什么是域?如何搭建一个简单的域?

最新推荐文章于 2025-08-27 20:30:22 发布
原创 最新推荐文章于 2025-08-27 20:30:22 发布 · 2.3k 阅读 · 29 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#什么是域 #网络安全 #如何搭建一个简单的域

文章目录

域的分类

域是计算机网络中的一个逻辑组织单元,具有安全边界,实现资源的集中管理和共享。它通常分为,单域 ,多域,父域,子域 ,域树(tree), 域森林(forest),DNS域名服务器。在本文中,所有内容仅供参考,哪有不对,还请指出,谢谢各位师傅。

单域和多域

单域指网络中所有计算机和用户隶属于同一域,便于集中管理;多域则将网络划分为多个独立域,每个域有各自的管理员、安全策略和资源,提高灵活性和安全性。

父域和子域

父域和子域是计算机网络和域名系统(DNS)中的概念,一句话概括即:父域是包含其他域(子域)的顶级域,而子域则是父域下进一步划分的独立部分,两者通过层次结构组织起来,共同构成复杂的网络命名体系。

图片

域树(tree) 域森林(forest)

域森林指若干个域树通过建立信任关系组成的集合。可以通过域树之间建立的信任关系来管理和使用整个森林中的资源,从而又保持了原有域自身原有的特性。这里域树abc.com与域树abc.net之间通过建立信任关系来构成域森林。

emmmm,自己画的很潦草,大致看看就好,整体还是没什么大问题的,如有错误,还请指出

图片

如何搭建?

在搭建过程中,服务器管理员(administrator)的密码不能太简单,建议用大小写和字符混合的,否则影响先决条件检查的结果。这里使用的操作系统是Windows server 2012

域控服务器需要修改静态IP地址,方便查找域控服务器的位置,并设置自己为DNS服务器,网关可设可不设

图片
修改计算机名称为DC(域控服务器)

图片
重启!

图片

添加角色和功能选择指定选项,一路下一步

图片

设置为如果需要,自动重启服务器

图片

不要带点关闭,先点将此服务器升级为域控服务器,之后再关闭

图片

配置根域名(需要符合域名配置规则)

图片

选择你得域控服务器版本,我的是windows server 2012

图片

添加还原DSRM密码

图片

这个域名就是刚刚填的根域名称的大写

图片
确保所有的先决条件检查通过,就可以开始安装了

图片

重启之后就会发现计算机全名便成了域控服务器

图片

如果ping不了的话,就检查静态dns是否正确

图片

关闭防火墙

图片
添加一个域控账号

图片

添加域用户

新建一个域用户,用于第二台机器win2008登录域控服务器

图片

设置好账号名称

图片

设置密码

图片

如果出现着这种情况,出网了,也就是ping了这个域名下的公网服务器地址,而不是域控服务器的地址。

图片

那么就去改hosts,把这个域名指向域控服务器的DNS

图片
此时就可以看到ip地址变为了域控服务器的DNS地址

图片

另一台修改DNS为域控服务器,我这里是2008

图片

此时即可ping通域控服务器

图片
加入域

图片

输入域管账号密码,也就是win2012开启域控服务器时的用户和密码

图片

加入域即可

图片
重启

图片

这个时候域控服务器就可以看看到这个计算机

图片
使用我们刚刚创建的zs用户登录域

图片
使用域登录账号格式为

图片

合起来就是REDTEAM\zs,密码为你添加的域用户密码,登录成功后会发现重启不了

图片

改dns,也需要域管账号密码,这时候就体现了域的作用了

图片

域超管账号administrator在任何域内主机上都可以登录,如果需要添加一个域管理员,在任何机器上都能登录,那么就在Domain Admins中添加管理员账号。

