重新整理、排列。不会减小数据库文件(Ntds.dit)的大小。此时AD在线。要减小活动目录数据库的大小,需要对数据库进行离线整理。

2 离线整理:需要暂停ADDS服务,2003以前的版本需要进入目录还原模式操作。离线整理会建立一个全新的、整齐的数据库文件,如果原来的数据库很零散(fragmented),整理后的文件可能会比原来的文件小很多,但也有可能文件会变大。

我的理解:离线整理相当于压缩(碎片),这个压缩(碎片)和平常用的RAR等压缩软件不一样,AD 是把对象占用的空间给释放出来,比如删除一个用户,它是不会自动释放空间的。在线整理是不是释放空间的,需要压缩会才能释放所占空间。注:空间不在文件的大小,压缩是把里面的内容分类,完成后文件会比之前大。微软的Hyper-v也是这种方式。以前存在虚拟机里的文件删除,不会立即释放空间,需要使用压缩,才能释放出之前删除文件所占的空间。

LDAP入门

类似于一种数据库,用于存储域内服务器中各种资源的位置

Active Directory = LDAP服务器+LDAP应用(Windows域控)。Active Directory先实现一个LDAP服务器,然后自己先用这个LDAP服务器实现了自己的一个具体应用(域控)

LDAP也可以说成是一种数据库,也有client端和server端。server端是用来存放数据,client端用于操作增删改查等操作,通常说的LDAP是指运行这个数据库的服务器。 只不过,LDAP数据库结构为树结构,数据存储在叶子节点上。

假设你要树上的一个苹果(一条记录),你怎么告诉园丁它的位置呢?
当然首先要说明是哪一棵树(dc,相当于MYSQL的DB),然后是从树根到那个苹果所经过的所有“分叉”(ou),最后就是这个苹果的名字(uid,相当于MySQL表主键id)。好了!这时我们可以清晰的指明这个苹果的位置了,就是那棵“歪脖树”的东边那个分叉上的靠西边那个分叉的再靠北边的分叉上的半红半绿的……

因此,在LDAP中,位置可以描述如下

树(dc=ljheee)
分叉(ou=bei,ou=xi,ou= dong)
苹果(cn=honglv)

因此,苹果redApple的位置为

dn:cn=honglv,ou=bei,ou=xi,ou=dong,dc=ljheee

dn标识一条记录,描述了数据的详细路径。因此,LDAP树形数据库如下

dn(Distinguished Name):一条记录的详细位置
dc :一条记录所属区域    (哪一颗树)
ou(Organization Unit) :一条记录所属组织    (哪一个分支)
cn/uid:一条记录的名字/ID   (哪一个苹果名字)
LDAP目录树的最顶部就是根,也就是所谓的“基准DN"

因此,LDAP树形结构在存储大量数据时,查询效率更高,实现迅速查找,可以应用于域验证等。

全局编录服务器(GC)

GC是一台DC,它是一台特殊的DC,它存储森林中所有对象部分只读信息的特殊DC。在森林可以有多台GC,全局编录是一库,它包含了在活动目录中所有对象连续请求信息的子集,例如用户登录的ID等。

GC的作用

1 存储对象信息副本,提高搜索性能

全局编录服务器中除了保存本域中所有对象的所有属性外,还保存林中其它域所有对象的部分属性,这样就允许用户通过全局编录信息搜索林中所有域中对象的信息,而不用考虑数据存储的位置。通过GC执行林中搜索时可获得最大的速度并产生最小的网络通信量。

2 存储通用组成员身份信息,帮助用户构建访问令牌

全局组成员身份存储在每个域中,但通用组成员身份只存储在全局编录服务器中。

我们知道,用户在登陆过程中需要由登录的DC构建一个安全的访问令牌,而要构建成功一个安全的访问令牌由三方面信息组成:用户SID,组SID,权力。其中用户SID和用户权力可以由登录DC获得,但对于获取组SID信息时,需要确定该用户属不属于通用组,而通用组信息只保存在GC中。所以当GC故障,负责构建安全访问令牌的DC就无法联系GC来确认该用户组的SID,也就无法构建一个安全的访问令牌。

注:在Win2003中,可以通过通用组缓存功能解决GC不在线无法登录情况,具体操作本文略过。

3:提供用户UPN名称登录身份验证。

当执行身份验证的域控制器没有用户UPN帐号信息时,将由GC解析用户主机名称(UPN)进行身份验证,以完成登录过程

4:验证林中其他域对象的参考

当域控制器的某个对象的属性包含有另一个域某个对象的参考时,将由全局编录服务器来完成验证。

GC在AD中十分重要,如果GC出现了问题,会造成用户不能登录到域访问资源。但由于GC存储的是林中所有域的副本,如果域的数据很多,AD对象很多情况下,GC数据库会很大。在规划GC时,需遵循以下原则:

每个站点是否拥有GC。提升GC可能带来影响。DC提升为GC,会对GC服务器的性能、网络带宽、安全性、数据库的大小都提出更高要求,所以一般来说,每个站放置一台GC即可。是否将所有DC提升为GC,那就整个森的网络带宽、DC的性能来决定。

验证GC服务器正常工作

使用注册表和端口状态可以确认GC是否正常工作

注册表

查看注册表信息(HKLM\System\CurrentControlSet\Services\NTDS\Parameters)

健值:Global Catalog Promotion Complete,值为1,表示GC工作正常

图片4.png

端口验证

由于GC正常工作时要用3268、3269(SSL),所以通过端口的状态验证是否正常运行

图片5.png

只读域控制器(RODC)

