Windows Server 2012 域控 子域 唯讀域 輔助域

標籤：建立   成功   容器   活動目錄   刪除   work   單位   主機   運行   

 

2018年8月20日

14:11

   

1. 域與活動目錄

什麼是域

域（Domain）是Windows網路中獨立啟動並執行單位，域之間相互訪問則需要建立信任關係（Trust Relation）。信任關係是串連在域與域之間的橋樑。當一個域與其他域建立了信任關係後，兩個域之間不但可以按需要相互進行管理，還可以跨網分配檔案和印表機等裝置資源，使不同的域之間實現網路資源的共用與管理。

   

為什麼需要域

      如果資源分布在N台伺服器上，那麼使用者需要資源時就要分別登陸這N台伺服器，也就需要N個帳號。一個使用者如此，那M個呢，管理員也就需要給他們建立N*M個賬戶，這樣不僅負責而且難管理。

 

有了域，管理員只需要給每個使用者建立一個域使用者，使用者只需在域中登陸一次就可以訪問域中的資源，實現了單一登陸。

使用者資訊是存放在域中的網域控制站（DC，Domain Controller）上，中，可以在伺服器中選定一台或者幾台伺服器作為網域控制站。有多台網域控制站時，各個網域控制站是平等的，每個網域控制站上都有所在域的全部使用者的資訊，網域控制站之間需要同步這些資訊。而其它不適網域控制站的伺服器僅僅是提供資源。

什麼是活動目錄

活動目錄（Active Directory）是Windows 2003Server平台提供的目錄服務。在中央資料庫中存放資訊，使使用者在網路上只擁有一個使用者帳號。目錄是儲存各種對象的一個物理上的容器，目錄服務是使目錄中所有資訊和資源發揮作用的服務。

資訊的安全性大大增強，引入原則式管理，使系統的管理更加明朗，具有很強的可擴充性、延展性、智能的資訊複製能力，與DNS整合緊密、與其他目錄服務具有互通性、具有靈活的查詢。

活動目錄邏輯結構：域、組織單元、樹、林。

網域控制站（DC,Domain Controller）上存放著域中所有使用者、組、電腦等資訊（實際上網域控制站存放的資訊還不止這些），網域控制站把這些資訊存放在活動目錄中。

   

活動目錄和DNS 的關係

在TCP/IP網路中，DNS（Domain Name System）是用來解決電腦名稱字和IP地址的映射關係的，活動目錄和DNS是緊密不可分的，活動目錄使用DNS伺服器來登記網域控制站的IP、各種資源的定位等，在一個域林中至少要有一個DNS伺服器存在，所以安裝活動目錄時需要同時安裝DNS。此外，域的命名也是採用DNS的格式來命名的。

   

1. 活動目錄與組織單元

   

?  對象：使用者、電腦、印表機、組等等。每個對象都有自己的屬性以及屬性值。

?  組織單元（OU,Organization Unit）:組織單元是用來把對象按邏輯進行分組，便於管理、尋找、授權和訪問。組織單元只表示單個域中的對象集合（可包括組對象）組織單元具有繼承性，子單元能夠繼承父單元的acl。同時網域系統管理員可授予使用者對域中所有組織單位或單個組織單位的系統管理權限。就像一個公司的各個部門的主管，權力平均化能更有效管理。

   

   

   

   

   

Windows Server 2012R2 域與活動目錄項目搭建

2018年8月25日

9:14

• 安裝並佈建網域

?  活動目錄設計

    } 網域名稱與控制器的安裝位置

        n  中小企業，為簡單起見，在網路中只安裝一個網域控制站

        n  域的名字應該和DNS網域名稱一樣，為：DCServer.network.com

        n  其它所有電腦加入到域中

    } 組織單元的設計

        n  我們這雷根據公司的行政架構來設計OU

        n  各部門的使用者、組、電腦、印表機等均放到對應的組織單元上

實驗拓撲圖

實驗用VMware Workstation Pro虛擬機器來類比伺服器和客戶機，虛擬機器之間採用內部網路的網路連接方式，其中SUBDCServer充當域成員伺服器伺服器，DCServer和RODCSever（系統Windows Server 2012r2）為網域控制站。

DCServer：

更改主機名稱：

• 安裝AD域控和DNS伺服器。

• 下一步直至安裝。

• 提升為網域控制站。

• 選擇添加林。（因要求來定網域名稱）

• 輸入密碼，域控密碼，用於域控降級，刪除使用。

• 下一步，直到安裝。

   

• 安裝好重啟電腦，由於活動目錄的存在。啟動時間會變長，發現建立好的域NETWORK。

• 在域控控制器上登入時，只能以域中的使用者登入。雖然使用者名稱仍然為Administrator，但Administrator是域使用者。（該圖在工具內Active Director使用者和電腦）。