如果需要添加另一个域用户也是这样添加的

图片

一个简单的工作组权限案例

登录普通用户

图片
windows中超级管理员的SIDRID是500,就像linux的root账户UID为0

图片

如果发现密码不符合要求

图片

打开我们的本地安全策略,把密码复杂性禁用就好

图片

换一个稍微复杂的密码,添加一个管理员,分配到超级管理员组

图片

登录新加的test用户

图片

此时SIDRID为1001,而不是500

白羽

Tips : 在Windows系统中,指派给用户、计算机和组的RID通常从1000开始。因此,当SID中的RID大于1000时,意味着这个SID代表的是在系统中后创建的用户、组或计算机账户。

图片

主管是降权后的超级管理员

图片

必须要过UAC验证

图片

过了UAC就可以添加用户,为了进一步演示,再添加一个test1用户

图片

切换用户后,执行如图命令,SID中的RID为1002

图片

添加的普通用户过不了UAC,需要管理员的账号密码

图片

图片

零基础入门网络安全/信息安全

【----帮助网安学习,以下所有学习资料文末免费领取!----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)

大纲

首先要找一份详细的大纲。

img

学习教程

第一阶段:零基础入门系列教程

img

该阶段学完即可年薪15w+

第二阶段:技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

img

阶段三:高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

面试刷题

img

在这里插入图片描述

最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。

但是,我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”,其实是“无法开始”。

几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要

资料领取

上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取

点击领取 《网络安全&黑客&入门进阶学习资源包》

黑客老许
关注
[ 内网渗透实战篇-2 ] 父架构的搭建与安装&环境判断&控定位&组策略&森林架构配置&信任关系
qq_51577576的博客
11-07 1234
[ 内网渗透实战篇-2 ] 父架构的搭建与安装&环境判断&控定位&组策略&森林架构配置&信任关系 1、学习如何搭建父子架构 2、了解森林架构以及与单、父子的不同 3、掌握如何判断主机是否在单内 4、掌握如何判断主机是否在父子内 5、掌握如何定位当前控DC 6、掌握如何获取当前其他信息 其他信息:用户及组,网络架构等、手工工具:常见命令,工具插件等、角色信息
(DOmain)知识及搭建指南
Sgirll的博客
01-06 2584
:英文: Domain一个网络上的逻辑单元,通常由控制器(Domain Controller,简称DC)进行管理。它是Windows网络环境中使用的一个组织框架,主要用于集中管理用户账户、计算机、组策略、网络资源等。每个都有一个唯一的名称,比如,用于区分不同的
计算机是什么概念,什么是的相关概念
weixin_36239866的博客
08-02 1万+
1.什么是是由网络上的用户和计算机组成的一个逻辑组或逻辑集合。中所有的对象都存储在活动目录下。一个网络可以建立一个或多个,每个都是一个安全界限,这意味着各种权限的设置不能跨越不同的简单地说,一个就是一系列的用户帐户、访问权限和其他各种资源的集合。在Windows Server2003的每一个中都至少有一台控制器(Domain Controller,DC)充当的管理者,维护属于...
搭建服务器
最新发布
weixin_47787558的博客
08-27 321
windows server 2016(10.30.0.20)(DC服务器)列出控中所有用户:net user /domain。1、激活win server(已经激活的不用管)设备:两台虚拟机 ,设置的都是桥接。卸载产品密钥:slmgr /upk。得到名:ipconfig/all。确定IP:ping yz.com。1、把家庭版升级为专业版并激活。一、开始搭建DC(控制器)要求:两台机器能ping通。依旧cmd以管理员方式运行。cmd以管理员方式运行。没有网络禁用再启用即可。3、加入yz.com
Windows 安全基础—
m0_71744044的博客
05-21 1504
例如A和B之间是信任关系,B和C之间是信任关系,则A和C因为信任关系的传递而相互信任。快捷信任:在树或林中通过默认信任建立的信任关系有时会因信任路径很长、访问资源容易,造成网络流量增加或访问速度变慢,访问效率低下。如果A和B、B和C之间的都是信任可传递的,那么A和C之间是信任关系,可以互访资源。两个建立信任关系后,受信任方用户可以访问信任或方资源,但是信任方无法访问受信任方资源。外部信任:构建在两个不同的森林或者两个不同的(Windows和非Windows)之间的信任关系。
