windows server2012 活动目录
活动目录概述
目录是存储有关网络上对象的信息的层次结构。目录服务 提供了存储 目录数据 和 网络用户和管理员使用目录数据的方法。
活动目录 (Active Directory,简称AD) 是微软Windows Server中,负责中大型网络环境架构的集中式目录管理服务(Directory Services)。从windows server 2000开始内置在操作系统中。
活动目录处理在组织中的网络对象,对象可以是用户、组群、电脑、网域控制站、邮件、配置文件、组织单元、树系等等,只要是在活动目录结构定义档(schema)中定义的对象,就可以存储在活动目录资料档中,并利用活动目录 Service Interface来访问,实际上,许多活动目录的管理工具都是利用这个接口来调用并使用活动目录的资料。
通过登录身份验证和对目录中对象的访问控制,安全与Active Directory 集成。通过单一网络登录,管理员可用管理整个网络中的目录数据和组织,授权网络用户可用访问网络上任何位置的资源,基于策略的管理简化了最复杂的网络管理
AD还包括:
- 一组规则,即架构,定义目录中包含的对象和属性的类别、这些对象的实例的约束和限制及其名称的格式。
- 包含有关目录中每个对象的信息的全局编录。这允许用户和管理员查找目录信息,而不考虑目录中的哪个域实际包含数据。
- 一种查询和索引机制,以便对象及其属性可由网络用户或应用程序发布和查找。
- 跨网络分发目录数据的复制服务。域中的所有域控制器均参与复制,并包含其域的所有目录信息的完整副本。对目录数据的任何更改均复制到域中的所有域控制器。
活动目录(AD)以树状的数据结构来组成网络服务的信息,在简单的网络环境中(小公司),通常网域都只有一个,在中型或大型的网络中,网域可能会有很多个,或是和其他公司或组织的AD相互连接(此链接称为信任关系)
活动目录组件
AD DS (Active Directory Domain Services) 活动目录域服务器 简称 AD域 。安装了域控制器就生成了域环境,安装了活动目录就生成了域控制器
AD DS 组件可分为逻辑组件和物理组件
逻辑组件
- Partitions (分区)
- Schema (架构)
- Domains (域)
- Domain trees (域树)
- Forests (森林关系)
- Sites (站点,基于某个区域实现的逻辑结构)
- OUs (组织单元)
- Containers (容器)
物理组件
- Domain controllers (域控制器)
- Data stores (数据存储数据库)
- Global catalog (全局编录服务器)
- servers (物理服务器)
- RODCS (只读域控)
域控制器 Domain controllers :托管 AD DS的数据库和SYSVOL(域公共文件服务器,如GPOs),Kerberos身份验证服务和KDC服务执行省份验证
全局编录 Global catalog:为域林中的其它域承载一些属性以支持整个林中对象的查询
组织单元 OU(Organization Unit):通常用于配置OU下的组策略,委派OU给其他管理员
下图是一个活动目录的树形结构图,每个有个小书图标的小文件夹就是一个组织单元,没有小书图标的就是容器
AD DS森林: 就是多个树域(上图就是域的树形结构简称域树)和子域组成的域林
AD DS Schema: 定义了存储在AD DS 数据库中的对象
活动目录管理与应用
安装活动目录
类似于DNS服务器,windows server2012 我们可以直接在 服务器管理窗口进行安装。
活动目录管理
OU:组织单位
作用:用于归类域资源(域用户,域计算机,域组)
OU下面可以包含 用户、用户组、计算机、联系人、打印机等,非常灵活,管理员依据OU来进行分层分组管理
开始–管理工具–Active Directory用户和计算机 点击我们的域,右键新建组织单位。还可以对组织单位右键新建组织单位,形成了一个组织架构,我们可以去uers里面把用户移动到不同的组织单位,也可以去computers里把电脑移动到不同的组织单位,对于用户,计算机,这属于两种资源,我们可以单独对用户实施组策略,这样不管它登录那个计算机都受到组策略的限制,也可以只对计算机做限制,只有这个计算机被限制,这个用户登录其他电脑不会被这个组策略限制。
组策略:Group Policy = GPO
可以把windows的组策略对象挂在OU上,每个OU都有自己的组策略,可以达到不同的管理目的。
作用:通过组策略来限制,修改计算机的各种属性,如:开始菜单,桌面背景,网络参数等。组策略在域中,是基于OU来下发的
组策略在域中下发后,用户的应用顺序是:LSDOU,在应用过程中如果出现冲突,后应用的生效。本地–林–域–离自己最近的OU
管理组策略
开始–管理工具–组策略管理,找到想要下发组策略的组织单位,右键选择“在这个域中创建GPO并……” 这样就建立好了,如果需要编辑,就找到要编辑的组策略,右键,编辑。他会有用户配置和计算机配置两个。选一个配置就可以,区别之前已经说过了。比如我们给用户配置,点击用户配制–策略–管理模板–桌面,点击桌面后,右边就会出来好多的设置以及它们的状态。我们设置一个桌面,在active desktop 里有壁纸设置,双击,选择启用,再在D盘建立一个共享文件夹,因为员工要去这里下载文件,所以下面壁纸名称我们要写共享路径,这之前讲过\\10.1.1.1\share\aaa.jpg
即要写好IP和共享的文件夹。这样就好了,我们重启注销,就会发现好了,或者自定义桌面发现而没法改变。我们还可以在对应的组策略右键强制,这样就是执行完这个组策略就可以了如果后面和这个冲突,那么也用这个,如果没冲突就继续执行本来的
我们也可以对着那个组,右键,阻止继承,这样就只执行这个组的组策略,前面的都不管了。
如果同时上级点了强制,下面还阻止继承,那么强制生效,阻止没有用。
有的公司需要安全加固,在计算机配置,windows 设置里有安全设置,账户策略,我们可以规定密码的长度等等。
如果我们忘了都设置过哪些组策略,我们可以点击组策略,设置,那里会显示我们设置的策略,中途会弹出窗口,我们添加就可以了。