服务器配置教案 Help

6-1 搭建域管理器

介绍

背景:例如一家大公司上千员工,擅长计算机和不擅长的普通用户,经常遇到

  • 忘记密码

  • 不会安装软件

  • 可能安装恶意软件泄漏公司机密。部分人员故意泄漏机密换取利益。

  • 公司需要对能打开和不能打开的软件做严格限制。

  • 需要远程管理,维护人员不能整天到处跑。 用户组管理用户难以满足大公司的需求,现在想有一个管理端,管理用户的桌面、文件权限、自动安装软件等等。

域管理器是Windows Server的代表性功能。

活动目录(Active Directory): 计算机、用户角色、资源,存储在活动目录中。可以集中管理、共享资源。 域管理器(Domain Controller): 安装活动目录的计算机为域管理器。 林(Forest): 以一个域名 example.com 作为逻辑上的管理者,在这个域下配置计算机服务和用户和组策略。多个域组成林。

环境和实验规划

总结:本实验虽然都是图形化界面,但步骤很多,先理解实验意图。

硬件:

  • VMware网络适配器: vmnet1仅主机网卡,因为域控制器需要固定IP,服务端和客户端虚拟机都在此网卡下,俩者可通讯。一人一组实验。

  • (未经测试不太推荐)VMware网络适配器: 桥接网卡。两人一组实验。

  • 服务端:Windows Server 2016

  • 客户端:Windows 10 Pro (机房没有,老师提供OVF虚拟机通用导出文件,客户端需要导入)

  • 域名:apple.com

服务端:

  • 静态IP: 192.168.1.100 ,掩码255.255.255.0 网关192.168.1.1,即域控制器IP。

  • 管理员用户名: zhangsan

  • 管理员用户密码: !234Qwer (密码要求安全性较高,否则无法通过检查)

服务端域控制器后台创建用户组组织、用户、计算机、策略:

  • 用户组织:student

  • 域中客户端用户名: xiaoming ,此用户加入用户组织。

  • 域中客户端用户密码: !234Qwer (在服务端域控制器创建)(密码起成一样的好记)

  • 域中客户端计算机主机名:xiaoming-pc (在服务端域控制器创建)

  • 策略:禁用截图软件,此策略加入student用户组织。

客户端:

  • 客户端静态DNS: 指向服务端192.168.1.100 (跟第四章中的客户端测试步骤一样)

  • 加入域后的客户端登录用户名: xiaoming@apple.com (在登录界面@apple.com不需要手动输入,还是输入xiaoming)

最开始的准备

  1. 宿主机确认vmnet1仅主机网卡已启用。安装完Vmware默认启用,但机房为了防止软件冲突可能禁用。宿主机/网络设置/更改适配器/vmnet1网卡右键启用。

  2. (可选,但建议)VMware/编辑/编辑虚拟网络适配器/vmnet1网卡网段设置为更容易记忆和书写的192.168.1.0

    6 1 ip0 ip

  3. 虚拟机设置选择仅主机网卡。

先决条件

(可选,建议跳过)设置主机名

默认主机名形如"DESKTOP-5FSV1D",可修改主机名为"dc1"。完全不影响后面实验,由于本课步骤多,建议跳过。

  1. 6 1 1
  2. 6 1 2
  3. 6 1 3

(可选,但建议)设置分辨率

虚拟机Windows Server开始时的默认分辨率很大,没有空间边看文档边操作。桌面 右键'显示设置'/调整分辨率为1440*900、文本缩放100%。

设置Administrator密码

WindowsServer 安装后默认无密码,后面域控制器要求Administrator用户必须有密码。

设置密码

第一部分:设置密码为 !234Qwer ,因为组策略的密码检查要求设置复杂密码。

  1. 6 1 1
  2. 6 1 2
  3. 6 1 3
  4. 6 1 4
  5. 6 1 5

第二部分 开始 右键powershell终端工具,在命令行中键入:

net user administrator /passwordreq:yes

这行代码的意思是设置管理员密码,虽然前面已经设置过了,但后面安装软件时仍会提示未设置,这行命令能使其符合组织的密码策略,并修复潜在的配置问题。图中终端输入命令那块没用红框标出。

6 1 6

设置静态IP

域控制器要求服务器的IP固定。 设置服务器静态IP为192.168.1.100
1.

