1、什么是域
Domain:域是計(jì)算機(jī)網(wǎng)絡(luò)的一種形式,其中所有用戶賬戶,計(jì)算機(jī),打印機(jī)和其他安全主體都在位于稱為域控制器的一個(gè)或多個(gè)中央計(jì)算機(jī)集群上的中央數(shù)據(jù)庫中注冊(cè)。
兩個(gè)域之間可以通過建立信任(Trust)關(guān)系來進(jìn)行聯(lián)系。
AD域
2、內(nèi)網(wǎng)的環(huán)境:
1)工作組:默認(rèn)模式,人人平等,但是不方便管理
2)域:人人不平等,優(yōu)點(diǎn):可以實(shí)現(xiàn)集中管理、統(tǒng)一管理
3、域的組成:
1)域控制器(DC:Domain Controller):老大,控制其他成員
2)成員機(jī)(之間還是平等的 )
4、域的部署
1)安裝域控制器DC—就生成了域環(huán)境
2)安裝了活動(dòng)目錄AD(核心)—就生成了域控制器
通過安裝活動(dòng)目錄:AD(Active Directory)來實(shí)現(xiàn)集中管理、統(tǒng)一管理
里面放的是公司的公共資源,也叫域資源,比如在里面創(chuàng)建一個(gè)域賬號(hào)a,就可以通過它來登錄成員機(jī)的電腦
內(nèi)網(wǎng)一般會(huì)以公司的名字作為這個(gè)域的域名,例如:whh.com。每一個(gè)員工的電腦都會(huì)以員工的姓名作為主機(jī)名,那么這些電腦在域里面的名字就是例如:a.whh.com
域賬號(hào)登錄成員機(jī)的過程:
使用域賬號(hào)進(jìn)行登錄
成員機(jī)檢查本地沒有這個(gè)賬號(hào)
成員機(jī)向DNS服務(wù)器解析DC的IP
向DC匯報(bào)有人想要進(jìn)行登錄,將賬號(hào)密碼發(fā)送給DC
DC在AD里面找有沒有這個(gè)賬號(hào),有就返回可以登錄的指示acess key
這時(shí)候成員機(jī)接到acess key就會(huì)讓它登錄并且在C:user里面為a賬號(hào)創(chuàng)建家目錄和配置文件
登陸成功后成員機(jī)會(huì)問DC還有什么要求
DC查詢AD將組策略發(fā)給成員機(jī)
成員機(jī)按照組策略來加載一些特定要求,例如:強(qiáng)制成員機(jī)有特定桌面壁紙,不能更改
一般公司就不允許使用本地帳號(hào)進(jìn)行登錄,會(huì)為每一個(gè)員工創(chuàng)建一個(gè)域賬號(hào)用來登錄,想要訪問域資源,必須使用域賬號(hào)進(jìn)行登錄
注意:在域里面,DC必須與DNS完美搭檔,一起配合使用,建議將DC同時(shí)設(shè)置為DNS(以下實(shí)驗(yàn)就是),這時(shí)候DNS就不需要再單獨(dú)創(chuàng)建了,會(huì)自動(dòng)配置這個(gè)域的區(qū)域文件,并且生成解析記錄
全局組(Global Group)
全局組,單域用戶訪問多域資源(必須是同一個(gè)域里面的用戶)。只能在創(chuàng)建該全局組的域上進(jìn)行添加用戶和全局組,可以在域林中的任何域中指派權(quán)限,全局組可以嵌套在其他組中。
域本地組(Domain Local Group)
域本地組,多域用戶訪問單域資源(訪問同一個(gè)域)。可以從任何域添加用戶賬戶、通用組和全局組,只能在其所在域內(nèi)指派權(quán)限。域本地組不能嵌套于其他組中。它主要是用于授予位于本域資源的訪問權(quán)限。
通用組(Universal Group)
通用組,通用組成員來自域林中任何域中的用戶賬戶、全局組和其他的通用組,可以在該域林中的任何域中指派權(quán)限,可以嵌套于其他域組中。非常適于域林中的跨域訪問。
區(qū)別:
域本地組:用戶來自于全林,作用于本域
全局組:用戶來自于本域,作用于全林
通用組:用戶來自于全林,作用于全林
本地域組的權(quán)限
Administrators(管理員組)
Remote Desktop Users(遠(yuǎn)程登錄組)
