AD域(Domain)
一、域(Domain)基本介绍
“域”是一个相对严格的组织。”域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管 理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,就可以访问共享资源,如共享ISDN上网等。 尽管对等网络上的共享文件可以加访问密码, 但是非常容易被破解。在由Windows 9x 构成的对等网中,数据是非常不安全的。
在”域”模式下,至少有一台服务器负责每一台联入域网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为”域控制器(Domain Controller,简写为DC)”。”域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。
二、AD域服务(AD DS)
在计算机、用户数量较多的企业网络中,域能够实现统一、高效的管理此网络环境。域环境是一种逻辑结构,从逻辑上将网络中的计算机组织到一起,进行统一管理。在一个域中,所有的用户、计算机等角色,都是统一的,而域控制器则负责存储整个域环境的数据信息。如:
- 权限集中:所有用户账户直接通过dc进行管理,而工作组模式则需要对每一台计算机进行配置,难以管理。
- 共享集中:共享数据后,通过权限配置,使得需要的用户能够直接访问该数据。
- 策略部署:对域中的计算机、用户实施统一策略部署,达到所有计算机、用户的配置相同,
也可对某些特定用户进行区分。
工作组环境每台计算机都拥有自己的管理权限,因此使用者经常有意或无意下载了若干软件、病毒,会使得计算机运行变慢、中毒,而域权限可以很好控制这一点。
1. 活动目录(Active Directory, 简称AD)
- 两层含义:
- AD是Windows的一种服务
- AD是一个目录数据库
- 优点和特性:
- 集中管理
- 访问网络资源便捷
- 可扩展性强
2. 域
活动目录的一种实现形式
活动目录中最核心的管理单位
由域控制器和成员计算机组成
域控制器:
域中的管理服务器,通常为第一台安装了活动目录的服务器。
一个域可以有多台域控制器名称空间:
是一个区域的名字(域名)
定位了网络资源的位置对象和属性:
对象由一组属性组成,它代表的是具体的事物
属性就是用来描述对象的数据容器:
是一种特殊的活动目录对象作用是存放对象的空间
组策略:
若干策略的集合
应用到容易会影响容器内所有的计算机和用户
3. 域结构
3.1 逻辑结构
**单域: **网络中只建了一个域
**域树: **从Windows Server 2000起,域树(Domain Tree) 开始出现,如图所示。域树中域以树的形式出现,由根域(域树中创建的第一个域)、父域(上级域)和子域(下级域)构成,共用连续名字空间的域就组成一个域目录树。
**域林: **域林是一个或多个目录树的集合,目录林中的目录树并不共用相同的连续的名字空间。域林中创建的第一个域为林根域。
**组织单元(OU): **是域内的一种容器,也是一种对象。可以把域中的对象组织成逻辑组,以简化管理工作。组织单元可以包含各种对象,如用户账户、用户组、计算机、打印机等,甚至可以包括其他的组织单元,所以可以利用组织单元把域中的对象组成一个完全逻辑上的层次结构。对企业来讲,可以按部门把所有的用户和设备组成一个组织单元层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个组织层次结构。
**全局编录服务器(GC): **存储着本域中所有对象所有属性,同时存储林中其他域中所有对象的部分属性。一般来说,属性是否存储在GC中,取决于该属性在搜索中使用的频率,由系统自动进行决定。主要具有以下两个功能:
- 允许用户在林中所有域.上搜索活动目录信息,提高查询速度。
- 为域控制器提供请求验证登陆的用户信息。
3.2 物理结构
- 站点: 对应高速稳定的IP子网,如企业内部的局域网
- **域控制器(DC): **域控制器是安装了ADDS服务器角色的服务器。
- 承载AD DS目录存储的副本;
- 提供身份验证和授权服务;
- 将更新复制到域和林中的其他域控制器;
- 允许在服务器上管理用户账户和网络资源;
- Windows Server 2016 AD DS支持RODC(只读域控制器);
- 参与活动目录的复制;
- 单主控操作。
4. 信任关系
由于域控制器的作用,域内的用户是不能够跨段进行访问的,如果一定要进行跨段访问,则需要在两个域之间建立信任关系
域信任关系的作用:允许一个域内的用户能够访问另一个域的资源
域信任关系:信任关系域和被信任关系域
域与域之间具有一定的信任关系,域信任关系使得一个域中的用户可由另一个域中的域控制器进行验证,才能使一个域中的用户访问另一个域中的资源
信任关系:域A信任域B,则域B中的用户可以通过域A中的域控制器进行身份验证后访问域A中的资源,则域A与域B之间的关系就是信任关系
被信任关系:就是被一个域信任的关系,在上面的例子中域B就是被域A信任,域B与域A的关系就是被信任关系
信任关系的两种形式:
单向不可传递的信任关系:
双向可传递的信任关系:
双向可传递信任用于描述一个树中父域和子域之间的关系,也用于描述一个森林中顶层域之间的关系.
