**
域安装 二,组策略使用
**
城是由管理员定义的组对象 (计算机、用户和组,的集合,所有对象共享个目录数据Aeivin ieco )和安全策略。-个战可能与其他城之间存在安全关系。
城工作方式采用的是集中式的管理,计算机要加人一个城中, 必须经过域管理员的批准,域中所有的资源由域控制器统一管理。
域管理员是组织中权限最大的人员,域管理员可以登录到加人域中的任何台成员机器,域中所有的资源都在域管理员的控制之下。
域模式适用于较大型的网络。下面来介绍下关于域的其他内容。
由以上内容可知,域由一些计算机组成,这些计算机按类别分可以分3类,分别为:域控制器、成员服务器、客户机,下面分别来介绍。域控制器:域控制器是一种服 务器.安装有活动目录,主要用来进行网络的安全核查以及资源共享。成员服务器:成员服务器也是一种服务器,它没有安装活动目录,不能提供网络的安全核查等工作,但是可以提供其他网络服务,比如Web服务、打印服务等。客户机:客户机是网络中只享受服务的机器,客户机上的操作系统一般为 桌面型的,如: Windows 98、W indows 2000 Professional、Windows XP等。
一个域中最少要有一 - 个城控制器,如果拥有多个域控制器,它们之间的关系是平等的,存储的网络信息(活动目录)也是一一样的。 域中的成员(包括成员服务器和客户机)可以般网络 从一个域中脱离出去,但是域控制器却不能退出一个域。
采用安装 非城控制器有两种登录方法:域登录和本地登录域,而控制器不支持本地用户登录。
3.任务步骤
①在局域网中,要创建单个域下的第台域控制器, 首先要在成员服务器上安装上Windows Server 2003,安装成功后进人系统,可以选择“配置你的服务器向导”或者“运行Dcpromo”进行活动目录的安装:
这里选用“运行Depromo”创建域控制器,要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下:
计算机名: Server alksjfdifdosa8
IP: 192.168.1.10
子网掩码: 255.255.255.0
DNS: 192. 168.1.10 (本机配置成DNS服务器)
由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以需要手动去添加,添加方法如下:“开始一 设置一控制面板添加删除程序”, 然后再单击“添加删除Windows组件”,
由于在这里只需要DNS。只选域名系统(DNS)
然后单击“确定”,一 直单击“下一步”就可以完成整个DNS的安装。在整个安装过程中须保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那么就需要手动定位了。
③单击“开始”→“运行”,输人“depromo””
④回车就可以看到“Active Directory安装向导”,直接单机下一步⑤这里是一个兼容性的要求,Windows 95及NT4.0 SP3以前的版本无法登录运行到Windows Server 2003的域控制器,尽量采用Windows 2000及以上的操作系统作为客户端。然后单击“下一步”
⑥由于这里是第一台控制器,所以选择第一项 新域的域控制器,然后下一步 ,
⑦既然是第一台域控制器,选择 在新林中的域
⑧要指定一个域名 server.com
⑨指定NetBIOS名,注意整个网络里不能再有一台PC的计算机名叫 server
⑩在这里要指定AD数据库和日志的存放位置,最好分别放置在不同的磁盘控制器上,如果只有一个磁盘控制器,建议采用默认,
这里是指定SYSVOL文件夹的位置,没有特殊情况,不建议修改
第一次部署时总会出现DNS注册诊断出错的画面,主要是因为虽然安装了DNS.但由于并没有配置它,网络上还没有可用的DNS服务器,所以才会出现响应超时的现象。因此在这里要选择:“在这台计算机 上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器”
这是个权限的选择项, 选择第项:“只与Windows 2000或Window Server 2003操作系统兼容的权限”,因 为在实验的整个环境里,并没有Windows2000以前的操作系统存在。
还原密码,这是一个重点,希望大家设置好以后一 定要记住这个密码,千万别忘记了。
在确认画面中,请仔细检查输入的信息是否有误,尤其是域名要书写正确,确认无误,下一步就正式安装了,几分钟后安装完成,然后立即重新启动,
然后来看一下安装了AD后和没有安装的时候有什么区别,首先感觉关机和开机速度明显变慢了,在看一下登录界面,多出一个 登录到 的选择框,
进入系统后,单机我的电脑,选择属性,单机 计算机名选项卡,
完成安装后,应该检验域控制器的AD安装是否正常,查看SYSVOL文件夹是否正常。
查看AD数据库文件,查看系统自建的SRV记录,查看缺省的AD结构目录,查看事件日志。
组策略使用
(1) 组策略
组策略设置定义了系统管理员需要管理用户桌面环境的各种组件,例如用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项等。
使用组策略对象编辑器可以为特定用户组创建特殊的桌面配置,指定的组策略设置包含在组策略对象( GPO )中,而组策略对象又与Active Directory对象(站点、域或组织单位)相关联。
组策略 不仅应用于用户和客户端计算机,还应用于成员服务器、域控制器以及管理范围内的任何计算机。默认情况下,应用于域的组策略会影响城中的所有计算机和用户电使用维支略为用户组或计算机维定义自动的配置。包括基于注用表的策略设置,安全维护的选项。|设置软件安装、脚本、文件交重定向、运程安装服务和各种组策略功能。
使用组策略对象(GPO).管理员可以集中管理Acive Din moy结构中的计算机和用户。组策略的工作方式是,每当重新启动、用户登录或强制刷新组策略时,目标计算机利用Active Diretery多层结构的特点,对每个CPO设置进行检查。因此,每次只须设置一个用户或计算机,借助w indows 2000提供的功能,可以将策略强制在所有客户端计算机上执行,直到更改组策略。
组策略的优先级高于用户设置的注册表和本地首选项,在登录、重启、强制刷新组策略时,组策略都会覆盖本地首选项。
(2)使用组策略的前提
①客户端和服务器必须运行在Windows 2000/XP/2003或以上版本系统,对较早版本的计算机,组策略不会对它们产生影响。
②组策略需要使用完全合法的域名,而不是NeBIOS名,因此需要存在DNS服务才能保证组策略被正常处理。
③不能美闭ICMP协议。客户端计算机必须可以ping通网络上的城控制器,否则组策略处理将会失败。
④使用组策略需要Acive Dctoon默认情况下,新用户账户和计算机账户分别创建在User和Computers容器中,而不可能直接在这些容器中使用组策略。可以通过Redinusr.exe和Redircomp.exe两个工具把组策略应用到新用户和新计算机。
3.任务步骤
组策略在实施前,极力建议安装Gpne.nsi组策略编辑工具程序
打开先创建的OUI的属性
单击Open,进入组策略管理器,
新建组策略OP1
编辑组策略OP1
在用户配置下,制定“对桌面的显示属性的设置实施禁用”的组策略,这样ou1下的所有用户和组内用户在任何一-台主机登录本域后,其桌面的显示属性的设置将被禁用.
ClientXP-01是OU1下的用户Zhangsan登录到Server.com域的一台主机,这里用来验证组策略的实施结果。查看ClientXP. -01主机桌面的显示属性的设置,可见矩形框处原“设置”按钮消失,说明实施的组策略生效,
如果前面的系列操作没 有出错,而又没有组策略作用的效果,可在Cmd.exe命令提示下执行gpupdate/force,在重新查看图中的显示结果。