关于AD域的介绍

本文主要介绍了AD域相关知识,包括域的概念、域控制器等。详细记录了在Windows Server 2012 R2上搭建域服务器、创建域用户、计算机加入域的步骤,还说明了如何在该域环境中禁用密码复杂策略,以及为各部门创建组策略设置桌面背景图片的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于AD域

第一次写博客,记录一下如何搭建自己的域服务器,以及其中遇到的一些问题,感谢“我的bug我做主”的文章《C#实现AD域验证登录(一)》,为防止原文被作者删除,手动将原文复制下来,如有侵权,请及时告知。

域的简单介绍

为什么要使用域?假设你是公司的系统管理员,你们公司有一千台电脑。如果你要为每台电脑设置登录帐户,设置权限(比如是否允许登录帐户安装软件),那你要分别坐在这一千台电脑前工作。如果你要做一些改变,你也要分别在这一千台电脑上修改。相信没有哪个管理员想要用这种不吃不喝不睡觉的方式来工作,所以就应运而生了域的概念。
下面列出了域的几个主要概念:

AD的全称是Active Directory:活动目录
域(Domain):
1)域是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后
2)两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输
域控制器(DC)
域控制器就是一台服务器,负责每一台联入网络的电脑和用户的验证工作。
组织单元(OU)
用户名服务器名(CN)

域服务器的搭建,创建域用户,计算机加入域

这里我使用windows server 2012 r2 搭建域服务器。

第一步:添加角色功能=>安装’Active Directory域服务’,接着一路下一步,安装完即可。

   注:(1)最好使用Administrator来安装,要不可能会因为没有目录权限而安装失败。
   (2) 加入域不能使用Home版的Windows操作系统(顾名思义它是给你在家用的,而你家里是不用搭建域的)。
   (3) 域控制器不能使用web edition server,因为它没有安装活动目录。

在这里插入图片描述在这里插入图片描述
第二步:配置服务器的ip地址

在这里插入图片描述
接着添加角色功能=>安装’DNS服务器’,因为我用的是公司的内网,所以这里是192.168打头的局域网,你们可以用自己服务器的外网地址.,这个ip将作为访问域服务器的地址,之后写代码会用到。

注:如果你的域控制器在虚拟机上,需要设置你的虚拟机网络连接方式为桥接模式,虚拟机处于无网状态,外部无法访问。

第三步:开始配置域服务

成功安装之后在,如上图所示会有一个黄色三角提示标,点开选择将此服务器提升为域控制器,进入Active Directory域服务配置向导。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
选择“添加新林”,并键入根域名"test.cn",域名尽量唯一,不要与internet上的网站域名重复,一直下一步都使用默认的配置,在安装之前系统会进行先决条件的检查,如果报错则根据错误去解决,警告不予理会。登陆域服务器的账号需要设置密码,且满足复杂度要求,否则先决条件检查无法通过。

安装完成后,服务器会重启。

第四步:创建域用户及在域下可以创建用户,组织单位,联系人等。

在这里插入图片描述
在这里插入图片描述在这里插入图片描述
如上图所示我在域名为test.cn的域下添加了某某集团,销售部,技术部,客服部四个组织单位(OU),并且在每个组织单位下都创建了一个用户,以后会写代码读取某某集团下所有的用户,windows出于安全的考虑,域用户的密码只能修改,不能获取。

第五步:加入到域中

我试验用的是win7的电脑,

右键我的电脑=>属性=>高级系统设置=>计算机名页签=>计算机名或域更改,进入这个页面后,你的电脑应该属于一个工作组,这里隶属于我们选择域,并输入test.cn,完事点确定,不出意外肯定会报这个错误。
在这里插入图片描述
  出现这个问题大概有两个原因:

1)ping下你的域控制器ip地址:在cmd下输入: ping 192.168.40.82

若收到了来自192.168.40.82的回复,说明域控服务器的网络是没问题的,反之则有问题。

2)DNS解析问题

要加入域的这台电脑的DNS必须是域控制器的ip
在这里插入图片描述
更改完DNS,再试一试,成功的弹出了这个窗口
在这里插入图片描述
这个用户名与密码,就是域用户及其密码,你可以翻看一下上面的图,我在某某集团->客服部下新建了一个域用户,叫赵四,下图是详细信息,

用户名使用zhaosi,密码是你自己设定的
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
  大功告成,你的电脑已经加入到域里了。

在Windows Server 2012 R2域环境中禁用(取消)密码复杂策略

感谢“张洪君 - 微软Azure DevOps(TFS ) MVP”的文章《在Windows Server 2012 R2域环境中禁用(取消)密码复杂策略》
windows server 2012域环境默认启用密码复杂策略,例如:
至少有六个字符长,包含以下四类字符中的三类字符:英文大写字母(A 到 Z),英文小写字母(a 到 z),10 个基本数字(0 到 9),非字母字符(例如 !、$、#、%),在更改或创建密码时执行复杂性要求。

在测试环境中启用这么复杂的密码策略,是一件烦人的事情,下面我用截图的方式记录如何取消这些策略。

  1. 组策略管理

在DC上打开 管理工具→组策略管理(gpedit.msc为本地组策略管理,和此处需要的不同)
在这里插入图片描述
2. 编辑组策略

在这里插入图片描述
3. 修改密码策略
在这里插入图片描述
4. 以管理员身份运行命令行窗口,强制策略立即生效
在这里插入图片描述
运行命令:gpupdate /force
在这里插入图片描述
5. 验证:修改域用户的密码为123,成功!