网络安全学习(八)
m0_56413004的博客
05-20 1715
(Domain) 集中/统一管理 内网环境 1)工作组:默认模式,人人平等 2) 人人不平等,集中管理,统一管理 的组成 1)控制器:DC(Domain Controller) 2)成员机 的部署 1)安装控制器——就生成了环境 2)安装了活动目录——就生成了控制器 3)活动目录:Active Directory = AD 活动目录 特点:集中管理/统一管理 组策略GPT 部署安装活动目录 以win 2008演示 右键计算机——管理——角色 添加角色
创建一个完整的
weixin_33828101的博客
11-08 686
前言 我们按照下图来创建第一个林中的第一个。创建方法为先安装一台Windows服务器,然后将其升级为控制器。然后创建第二台控制器,一台成员服务器与一台加入的Win8计算机。 一般说主和备,主要是指担任PDC放置的角色的这台DC,所有修改密码的操作必须由这台DC应答。 除了修改密码、管理、林管理,其他操作(主要是身份验证)都可以随便抓一台DC来完成。 DNS是一个列表,在整个林里面...
如何创建(图片说明)
liyb5619的专栏
06-22 1483
用Windows 2000创建并不难,在创建之前需要做一些准备工作,首先必须满足以下条件:1. 必须安装了Windows 2000 Server、Windows 2000 Advance Server或者Windows 2000 DataCenter Server其中任何一种操作系统。2. 必须有一个静态的IP,例如192.168.0.1。3. 必须有一个硬盘是NTFS格式的,用于
渗透(一)-环境搭建
黑白的博客
04-28 6713
到这里,相信你的环境也已经成功创建,可以简单做一下调试桥接模式的之间都能ping通,kali服务器ping不通仅主机模式的仅主机模式的之间都能ping通,也能ping通我们设置的student.comNAT模式可以ping通所有,当然也能ping通我们设置的student.com其实在这个环境中,只需要桥接和仅主机两种网络模式就可以模拟内外网,包括DMZ,为什么要单独加一台centos7-1,而且是NAT模式的呢?
内网的搭建.docx
08-29
例如,新建一个名为“cxh1”的OU,然后将Win7机器加入其中。通过组策略管理器,我们可以对这个OU内的计算机进行更细粒度的控制,如限制壁纸、禁止CMD等。 5. **多环境的DNS配置**:如果要构建多林环境,即多个...
【客户案例 | 交个朋友】直播电商行业是如何搭建的,圈量详细拆解!
圈量SCRM系统-企微营销工具-私域流量运营软件
07-15 1682
交个朋友的所有互联网平台账号,都在反复强调“交个朋友会员中心正式上线,开启商品上架提醒,订单换积分兑好礼”,以视觉冲击和利益强调的方式覆盖多渠道、公私全链路,触发用户进入私的兴趣。而利用私,“交个朋友”能够培养一批品牌铁杆粉丝,通过积分系统及定期直播的方式,不断引导用户回流,达到反哺公成交,提升品牌好评度的目的。圈量企业微信SCRM系统会记录用户的来源渠道,并自动生成用户标签,如“微博”、“官方群”、“酒水群”等等,既方便统计各渠道的引流效果,又能够记录用户需求喜好,方便未来针对性地推送内容。...
winserver搭建环境
qq_73611706的博客
12-29 1035
Global Catalog)就相当于一个总目录,就像一套系列丛书一样,在全局编录中存储 已有活动目录对象的子集,默认情况下,存储在全局编录中的对象属性是那些经常乃至的内容,而非 全部属性。前面所讲的都是活动目录的逻辑结构,在活动目录中,逻辑结构和物理结构是两个截然不同的概念。活动目录的物理结构由控制器和站点组成。与之类似,活动目录的逻辑结构也是分层的,因此可以把DNS和活动目录结合起来,这样就可以把活动目录中所管理的资源利用DNS带到Internet上,使人们可以利用Internet访问活动目录。
创建的方法
C_0919的博客
11-19 627
运行:“dcpromo”,然后按提示操作。
什么叫?如何建立?操作命令net
热门推荐
nutian的专栏
03-23 1万+
什么叫 系 windows NT / 2000 活动目录的核心单元,系 计算机、用户等对象的容器,而内的对象有相同的安全需求、复制过程和管理。   如果想有建立一个,首先要有一台机安装活动目录,成为控主机。        我理解为 与工作组 差不多,只不过比工作组高级好多,管理的单元要多、复杂(包括共享内容、用户管理、安全 策略管理、文件分派。。。。。)       用户就
的建立
weixin_33827965的博客
10-20 143
建立控制器 的建立首先是安装DNS而且在IP的首选的DNS的选项中要指向自己的DNS服务器如果自己的DNS服务器的IP是192.168.11.111则指向192.168.11.111配置IP的步骤是(网上邻居右击属性上配置)。 安装DNS在开始控制面板的添加/删除工具里的网络服务里的DNS解析...
