域与活动目录

域

1、域的概述

域又叫 Domain ，域是一种计算机组网的环境（另外一种环境是工作组（默认）） 优点：集中管理/统一管理

2、网络环境对比

工作组环境：右键计算机属性可以看到计算机全名和工作组，人人平等，可以互相通信。

域环境：PC不再人人平等，分为域控制器、域成员机。

3、域的成员

域控制器：DC （Domain Controller）

域成员机：可以为每个域成员设置一个域账号，通过域账号完成日常的登录和域内所有用户的统一管理。当域账号登录时，会请求域控制器的确认，并且强制执行域控制器下发的策略，比如控制软件下载和系统修改限制等。

DNS服务器：帮助域中用户通过自己的域名来定位到ip地址。

4、域的部署

通过在域环境中，部署域控制器DC+DNS定位服务器，对公司所有的PC统一集中强制管理

思路：部署域--->创建一台DC--->服务器上安装AD（Active Directory，活动目录，它其实是一种数据库，存储域账号，域文件等数据）--->其他pc加入域

怎么部署域？ 部署域--部署域控DC（安装活动目录AD与DNS的过程）--员工加入域 安装活动目录向导命令：win+r 输入dcpromo

实验：部署DC/安装AD

1、准备实验环境，win2008作为DC，win7作为域成员机，创建一台win7的克隆作为另一台成员机，要求机器全部还原快照，设置为NAT模式，保证可以上网。克隆机器的时候先恢复快照，再进行克隆。

2、将win2008和win7的计算机名都进行修改，右键电脑属性，在计算机名的右侧点击更改设置即可。将win2008名字改为DC1，win7分别改成user1和user2。修改完之后需要重启才能生效。

3、此时三台机器都ping百度，检查一下是否可以正常上网，这是实验成功的关键。

4、在网络适配器当中去掉ipv6地址的勾选，禁用网卡，再启用网卡。防止下一步安装的时候出现问题。

5、在win2008上安装活动目录，win+r，输入dcpromo，可以进入域控制器的安装向导，进入向导，不勾选高级模式，直接下一步，选择在新林中新建域，域名设置为topsec.com（一般用公司的名字），设置林功能级别为win2003（如果该AD服务器宕机了，还需要其他AD来掌控域中的用户，对它的操作系统是有要求的），域功能级别也一样，设置为2003即可；为此域控服务器设置其他选项，勾选DNS服务器（将域控服务器和DNS服务器继承到一个服务器上）；一直下一步，设置一个dc的密码，再设置一个dc 的还原密码，一直点击下一步等待安装完成即可。

6、安装好之后重启2008，可以看到此时的用户名变为topsec\Administrator，该管理员已经升级成为域管理员，能登录域中的任意一台计算机。（登录密码还是原理2008的管理员密码）此时查看DNS服务器，如果存在topcsec.com的解析文件证明域DNS服务器安装成功。再右键计算机属性，可以看到详细信息中域字段显示topsec.com，此时证明域也创建成功。

9、打开管理工具中Active Directory用户和计算机，computers表示域成员，目前为空，证明我们需要手动添加域成员进去才行。users中包含域用户，即域内可以任意登录计算机的用户和组。（他们来自于原来2008服务器本地的用户和组，现在升级为域的用户和组）

10、在win7上先通过网络适配器，将DNS服务器的地址指向2008的ip（域DNS服务器）；计算机右键属性，在右边选择更改设置，选择组的更改，将隶属于修改为域：topsec.com。此时要求输入域管理员的账号和密码来通过DC的审核。（输入第5步设置的dc密码，账号为Administrator；如果密码不对，尝试使用2008的登录密码进行操作）

11、当我们把两台win7的用户（user1和use2）都加入dc中时，可以在dc的dhcp的topsec.com解析文件中看到域成员的名字和ip地址，通过该方式可以实现更高效地管理和定位到域内的任意一台主机；也可以在ActiveDirectory用户和计算机的computers中看到域内的计算机列表。

12、重启user1用户的win7，可以看到登录界面也出现了域账号的特征，主机名\用户名，此时如果用本机的账号登录，将无法享用域账号的资源。所以一般都是让域用户通过普通账号完成登录。此时需要在2008的ActiveDirectory用户和计算机中选中users，在右边列表中右键新建用户，名字需要实名制，登录名设置为shengtao.wang，点击下一步，设置密码。（和windows本地创建用户一致）

13、此时需要用上一步创建的域用户来登录，win7点击切换用户，输入用户名topsec\shengtao.wang和密码完成登录。如果此时该用户出差了，出差之后还能保留42天的域账户，超过42天将不能通过域账号登录win7，享受域资源。

14、将user2用户也重复12的操作，保证其加入域的同时可以通过域账号登录自己的操作系统。