Windows Server 2012R2 AD域控 輔助域 只讀域 子域

Windows Server 2012R2 域與活動目錄介紹

2018年8月20日

14:11

   

1. 域與活動目錄

什麼是域

域（Domain）是Windows網絡中獨立運行的單位，域之間相互訪問則須要創建信任關係（Trust Relation）。信任關係是鏈接在域與域之間的橋樑。當一個域與其餘域創建了信任關係後，兩個域之間不但能夠按須要相互進行管理，還能夠跨網分配文件和打印機等設備資源，使不一樣的域之間實現網絡資源的共享與管理。

   

爲何須要域

      若是資源分佈在N臺服務器上，那麼用戶須要資源時就要分別登錄這N臺服務器，也就須要N個帳號。一個用戶如此，那M個呢，管理員也就須要給他們建立N*M個帳戶，這樣不只負責並且難管理。

有了域，管理員只須要給每一個用戶建立一個域用戶，用戶只需在域中登錄一次就能夠訪問域中的資源，實現了單一登錄。

用戶信息是存放在域中的域控制器（DC，Domain Controller）上，上圖中，能夠在服務器中選定一臺或者幾臺服務器做爲域控制器。有多臺域控制器時，各個域控制器是平等的，每一個域控制器上都有所在域的所有用戶的信息，域控制器之間須要同步這些信息。而其它不適域控制器的服務器僅僅是提供資源。

什麼是活動目錄

活動目錄（Active Directory）是Windows 2003Server平臺提供的目錄服務。在中央數據庫中存放信息，使用戶在網絡上只擁有一個用戶帳號。目錄是存儲各類對象的一個物理上的容器，目錄服務是使目錄中全部信息和資源發揮做用的服務。

信息的安全性大大加強，引入基於策略的管理，使系統的管理更加明朗，具備很強的可擴展性、可伸縮性、智能的信息複製能力，與DNS集成緊密、與其餘目錄服務具備互操做性、具備靈活的查詢。

活動目錄邏輯結構：域、組織單元、樹、林。

域控制器（DC,Domain Controller）上存放着域中全部用戶、組、計算機等信息（實際上域控制器存放的信息還不止這些），域控制器把這些信息存放在活動目錄中。

   

活動目錄和DNS 的關係

在TCP/IP網絡中，DNS（Domain Name System）是用來解決計算機名字和IP地址的映射關係的，活動目錄和DNS是緊密不可分的，活動目錄使用DNS服務器來登記域控制器的IP、各類資源的定位等，在一個域林中至少要有一個DNS服務器存在，因此安裝活動目錄時須要同時安裝DNS。此外，域的命名也是採用DNS的格式來命名的。

   

1. 活動目錄與組織單元

   

Ø  對象：用戶、計算機、打印機、組等等。每一個對象都有本身的屬性以及屬性值。

Ø  組織單元（OU,Organization Unit）:組織單元是用來把對象按邏輯進行分組，便於管理、查找、受權和訪問。組織單元只表示單個域中的對象集合（可包括組對象）組織單元具備繼承性，子單元可以繼承父單元的acl。同時域管理員可授予用戶對域中全部組織單位或單個組織單位的管理權限。就像一個公司的各個部門的主管，權力平均化能更有效的管理。

   

   

   

   

   

Windows Server 2012R2 域與活動目錄項目搭建

2018年8月25日

9:14

• 安裝並配置域

Ø  活動目錄設計

    } 域名與控制器的安裝位置

        n  中小企業，爲簡單起見，在網絡中只安裝一個域控制器

        n  域的名字應該和DNS域名同樣，爲：DCServer.network.com

        n  其它全部計算機加入到域中

    } 組織單元的設計

        n  咱們這裏根據公司的行政架構來設計OU

        n  各部門的用戶、組、計算機、打印機等均放到對應的組織單元上

實驗拓撲圖

實驗用VMware Workstation Pro虛擬機來模擬服務器和客戶機，虛擬機之間採用內部網絡的網絡鏈接方式，其中SUBDCServer充當域成員服務器服務器，DCServer和RODCSever（系統Windows Server 2012r2）爲域控制器。

DCServer：

更改主機名：

• 安裝AD域控和DNS服務器。

• 下一步直至安裝。

• 提高爲域控制器。

• 選擇添加林。（因要求來定域名）

• 輸入密碼，域控密碼，用於域控降級，刪除使用。

• 下一步，直到安裝。

   

