域控制器的搭建詳細(xì)

1、在部署其根域的時候，首先應(yīng)該考慮其安全性，根域一旦崩潰掉，后果將不堪設(shè)想，所以我將部署兩臺域控制器，一臺主控，一臺額控，以達(dá)到冗余的特性。我用windows2003做實(shí)驗(yàn)，首先做好基本設(shè)置，我的主域控Ip為192.168.1.1，額外域控ip為192.168.1.2一，在主域控上設(shè)置好Ip二，為了安全起見，我新建一個賬號wangwang，把此賬號加入administrators組.三，將當(dāng)前用戶切換到wangwang,開始部署根域。因?yàn)榇擞蚍?wù)器為根DC，同時也作為DNS服務(wù)器，所以選擇第二項(xiàng)。此我為目錄服務(wù)的還原密碼，一定要記牢。接下來就慢慢等待。等完成后重啟，這樣第一臺根DC就做好了。域控

2、建好后，想要把成員機(jī)器加入到域：出現(xiàn)以下提示，說明就成功加入域了！上文說到了，額外域控充分顯示了冗余的特性，對于維護(hù)主域控的安全性有可靠的保障。下面我們在主域控的基礎(chǔ)是來搭建另一臺域控額外域。額外域所在的機(jī)器的Ip為：192.168.1.2ip設(shè)置如下：開始部署。前面兩步與部署主域一樣，不同的是第三步：這個時候我們輸入的是域管理員的用戶名和密碼輸入域名注意這里輸入的還原密碼最好和根域保持一致到這一步直到最后完成后重啟就好了。接下來我們來看看域中DNS的問題。因?yàn)镈NS在根域上，域中的用戶要求上網(wǎng)，必須將其DNS指向根域，即192.168.1.1，然后再將根域的DNS轉(zhuǎn)發(fā)到公網(wǎng)的DNS，這樣我們

3、就可以上網(wǎng)了。如下圖：但是，如果根域崩了，不能用了，DNS也就不能用了，自然就不能上網(wǎng)了，所以為了安全起見，我們應(yīng)該在額外DC上創(chuàng)建輔助DNS。然后點(diǎn)擊下一步完成即可。最后在根域服務(wù)器上作區(qū)域復(fù)制：注意在客戶端設(shè)置DNS的時候最好填入兩個DNS，一個主的，一個輔的，當(dāng)主域失效了，我們就可以提升額外域控為主域控了。建立子域之前，我們最好先將子域所在的機(jī)器加入域，然后再提升為子域。ip設(shè)置如下：加入域的方法在前文提到，不說了。我們接著來提升子域。此時我想建立子域sh.yinheaaa，則填寫內(nèi)容如下：此時的NETBios名只是SH，其實(shí)我們也可以將其改成全域名SH_YINHE_COM，方便記憶。好

4、了，接下來的設(shè)置和部署主域和額外域一樣，不說了。等完成后重啟就OK了！下面就來部署林中的第二棵域樹了。首先來看Ip設(shè)置：注意，建立第二棵域樹之前要先在根DNS上建立好相對應(yīng)的域名，我先在根域DNS上建好域名cpipecaaa，如下：好了！開始部署第二棵域樹了。不同的地方在于：注意此時的新域名應(yīng)該寫cpipecaaa了嗯，接下來就一樣了，等完成后重啟。在域環(huán)境中，組策略顯得尤為重要，作為一個域管理員，要時刻有效的管理域中的成員，就必須對組策略熟之又熟，它是我們域中的一個十分強(qiáng)大的管理機(jī)制，我們要學(xué)懂它，恐怕還得多下點(diǎn)功夫，下面我單把腳本的應(yīng)用和軟件限制策略作一下簡單的敘述：1、腳本。我們知道，在

5、組策略中分為兩大模塊：計算機(jī)配置和用戶配置。對計算機(jī)做配置只是作用于某臺計算機(jī)，對用戶配置做配置只是作用于某用戶，不過，計算機(jī)配置的優(yōu)先級是大于用戶配置的優(yōu)先級的，明白了這點(diǎn)，我們就可以有目的的去做配置了。首先，我在域yinheaaa中新建了一個組織單元“精英計劃”，在“精英計劃”下面又建了兩個 用戶。我現(xiàn)在想對張三和李四同時做腳本策略，那么我們就對“精英計劃”這個組織單元做策略好了。點(diǎn)擊“精英計劃”屬性，點(diǎn)組策略。然后新建策略點(diǎn)編輯，既然對用戶對策略，我們就對“用戶配置”做配置。我們先點(diǎn)開“登錄”，然后點(diǎn)“添加”這時我手動作一個“登錄”腳本好了，把這個做好的腳本粘貼到上面的面板中好了，我們接

