AD域主要作用就是集中管理,限制域内用户或计算机的所有操作,主要管理公司员工,就像通讯录一样,还能管理了电脑,打印机等, 权限管理,ADhelper 可以实现WEB方式的AD域管理,方便、快捷。其余不懂得还是直接上例子其余自己科普。
实操
AD域
- VMA、VMB虚拟机配置为主辅域,域名为szpdc.com;
- VMA做为GC、Schema Master、Domain Naming Master,VMB做为PDC、RID、Infrastructure
- 创建OU、用户、用户组(以神动的组织架构为例,总经办、技术支持部、财务部、一部、二部、三部、四部、五部、七部、商业客户部);
- 所有用户登录使用带神动LOGO的画面;
- 所有非管理员用户登录都不能打开注册表程序;
- 所有非管理员用户登录不能使用控制面板;
- 所有非管理员用户登录,打开IE浏览器自动打开神动OA;
五种角色的功能
架构主控:修改活动目录源数据。
域名主控:森林的加域脱域
pdc仿真:密码验证 修改组策略模板 统一域内时间
RID主控:防止域控sid重复
结构主控:更新组的成员列表
1、VMA、VMB虚拟机配置为主辅域,域名为szpdc.com;
安装ad域服务
服务器控制台>管理>添加角色
提升为域控
点击添加新林,并且输入域名。
输入还原密码
布置VMB额外域控
首先VMB安装域控服务同上
固定ip
计算机加入域:我的计算机右键属性>系统属性>更改
如果是克隆虚拟机会有报错,说什么id重复:
解决办法:勾选通用,点击确认重新安装即可
VMB升级为额外域控
添加现有域
设置还原密码
按默认提示安装即可
2、VMA做为GC、Schema Master、Domain Naming Master,VMB做为PDC、RID、Infrastructure Master;
转移角色
移动角色之前状态
首先在ad域服务用户与计算机中点击 操作>更改目录服务器>选择VMB
再点击操作>所有任务>操作主机
最后查看移动结果
主域控舵机了,辅域控(额外预控)如何切换5个角色。
在命令行界面输入:ntdsutil:
然后输入:roles,敲回车:
然后输入:connection,然后敲回车:
下面我们输入要转移的操作主机名称,输入:connect to server VMB,然后敲回车:
quit退出一步:
输入”?”回车,查询参数帮助,
然后输入下面图中标识参数切换,比如输入 seize PDC 回车
3、创建OU、用户、用户组(以神动的组织架构为例,总经办、技术支持部、财务部、一部、二部、三部、四部、五部、七部、商业客户部);
创建组织、用户组、用户
4、所有用户登录使用带神动LOGO的画面;
新建组策略
在管理工具>组策略管理>选择林>选择域>组策略对象>新建
编辑新建>用户配置>策略>管理模板>桌面>active desktop>桌面墙纸>
编辑
上面地址图片一定要注意,由于设置的是其他主机的桌面壁纸,如果写本地路径形式C:\壁纸路径\aaa.jpg,就必须保证每台主机C:\壁纸路径\目录下有aaa.jpg图片,最好的方法是用共享文件夹形式方便。
最后右击神动ou,链接到现有GPO,选择刚刚建立的策略。
5、所有非管理员用户登录都不能打开注册表程序;
创建组策略同上
编辑并应用
链接到神动ou
6、所有非管理员用户登录不能使用控制面板;
同样创建组策略并编辑
编辑新建>用户配置>策略>管理模板>控制面板>禁止访问控制面板
编辑组策略
最后将此策略链接到神动ou
7、所有非管理员用户登录,打开IE浏览器自动打开神动OA;
创建主页组策略
编辑新建>用户配置>控制面板设置>Internet设
到此就所有工作就完成了,关键步骤我都写上了,没写的一般默认就好,纯原创纯手打。