域控制器搭建详细.doc

在部署其根域的时候，首先应该考虑其安全性，根域一旦崩溃掉，后果将不堪设想，所以我将部署两台域控制器，一台主控，一台额控，以达到冗余的特性。 我用windows2003做实验，首先做好基本设置，我的主域控Ip为，额外域控ip为 一，在主域控上设置好Ip 二，为了安全起见，我新建一个账号wangwang，把此账号加入administrators组. 三，将当前用户切换到wangwang,开始部署根域。 ? 因为此域服务器为根DC，同时也作为DNS服务器，所以选择第二项。 ? 此我为目录服务的还原密码，一定要记牢。 ? 接下来就慢慢等待。。。 ? 等完成后重启，这样第一台根DC就做好了。。。 ? ? 域控建好后，想要把成员机器加入到域： ? 出现以下提示，说明就成功加入域了！ 上文说到了，额外域控充分显示了冗余的特性，对于维护主域控的安全性有可靠的保障。下面我们在主域控的基础是来搭建另一台域控——额外域。 额外域所在的机器的Ip为： ip设置如下： ? 开始部署。前面两步与部署主域一样，不同的是第三步： ? 这个时候我们输入的是域管理员的用户名和密码 ? 输入域名 ? 注意这里输入的还原密码最好和根域保持一致 ? 到这一步直到最后完成后重启就好了。。。 ? 接下来我们来看看域中DNS的问题。因为DNS在根域上，域中的用户要求上网，必须将其DNS指向根域，即，然后再将根域的DNS转发到公网的DNS，这样我们就可以上网了。如下图： ? 但是，如果根域崩了，不能用了，DNS也就不能用了，自然就不能上网了，所以为了安全起见，我们应该在额外DC上创建辅助DNS。 ? ? 然后点击下一步完成即可。 最后在根域服务器上作区域复制： ? 注意在客户端设置DNS的时候最好填入两个DNS，一个主的，一个辅的，当主域失效了，我们就可以提升额外域控为主域控了。 ? 建立子域之前，我们最好先将子域所在的机器加入域，然后再提升为子域。 ip设置如下： ? 加入域的方法在前文提到，不说了。我们接着来提升子域。 ? 此时我想建立子域，则填写内容如下： ? 此时的NETBios名只是SH，其实我们也可以将其改成全域名SH_YINHE_COM，方便记忆。 ? 好了，接下来的设置和部署主域和额外域一样，不说了。。。等完成后重启就OK了！ ? 下面就来部署林中的第二棵域树了。 首先来看Ip设置： ? 注意，建立第二棵域树之前要先在根DNS上建立好相对应的域名，我先在根域DNS上建好域名，如下： ? 好了！ 开始部署第二棵域树了。 不同的地方在于： ? 注意此时的新域名应该写了 ? 嗯，接下来就一样了，等完成后重启。 在域环境中，组策略显得尤为重要，作为一个域管理员，要时刻有效的管理域中的成员，就必须对组策略熟之又熟，它是我们域中的一个十分强大的管理机制，我们要学懂它，恐怕还得多下点功夫，下面我单把脚本的应用和软件限制策略作一下简单的叙述： 1、脚本。 我们知道，在组策略中分为两大模块：计算机配置和用户配置。对计算机做配置只是作用于某台计算机，对用户配置做配置只是作用于某用户，不过，计算机配置的优先级是大于用户配置的优先级的，明白了这点，我们就可以有目的的去做配置了。 首先，我在域中新建了一个组织单元“精英计划”，在“精英计划”下面又建了两个 用户。 ? 我现在想对张三和李四同时做脚本策略，那么我们就对“精英计划”这个组织单元做策略好了。 点击“精英计划”属性，点组策略。 ? 然后新建策略 ? 点编辑，既然对用户对策略，我们就对“用户配置”做配置。 ? 我们先点开“登录”，然后点“添加” ? 这时我手动作一个“登录”脚本 好了，把这个做好的脚本粘贴到上面的面板中 ? 好了，我们接着点“确定”就可以了，我们用同样的方法做一个用户注销脚本 ? 不同的是在用户配置中点击“注销” ? 最后，等配置好了我们来刷新组策略（刷新策略有利于策略及时生效） ? 到用户机器上看一下结果 用账号“张三”登录到域中 ? 登录后就会出现“登录脚本”提示了 ? 然后我们来注销“张三”这个用户 ? ? 2. 软件限制策略 首先新建一条策略 ? 编辑该策略（我们还是对用户进行配置） ? ? 点击“创建软件限制策略”，我们可以看到“安全级别”和“其他规则”，“安全级别”定义了策略的表现形式（“不允许的”和“不受限的”），“其他规则”就包含了软件限制策略的四条规则（证书规则、哈希规则、Internet区域规则和路径规则）。下面我就“哈希规则”做一下演示： 新建“哈希规则： 我们看到需要对某个文件哈希，浏览文件，我们下面就对用户的“cmd.exe”文件哈希，不过在这里要提示一下，用户一般为xp用户，其C:\windows\system32\cmd.exe文件和windows2003的cmd.exe文件是不同的，