在双向可传递的信任中,如果域A信任域B,并且与域B信任域C,那么域A就信任域C,域C也就信任域A
林中信任关系可以分为两种:一种是父子信任,还有一种是树根信任。
父子信任:在同一个树域之中,域根和子域之间。
树根信任:在同一个林之中,域树根域与域树根域之间。林之间的信任关系:分为两种,一种是外部信任,另一种是林信任。
外部信任:不同林的域之间创建的不可传递的信任。
创建外部信任的条件:两个域之间能够互相解析对方
外部信任的特点:- 手工建立
- 信任关系不可传递
- 信任方向有单向和双向
林信任:
林信任的意义:
- 如果两个林中有许多域,要跨域访问资源就需要创建很多个外部信任
- 在林根域之间建立林信任就不需要创建多个外部信任,因为林信任是可传递的
林信任的特点:
- 只有在林根域之间才能创建
- 建立林信任后,两个林中每个域之间的信任关系是可传递的
- 信任方向有单向和双向两种
5. AD域功能
- 计算机管理
管理服务器及客户端计算机账户,所有的服务器及客户端计算机加入域管理并实施组策略
- 应用系统支撑
支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统
- 资源管理
管理打印机、文件共享服务等网络资源
- 桌面配置
系统管理员可以集中的配置各种桌面配置策略
- 管理服务
管理用户域账号、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理组策略
6. AD域&DNS服务
两者的关系:
- DNS服务器对域来说不可或缺
- 域中的计算机使用DNS域名,DNS需要为域中的计算机提供域名解析服务
- 域中的计算机需要利用DNS提供的SRV记录来定位域控制器(所谓SRV记录,就是记录在哪台主机上具有哪些服务的一种记录)
DNS对AD域的作用:
- 名称解析
- DNS将计算机名称转换为IP地址
- 计算机使用DNS在网络上相互定位
- 定位活动目录的物理组件
- DNS使用域控制器提供的服务
- 域中的计算机使用DNS来定位域控制器和全局编录
AD域中对DNS的要求:
- 支持SRV记录
- 支持动态更新协议
三、部署AD域服务
(一) 部署要求:
- 本地管理员权限
- 操作系统版本必须满足条件:系统必须为WindowsServer, 推荐ws2016以上版本
- NTFS分区
- 静态IP地址
- 有足够的可用磁盘空间:系统盘有足够空间, 推荐 40G+
- 该服务器需要DNS角色:由AD域部署时自动安装
(二) 创建域和第一个DC
使用“服务器管理器”安装Active Directory 域服务。
通过“添加角色和功能”安装活动目录。
将当前服务器提升为域控制器。
验证Active Directory域服务的安装。
(1)查看计算机名
(2)看管理工具中有没有“Active Directory 用户和计算机”、“Active Directory站点和服务”、“Active Directory 域和信任关系”等管理工具。
(3)查看活动目录对象
(4)查看Active Directory 数据库文件,%SystemRoot%\Ntds 目录中应有以下文件有:
Ntds.dit:数据库文件;
Edb. chk:检查点文件;
Temp. edb:临时文件。
(5)检查DNS记录
PowerShell脚本安装:
Add-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools $PW = ConvertTo-SecureString "admin123" -AsPlainText -Force Install-ADDSForest -DomainName "cc.cn" -SafeModelAdministratorPassword $PW -Force: $true安装过程错误处理:
错误: 提示账户密码不符合要求
解决办法:
在cmd中执行:net user administrator
返回信息中 Password required 如果显示No 表明账户未启用密码 cmd执行:
net user administrator /passwordreq:yes//启用 密码 如果需要重设密码,cmd执行:
net user administrator Aa123456 通过以上配置即可解决该问题。
(三) 辅助域控制器的安装
域控制器可以有多台, 可以组成集群, 缓解单机的压力或者避免单台宕机不可用
安装时的注意事项
操作系统版本必须受当前域功能级别支持