  可视化域管理工具[ADManager Plus](https://www.jb51.net/softs/665269.html)可对域账号权限等进行统一管理。

示例:为每个部门创建组策略,使同一部门的用户登录时显示相同的桌面背景图片。

1)在域控制器上点击管理工具→组策略管理,打开组策略管理控制台。右键点击需要配置组策略的OU→点击“在这个域中创建GPO并在此处链接”→输入组策略名称“桌面1”,其他部门同理
在这里插入图片描述在这里插入图片描述
右键点击“桌面1”→“编辑”→“用户配置”→“管理模板”→“桌面”→“Active Desktop”,双击“启用Active Desktop”→“已启用”→“应用”→“确定”。
在这里插入图片描述
双击“桌面壁纸”→点击“已启用”→在“墙纸名称”输入墙纸的位置,我使用的是UNC路径(需要在服务器上建立共享文件夹,用于存放桌面图片)→选择“墙纸样式”,我这里选择填充→最后点击“应用”→“确定”,到这里就设置好了,其他部门同理。在这里插入图片描述
若使用域账号登陆后,电脑提示您已使用临时配置文件登陆,重启后不会保存对系统作的更改,参考百度经验https://jingyan.baidu.com/article/9989c746fcb3fcf648ecfee9.html
找到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\,把这个文件夹下面有你登陆的那个账号的文件夹都删掉
windows活动目录不能删除OU的解决方法,参考百度经验https://jingyan.baidu.com/article/bad08e1eb3b9b609c85121be.html
选中 服务器管理器 >查看 >高级功能
选中要删除的OU 右键属性 >对象 >取消选中 防止对象意外删除

一 为什么需要 对很多刚开始钻研微软技术的朋友来说是一个让他们感到很头疼的对象。 的重要性毋庸置疑微软的重量级服务产品基本上都需要的支持很多公司招 聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但对 初学者来说显得复杂了一些众多的技术术语例如Active Directory站点 组策略复制拓扑操作主机角色全局编录….很多初学者容易陷入这些技术 细节而缺少了对全局的把握。从今天开始我们将推出Active Directory系列 博文希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要这个管理模型众所周知微软管 理计算机可以使用和工作组两个模型默认情况下计算机安装完操作系统后是 隶属于工作组的。我们从很多书里可以看到对工作组特点的描述例如工作组属 于分散管理适合小型网络等等。我们这时要考虑一个问题为什么工作组就不 适合中大型网络呢难道每台计算机分散管理不好吗下面我们通过一个例子来 讨论这个问题。 假设现在工作组内有两台计算机一台是服务器Florence一台是客户机Pert h。服务器的职能大家都知道无非是提供资源和分配资源。服务器提供的资源 有多种形式可以是共享文件夹可以是共享打印机可以是电子邮箱也可以 是数据库等等。现在服务器Florence提供一个简单的共享文件夹作为服务资源 我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国注意 这个文件夹只有张建国一个人可以访问那我们就要考虑一下如何才能实现这个 任务一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户 账号如果访问者能回答出张建国账号的用户名和密码我们就认可这个访问者 就是张建国。基于这个朴素的管理思路我们来在服务器上进行具体的实施操作。 首先如下图所示我们在服务器上为张建国创建了用户账号。 然后在共享文件夹中进行权限分配如下图所示我们只把共享文件夹的读权限 授予了用户张建国。 好接下来张建国就在客户机Perth上准备访问服务器上的共享文件夹了张 建国准备访问资源\\Florence\人事档案服务器对访问者提出了身份验证请求 如下图所示张建国输入了自己的用户名和口令。 如下图所示张建国成功地通过了身份验证访问到了目标资源。 看完了这个实例之后很多朋友可能会想在工作组模式下这个问题解决得很好 啊我们不是成功地实现了预期目标嘛没错在这个小型网络中确实工作组 模型没有暴露出什么问题。但是我们要把问题扩展一下现在假设公司不是一台 服务器而是500台服务器这大致是一个中型公司的规模那么我们的麻烦 就来了。如果这500台服务器上都有资源要分配给张建国那会有什么样的后 果呢由于工作组的特点是分散管理那么意味着每台服务器都要给张建国创建 一个用户账号张建国这个用户就必须痛不欲生地记住自己在每个服务器上的用 户名和密码。而服务器管理员也好不到哪儿去每个用户账号都重新创建500次如果公司内有1000人呢我们难以想象这么管理网络资源的后果这一切 的根源都是由于工作组的分散管理现在大家明白为什么工作组不适合在大型的 网络环境下工作了吧工作组这种散漫的管理方式和大型网络所要求的高效率是 背道而驰的。 既然工作组不适合大型网络的管理要求那我们就要重新审视一下其他的管理模 型了。模型就是针对大型网络的管理需求而设计的就是共享用户账号计 算机账号和安全策略的计算机集合。从的基本定义中我们可以看到模型的 设计中考虑到了用户账号等资源的共享问题这样中只要有一台计算机为公司 员工创建了用户账号其他计算机就可以共享账号了。这样就很好地解决刚才我 们提到的账号重复创建的问题。中的这台集中存储用户账号的计算机就是控 制器用户账号计算机账号和安全策略被存储在控制器上一个名为Active Directory的数据库中。 上述这个简单的例子说明的只是强大功能的冰山一角其实的功能远远不止 这些。从下篇博文我们将开始介绍的部署以及管理希望大家在使用过程中逐 步增加感性认识对有更加深入及全面的了解能够掌握好Active Director y这个微软工程师必备的重要知识点。 二 二二 二
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值