作者:喵喵的诱惑_204 | 来源:互联网 | 2023-08-28 10:03
关于活动目录AD(域)的相关配置
目录
一、 配置Server2019升级活动目录AD 1
二、 配置活动目录AD内的文件服务器 13
三、 配置活动目录AD域内分发软件策略 24
四、 在活动目录AD中新建域用户 30
五、 配置客户端电脑加入AD域 38
六、 如何在加入域的电脑上安装软件? 48
七、 客户端电脑脱离AD域 51
- 配置Server2019升级活动目录AD:
- 安装好server2019系统, 打开服务器管理器--添加角色和功能—勾选文件服务器相关功能, 如下图:
勾选安装AD域服务和DNS服务, (这里我已经安装过了所以是灰色的)
然后一路下一步, 等待完成, 系统需要重启, 升级到AD需要等待非常漫长的时间才会正常启动.
- 正常启动登陆系统后, 开始正式配置域控:
打开这里—点击小旗子—选择升级为域控制器, 如下图:
输入域名(这里不是internet的域名, 只是个AD域的代称, 只在内网用)
(PS:要添加辅域控, 这里选择第2个"将新域添加到现有域", 然后按提示做即可)
目前没有配置DNS, 先忽略, 继续下一步:
到这里仔细按提示解决所有前置条件错误, 直到提示成功通过, 即可继续下一步, 如下:
然后会重启, 继续漫长的等待后进入系统, 检查当前本地环境:
到此升级活动目录AD完成.
下边贴几个AD域控经常使用的功能:组策略、AD用户和计算机管理、共享服务器三个。
- 配置反向解析地址:
不配置反向解析, 客户端添加域时会无法识别AD的域名和IP关系, 导致报错.
域控建好的,正向解析默认建立, 反向解析需要我们手动创建, 如下图:
输入域控的网段:
一直到完成, 然后点开正向区域配置ptr指针:
- 配置活动目录AD内的文件服务器:
- 打开服务器管理器--添加角色和功能—勾选文件服务器相关功能, 如下图:
下一步, 直到完成.
- 安装完成重启后, 再次打开服务器管理器, 左侧仪表盘多出新功能"文件和存储服务"
点开它, 新建共享,如下:
按自己的需求选择, 这里我选择全勾选上:
点击"自定义权限", 配置共享的域用户访问权限:
点击"禁用继承", 这里的作用我理解是断掉系统的默认权限传递, 才可以开始手动配置相应的域帐户访问权限, 如下:
添加域用户访问权限:
确定后, 继续下一步:
这里勾选用户文件, 有别的需要可以自行勾选, 如下:
点击"创建", 完成共享建立.
需要再次分配其他部门或单独指定某人权限时, 可以再次来到这里操作分配权限.
我配置的不同部门权限分配如上图, 仅供参考哈!
共享的访问方式: 就是可以在"运行"直接输入服务器地址, 如: \\bj-s-008 ;
还可以在桌面创建快捷方式指向\\bj-s-008 .
- 配置活动目录AD域内分发软件策略:
配置其它限制性策略也类同
- 打开组策略管理器, 新建一条策略"软件分发策略":
- 配置好此策略应用的部门组:
- 在自己的公司组织中, 链接此策略, 并配置为强制:
- 右键编辑策略--用户配置—策略—软件设备—软件安装—右键属性, 修改属性如下:
- 软件安装—右侧窗体中右键—新建—数据包, 如下:
- 插一条: 下载exe2msi.exe软件, 把需要分发的软件转换成msi包, 如下:
- 继续, 数据包—选择msi程序位置
部署修改成如下:
安全—增加相应的域用户读取权限:
完成:
- 配置软件分发的GPO策略, win10防火墙应允许如下二条策略:
具体规则, 如下2条:
添加完成后, 右边会多出5条防火墙策略
- 客户机手动更新组策略:
去客户机强制刷新组策略: gpupdate /force
按提示重启电脑(或着直接重启电脑也可以)
- 在域控上, 使用"组策略结果"确认策略应用下发成功:
选择客户端上的域用户:
下一步等待分析结果, 点击可以查看策略是否在客户端机上应用成功和详细情况:
- 在客户端机上使用命令查询策略应用情况:
运行: gpresult /r
显示结果如下, 可以看到软件分发策略成功应用:
还可以运行"gpresult /h 路径\文件名.html"保存成文件方式查看, 格式与域控上的"组策略结果"一样.
- 在活动目录AD中新建域用户:
在AD中添加新域用户:
右键-新建-用户:
输入姓名和登陆名称
(登陆名建议使用英文字母,这是以后用户从客户端电脑登陆时使用的帐户和密码):
配置权限, 取消默认组, 加入他应属于的技术部组:
先添加技术部组并设备为主要组后, 才能删除系统默认分配的Users组:
下一次再创建用户时, 直接选择部门内一个用户右键复制, 修改描述和帐户即可:
- 配置客户端电脑加入AD域:
修改DNS服务器, 手工指向域控的IP地址,(网络质量不好时, 可以只留域控的DNS),如下:
先安装好win10 lstc2021版本系统, 开始图标右击-系统-高级系统设置:
选择"计算机名"—更改—隶属于—域, 这里输入域名或NETBIOS名都可以:
(例: 本文这里可以输入"bcyf"或"bcyf.com"
确定后弹出提示框, 输入域管理员权限的帐户密码(一般都是输administrator的):
经过一段时间的等待, 提示成功:
按提示重启电脑后, 登陆窗改成域用户登陆:
域用户登陆方式如下:
登陆过程中会直接显示上边域控中配置的域用户姓名:
登陆进系统后, 登陆共享服务器测试一下权限:
这里正常进入且只能看公共和技术部的文件夹
(PS:加入域正常情况, 进这里是不再需要输帐户和密码的, 因为权限已经与域用户身份绑定)
再打开C盘用户目录, 结构如下图:
至此, 可以说这台电脑加入域成功, 域用户登陆正常.
下面最后一步, 需要注销用户, 登陆域管理员帐户操作:
打开计算机管理—本地用户和组-本地用户,
禁用所有非administrator本用用户,
administrator用户统一修改成复杂密码作为以后管理备用.
以下为非要操作:添加某域用户成为此电脑的管理员, 即可以随意安装卸载修改系统等操作:
确定后即可.
- 如何在加入域的电脑上安装软件?
在加入域的客户端电脑上尝试安装软件时, 会弹出此对话框, 需要管理员过去输入帐号和密码才能继续顺利安装.
软件安装完成后, 双击即可打开正常运行:
若软件是非法安装, 或要修改系统文件权限时(如下图标上带着盾牌角标), 还会弹出此框:
如果员工非要运行这种软件, 网管人员必须要跟该员工部门领导申请, 同意后可以在他电脑上把他的域用户加入到本地administrators组(管理员组不是管理员)中.
- 客户端电脑脱离AD域
先安装好win10 lstc2021版本系统, 开始图标右击-系统-高级系统设置:
此时要求输入管理员权限, 继续脱域
工作组名随意, win系统默认是叫WORKGROUP(工作组不同时,电脑之间无法使用邻居):
脱域通知:
按提示再次输入域管理员的帐号权限, 看到如下提示表示脱域成功:
按提示重启系统:
登陆时已经看到不再是提示域"bcyf.com\xxxx", 恢复成单机Local状态登陆提示了:
京公网安备 11010802041100号