6 1 ip1
2.
6 1 ip2
3.
6 1 ip3

安装活动目录

  1. 服务器管理器仪表板/添加角色和功能

    6 1 1

  2. 下一步

    6 1 2

  3. 基于角色和功能

    6 1 3

  4. 选择待安装的机器

    6 1 4

  5. 勾选Active Directory域服务

    6 1 5

  6. 点添加功能

    6 1 6

  7. 下一步

    6 1 7

  8. 下一步

    6 1 8

  9. 安装

    6 1 9

  10. 等待进度完成,显示安装完成等待配置,关闭

    6 1 10

提升为域管理器

活动目录经过配置提升为域管理器。

  1. 服务管理器/点击左侧"AD DS"/点击"更多"

    6 1 1

  2. 点击"将此服务器提升为域控制器"

    6 1 2

  3. ☑️选择"新建新林",输入域名"apple.com"

    6 1 3

  4. ☑️勾选"域名系统DNS服务"(不勾选其实也没事)。输入还原模式密码*!234Qwer*(用不到但是设置成一样的密码好记)。

    6 1 4

  5. 无视无法创建dns委派的警告,下一步

    6 1 5

  6. 自动从域名生成的NetBIOS名称,下一步

    6 1 6

  7. 自动分配的数据库路径,下一步

    6 1 7

  8. 下一步

    6 1 8

  9. (❌失败情况)先决条件检查-失败。原因有未设置静态,未设置管理员密码等,根据提示检查前面操作。除了上面提到的,其实第一次必然失败

    6 1 9

  10. (❌失败情况)先决条件检查-重试。设置静态IP后,点击"重新运行先决条件检查"。如果是重设管理员密码,机器会重启,当前向导窗口已关闭,那么需要重新走提升域管理器的操作步骤。

    6 1 10

  11. (✅成功情况)先决条件检查-通过。可以无视dns警告⚠️,点击"安装"。

    6 1 11

  12. 安装完成后"注销"

    6 1 12

  13. 重启中

    6 1 13

  14. 以域用户登录。用之前设置的密码 !234Qwer 登录。
    理解域带来的变化,域是一种管理意义上的组织,
    原来的是本地用户Administrator ,现在的是apple.com域中的用户Administrator
    写作APPLE/AdministratorAdministrator@apple.com

    6 1 14

新增客户端用户和客户端计算机

域控制器相当于管理后台,可以先规划创建客户端和客户端计算机,也可以让客户端自己申请加入域,这里选择的是前者。

新增组织单位student

组织单位是比用户组更上级的文件夹,相当于一个大的用户组。

  1. 服务器仪表盘/工具/Active Directory用户和计算机

    6 1 1 1

  2. apple.com展开目录, apple.com上右键/新建/组织单位

    6 1 2 2

  3. 输入组织单位名。完成后可在左侧apple.com目录下看到。

    6 1 3 3

新增用户

  1. 组织目录student上上右键/新建/用户

    6 1 4

  2. 新建客户端用户xiaoming ,输入用户名和用户名姓名。

    6 1 5

  3. 设置 xiaoming 的密码 !234Qwer ,仍然要求高复杂度密码。 勾掉 "用户下次登录时需要更改密码"。勾选用户不能修改密码。勾选用户密码永不过期。

    6 1 6

  4. 完成后可在 用户和计算机/apple.com/student下看到用户。

    6 1 7

新增计算机

  1. Active Directory用户和计算机/apple.com/student上右键/新建/计算机

    6 1 1

  2. 计算机名xiaoming-pc

    6 1 2

  3. 同一个窗口,点"更改"

