控制器是指在“域”模式下,至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作,相當(dāng)于一個(gè)單位的門衛(wèi)一樣,稱為“域控制器(Domain Controller,簡(jiǎn)寫為DC)
域控制器( Domain controller,DC )是活動(dòng)目錄的存儲(chǔ)位置,安裝了活動(dòng)目錄的計(jì)算機(jī)稱為域控制器。在第一次安裝活動(dòng)目錄時(shí),安裝活動(dòng)目錄的那臺(tái)計(jì)算機(jī)就成為域控制器,簡(jiǎn)稱“域控”。域控制器存儲(chǔ)著目錄數(shù)據(jù)并管理用戶域的交互關(guān)系,其中包括用戶登錄過(guò)程、身份驗(yàn)證和目錄搜索等。一個(gè)域可以有多個(gè)域控制器。為了獲得高可用性和容錯(cuò)能力,規(guī)模較小的域只需兩個(gè)域控制器,一個(gè)實(shí)際使用,另一個(gè)用于容錯(cuò)性檢査,規(guī)模較大的域可以使用多個(gè)域控制器。
如下是本次實(shí)驗(yàn)的拓?fù)鋱D,采用主域控+輔域控的部署方式。
服務(wù)器名稱 | IP地址 | 角色 |
DC01 | 172.16.1.1 | 主域控 |
DC02 | 172.16.1.2 | 輔域控 |
Client01 | 172.16.1.3 | 域客戶端 |
使用虛擬機(jī)分別創(chuàng)建3臺(tái)實(shí)驗(yàn)機(jī)器,如下圖
添加角色和功能
點(diǎn)擊下一步
選擇默認(rèn)的基于角色或基于功能的安裝,點(diǎn)擊下一步
默認(rèn)是當(dāng)前的服務(wù)器,點(diǎn)擊下一步
選擇Active Directory活動(dòng)目錄和DNS服務(wù)器,點(diǎn)擊下一步
等待安裝完成,完成后點(diǎn)擊關(guān)閉
回到服務(wù)器管理器界面,點(diǎn)擊將此服務(wù)器提升為域控制器
由于是域當(dāng)中的第一臺(tái)域控,所以我們選擇第三個(gè)選項(xiàng),添加新林,輸入需要的根域名,這邊使用ylxqblog.cn來(lái)命名
林功能級(jí)別默認(rèn)即可,輸入目錄服務(wù)的還原密碼,務(wù)必牢記,當(dāng)需要恢復(fù)DC的時(shí)候需要用到還原密碼
有關(guān)林功能級(jí)別的說(shuō)明,可以參考微軟官方網(wǎng)站的說(shuō)明,這里不作說(shuō)明
https://docs.microsoft.com/zh-cn/windows-server/identity/ad-ds/active-directory-functional-levels
因?yàn)檫€沒(méi)有安裝DNS服務(wù),所以有警告信息,忽略下一步
這3個(gè)目錄是存放DC關(guān)鍵數(shù)據(jù)文件的路徑,默認(rèn)不做修改,點(diǎn)擊下一步
檢查下配置是否正確,沒(méi)有問(wèn)題點(diǎn)擊下一步
開始驗(yàn)證,等待片刻就可以點(diǎn)擊安裝
忽略警告信息,點(diǎn)擊安裝
等待安裝完成
安裝完成后重啟系統(tǒng),然后再打開服務(wù)器管理器,點(diǎn)擊右上方的工具,可以看到里面有很多Active Directory的選項(xiàng)
我們打開Active Directory用戶和計(jì)算機(jī)
然后在User下右擊,新建一個(gè)域用戶
新建一個(gè)張三的用戶,域賬戶名稱為san.zhang,初始密碼為123.com
域賬戶創(chuàng)建完成
現(xiàn)在我們將Client01加入到剛剛創(chuàng)建的ylxqblog.cn的域,首先要設(shè)置客戶端的IP地址,DNS必須設(shè)置為DC的IP地址
打開此電腦,右鍵屬性,點(diǎn)擊更改設(shè)置
點(diǎn)擊更改
選擇域,輸入域名,點(diǎn)擊確定
彈出賬戶驗(yàn)證框,需要輸入域管理員賬戶驗(yàn)證
驗(yàn)證成功,提示成功加入,然后重啟客戶端
開機(jī)后選擇其他,然后輸入之前在DC上面新建的用戶,san.zhang
成功登陸,加域成功
現(xiàn)在我們?cè)傩陆ㄝo助域控,切換到DC02
同樣的步驟,添加角色和功能
選擇DNS和域服務(wù)
點(diǎn)擊安裝
選擇將此服務(wù)器提升為域控制器
因?yàn)檫@臺(tái)是我們的輔助DC,所以選擇第一個(gè),將域控制器添加到現(xiàn)有域
注意步驟3更改這里需要輸入主DC的域管理員賬戶,格式是域\管理員賬戶
輸入目錄還原密碼,建議和主DC一致
點(diǎn)擊下一步