6、著點(diǎn)“確定”就可以了，我們用同樣的方法做一個用戶注銷腳本不同的是在用戶配置中點(diǎn)擊“注銷”最后，等配置好了我們來刷新組策略（刷新策略有利于策略及時生效）到用戶機(jī)器上看一下結(jié)果用賬號“張三”登錄到域中登錄后就會出現(xiàn)“登錄腳本”提示了然后我們來注銷“張三”這個用戶2. 軟件限制策略首先新建一條策略編輯該策略（我們還是對用戶進(jìn)行配置）點(diǎn)擊“創(chuàng)建軟件限制策略”，我們可以看到“安全級別”和“其他規(guī)則”，“安全級別”定義了策略的表現(xiàn)形式（“不允許的”和“不受限的”），“其他規(guī)則”就包含了軟件限制策略的四條規(guī)則（證書規(guī)則、哈希規(guī)則、Internet區(qū)域規(guī)則和路徑規(guī)則）。下面我就“哈希規(guī)則”做一下演示：新建“哈

7、希規(guī)則：我們看到需要對某個文件哈希，瀏覽文件，我們下面就對用戶的“cmd.exe”文件哈希，不過在這里要提示一下，用戶一般為xp用戶，其C:windowssystem32cmd.exe文件和windows2003的cmd.exe文件是不同的，既然要對用戶做軟件限制，那我們必須將xp系統(tǒng)的cmd.exe文件先拷貝到服務(wù)器上，然后再瀏覽的這個文件的所在，就可以了！我們先把xp系統(tǒng)的cmd.exe文件找到：把這個文件拷貝到域服務(wù)器上，我放到桌面好了：這時瀏覽到桌面的cmd.exe文件后可以看見已經(jīng)變成了哈希函數(shù)，安全級別為“不允許的”，即是說用戶無法使用cmd.exe這個程序。然后立即刷新組策略到用

8、戶機(jī)器上驗(yàn)證結(jié)果，用“李四”登錄：在登錄后運(yùn)行cmd程序可以看到此時已受限制了。實(shí)驗(yàn)完畢。在域中，文件夾重定向和漫游配置用戶的設(shè)定很大程度上方便了用戶在域中登錄的隨意性，就是說用戶無論在域中的哪一臺機(jī)器上登錄，其有關(guān)文檔和配置信息都會如實(shí)的反饋給用戶，很方便！一、文件夾重定向。文件夾重定向的意思就是說將用戶的文檔從一個有效的網(wǎng)絡(luò)途徑定向的服務(wù)器或者別的機(jī)器上，在不同的機(jī)器上登錄自己的賬號都能輕松的索取自己的文檔，和共享有點(diǎn)類似。首先我選擇在域服務(wù)器上新建一個共享的文件夾share,給everyone完全控制的共享權(quán)限，給creator owner 和system完全控制的ntfs權(quán)限。對組織單

9、元“精英計劃”新建一條策略“文件夾重定向”編輯該策略，并選擇用戶配置下的文件夾重定向，我們對“我的文檔”作重定向，點(diǎn)擊屬性，然后如下圖設(shè)置。完成后刷新組策略即可。我先在client1上用“張三”登錄登錄后可以查看桌面上“我的文檔”屬性，就會發(fā)覺“我的文檔”已經(jīng)定向到了域服務(wù)器上了。我打張三的“我的文檔”，在里面新建了一個記事本好，我注銷張三用戶，重新到cliente2上登錄。我們同樣看到了剛才在client1上建立的記事本。我們再回到域服務(wù)器上，可以看見共享文件夾share里自動建立了一個名為zhangsan的文件夾，該文件夾里就是張三的我的文檔了，但是這個文件夾除了張三外是沒人有權(quán)限打開的，除非是域管理員奪取權(quán)限了。二.漫游用戶配置。漫游用戶配置其實(shí)很簡單，只需要將用戶的配置文件定向到服務(wù)器上即可。我先在服務(wù)器上新建一個名為“漫游用戶配置文件”的文件夾，并且給everyone完全控制的共享權(quán)限，給creator owner和system完全控制的NTFS權(quán)限。好了，我對李四作配置：我在配置文件路徑中寫的是：server1.yinh