域控制器的搭建詳細(xì)

1、在部署其根域的時(shí)候，首先應(yīng)該考慮其安全性，根域一旦崩潰掉，后果將不堪設(shè)想，所以我將部署兩臺(tái)域控制器，一臺(tái)主控，一臺(tái)額控，以達(dá)到冗余的特性。我用windows2003做實(shí)驗(yàn)，首先做好基本設(shè)置，我的主域控Ip為192.168.1.1，額外域控ip為192.168.1.2一，在主域控上設(shè)置好Ip二，為了安全起見(jiàn)，我新建一個(gè)賬號(hào)wangwang，把此賬號(hào)加入administrators組.三，將當(dāng)前用戶切換到wangwang,開(kāi)始部署根域。因?yàn)榇擞蚍?wù)器為根DC，同時(shí)也作為DNS服務(wù)器，所以選擇第二項(xiàng)。此我為目錄服務(wù)的還原密碼，一定要記牢。接下來(lái)就慢慢等待。等完成后重啟，這樣第一臺(tái)根DC就做好了。域控

2、建好后，想要把成員機(jī)器加入到域：出現(xiàn)以下提示，說(shuō)明就成功加入域了！上文說(shuō)到了，額外域控充分顯示了冗余的特性，對(duì)于維護(hù)主域控的安全性有可靠的保障。下面我們?cè)谥饔蚩氐幕A(chǔ)是來(lái)搭建另一臺(tái)域控額外域。額外域所在的機(jī)器的Ip為：192.168.1.2ip設(shè)置如下：開(kāi)始部署。前面兩步與部署主域一樣，不同的是第三步：這個(gè)時(shí)候我們輸入的是域管理員的用戶名和密碼輸入域名注意這里輸入的還原密碼最好和根域保持一致到這一步直到最后完成后重啟就好了。接下來(lái)我們來(lái)看看域中DNS的問(wèn)題。因?yàn)镈NS在根域上，域中的用戶要求上網(wǎng)，必須將其DNS指向根域，即192.168.1.1，然后再將根域的DNS轉(zhuǎn)發(fā)到公網(wǎng)的DNS，這樣我們

3、就可以上網(wǎng)了。如下圖：但是，如果根域崩了，不能用了，DNS也就不能用了，自然就不能上網(wǎng)了，所以為了安全起見(jiàn)，我們應(yīng)該在額外DC上創(chuàng)建輔助DNS。然后點(diǎn)擊下一步完成即可。最后在根域服務(wù)器上作區(qū)域復(fù)制：注意在客戶端設(shè)置DNS的時(shí)候最好填入兩個(gè)DNS，一個(gè)主的，一個(gè)輔的，當(dāng)主域失效了，我們就可以提升額外域控為主域控了。建立子域之前，我們最好先將子域所在的機(jī)器加入域，然后再提升為子域。ip設(shè)置如下：加入域的方法在前文提到，不說(shuō)了。我們接著來(lái)提升子域。此時(shí)我想建立子域sh.yinheaaa，則填寫(xiě)內(nèi)容如下：此時(shí)的NETBios名只是SH，其實(shí)我們也可以將其改成全域名SH_YINHE_COM，方便記憶。好

4、了，接下來(lái)的設(shè)置和部署主域和額外域一樣，不說(shuō)了。等完成后重啟就OK了！下面就來(lái)部署林中的第二棵域樹(shù)了。首先來(lái)看Ip設(shè)置：注意，建立第二棵域樹(shù)之前要先在根DNS上建立好相對(duì)應(yīng)的域名，我先在根域DNS上建好域名cpipecaaa，如下：好了！開(kāi)始部署第二棵域樹(shù)了。不同的地方在于：注意此時(shí)的新域名應(yīng)該寫(xiě)cpipecaaa了嗯，接下來(lái)就一樣了，等完成后重啟。在域環(huán)境中，組策略顯得尤為重要，作為一個(gè)域管理員，要時(shí)刻有效的管理域中的成員，就必須對(duì)組策略熟之又熟，它是我們域中的一個(gè)十分強(qiáng)大的管理機(jī)制，我們要學(xué)懂它，恐怕還得多下點(diǎn)功夫，下面我單把腳本的應(yīng)用和軟件限制策略作一下簡(jiǎn)單的敘述：1、腳本。我們知道，在

5、組策略中分為兩大模塊：計(jì)算機(jī)配置和用戶配置。對(duì)計(jì)算機(jī)做配置只是作用于某臺(tái)計(jì)算機(jī)，對(duì)用戶配置做配置只是作用于某用戶，不過(guò)，計(jì)算機(jī)配置的優(yōu)先級(jí)是大于用戶配置的優(yōu)先級(jí)的，明白了這點(diǎn)，我們就可以有目的的去做配置了。首先，我在域yinheaaa中新建了一個(gè)組織單元“精英計(jì)劃”，在“精英計(jì)劃”下面又建了兩個(gè) 用戶。我現(xiàn)在想對(duì)張三和李四同時(shí)做腳本策略，那么我們就對(duì)“精英計(jì)劃”這個(gè)組織單元做策略好了。點(diǎn)擊“精英計(jì)劃”屬性，點(diǎn)組策略。然后新建策略點(diǎn)編輯，既然對(duì)用戶對(duì)策略，我們就對(duì)“用戶配置”做配置。我們先點(diǎn)開(kāi)“登錄”，然后點(diǎn)“添加”這時(shí)我手動(dòng)作一個(gè)“登錄”腳本好了，把這個(gè)做好的腳本粘貼到上面的面板中好了，我們接

