- 1、本文档共38页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
在部署其根域的时候,首先应该考虑其安全性,根域一旦崩溃掉,后果将不堪设想,所以我将部署两台域控制器,一台主控,一台额控,以达到冗余的特性。
我用windows2003做实验,首先做好基本设置,我的主域控Ip为,额外域控ip为
一,在主域控上设置好Ip
二,为了安全起见,我新建一个账号wangwang,把此账号加入administrators组.
三,将当前用户切换到wangwang,开始部署根域。
?
因为此域服务器为根DC,同时也作为DNS服务器,所以选择第二项。
?
此我为目录服务的还原密码,一定要记牢。
?
接下来就慢慢等待。。。
?
等完成后重启,这样第一台根DC就做好了。。。
?
?
域控建好后,想要把成员机器加入到域:
?
出现以下提示,说明就成功加入域了!
上文说到了,额外域控充分显示了冗余的特性,对于维护主域控的安全性有可靠的保障。下面我们在主域控的基础是来搭建另一台域控——额外域。
额外域所在的机器的Ip为:
ip设置如下:
?
开始部署。前面两步与部署主域一样,不同的是第三步:
?
这个时候我们输入的是域管理员的用户名和密码
?
输入域名
?
注意这里输入的还原密码最好和根域保持一致
?
到这一步直到最后完成后重启就好了。。。
?
接下来我们来看看域中DNS的问题。因为DNS在根域上,域中的用户要求上网,必须将其DNS指向根域,即,然后再将根域的DNS转发到公网的DNS,这样我们就可以上网了。如下图:
?
但是,如果根域崩了,不能用了,DNS也就不能用了,自然就不能上网了,所以为了安全起见,我们应该在额外DC上创建辅助DNS。
?
?
然后点击下一步完成即可。
最后在根域服务器上作区域复制:
?
注意在客户端设置DNS的时候最好填入两个DNS,一个主的,一个辅的,当主域失效了,我们就可以提升额外域控为主域控了。
?
建立子域之前,我们最好先将子域所在的机器加入域,然后再提升为子域。
ip设置如下:
?
加入域的方法在前文提到,不说了。我们接着来提升子域。
?
此时我想建立子域,则填写内容如下:
?
此时的NETBios名只是SH,其实我们也可以将其改成全域名SH_YINHE_COM,方便记忆。
?
好了,接下来的设置和部署主域和额外域一样,不说了。。。等完成后重启就OK了!
?
下面就来部署林中的第二棵域树了。
首先来看Ip设置:
?
注意,建立第二棵域树之前要先在根DNS上建立好相对应的域名,我先在根域DNS上建好域名,如下:
?
好了!
开始部署第二棵域树了。
不同的地方在于:
?
注意此时的新域名应该写了
?
嗯,接下来就一样了,等完成后重启。
在域环境中,组策略显得尤为重要,作为一个域管理员,要时刻有效的管理域中的成员,就必须对组策略熟之又熟,它是我们域中的一个十分强大的管理机制,我们要学懂它,恐怕还得多下点功夫,下面我单把脚本的应用和软件限制策略作一下简单的叙述:
1、脚本。
我们知道,在组策略中分为两大模块:计算机配置和用户配置。对计算机做配置只是作用于某台计算机,对用户配置做配置只是作用于某用户,不过,计算机配置的优先级是大于用户配置的优先级的,明白了这点,我们就可以有目的的去做配置了。
首先,我在域中新建了一个组织单元“精英计划”,在“精英计划”下面又建了两个 用户。
?
我现在想对张三和李四同时做脚本策略,那么我们就对“精英计划”这个组织单元做策略好了。
点击“精英计划”属性,点组策略。
?
然后新建策略
?
点编辑,既然对用户对策略,我们就对“用户配置”做配置。
?
我们先点开“登录”,然后点“添加”
?
这时我手动作一个“登录”脚本
好了,把这个做好的脚本粘贴到上面的面板中
?
好了,我们接着点“确定”就可以了,我们用同样的方法做一个用户注销脚本
?
不同的是在用户配置中点击“注销”
?
最后,等配置好了我们来刷新组策略(刷新策略有利于策略及时生效)
?
到用户机器上看一下结果
用账号“张三”登录到域中
?
登录后就会出现“登录脚本”提示了
?
然后我们来注销“张三”这个用户
?
?
2. 软件限制策略
首先新建一条策略
?
编辑该策略(我们还是对用户进行配置)
?
?
点击“创建软件限制策略”,我们可以看到“安全级别”和“其他规则”,“安全级别”定义了策略的表现形式(“不允许的”和“不受限的”),“其他规则”就包含了软件限制策略的四条规则(证书规则、哈希规则、Internet区域规则和路径规则)。下面我就“哈希规则”做一下演示:
新建“哈希规则:
我们看到需要对某个文件哈希,浏览文件,我们下面就对用户的“cmd.exe”文件哈希,不过在这里要提示一下,用户一般为xp用户,其C:\windows\system32\cmd.exe文件和windows2003的cmd.exe文件是不同的,
文档评论(0)