内网环境
**工作组:**无法控制工作组的朋友(计算机教室的各个主机)
**域:**方便企业统一对计算机进行设置
概念:对企业中的所有用户及计算机进行集中管理,这种区别于工作组的逻辑环境称为windows域
活动目录(Active Directory):
用来管理服务器及客户端计算机账户,包含组策略(统一所有电脑同一背景之类)等等。
安全域的划分 1.内网(安全级别最高):分为核心区(存储企业最重要的数据,只有很少的主机能够访问)和办公区(员工日常工作区,一般能够访问DMZ,部分主机可以访问核心区)
2.DMZ(Demilitarized Zone,边界网络,隔离区,安全级别中等):作为内网中安全系统和非安全系统之间的缓冲区,用于对外提供服务,一般可以放置一些必须公开的服务器设施
3.外网(Internet,安全级别最低)
域的部署:
1)安装域控制器(DC)—→生成域环境(老师的主机)
2)安装活动目录(公司所有的公共资源,DC里面)—→生成域控制器
域控制器通常还要部署为DNS服务器,方便通过客户端名称解析为ip地址找到客户端
由于域中计算机使用DNS来定位DC、服务器和其他计算机的,所以域的名字就是DNS域的名字。
一般解析过程:想找到hzh->找到DC控制器(pz.com)->通过DNS表找到hzh.pz.com
管理查询位置
加入域
划分到同一网段,设置DNS服务器,右键属性改工作组为域
以下是加入域的流程
|
步骤 |
描述 |
|---|---|
|
查询DNS |
计算机查询DNS以找到域控制器的IP地址。 |
|
定位域控制器 |
使用DNS返回的IP地址,计算机通过Kerberos协议或其他认证协议与域控制器建立安全连接。 |
|
Kerberos认证 |
如果使用Kerberos,计算机请求服务票据以与域控制器进行安全通信。 |
|
发送加入域请求 |
计算机向域控制器发送加入域的请求。 |
|
域控制器处理请求 |
域控制器验证请求,并检查计算机是否有加入域的权限。 |
|
计算机账户创建 |
请求被接受后,域控制器为计算机创建一个新的计算机账户。 |
|
分配安全策略 |
域控制器分配域的安全策略和组策略给新加入的计算机。 |
|
更新本地策略 |
计算机接收并应用新的安全策略和组策略。 |
加入域之后conputer可以看到电脑
添加用户
user右键添加用户,然后在别的已经添加到域里面的电脑里面使用账号密码登录
人员划分
|
用户类型 |
基本权限描述 |
|---|---|
|
域管理员 |
- 完全控制域内所有对象- 管理组策略- 创建、修改或删除用户和计算机账户- 管理访问控制- 管理信任关系- 执行系统操作 |
|
域用户 |
- 登录到域内计算机- 访问共享资源(根据权限)- 受组策略约束- 受限管理权限 |
|
只读域控制器 |
- 读取Active Directory数据库- 不能进行写操作 |
|
企业管理员 |
- 管理整个Active Directory森林(多个域) |
|
架构管理员 |
- 管理Active Directory架构- 修改目录结构 |
|
组织单位管理员 |
- 管理特定组织单位内的对象- 权限由域管理员授予 |
|
组成员 |
- 根据所属组,可能有特定权限集合- 权限可以是域级别或针对特定资源 |
|
权限提升的用户 |
- 临时或永久地提升权限- 以便执行特定管理任务 |
用户权限
1.比如让域用户有权限操控本地电脑上的文件(将域用户添加到原先的本地管理员组)
先用管理员账号登电脑,然后在管理,组administrator那里添加想控制电脑的用户就好了
HzH.com\administrator
OU组成单位
作用:用于归类域资源(域用户,域计算机,域组)
之前的组是为了赋权限,现在的组的目的是为了下发组策略,右键新建组成单位
GPO组策略(组策略管理中更改)
像一张纸一样跟着上面的,右键新建
LSDOU组策略执行顺序local本地->林的站点->domain域->ou 冲突情况等级往后走
工作流程
新来一个员工,管理员的工作:创造一个用户,然后把他的电脑加入域,然后拉到一个组成单位里面(比如董事会),然后在他电脑上把他的权限添加到他的本地用户和组里面,最后告诉他域账号和密码
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