拥有要加入的域管理员权限(账户密码)
辅助域控制器TCP/IP参数配置正确
确保辅助域控制器和第一台域控制器之间互相连通
确保辅助域控制器能够通过DNS解析要加入域的域名创建及加入已有域操作步骤如下:
PowerShell脚本安装:
Add-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools # 一下操作需第一台域控制器安装完成后再执行 $DomainName = "cc.cn" $UserName ="a@cc.cn" #域管理员账户 $PassWord = ConvertTo-SecureString "a" -AsPlainText -Force #域控制器管理员账户密码 $PW = ConvertTo-SecureString "qweqwe" -AsPlainText -Force $Credential = New-Object System.Management.Automation.PSCredential ($UserName, $PassWord) Install-ADDSDomainController -DomainName $DomainName -Credential $Credential -SafeModeAdministratorPassword $PW -Force:$true
(四)子域和树域的创建
子域创建
树域创建
(五)域控制器的降级
- 删除活动目录
1.如果该域内还有其他域控制器,则该域会被降级为该域的成员服务器
2.如果最后一个域控制器,则被降级后,该计算机被降级为独立服务器
3.如果这台域控制器是“全局编录”,要先确定网络上是否还有其他“全局编录”域控制器。如果没有,则要先指派一台域控制器来担当“全局编录”的角色,否则将影响用户的登录操作。
查看是否为全局编录(GC)
- 将DC2由额外域控制器降级
- 删除dc2上的AD DS域服务 角色和功能
- 将dc2由成员服务器降级为独立服务器
- 重启dc2就由额外域控制器降级为成员控制器
- 还需要删除AD DS域服务
- 现在dc2已经是成员服务器,要想降级为独立服务器需要脱离域
- 域控制器降级视频操作:
四、域环境管理
(一) 域用户账户管理
域用户账户的作用
验证用户的身份
授权或拒绝对域资源的访问创建域用户账户
域用户账户的命名
域用户账户的密码域用户账户设置
- 基本信息设置、账户密码设置过期设置
- 登录时间、登录到设置
(二) 域的组管理
组的类型
安全组
为用户设置访问权限通讯组
用于电子邮件通信
包含联系人和用户帐户
组的作用域
本地域组
针对本域的资源创建本地域组
适用范围:本城全局组
管理日常维护的目录对象
适用范围:整林及信任城通用组
身份信息记录在全局编录中
查询速度快
适用范围:整林及信任域全局组和通用组的区别
在多域环境中,通用组成员的身份信息记录在全局编录中,而全局组成员身份存储在每个域中。在多域环境中,相比较而言,通用组成员登录或者查询速度较快。
(三)域的组织单位(OU)
- OU的概念
- OU是AD中的容器
- 可在其中存放用户、组、计算机和其他OU
- OU不能包含来自其他域中的对象
- OU的常见结构
- 基于部门
- 基于项目
- 基于业务功能
- 基于管理
- 基于对象类型
- 基于地理位置
- 创建及删除OU
防止对象被意外删除
确实要删除时, Active Directory 用户和计算机窗口, 顶部菜单 [查看] 下, 勾选高级功能, 再右击要删除的OU, 选择属性, 切换到[对象]tab页,取消勾选[繁殖对象被以外删除], 点击确定保存, 之后就可以进行删除操作。
委派控制
在非DC计算机上如果需要进行权限等相关管理操作, 需要在当前计算机上安装 AD DS 管理工具, 安装时需要域管理员权限进行授权
适用win10的远程服务器管理工具下载链接: Download 适用于 Windows 10 的远程服务器管理工具 from Official Microsoft Download Center
五、组策略应用
(一)组策略
概述:一组策略的集合, 用来统一修改系统、设置程序等操作
优点:
- 减少管理成本
- 减小用户单独配置错误的可能
- 可以针对特定对象设置特定策略
组策略对象:
GPO(Group Policy Object) :用来存储组策略的所有配置信息,是AD中的一种特殊对象。
默认GPO
默认域策略
(1) 本地安全策略与默认域策略有冲突,以默认域策略优先,本地设置无效。
(2) 本地计算机何时才会应用在域策略内有变动的设置呢?