• 安裝好重啓計算機，因爲活動目錄的存在。啓動時間會變長，發現創建好的域NETWORK。

• 在域控控制器上登陸時，只能以域中的用戶登陸。雖然用戶名仍然爲Administrator，但Administrator是域用戶。（該圖在工具內Active Director用戶和計算機）。

• 把客戶機（服務器）加入域中

  a. 三種角色： 域控制器，成員服務器和獨立服務器。

  b. 服務器的這個三個角色能夠發生改變。

   

SUBDCServer：

• 打開電腦右鍵屬性。

• 更改設置，

• 點擊更改。

• 設置主機名和域名加入域控，輸入帳號密碼。帳號默認Administrator。

   

   

   

• 加入成功，重啓電腦。

• 重啓以後，打開計算機屬性。

• 在DCServer域控制上能夠查看到。

• 把服務器（計算機）從域中脫離

• 安裝活動目錄後的變化

  使用"Active Drirectory用戶和計算機"工具來管理用戶和組。

     

  a.建立一個網絡部組織單元，內有用戶一，用戶登陸名爲user1@network.com，密碼爲network.com，登陸目標client。

     

  b. 建立一個業務部組織單元，內有用戶二，用戶登陸名爲user2@network.com，密碼爲network.net登陸段早上八點到晚上六點。

     

     

• 打開DCServer上Active Drirectory用戶計算機。

• 右鍵建立組織單位。

   

• 右鍵建立用戶。

• 用戶登陸名。

• 選擇用戶不能更改密碼和密碼永不過時。密碼爲network.com

• 點擊查看，選擇高級功能。

• 打開網絡部，右鍵選擇用戶選擇屬性。

• 點開帳戶，點擊登陸到，添加登陸目標client。

• 點擊添加，選擇client，肯定。

   

b. 建立一個業務部組織單元，內有用戶二，用戶登陸名爲user2@network.com，密碼爲network.net登陸段早上八點到晚上六點。

   

• 同上建立組織單位，名稱爲業務部。

• 點開帳號，點擊登陸時間。

• 點擊星期一到星期日早上八點到以前拒絕登陸，晚上六點以後拒絕登陸

   

• 建立子域。

建立子域一般用於如下幾種狀況：

• 一個已經從公司中分離出來的獨立經營的子公司。
• 有些公司的部門或小組基於對特殊技術的須要，而與其餘部門相對獨立的運行。
• 基於安全的考慮。

建立子域的好處主要用如下幾個方面。

• 便於管理自身的用戶和計算機，並容許採用不一樣於父域的管理策略。
• 有利於子域資源的安全管理。

在父子域環境中，因爲父子域間會創建雙向可傳遞的父子信任關係，所以父域用戶默承認以使用子域的計算機；同理，子域用戶也可使用父域的計算機。

 

   

• 將RODCServer加入到域裏面。

• 安裝Active Drirectory域服務和DNS服務。

• 選擇下一步，直到安裝。

• 點擊提高爲域控制器。

• 選擇第二個輸入新域名RODCServer，並點擊更改輸入域用戶和密碼，默認administrator。

• 設置域管理密碼，點擊下一步到安裝爲止。

• 點擊安裝。

• 打開ActiveDirectory域信任關係，點擊network.com右鍵屬性。

• 點擊信任查看。

• 在RODCServer上建立目錄。

• 右鍵屬性，點擊安全。

• 選擇第一個，點擊編輯，點擊肯定。

• 選擇高級。

• 選擇位置。

• 權限不只僅能夠給域中的用也能夠給林中的用戶。

   

   

• 只讀域控，輔助域控。

  只讀域控制器（Read-only Domian Controller，RODC）的AD DS數據庫只能夠被讀取，不能夠被修改，也就是說用戶或應用程序沒法直接修改RODC的AD DS數據庫。RODC的AD DS數據庫內容只可以從其餘可讀寫的域控制器複製過來。 RODC主要設計給遠程分公司網絡來使用的，由於通常來講遠程分公司的網絡規模比較小，用戶人數較少，此網絡的安全措施或許並不如總公司完備，也可能缺少IT技術人員，所以採用RODC可避免因其AD DS數據庫被破壞影響整個AD DS環境。

  輔助域控制器，在主域控不工做的事情下，輔助能夠頂替他繼續工做。

• 先將SUBDCServer加入，network域中。

• 安裝Active Drirectory域，並提高爲域控制器。

• 選擇將域控添加到現有的域。

• 點擊更改輸入域控用戶和密碼。

   

• 選擇只讀域控作只讀域控制器，不勾選只讀，作輔助域控。輸入密碼還原模式密碼。

 

• 默認選擇下一步，選擇DCServer.network.com

 

• 選擇下一步到安裝。