Print Operators(打印機(jī)操作員組)
Account Operators(帳號(hào)操作員組)
Server Operaters(服務(wù)器操作員組)
Backup Operators(備份操作員組)
全局組、通用組的權(quán)限
Domain Admins(域管理員組)
Enterprise Admins(企業(yè)系統(tǒng)管理員組)
Schema Admins(架構(gòu)管理員組)
Domain Users(域用戶組)
組織單元OU(Organizational Unit)
組織單元是可以將用戶、組、計(jì)算機(jī)和其它組織單位放入其中的AD容器,是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單元。
性質(zhì)是最小作用域或單元。
作用:用來歸類域資源(域用戶、域計(jì)算機(jī)、域組等)
組策略GPO(Group Policy)
作用:通過組策略可以修改計(jì)算機(jī)的各種屬性,如:桌面背景、網(wǎng)絡(luò)參數(shù)等
組策略在域中下發(fā)后,用戶的應(yīng)用順序是LSDOU,在應(yīng)用過程中如果出現(xiàn)沖突,后應(yīng)用的生效!
L:本地組策略
S: 站點(diǎn),可以理解為林
D: 域的組策略
OU:一系列的組織單元
組策略的阻止繼承及強(qiáng)制!
強(qiáng)制:表示下級(jí)OU的組策略就不生效了,到這塊就停了
A-G-DL-P策略
A(account),表示用戶賬號(hào)
G(Global group),表示全局組
U(Universal group),表示通用組
DL(Domain local group),表示域本地組P(Permission 許可),表示資源權(quán)限。
A-G-DL-P策略是將用戶賬號(hào)添加到全局組中,將全局組添加到域本地組中,然后為域本地組分配資源權(quán)限。按照AGDLP的原則對(duì)用戶進(jìn)行組織和管理起來更容易。
在AGDLP形成以后當(dāng)給一個(gè)用戶某一個(gè)權(quán)限的時(shí)候,只要把這個(gè)用戶加入到某一個(gè)本地域組就可以了。
那么目前市場(chǎng)當(dāng)中有沒有一款專業(yè)的AD域管理工具呢?答案是肯定的。
ADManager Plus
ADManager Plus作為一款A(yù)D域管理軟件,可以批量對(duì)AD域內(nèi)用戶進(jìn)行管理,通過CVS文件或者建立通用模板等形式批量創(chuàng)建或修改用戶信息。對(duì)于上述問題,ADManager Plus則可以輕松解決。不僅如此,ADManager Plus還具備權(quán)限分配功能,對(duì)域內(nèi)用戶的各類權(quán)限進(jìn)行合理分配。如遇特殊情況則利用其中的委派功能進(jìn)行相關(guān)權(quán)限的委派,在事件處理完成后及時(shí)回收權(quán)限。避免了AD域內(nèi)用戶權(quán)限分配凌亂的情況發(fā)生。ADManager Plus中還內(nèi)置150多類報(bào)表,通過這些報(bào)表管理員可以輕松的對(duì)域內(nèi)的用戶狀態(tài)進(jìn)行了解。例如:域內(nèi)用戶的近期登錄情況,域內(nèi)用戶的密碼修改情況等等。通過這些用戶狀態(tài)管理員可以判斷接下來如何對(duì)用戶進(jìn)行處理。
當(dāng)然ADManager Plus不僅能對(duì)域中用戶進(jìn)行管理,同樣對(duì)組也可以進(jìn)行管理,包括:創(chuàng)建,修改,配置等多類功能,對(duì)管理員的工作起到極大的幫助作用。
相比以往的AD域管理,利用ADManager Plus管理AD域更加方便,而且在一些事件的處理方面ADManager Plus可以做到更加合理。所以作為一款A(yù)D域管理工具它非常合適企業(yè)的選擇。其將改變IT管理人員的工作形式,對(duì)企業(yè)AD域合理管理具有重要意義。