本地安全策略有变动时;
本地计算机重启时;
DC每5分钟自动应用;
不是DC每隔90- 120分钟会自动应用;
所有计算机每隔16小时强制应用,即使无更改。
手动应用域策略: gpupdate 或 gpupdate /force默认域控制器策略
- 只影响到位于Domain Controllers内的域控制器,不影响其他组织单元或容器内的计
算机和用户 - 所有位于DomainControllers内的DC都会受域控制器安全策略的影响。
- 默认域策略与域控制器安全策略冲突时,对于DC来说默认域控制器策略优先,域安全
策略无效。
- 只影响到位于Domain Controllers内的域控制器,不影响其他组织单元或容器内的计
GPO链接
只能链接到站点、域、OU
站点: ad中站点是从物理上抽象的概念, 由一个或几个通过高速链路链接在一起的IP子网组成
站点和域的关系: 一个站点中可以有多个域, 一个域可以属于多个站点
域内的策略
在域内可以针对站点、域或组织单元来设置组策略,其中的域组策略内的设置会被应用
到域内所有计算机与用户,而组织单元的组策略会被应用到该组织单元内的所有计算机
与用户。对于加入到域的计算机来说, 如果两者有冲突, 以域或组织单元组策略的设置优先, 本地策略无效。
组策略打开命令
运 行 –> gpedit.msc
创建组策略:
组策略内的设置分为:
—-计算机配置(对计算机生效)
—-用户配置(对用户生效)
只有域内的组策略才有首选项功能,本地计算机策略无此功能。
首选项非强制性,客户端可更改设置,策略设置是强制性,客户端无法更改。但策略设置若要在客户端发生作用,客户计算机的操作系统或应用程序必须支持组策略,首选项不需要。
若要筛选策略设置,必须针对整个GP0来筛选,而首选项可以针对单一设置项目来设置。
软件分发
软件分发步骤
- 准备.msi格式程序
- 将.msi格式文件放置到域共享文件夹中
- 创建并链接GPO
分配与发布的区别
- 分配->将程序分配到用户或计算机
- 发布->将程序发布给用户,用户可以选择是否安装
设置软件分发的步骤
以用户为例, 需要提前共享要安装的以msi为后缀的软件包, 并设置允许用户能够访问到该共享目录。
(1) 指定域中所有计算机的网关,网关必须是当前可使用的计算机IP地址,最终在网卡显示
界面中,会显示当前域名,而非”未识别网络”
(2) 双击打开”网络”,确认能够看到域中所有的计算机(网络->属性->更改高级共享设置->网络发现中设置为启用网络发现)
注意:发布软件时需要在网络中看到本机
在”服务”中将以下两个服务设置为自动启动,并重启这两个服务可解决该问题:
Function Di scovery Provider Host
Function Di scovery Resource Publ ication
(3) 找到”组策略管理”—>” caiwubu”OU进行鼠标右键创建GPO, 并鼠标右键编辑该GPO
(4) 找到用户配置—>策略—>软件设置—>软件安装,鼠标右键点击属性,在属性中点击浏览找到该服:务器计算机名,打开选中要分发的软件所在共享目录
(5) 在该界面中继续选择安装方式:发布/分配,最后应用
(6) 继续右键点击软件安装—>新建—>数据包,这时将会从网络位置该计算机中打开带有要分发软件的共享文件夹,只需要选择要分发的软件,点击确认即可
(7) 等待几秒钟后在操作台中间空白处将会出现任务记录,选中该任务记录鼠标右键属性,打开”部署”选项卡—>部署选项—>勾中”在登录时安装此应用程序
(8) 应用当前修改,并通过gpupdate /force 刷新组策略,重启客户机验证是否安装。可以使用VERITAS Discover 和Advanced Installer 等第三方软件将.exe格式文件转换
为.msi格式文件。
(二)组策略应用规则
组策略应用顺序LSDOU:本地组策略(L)->站点(S)->域(D)->OU
如果在一个对象.上存在多个GPO策略,那么按照GPO策略优先级编号从高往低执行,最后执
行的策略生效。
所有的策略应用都需要遵循以下几种规则:
- 继承与阻止
累加与冲突
如果按照LSDOU应用规则, 各个配置没有冲突, 则会累加, 最终全部生效。
如果产生冲突, 以最后一级的配置为准生效
示例:
强制生效