因?yàn)檫@里我們只有一個(gè)域,所以默認(rèn)任何域控制器即可,也可以手動(dòng)選擇dc01.ylxqblog.cn,點(diǎn)擊下一步
BDC的數(shù)據(jù)存放路徑建議保持不變,和主域保持一致
提示報(bào)錯(cuò),原因是DC02虛擬機(jī)是通過(guò)克隆DC01而來(lái),所以2臺(tái)機(jī)器的SSID是一模一樣的,需要使用sysprep工具重新封裝下,同理,如果加域的客戶端也是通過(guò)克隆或者ghost封裝而來(lái),加域前務(wù)必重新封裝清理,避免加域出現(xiàn)或后續(xù)出現(xiàn)無(wú)法預(yù)料的問(wèn)題。
開始運(yùn)行,輸入sysprep
雙擊運(yùn)行
勾選通用,然后點(diǎn)擊確定,清理完成后重啟,重復(fù)如上步驟
進(jìn)入桌面在服務(wù)器管理器中可以看到多了AD DS和DNS的角色,至此 Windows Server 2016 搭建輔助 AD 域控制器已經(jīng)完成
如有疑問(wèn),歡迎大家在評(píng)論區(qū)留言。
環(huán)境
在企業(yè)中,域控環(huán)境還是比較多,計(jì)算機(jī)和用戶統(tǒng)一利用域控來(lái)管理,還有企業(yè)內(nèi)部中統(tǒng)一身份認(rèn)證也可以利用域用戶來(lái)控制,形成公司內(nèi)部一個(gè)賬戶認(rèn)證所有系統(tǒng)和環(huán)境的目的。
最近需要收集加入域控的計(jì)算機(jī)和域用戶名相互對(duì)應(yīng),以便查看那些計(jì)算機(jī)賬戶加入域并利用域賬戶登入Windows操作系統(tǒng)。這是為了今后統(tǒng)一管理的桌面PC打好前期基礎(chǔ)。
收集信息的操作方法:
1、利用域控組策略
2、編寫簡(jiǎn)單powershell腳本獲取信息
3、授權(quán)域用戶可以讀取腳本并登錄執(zhí)行寫入文件保存在共享服務(wù)器中
接下來(lái)分解說(shuō)明:
準(zhǔn)備好一個(gè)共享文件夾,可以是單獨(dú)的共享服務(wù)器,如我內(nèi)部新建了一個(gè)共享文件服務(wù)器,新建一個(gè)共享文件夾。共享文件夾路徑是:\fileshare\loginlog\
編寫powershell腳本:
powershell (hostname) + '=' + (whoami) >> \\fileshare\loginlog\user.txt
把上面的保存為GetLoginName.bat文件
編寫好以后可以放在某個(gè)目錄下。
啟動(dòng)組策略進(jìn)行策略的生效:
打開主域控服務(wù)器,快捷鍵:Windows+R,打開運(yùn)行輸入:servermanager 打開服務(wù)器管理器
servermanager
打開組策略管理器
組策略管理器
新建GPO(組策略對(duì)象)
組策略對(duì)象
命令GPO
GPO命名
設(shè)置登錄腳本策略
加入腳本執(zhí)行策略
授權(quán)域用戶
上面步驟就已經(jīng)完成,如果策略沒(méi)有生效,請(qǐng)刷新組策略:Windows + R,輸入cmd,執(zhí)行:gpupdate /force
今天分享到這里,這只是一個(gè)組策略的應(yīng)用,組策略很強(qiáng)大,可以配合腳本使用更多功能,后面再分享更加強(qiáng)大的功能。
銳綠盾在域環(huán)境下可以正常運(yùn)行,此外,還可以自動(dòng)導(dǎo)入AD域的賬戶信息和組織結(jié)構(gòu)信息,并定時(shí)或?qū)崟r(shí)同步。在控制臺(tái)--系統(tǒng)選項(xiàng)--服務(wù)端,勾選“同步AD域賬戶信息及組織結(jié)構(gòu)信息”,添加域服務(wù)器的IP地址和域管理員的賬號(hào)和密碼。同步后,天銳綠盾就會(huì)產(chǎn)生相對(duì)應(yīng)的終端操作員及域分組,并且可以設(shè)置域用戶登錄域后,終端用同名用戶自動(dòng)登錄。
擴(kuò)展知識(shí):
如何通過(guò)域推送exe安裝包?可參考之前發(fā)的視頻:如何域推送安裝客戶端
場(chǎng)景描述:
假設(shè)客戶公司電腦都有加入域,而域的用戶權(quán)限都有限,無(wú)法安裝客戶端,而且即使要安裝客戶端,也需要先登錄管理員賬號(hào)密碼或者每次都要用管理員先登錄再安裝,會(huì)比較繁瑣;
一般可以通過(guò)域控那邊推送MSI軟件安裝包,但是有時(shí)候又不穩(wěn)定,經(jīng)常不成功,如果有碰到類似情況,可以采用以下方法來(lái)進(jìn)行加權(quán)推送安裝客戶端,成功率很高。