AD(Active Directory 活动目录)
AD主要功能
- 集中储存用户和密码列表;(用户管理)
- 提供一组服务器作为身份验证服务器和GPO;(身份鉴权)
- 对域中的资源维护;(资源管理)
AD主要概念
1、 组织单位OU
a) OU是活动目录中的一个特殊容器,它可以将用户,组,计算机,打印机等对象组织起来。
b) OU是活动目录中最小的管理单元,他不仅可以包括对象,而且可以进行组策略的委派和管理。
通过上图可以在里面创建组,我理解就是组播的概念,定义成员。没实践过
2、 组策略
组策略是对域中一组用户账号和计算机账号的各种设置组合,这些设置包括桌面设置、软件设置、安全设置,组策略擅长通过用户和计算机账号批量管理计算机。
3、 轻型目录访问协议LDAP
是用来查询和更新AD的目录服务通信协议,用户可以通过LDAP获得大量有用的信息。
4、 站点
站点代表网络的物理结构,当林中的不同域处于不同区域,而不同的区域之间的链接为慢链接时(速度低于512KB),就需要创建多个站点,以确保客户端使用离他最近的DC进行验证,从而减少验证的延时,降低WAN网络链接的流量。
5、域控制器(DC)
在域架构中用来管理所有客户端的服务器,每一个域控制器上都包含了活动目录数据库。第一次安装活动目录的时候,我们安装活动目录的那台计算机就成为了域控制器,一个域可以有一台或多台控制器,可以形成一个主辅域控。当一台域控制器的活动目录数据库发生改变时,这些改动的数据将会复制到其他域控制器的活动目录数据库内。
AD部署
测试环境
- ad1的IP地址为172.16.10.190,系统windos 2012 R2
- ad2的IP地址为172.16.10.191,系统windos 2012 R2
- 客户的IP地址为172.16.10.187,系统windos 7
- 域管理员账户linweiwei\administrator
- 域测试登录用户linweiwei01
角色安装
多处直接点击下一步,直到下面按图操作
多处直接点击下一步,直到下面按图操作
安装完毕后点击关闭
域控安装
多处直接点击下一步,直到下面按图操作
如图的用户问题通过设置密码以及CMD中配置net user administrator /passwordreq:yes
安装完毕后将自动重启计算机
验证域功能
客户机加入域
记得DNS设置要改为主域控的地址(前提这台部署了DNS服务),以便正常解析域地址。之后会提示欢迎加入域,并要求重启
AD中配置用户
计算机登录域账户
主辅域控
刚才我们进行AD部署,为了提升高可用进行另外一台部署,步骤参照之前,直到下列图片中改为第一项,后续正常配置参照AD部署内容。最后客户机DNS的主备指向到这台服务器,就完成了
在与控制后台校验DC情况,发现AD中已经有两台DC,完成主副AD
此时我计划停用掉AD1(模拟设备故障),用win7客户登录AD目录,看看AD2是否能够起到高可用
测试结果认证通过,进入域用户桌面,实现高可用
DHCP(Dynamic Host Configuration Protocol 动态主机配置协议)
DHCP部署
仪表盘中进行添加角色和功能向导,下一步直到图中
经历各种下一步、安装完毕的关闭后到达下图
选择域管理员账户并提交
DHCP管理台配置
启动DHCP管理后台
作用域的名称配置
IP地址和子网配置
后续还有排除地址、DHCP分配租期按需配置
验证DHCP
将虚拟机的DHCP地址指向到ad1(DHCP服务器IP)的地址
- 生产环境请用交换机配置中继代理指向DHCP服务器即可,在地址租用中可以看到分配详情
- 我是虚拟机实验,暂无去做验证
GPO
内置组策略
- Default Domain Policy:此GPO已经被连接到域,GPO内的设置值会被应用到域内的所有用户与计算机
- Default Domain Controllers Policy:此GPO已经被连接到组织单位Domain Controllers,因此这个GPO的设置值会被应用到Domain Controlers内的所有用户与计算机。Domain Controllers 内默认只有扮演域控制器角色的计算机
策略设置和首选项设置
首选项(低优先级)
只有域的组策略才有首选项设置功能,本地计算机策略无此功能,首选项设置是非强制性的,客户端可以更改设置值
策略设置(高优先级)
策略设置是强制性设置,客户端应用后就不可更改(有些设置值虽然客户端可更改,但是下一次组策略更新时,仍然会被更改为组策略设置的值)
安全事件日志
通常用户每次登录域主机时,都会向DC的DS进行身份认证并由TGS颁发服务请求票据TGT,根据winlog.event_data.Status和event.code筛选出用户登录成功和失败以及非法登录日志
后续计划通过ELK捕获安全事件日志,进行系统加固