1、什么是域
Domain:域是計算機網絡的一種形式,其中所有用戶賬戶,計算機,打印機和其他安全主體都在位于稱為域控制器的一個或多個中央計算機集群上的中央數據庫中注冊。
兩個域之間可以通過建立信任(Trust)關系來進行聯系。
AD域
2、內網的環境:
1)工作組:默認模式,人人平等,但是不方便管理
2)域:人人不平等,優點:可以實現集中管理、統一管理
3、域的組成:
1)域控制器(DC:Domain Controller):老大,控制其他成員
2)成員機(之間還是平等的 )
4、域的部署
1)安裝域控制器DC—就生成了域環境
2)安裝了活動目錄AD(核心)—就生成了域控制器
通過安裝活動目錄:AD(Active Directory)來實現集中管理、統一管理
里面放的是公司的公共資源,也叫域資源,比如在里面創建一個域賬號a,就可以通過它來登錄成員機的電腦
內網一般會以公司的名字作為這個域的域名,例如:whh.com。每一個員工的電腦都會以員工的姓名作為主機名,那么這些電腦在域里面的名字就是例如:a.whh.com
域賬號登錄成員機的過程:
使用域賬號進行登錄
成員機檢查本地沒有這個賬號
成員機向DNS服務器解析DC的IP
向DC匯報有人想要進行登錄,將賬號密碼發送給DC
DC在AD里面找有沒有這個賬號,有就返回可以登錄的指示acess key
這時候成員機接到acess key就會讓它登錄并且在C:user里面為a賬號創建家目錄和配置文件
登陸成功后成員機會問DC還有什么要求
DC查詢AD將組策略發給成員機
成員機按照組策略來加載一些特定要求,例如:強制成員機有特定桌面壁紙,不能更改
一般公司就不允許使用本地帳號進行登錄,會為每一個員工創建一個域賬號用來登錄,想要訪問域資源,必須使用域賬號進行登錄
注意:在域里面,DC必須與DNS完美搭檔,一起配合使用,建議將DC同時設置為DNS(以下實驗就是),這時候DNS就不需要再單獨創建了,會自動配置這個域的區域文件,并且生成解析記錄
全局組(Global Group)
全局組,單域用戶訪問多域資源(必須是同一個域里面的用戶)。只能在創建該全局組的域上進行添加用戶和全局組,可以在域林中的任何域中指派權限,全局組可以嵌套在其他組中。
域本地組(Domain Local Group)
域本地組,多域用戶訪問單域資源(訪問同一個域)。可以從任何域添加用戶賬戶、通用組和全局組,只能在其所在域內指派權限。域本地組不能嵌套于其他組中。它主要是用于授予位于本域資源的訪問權限。
通用組(Universal Group)
通用組,通用組成員來自域林中任何域中的用戶賬戶、全局組和其他的通用組,可以在該域林中的任何域中指派權限,可以嵌套于其他域組中。非常適于域林中的跨域訪問。
區別:
域本地組:用戶來自于全林,作用于本域
全局組:用戶來自于本域,作用于全林
通用組:用戶來自于全林,作用于全林
本地域組的權限
Administrators(管理員組)
Remote Desktop Users(遠程登錄組)
Print Operators(打印機操作員組)
Account Operators(帳號操作員組)
Server Operaters(服務器操作員組)
Backup Operators(備份操作員組)
全局組、通用組的權限
Domain Admins(域管理員組)
Enterprise Admins(企業系統管理員組)
Schema Admins(架構管理員組)
Domain Users(域用戶組)
組織單元OU(Organizational Unit)
組織單元是可以將用戶、組、計算機和其它組織單位放入其中的AD容器,是可以指派組策略設置或委派管理權限的最小作用域或單元。
性質是最小作用域或單元。
作用:用來歸類域資源(域用戶、域計算機、域組等)
組策略GPO(Group Policy)
作用:通過組策略可以修改計算機的各種屬性,如:桌面背景、網絡參數等
組策略在域中下發后,用戶的應用順序是LSDOU,在應用過程中如果出現沖突,后應用的生效!
L:本地組策略
S: 站點,可以理解為林
D: 域的組策略
OU:一系列的組織單元
組策略的阻止繼承及強制!
強制:表示下級OU的組策略就不生效了,到這塊就停了
A-G-DL-P策略
A(account),表示用戶賬號
G(Global group),表示全局組
U(Universal group),表示通用組
DL(Domain local group),表示域本地組P(Permission 許可),表示資源權限。
A-G-DL-P策略是將用戶賬號添加到全局組中,將全局組添加到域本地組中,然后為域本地組分配資源權限。按照AGDLP的原則對用戶進行組織和管理起來更容易。
在AGDLP形成以后當給一個用戶某一個權限的時候,只要把這個用戶加入到某一個本地域組就可以了。
那么目前市場當中有沒有一款專業的AD域管理工具呢?答案是肯定的。
ADManager Plus
ADManager Plus作為一款AD域管理軟件,可以批量對AD域內用戶進行管理,通過CVS文件或者建立通用模板等形式批量創建或修改用戶信息。對于上述問題,ADManager Plus則可以輕松解決。不僅如此,ADManager Plus還具備權限分配功能,對域內用戶的各類權限進行合理分配。如遇特殊情況則利用其中的委派功能進行相關權限的委派,在事件處理完成后及時回收權限。避免了AD域內用戶權限分配凌亂的情況發生。ADManager Plus中還內置150多類報表,通過這些報表管理員可以輕松的對域內的用戶狀態進行了解。例如:域內用戶的近期登錄情況,域內用戶的密碼修改情況等等。通過這些用戶狀態管理員可以判斷接下來如何對用戶進行處理。
當然ADManager Plus不僅能對域中用戶進行管理,同樣對組也可以進行管理,包括:創建,修改,配置等多類功能,對管理員的工作起到極大的幫助作用。
相比以往的AD域管理,利用ADManager Plus管理AD域更加方便,而且在一些事件的處理方面ADManager Plus可以做到更加合理。所以作為一款AD域管理工具它非常合適企業的選擇。其將改變IT管理人員的工作形式,對企業AD域合理管理具有重要意義。