6、著點(diǎn)“確定”就可以了，我們用同樣的方法做一個(gè)用戶注銷腳本不同的是在用戶配置中點(diǎn)擊“注銷”最后，等配置好了我們來(lái)刷新組策略（刷新策略有利于策略及時(shí)生效）到用戶機(jī)器上看一下結(jié)果用賬號(hào)“張三”登錄到域中登錄后就會(huì)出現(xiàn)“登錄腳本”提示了然后我們來(lái)注銷“張三”這個(gè)用戶2. 軟件限制策略首先新建一條策略編輯該策略（我們還是對(duì)用戶進(jìn)行配置）點(diǎn)擊“創(chuàng)建軟件限制策略”，我們可以看到“安全級(jí)別”和“其他規(guī)則”，“安全級(jí)別”定義了策略的表現(xiàn)形式（“不允許的”和“不受限的”），“其他規(guī)則”就包含了軟件限制策略的四條規(guī)則（證書(shū)規(guī)則、哈希規(guī)則、Internet區(qū)域規(guī)則和路徑規(guī)則）。下面我就“哈希規(guī)則”做一下演示：新建“哈

7、希規(guī)則：我們看到需要對(duì)某個(gè)文件哈希，瀏覽文件，我們下面就對(duì)用戶的“cmd.exe”文件哈希，不過(guò)在這里要提示一下，用戶一般為xp用戶，其C:windowssystem32cmd.exe文件和windows2003的cmd.exe文件是不同的，既然要對(duì)用戶做軟件限制，那我們必須將xp系統(tǒng)的cmd.exe文件先拷貝到服務(wù)器上，然后再瀏覽的這個(gè)文件的所在，就可以了！我們先把xp系統(tǒng)的cmd.exe文件找到：把這個(gè)文件拷貝到域服務(wù)器上，我放到桌面好了：這時(shí)瀏覽到桌面的cmd.exe文件后可以看見(jiàn)已經(jīng)變成了哈希函數(shù)，安全級(jí)別為“不允許的”，即是說(shuō)用戶無(wú)法使用cmd.exe這個(gè)程序。然后立即刷新組策略到用

8、戶機(jī)器上驗(yàn)證結(jié)果，用“李四”登錄：在登錄后運(yùn)行cmd程序可以看到此時(shí)已受限制了。實(shí)驗(yàn)完畢。在域中，文件夾重定向和漫游配置用戶的設(shè)定很大程度上方便了用戶在域中登錄的隨意性，就是說(shuō)用戶無(wú)論在域中的哪一臺(tái)機(jī)器上登錄，其有關(guān)文檔和配置信息都會(huì)如實(shí)的反饋給用戶，很方便！一、文件夾重定向。文件夾重定向的意思就是說(shuō)將用戶的文檔從一個(gè)有效的網(wǎng)絡(luò)途徑定向的服務(wù)器或者別的機(jī)器上，在不同的機(jī)器上登錄自己的賬號(hào)都能輕松的索取自己的文檔，和共享有點(diǎn)類似。首先我選擇在域服務(wù)器上新建一個(gè)共享的文件夾share,給everyone完全控制的共享權(quán)限，給creator owner 和system完全控制的ntfs權(quán)限。對(duì)組織單

9、元“精英計(jì)劃”新建一條策略“文件夾重定向”編輯該策略，并選擇用戶配置下的文件夾重定向，我們對(duì)“我的文檔”作重定向，點(diǎn)擊屬性，然后如下圖設(shè)置。完成后刷新組策略即可。我先在client1上用“張三”登錄登錄后可以查看桌面上“我的文檔”屬性，就會(huì)發(fā)覺(jué)“我的文檔”已經(jīng)定向到了域服務(wù)器上了。我打張三的“我的文檔”，在里面新建了一個(gè)記事本好，我注銷張三用戶，重新到cliente2上登錄。我們同樣看到了剛才在client1上建立的記事本。我們?cè)倩氐接蚍?wù)器上，可以看見(jiàn)共享文件夾share里自動(dòng)建立了一個(gè)名為zhangsan的文件夾，該文件夾里就是張三的我的文檔了，但是這個(gè)文件夾除了張三外是沒(méi)人有權(quán)限打開(kāi)的，除非是域管理員奪取權(quán)限了。二.漫游用戶配置。漫游用戶配置其實(shí)很簡(jiǎn)單，只需要將用戶的配置文件定向到服務(wù)器上即可。我先在服務(wù)器上新建一個(gè)名為“漫游用戶配置文件”的文件夾，并且給everyone完全控制的共享權(quán)限，給creator owner和system完全控制的NTFS權(quán)限。好了，我對(duì)李四作配置：我在配置文件路徑中寫(xiě)的是：server1.yinh