公司最近接了一个XX项目,要求所有的员工统一使用个人账户登录,电脑需要统一壁纸,关闭共享,封堵端口,密码复杂度,禁止U盘等等要求。于是我就想起了搭建AD域控,统一员工上网电脑的策略。
以下是搭建域控的方法
在搭建之前有个小插曲,因为是远程安装,项目在异地,安装人员安装完成之后,角色里面只能添加IIS服务器和dns服务器,后来我就意识到他装错了版本,所以大家在安装的时候尽量选择WIN 2008 数据中心或企业版版本。
1、在服务器管理器中添加AD服务器角色,在安装之前需安装DNS服务器
2、点击运行AD域服务器安装向导,开始安装
3、选择在新林中创建域
(这里如果原来的网络环境中没有AD域,是新建的域控,那你就选择新建林,如果你是第二台域控,你这里就选择现有林)
4、输入新建域的域名,我在这里新建的域名名称为jmilk.com,可以根据你们自己定义
5、安装向导会自动的要求设置一个NetBIOS格式的域名,为了一些旧版本的服务器能够通过NetBIOS来访问此资源。名字 不区分大小写。
7、其他控制域选项,这里如果之前没有安装DNS服务器的话,这里就需要安装DNS服务器,所以说在安装DNS服务器之前,就最好安装好DNS服务器
全局编录:
默认情况下,全局编录由 Windows 2000 目录林中的初始域控制器自动创建,并且每个目录林必须有至少一个全局编录。如果使用多个站点,您可能希望在每个站点都将一个域控制器指定为全局编录,因为需要全局编录(决定了帐户的组成员身份)完成登录身份验证进程。这是指本机模式域。混合模式域不需要查询用于登录的全局编录。
在目录林中安装了其他域控制器后,就可以用 Active Directory 站点和服务工具将全局编录的默认位置更改为另一个域控制器。您还可根据组织对服务登录请求和搜索查询的要求,选择将任一域控制器配置成主持全局编录。全局编录服务器越多,对用户查询的响应就越快;但启用很多域控制器作为全局编录服务器会增加网络中的复制通信量,因而影响了响应速度。
8、选择存放AG数据库的路径。(一般默认)
数据库文件夹:用了存储AD数据库
日志文件文件夹:用了存储AD的更改记录,此记录可以用来修复AD数据库
SYSVOL文件夹:用了存储域共享文件(例如组策略)
9、设置一个AD的还原密码(强密码),使用该密码可以进入安全模式,在该模式下可以对AD进行修复。
10、然后一直下一步直至完成安装。
11、需要在DNS服务器上做好解析
以上是域控搭建工作,基本服务器搭建工作完成,最难的是AD域控的运用。下面是添加用户,组策略等等操作。
step1、新建组织单位
setp2、创建名称
setp3、新建用户
这里我新建了两个用户,一个是user1,一个是poon用户
poon用户,赋予域管理员的权限,计算机加域的时候要用到。用poon用户登录,你会发现和administrator一样的权限
user1用户:用户权限,是solo.cn下面的用户,不具有有管理员权限,登录之后不能安装程序等等,受到很多权限影响
个人域的创建也是在这里,你可以在该组织单位下新建个人域用,比如说zhangsan、lisi001等等。之前接触的一些其他项目中就要求每个员工需要具有个人账号,每个人登录的时候使用自己的账号登录,这种需求情况下就在这里创建。
setp4、组策略管理
找到刚刚在solo域下面创建的组织单位,在该目录下创建组策略对象,这样这些策略对象就会用用到改组织个人域下
注:我这里是迁移的组策略对象,因之前公司总部有一台AD域控,我就索性把该域控下的几个符合要求的组策略对象都copy下来,因为需求都差不多,省略了我很多时间。
步骤是在原域控下组策略管理----组策略对象----找到改组策略(比如说yixian01,右键)-----备份组策略对象------然后备份到桌面(把整备份个文件夹复制到新AD域控)
新域控:组策略对象-----找到yixian01—右键点击(从备份中还原)-----就OK了
setp5、组策略管理编辑器
在这里编辑管理加域电脑的管理操作
setp6、用户配置
这里就是配置满足项目要求的
这一步是最麻烦的,需要花费的时间最长,慢慢研究!
出现过的问题
1、桌面墙纸策略一直不生效
检查之后才发现是我把桌面墙纸放在桌面文件夹,然后路径我填写的是域控的C盘的那个路径,导致这个策略下发的时候,PC机默认是认为是自己本机C盘路径下的墙纸(但是这里又没有),所以最好是把墙纸放到共享里面,然后那个路径指向的是共享
扫一扫
1664
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