• 把客戶機（伺服器）加入域中

  a. 三種角色： 網域控制站，成員伺服器和獨立伺服器。

  b. 伺服器的這個三個角色可以發生改變。

   

SUBDCServer：

• 開啟電腦右鍵屬性。

• 更改設定，

• 點擊更改。

• 設定主機名稱和網域名稱加入域控，輸入帳號密碼。帳號預設Administrator。

   

   

   

• 加入成功，重啟電腦。

• 重啟之後，開啟電腦屬性。

• 在DCServer域控制上可以查看到。

• 把伺服器（電腦）從域中脫離

• 安裝活動目錄後的變化

  使用"Active Drirectory使用者和電腦"工具來系統管理使用者和組。

     

  a.建立一個網路部組織單元，內有使用者一，使用者登入名稱為[email protected]，密碼為network.com，登入目標client。

     

  b. 建立一個業務部組織單元，內有使用者二，使用者登入名稱為[email protected]，密碼為network.net登入段早上八點到晚上六點。

     

     

• 開啟DCServer上Active Drirectory使用者電腦。

• 右鍵建立組織單位。

   

• 右鍵建立使用者。

• 使用者登入名稱。

• 選擇使用者不能更改密碼和密碼永不到期。密碼為network.com

• 點擊查看，選擇進階功能。

• 開啟網路部，右鍵選擇使用者選擇屬性。

• 點開賬戶，點擊登入到，添加登入目標client。

• 點擊添加，選擇client，確定。

   

b. 建立一個業務部組織單元，內有使用者二，使用者登入名稱為[email protected]，密碼為network.net登入段早上八點到晚上六點。

   

• 同上建立組織單位，名稱為業務部。

• 點開帳號，點擊登入時間。

• 點擊星期一到星期日早上八點到之前拒絕登入，晚上六點之後拒絕登入

   

• 建立子域。

建立子域通常用於以下幾種情況：

• 一個已經從公司中分離出來的獨立經營的子公司。
• 有些公司的部門或小組基於對特殊技術的需要，而與其他部門相對獨立的運行。
• 基於安全的考慮。

建立子域的好處主要用以下幾個方面。

• 便於管理自身的使用者和電腦，並允許採用不同於父域的管理原則。
• 有利於子域資源的安全管理。

在父子域環境中，由於父子域間會建立雙向可傳遞的父子信任關係，因此父域使用者預設可以使用子域的電腦；同理，子域使用者也可以使用父域的電腦。

 

   

• 將RODCServer加入到域裡面。

• 安裝Active Drirectory網域服務和DNS服務。

• 選擇下一步，直到安裝。

• 點擊提升為網域控制站。

• 選擇第二個輸入新網域名稱RODCServer，並點擊更改輸入欄位使用者和密碼，預設administrator。

• 設定域管理密碼，點擊下一步到安裝為止。

• 點擊安裝。

• 開啟ActiveDirectory域信任關係，點擊network.com右鍵屬性。

• 點擊信任查看。

• 在RODCServer上建立目錄。

• 右鍵屬性，點擊安全。

• 選擇第一個，點擊編輯，點擊確定。

• 選擇進階。

• 選擇位置。

• 許可權不僅僅可以給域中的用也可以給林中的使用者。

   

   

• 唯讀域控，輔助域控。

  唯讀網域控制站（Read-only Domian Controller，RODC）的AD DS資料庫只可以被讀取，不可以被修改，也就是說使用者或應用程式無法直接修改RODC的AD DS資料庫。RODC的AD DS資料庫內容只能夠從其他可讀寫的網域控制站複製過來。 RODC主要設計給遠程分公司網路來使用的，因為一般來說遠程分公司的網路規模比較小，使用者人數較少，此網路的安全措施或許並不如總公司完備，也可能缺乏IT技術人員，因此採用RODC可避免因其AD DS資料庫被破壞影響整個AD DS環境。

  輔助網域控制站，在主域控不工作的事情下，輔助可以頂替他繼續工作。

• 先將SUBDCServer加入，network域中。

• 安裝Active Drirectory域，並提升為網域控制站。

• 選擇將域控添加到現有的域。

• 點擊更改輸入欄位控使用者和密碼。

   

• 選擇唯讀域控做唯讀網域控制站，不勾選唯讀，做輔助域控。輸入密碼還原模式密碼。

• 預設選擇下一步，選擇DCServer.network.com

• 選擇下一步到安裝。

   

   

   

   

   

 

   

 

   

 

   

 根據79342787 撰寫

請使用手機"掃一掃"x

Windows Server 2012 域控 子域 唯讀域 輔助域