如何建立
龙井茶的Sky
06-26 904
http://wenku.baidu.com/link?url=pmc0mvz_eFRWRBY9ujDgbQcqIcqgq2FKlY7om1k5yf33Zqp8bG2K8K9F9cNlxh2a3feeLh2su48ECwFoqC0Md36r29EU4mwvOg9xXokpXPq
什么是?如何创建?
灵魂宝石的专栏
03-25 6249
既是Windows网络系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows 系统中,是安全边界。管理员只能管理的内部,除非其他的显式地赋予他管理权限,他才能够访问或者管理其他的。每个都有自己的安全策略,以及它与其他的安全信任关系。 以上是一个标准的解释: 其实上我门可以把和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括 各种策略,用户
服务器搭建
weixin_34191734的博客
12-22 282
下面是一篇是如何建立,如何加入的分配成员的教程,希望对大家有所帮助。 本贴中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统,     由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需...
是什么
weixin_33978044的博客
12-07 847
的定义(Domain)是Windows网络中独立运行的单位,之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在之间的桥梁。当一个与其他建立了信任关系后,2个之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的之间实现网络资源的共享与管理。既是 Windows 网络操作系统的逻辑组织单元,也是Int...
搭建一个环境
08-10
<think>我们正在搭建一个Windows环境,主要参考引用[1][2][3]中关于Windows Server 2016/2019搭建AD的方法。以下是详细步骤: ### 一、准备工作 1. **硬件要求**: - 至少2台服务器(物理机或虚拟机)用于搭建控制器(DC) - 每台服务器:2核CPU、4GB内存、60GB硬盘(系统盘)+ 额外存储(日志和数据库)[^1][^3] 2. **软件要求**: - Windows Server 2016/2019 标准版或数据中心版 - 静态IP地址配置(例如:主DC:192.168.1.10,备DC:192.168.1.11)[^1] 3. **网络要求**: - 所有服务器在同一局网 - DNS指向自身(初始设置)[^1] ### 二、搭建控制器(带DNS) 1. **配置静态IP和主机名**: ```powershell # 设置IP地址(示例) New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1 # 设置DNS服务器为自身 Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 192.168.1.10 # 重命名计算机并重启 Rename-Computer -NewName "DC01" -Restart ``` 2. **安装AD服务和DNS服务**: - 服务器管理器 → 添加角色和功能 → 选择: - **Active Directory服务** - **DNS服务器**(自动勾选依赖项)[^1][^3] - 安装完成后,点击通知区的“将此服务器提升为控制器” 3. **部署新林(新)**: - 部署配置: - 选择“添加新林” - 根名:`yourdomain.com`(示例)[^1][^3] - 控制器选项: - 设置目录服务还原模式(DSRM)密码 - DNS选项默认勾选 - 其他选项保持默认直至安装,安装完成后自动重启 4. **验证主DC安装**: ```powershell # 检查AD服务状态 Get-Service adws, kdc, netlogon # 检查DNS记录 Get-DnsServerResourceRecord -ZoneName "yourdomain.com" -Name "_ldap._tcp" ``` ### 三、搭建额外控制器(实现双AD) 1. **在第二台服务器上配置基础环境**: ```powershell # 设置IP和DNS(DNS指向主DC) New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.1.11 -PrefixLength 24 Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 192.168.1.10 Rename-Computer -NewName "DC02" -Restart ``` 2. **安装AD服务**: - 同主DC安装步骤(不安装DNS服务) 3. **将服务器添加到现有**: - 在“服务器管理器”中提升为控制器 → 选择“将控制器添加到现有” - 指定信息: - :`yourdomain.com` - 提供主DC管理员凭据(如`yourdomain\administrator`)[^2] - 控制器选项: - 从主DC复制数据 - 设置DSRM密码 - 安装完成后重启 ### 四、配置环境核心功能 1. **DNS配置同步验证**: - 在主DC的DNS管理器中,确认DC02的A记录和SRV记录自动生成[^1] ```powershell # 在DC02上检查复制状态 repadmin /showrepl ``` 2. **创建组织单位(OU)和用户**: - 打开“Active Directory用户和计算机” - 创建OU(如:`部门`、`服务账户`)[^4] - 在OU中创建用户: ```powershell # 批量创建用户示例 Import-Csv "users.csv" | ForEach-Object { New-ADUser -Name $_.Name -SamAccountName $_.SamAccountName -Path "OU=销售部,DC=yourdomain,DC=com" } ``` 3. **配置组策略(GPO)**: - 创建GPO并链接到OU: - 例如:密码策略(长度≥8位,30天强制更改) - 软件部署策略(自动安装办公软件) ### 五、客户端加入 1. **客户端网络配置**: - IP设置:确保DNS指向控制器(DC01和DC02) 2. **加入操作**: - 系统属性 → 计算机名 → 更改 → 选择“”并输入`yourdomain.com` - 提供管理员凭据 3. **验证加入状态**: ```powershell # 在客户端执行 nslookup yourdomain.com # 应解析到DC的IP gpresult /r # 检查组策略应用 ### 六、双控制器高可用验证 1. **手动故障转移测试**: - 关闭主DC(DC01) - 在客户端使用账户登录应正常(由DC02提供服务) 2. **AD复制监控**: ```powershell # 在DC02上检查复制状态 repadmin /replsummary ``` ### 最终架构图 ```mermaid graph TD A[根 yourdomain.com] --> B[DC01 192.168.1.10] A --> C[DC02 192.168.1.11] B --> D[DNS服务] C --> D A --> E[组织单元] E --> F[销售部] E --> G[技术部] F --> H[用户账户] G --> I[用户账户] ``` > **关键安全建议**: > 1. 定期备份系统状态(含AD数据库)[^1] > 2. 启用BitLocker加密系统卷 > 3. 限制管理员账户使用 §§相关问题§§ 1. 如何监控Active Directory的健康状态? 2. 控制器时间不同步会导致什么问题?如何解决? 3. 如何备份和恢复Active Directory服务? 4. 如何实现跨信任关系配置? [^1]: 本指南详细介绍了如何在Windows Server 2016上搭建带有DNS的主[^1] [^2]: 在Windows Server 2016上搭建双AD从未如此简单[^2] [^3]: Windows Server 2016双AD搭建指南一主配置带DNS[^3] [^4]: 深入认知Windows环境架构[^4]</think>### Windows 环境搭建指南 以下是基于 Windows Server 2016/2019 搭建控制器(AD )的完整流程,结合了引用中的最佳实践[^1][^2][^3]: --- #### 一、准备工作 1. **硬件要求** - 至少 2 台物理/虚拟机(主控制器 + 额外控制器) - 每台:2 核 CPU/4GB RAM/60GB+ 存储(系统盘 + 日志/数据库分离)[^3] 2. **软件要求** - Windows Server 2016/2019 标准版或数据中心版 - 静态 IP 地址(例如:主 DC: `192.168.1.10`,备 DC: `192.168.1.11`)[^1] 3. **网络要求** - 所有服务器在同一局网 - DNS 指向自身(初始设置)[^1] --- #### 二、搭建控制器(带 DNS) 1. **配置静态 IP 和主机名** ```powershell # 设置 IP 地址(示例) New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1 # 设置 DNS 服务器为自身 Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 192.168.1.10 # 重命名计算机并重启 Rename-Computer -NewName "DC01" -Restart ``` 2. **安装 AD 服务和 DNS 服务** - 服务器管理器 → 添加角色和功能 → 勾选: - **Active Directory 服务** - **DNS 服务器**(自动勾选依赖项)[^1][^3] - 安装完成后,点击通知区的 **"将此服务器提升为控制器"** 3. **部署新林(新)** - 部署配置: - 选择 **"添加新林"** - 根名:`yourdomain.com`(示例)[^1][^3] - 控制器选项: - 设置 **目录服务还原模式 (DSRM) 密码** - DNS 选项默认勾选 - 其他选项保持默认 → 安装 → 自动重启 4. **验证主 DC 安装** ```powershell # 检查 AD 服务状态 Get-Service adws, kdc, netlogon # 检查 DNS 记录 Get-DnsServerResourceRecord -ZoneName "yourdomain.com" -Name "_ldap._tcp" ``` --- #### 三、搭建额外控制器(实现双 AD ) 1. **在第二台服务器上配置基础环境** ```powershell # 设置 IP 和 DNS(DNS 指向主 DC) New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.1.11 -PrefixLength 24 Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 192.168.1.10 Rename-Computer -NewName "DC02" -Restart ``` 2. **安装 AD 服务** - 同主 DC 安装步骤(不安装 DNS 服务) 3. **将服务器添加到现有** - 服务器管理器 → 提升为控制器 → 选择 **"将控制器添加到现有"** - 指定信息: - :`yourdomain.com` - 提供主 DC 管理员凭据(如 `yourdomain\administrator`)[^2] - 控制器选项: - 从主 DC 复制数据 - 设置 DSRM 密码 - 安装完成 → 重启 --- #### 四、配置环境核心功能 1. **DNS 配置同步验证** - 在主 DC 的 DNS 管理器中,确认 DC02 的 A 记录和 SRV 记录自动生成[^1] ```powershell # 在 DC02 上检查复制状态 repadmin /showrepl ``` 2. **创建组织单位 (OU) 和用户** - 打开 **Active Directory 用户和计算机** - 创建 OU(如:`部门`、`服务账户`)[^4] - 在 OU 中创建用户: ```powershell # 批量创建用户示例 Import-Csv "users.csv" | ForEach-Object { New-ADUser -Name $_.Name -SamAccountName $_.SamAccountName -Path "OU=销售部,DC=yourdomain,DC=com" } ``` 3. **配置组策略 (GPO)** - 创建 GPO 并链接到 OU: - 密码策略(长度 ≥8 位,30 天强制更改) - 软件部署策略(自动安装办公软件) --- #### 五、客户端加入 1. **客户端网络配置** - IP 设置:DNS 指向控制器(DC01 和 DC02) 2. **加入操作** - 系统属性 → 计算机名 → 更改 → 选择 **""** → 输入 `yourdomain.com` - 提供管理员凭据 3. **验证加入状态** ```powershell # 在客户端执行 nslookup yourdomain.com # 应解析到 DC 的 IP gpresult /r # 检查组策略应用 ``` --- #### 六、双控制器高可用验证 1. **手动故障转移测试** - 关闭主 DC(DC01) - 在客户端使用账户登录应正常(由 DC02 提供服务) 2. **AD 复制监控** ```powershell # 在 DC02 上检查复制状态 repadmin /replsummary ``` --- ### 最终架构图 ```mermaid graph TD A[根 yourdomain.com] --> B[DC01 192.168.1.10] A --> C[DC02 192.168.1.11] B --> D[DNS 服务] C --> D A --> E[组织单元] E --> F[销售部] E --> G[技术部] F --> H[用户账户] G --> I[用户账户] ``` > **关键安全建议**: > 1. 定期备份系统状态(含 AD 数据库)[^1] > 2. 启用 BitLocker 加密系统卷 > 3. 限制管理员账户使用 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值