只读域控制器是Windows Server 2008 AD DS域服务之后提供的新域控制器类型,只读域控制器同样是域控制器,但是Active Directory数据具备“只读”属性,只能读取不能写入。只读域控制器主要用在企业分支机构,例如企业在外的办事机构,当用户数量不是很多时,可以首先在中心域控制器中创建用户以及规划计算机信息,然后将用户账户和计算机账户复制到位于分支机构的RODC中。当分支机构和中心之间的网络断开时,用户可以通过分支机构的RODC验证并等落。

只读域控制器,英文全程Read Only Domain Controller(简称RODC),是WIndows Server 2008之后版本提供的新域控制器类型,“Read Only”字面意思是“只读”,因此RODC只能读取不能写入。

windows域控服务器的安装与配置

这里我使用了msdn上下载的2012作为域控

使用静态ip

image-20200628152651958

先添加角色和功能

image-20200628151033941

一直下一步,直到选择服务器角色,选择Active Directory 域服务

image-20200628151120485

一直下一步即可

image-20200628151314007

配置域

点击AD DS,更多

image-20200628151344323

升级为域控制器

image-20200628151428988

添加新林

image-20200628151516092

创建密码,功能级别要根据自己的域林内是否准备设置老版本的域控决定

image-20200628151921265

DNS无法创建,先不用管,一直下一步

image-20200628152006298

提示需要修改管理员密码

image-20200628152105597

修改后重新运行先决条件检查

image-20200628152241521

image-20200628152752161

安装ing……

安装完自动重启

image-20200628152935907

win7加入域

方法1

在域控添加一个账户

先打开管理工具,AD用户和计算机

新建用户

image-20200628161506741

image-20200628161703895

ok

win7上,先把dns设置为域控的dns

image-20200628161039011

更改设置,加入域

image-20200628161122842

输入我们在域控创建的用户和密码

image-20200628161904318

image-20200628161924234

windows域控功能体验

windows域控的基本功能是提供身份认证服务,以及对其域内的主机进行管理,管理的内容包括软件分发安装,共享目录和打印机管理,修改域内主机的一些系统配置等,现就部分功能进行体验

域的基本管理:创建部门和用户

https://blog.csdn.net/SouthWind0/article/details/80726493

分发软件

参考文档:https://blog.csdn.net/SouthWind0/article/details/80734508

域内部门分配如下:

image-20200628191933947

准备msi文件

windows域控分发的程序必须打包成msi文件才能安装

这里我使用python2,msi文件

分发msi文件

创建共享目录:https://blog.csdn.net/SouthWind0/article/details/80412890

我要往win7上分发文件,于是在域控中建立一个与win7的共享目录Share,把msi文件拖进去

image-20200628192738415

image-20200628192848324

在开始->管理工具->组策略管理中找到我们的测试机器,选择在这个域中创建GPO并在此处链接

image-20200628193328775

image-20200628193406730

右键测试1,编辑打开组策略编辑器

image-20200628193505782

在用户配置中找到软件安装

image-20200628193551203

右键软件安装,属性,默认程序数据包位置选刚才的共享文件夹

image-20200628193802467

分发与分配
用户配置>分发:把某个软件分发给用户以后,用户下次在任意计算机登录时,所部属的软件都会出现在用户计算机的“添加和删除程序”对话框中,供用户下载安装。

用户配置>分配:分配是强制性的软件部属方式。当软件分配给用户时,用户无论在任意的计算机上登录的时,该软件都会自动安装,都可以在“开始”菜单或者是桌面上看到该软件的快捷方式。

计算机配置,也可以选择分配和分发,当软件分配给计算机时,计算机在下一次启动的时候会自动下载并安装软件。

右键软件安装,新建,选择我们的安装包

image-20200628193939373

image-20200628194012714

登录win7,发现Python2已经安装

image-20200628194047459

共享文件夹的属性设置,共享和安全权限需要根据需求设置,为了方便测试,我这里设置的是everyone都有读取权限。

统一桌面

参考文档:https://blog.csdn.net/SouthWind0/article/details/80734887

依旧是运用神奇的组策略

在域控制器上点击开始→管理工具→组策略管理,打开组策略管理控制台

在我们的测试机器分组,右键新建GPO

image-20200628194319178

右键点击“桌面1”→“编辑”→“用户配置”→“策略”→“管理模板”→“桌面”→“Active Desktop”

image-20200628194404040

双击“启用Active Desktop”→“已启用”→“应用”→“确定”。

image-20200628194456204

双击“桌面壁纸”→点击“已启用”→在“墙纸名称”输入墙纸的位置

image-20200628194702171

应用后返回,从设置可以看到详情

image-20200628194822638

登录win7

更改成功

image-20200628201736127

其他桌面配置同样可以这样改

其他

https://zhuanlan.zhihu.com/p/45553448

参考文档

https://blog.csdn.net/SouthWind0/article/list/2?orderby=UpdateTime

https://www.secpulse.com/archives/82876.html

https://baike.baidu.com/item/windows%E5%9F%9F/1492318?fr=aladdin

https://baike.baidu.com/item/%E5%9F%9F%E7%94%A8%E6%88%B7%E8%B4%A6%E6%88%B7

https://zhuanlan.zhihu.com/p/46324379

https://www.cnblogs.com/IFire47/p/6672176.html

https://www.cnblogs.com/cnjavahome/p/9029665.html

https://www.secpulse.com/archives/133033.html

本文作者:Rayi
版权声明:本文首发于Rayi的博客,转载请注明出处!