上级容器强制下级容器执行其GPO设置, “强制生效” 会覆盖 “阻止继承” 的设置
筛选
可阻止一个GP0应用于容器内的特定计算机或用户(适用于批量管理里的个例)
让特定的对象应用组策略
筛选的配置方法:
(1)选中0U下的GPO
(2)点击GPO中的”委派’
(3)点击右下角”高级‘
(4)点击”添加”
(5)添加要排除的用户并在权限栏中,选择”应用组策略”—>”拒绝”
六、FSMO五大操作主机角色
(一)主要概览
FSMO 是 Flexible Single Master Operation 的缩写,意思就是灵活单主机操作。是被设置为担任提供特定角色信息的网域控制站,在活动目录中有五种 FSMO 角色,并且分为两大类:
Forest 林级别
在整个林中只能有一台 DC 拥有该主机角色
- 架构主机 (Schema Master)
- 域命令主机 (Domain Naming Master)
Domain 域级别
在域中只有一台 DC 拥有该角色
- PDC 模拟器 (PDC Emulator)
- RID 主机 (RID Master)
- 基础架构主机 (Infrastructure Master)
(二)角色功能
- 架构主机(Schema Master)
控制活动目录整个林中所有对象和属性的定义,具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的,整个目录林中只有一个架构主机。
- 域命令主机(Domain Naming Master)
- 向目录林中添加新域。
- 从目录林中删除现有的域。
- 添加或删除描述外部目录的交叉引用对象。
- PDC 模拟器
PDC(主域控制器,primary domain controller)Emulator,修改密码时先变更到 PDC 再同步生效
向后兼容低级客户端和服务器,担任 NT 系统中 PDC 角色;
时间同步服务源,作为本域权威时间服务器,为本域中其它 DC 以及客户机提供时间同步服务,林中根域的 PDC 模拟器又为其它域 PDC 模拟器提供时间同步!
密码最终验证服务器,当一用户在本地 DC 登录,而本地 DC 验证本地用户输入密码无效时,本地 DC 会查询 PDC 模拟器,询问密码是否正确。
首选的组策略存放位置,组策略对象 (GPO) 由两部分构成:GPT 和 GPC,其中 GPC 存放在 AD 数据库中,GPT 默认存放 PDC 模拟器在
windows\sysvol\sysvol\<domainname>目录下,然后通过 DFS 复制到本域其它 DC 中。域主机浏览器,提供通过网上邻居查看域环境中所有主机的功能。
- RID 主机
RID(相对用户身份,Relative ID)Master,提供分配 Object 唯一标识符
Windows 环境中,所有的安全主体都有 SID,SID 由域 SID+序列号组合而成,后者称为 “相对 ID”(Relative ID,RID),在 Windows 环境中,由于任何 DC 都可以创建安全主体,为保证整个域中每个 DC 所创建的安全主体对应的 SID 在整个域范围唯一性,设立该主机角色,负责向其它 DC 分配 RID 池 (默认一次性分配 512 个),所有非 RID 在创建安全实体时,都从分配给的 RID 池中分配 RID,以保证 SID 不会发生冲突!
- 基础架构主机
Infrastructure Master,用于维护 AD 工作
基础结构主机的作用是负责对跨域对象引用进行更新,以确保所有域间操作对象的一致性。基础架构主机工作机制是定期会对没有保存在本机的引用对象信息,而对于 GC 来说,会保存当前林中所有对象信息。如果基础架构主机与 GC 在同一台机,基础架构主机就不会更新到任何对象。所以在多域情况下,强烈建议不要将基础架构主机设为 GC。
将承载这些操作主机角色的域控制器放置在具有高网络可靠性的区域,并确保 PDC 模拟器和 RID 主机始终可用。
(三)查询角色分配情况
命令:Netdom Query FSMO
Netdom Query FSMO
架构主机 dc2022.hxx.cn
域命名主机 dc2022.hxx.cn
PDC dc2022.hxx.cn
RID 池管理器 dc2022.hxx.cn
结构主机 dc2022.hxx.cn
命令成功完成。
