Windows域的管理
目录
域的管理
默认容器
组织单位的管理
添加额外域控制器
卸载域控服务器
组策略应用
域用户账户的管理
组的管理
组的类型
组的作用域
点击Users容器,然后在右边框中可对已存在的用户修改属性,可以修改组的属性,也可以右键,然后新建用户。
组织单位OU的管理
Active Directory 域内的资源是以对象(Object)的形式存在,例如用户、计算机都是对象,而对象是通过属性(Attribute)来描述其特征的,也就是对象本身是一些属性的集合
容器与组织单位
OU的概念:OU是AD中的容器,可在其中存放用户、组、计算机和其他OU,而且可以设置组策略
比如上图中的Student就是我们自己新建的组织单位OU,我们可以把相关的用户或主机加入到Student组织单位中,然后对该组织单位设置组策略,那么就可以对其内的所有用户或主机生效
在一个域中,一般域控服务器至少有2个或者以上。所以,我们得添加额外的域控服务器。在任何一台域控制器上都可以修改AD中的内容,每台域控制器上AD中的内容都是同步的
添加额外域控制器的条件
添加额外域控制器的步骤
运行 dcpromo 命令进行常规卸载,如果该域内还有其他域控制器,该域控制器会被降级为成员服务器,如果是域内最后一个域控制器,该域控制器会被降级为独立服务器。
卸载域控制器的注意事项
确认所有域控制器都处于联机状态,确认还有其他域控制器承担着“全局编录”角色,在“Active Directory站点和服务”控制台中,查看并手工转移“全局编录”角色
计算机配置成域控服务器后,或计算机加入一个域后,会发现本地的安全策略已经呈灰色的,配置不了了。在一个域中,通过在域控服务器上配置组策略,来对域中的主机或域中的用户去设置策略
组策略:Windows操作系统中的组策略是管理员为用户或计算机定义并控制程序、网络资源和操作系统行为的主要工具。通过使用组策略可以对计算机或者用户设置相应的策略
组策略的功能
组策略优点
减小管理成本,只需设置一次,相应的计算机或用户即可应用,减小用户单独配置错误的可能性,可以针对特定对象设置特定的策略
组策略对象
GPO (Group Policy Object)的概念:存储组策略的所有配置信息,AD中的一种特殊对象
默认GPO:默认域策略、默认域控制器策略
GPO链接:只能链接到站点、域、OU
组策略的应用规则
策略继承与阻止
下级容器默认会继承来自上级容器的GPO ,子容器可以阻止继承上级容器的GPO ,右击容器→阻止继承
策略累加与冲突
如果多个组策略设置不冲突,则最终的有效策略是所有组策略设置的累加 如果多个组策略设置冲突,则后应用的组策略覆盖先应用的组策略
组策略应用顺序
组策略应用顺序:
策略强制生效:强制生效是上级容器强制下级容器执行其GPO设置
筛选:筛选可以阻止一个GPO应用于容器内的特定计算机或用户 委派→权限设置
打开本地组策略:WIN+R键打开运行窗口,然后输入:gpedit.msc
打开组策略:管理工具-->组策略管理
责编:vivian
来源:谢公子博客