    6 1 3

  4. 权限添加xiaoming ,意思是用户可以自己加入域而不需要服务器端后台操作。

    6 1 4

  5. 确定。可在Active Directory用户和计算机/apple.com/student下看到创建的用户和计算机对象。如果不小心创建到其它组织目录下可以拖动移动。

    6 1 5

组策略

新增禁止使用"截图"的组策略,绑定组织student,即作用于用户xiaoming计算机xiaoming-pc

  1. 服务器仪表盘/工具/组策略管理

    6 1 1

  2. 林/域/apple.com/组策略对象右键新建

    6 1 2

  3. 策略名"禁止截图应用",图中叫"DisableSomeSoftware"

    6 1 3

  4. 选中新建的策略对象,右键编辑

    6 1 4

  5. 新的弹窗组策略管理器/计算机配置 /Windows设置/安全设置/软件限制策略 右键创建软件限制策略。(组策略和域控制器的功能真多。)

    6 1 5

  6. 上一步后下方多出两个文件夹,选择其它规则右键新建路径规则

    6 1 6

  7. 找到截图程序的路径,之所以找这个应用,应为每台windows电脑上都有这个软件,但是软件目录深注意不要写错路径。

    C:\Windows\System32\SnippingTool.exe
    6 1 7

  8. 用户组织student上 右键链接现有GPO(group order)

    6 1 8

  9. 链接刚才我们创建的禁用截图应用的规则。

    6 1 9

  10. (可选,不影响)

    6 1 10

=== --- 以下为客户端 ---

准备客户端

(机房环境通常为两台CentOS或CentOS和Windows Server各一台)
可以克隆已有的Windows Server做客户机,不过为了避免歧义,IP冲突等问题,最好还是导入一台Windows客户端。
从老师给的Windows 10 OVF导入虚拟机当作客户端。

  1. VMware文件/打开

    6 1 1

  2. 选择OVF/OVA文件,这是一种虚拟机的通用导出格式,VirtualBox、HyperV导出的虚拟机也是这种格式

    6 1 2

  3. 起个名字

    6 1 3

  4. 完成

    6 1 4

客户端测试

  1. 开机前 虚拟机/编辑/网络适配器/选择仅主机网卡vmnet1

  2. 虚拟机的默认用户名密码为zhangsan 111111

  3. (关键)客户机设置手动DNS地址,指向服务端。

    6 1 dns1

    6 1 dns2

  4. 资源管理器/"此电脑"上右键"属性"/其它设置 更改计算机名/更改

    6 1 1

  5. (关键️❗️❗️)修改计算机名为xiaoming-pc ,隶属于apple.com

    6 1 2

  6. 重启

    6 1 6

  7. (关键)以域用户xiaoming登录。此时登录的不再是本地用户zhangsan,
    而是域用户xiaoming@apple.com密码 !234Qwer 。(或另一种写法APPLE/xiaoming)

    6 1 7

  8. 域中新用户,会再走一遍初始化过程

    6 1 8

  9. 开始/截图工具

    6 1 9

  10. (跳过,失败时尝试,不建议做,实际没效果)强制更新组策略。开始 右键powershell命令行/命令 “gpupdate /force” /。

    6 1 12

  11. (跳过,失败时尝试)重启虚拟机。确保加入域后,或修改配置后的强制更新。

  12. 🎉成功效果🎉,应用被禁止,说明客户端接入服务端域控制器,组策略禁止应用成功。

    6 1 13

其它

虽然无代码,但步骤繁多,掌握基本思想,主要大块就是安装活动目录、提升域控制器、用户计算机管理、组策略管理、客户端连接测试。也可以看教材上的视频。 (个人笔记)删除内容:禁用组策略相关步骤已删除,加入域的另外一种方式,图还在项目源文件中。
PS:80张图,制作的费劲,这节更适合录视频。

Last modified: 25 十一月 2024
第六章 域第七章 FTP服务