day07域

前提知识：
关防火墙
搜索icon即可调出桌面图标
检查分区E20G
计算机右键管理角色添加角色
1.Domain
2.内网环境
1）工作组：默认模式，人人平等，不方便管理
2）域：人人不平等，集中管理，统一管理
3.域的特点：集中/统一管理
4.域的组成：
1）域控制器：DC（Domain Controller）
2）成员机
5.域的部署
1）安装域控制器
2）安装活动目录
3）活动目录：Active Directory=AD
6.活动目录：
1）AD
2）特点：集中/统一管理
7.组策略GPO
8.win2008（1G）安装活动目录：
1）开启win2008虚拟机并桥接到vmnet2
右键设置vmnet2，不要指向DNS
2）配置静态IP地址10.1.1.1/24
网络右键属性----更改适配器设置—IPV6取消勾选----双击检查无网络访问权限
修改计算机名为dc1
3）开始----运行—输入dcpromo（安装/卸载活动目录）
下一步----勾选通过安装DNS----在新林中新建域----FQDN：qf.com----林功能级别win2003—域功能级别win2003-----是----不改路径----活动目录还原密码666.com----完成后重启
4）在DC上登录域QF\Administrator 123.com
安装DC后本地管理员升级为域管理员
开始----管理工具—DNS—出现qf.com
开始管理工具出现AD用户和计算机

5）验证是否安装成功
计算机右键属性—所属域
DNS服务器是否自动创建qf.com区域文件
自动注册DC的域名解析记录
开始—管理工具----AD用户和计算机
computer：普通域成员机列表
Domain Controller：DC列表
userS：域账号
9.PC加入域
配IP，指向DNS
计算机右键属性—更改—加入qf.com
重启加入域后，使用域管理员账户登录成员机
IPV6取消勾选
xp-1 win7
vmnet2 vmnet2
10.1.1.2 10.1.1.3
255.255.255.0 255.255.255.0
DNS：10.1.1.1 10.1.1.1
加入域：我的电脑—右键属性—更改域qf.com—qf.com\administrator 123.com
AD新建普通域用户
温 小非 xiaofei.wen 123.com 123.com 不要勾选开机要求改密码 完成
杨 涛 tao.yang 123.com 123.com 不要勾选开机要求改密码 完成
将winxp和win7加入域，用域管理员账号登录
10.常见小问题：
1）加入域不成功
vmnet桥接的不一样
没配置静态IP
没指向DNS
重启？
没有解析qf.com的这条记录（与父文件夹相同） 主机记录（A） 10.1.1.1
没有清理DNS缓存
使用的是ipv6的地址
网络不通
没有成功解析
2）登入域不成功
xp选择qf.com，用户名不用写qf.com
win7需要写qf.com\tao.yang
3）域用户的权限
建议将域用户加入普通成员的本地管理员组
win7开始----注销----qf.com\administrator 123.com登入客户机—开始—计算机—右键管理----组----administrator—添加------qf.com tao.yang—确定—开始—注销—使用tao.yang 123.com登录查看权限是否为完全控制
本地管理员组：administrators
域管理员组：Domain Admins
11.OU：组织单位
作用：用于归类域资源（域用户、域计算机、域组）
管理工具—AD用户和计算机—qf.com右键新建组织单位----千锋集团----勾选防止容器被意外删除-----千锋集团右键创建董事会、市场部（西北部、东北部）、IT部

温小飞右键所有任务移动到董事会，杨涛右键所有任务移动到西北部
12.组策略Group Policy GPO
作用：通过组策略可修改计算机的各种属性，如开始菜单、桌面背景、网络参数
组策略在域中是基于OU来下发的
组策略在域中下发后，用户的应用顺序是LSDOU
本地策略、站点、域总策略、组织单位策略
在应用过程中如果出现冲突，后应用的生效。
开始----管理工具----组策略管理—qf.com----千锋集团—创建组策略----千锋集团—确定
IT部—IT部
市场部----市场部
董事会----董事会
西北部----西北部
东北部—东北部
需要把所有域成员先添加到对应的OU组织单位中
千锋集团所有人背景都设置为wencoll头像，千锋集团组策略—右键编辑—用户配置—策略----桌面----右边看----活动桌面—桌面墙纸双击打开—已启用—墙纸名称a.jpg \10.1.1.1\share\a.jpg
win2008DC上新建共享文件夹：E盘创建文件夹share----属性—共享----share—权限----完全控制—everyone 域普通用户domain users 确定
安全—添加domain users 读取权限
画一个图片放入share文件夹中
用户配置一般来说注销后重新登录即可生效
计算机配置一般来说重启后即可生效
xp-1注销重登，xiaofei.wen 123.com
桌右键属性—可快速查看，若组策略下发成功不可更改桌面
win7注销后登录查看组策略是否下发成功

在share文件夹中放入b.jpg
西北区用b.jpg做背景
西北区右键编辑----用户配置—桌面----桌面墙纸—\10.1.1.1\share\b.jpg
win7注销重登查看桌面背景是否更改
xp-1看桌面背景

千锋集团—用户管理—管理模板—以【开始】删除运行菜单
启用----删除
禁用----不删除用tao.yang登录无运行按钮，win+R报错
上级OU：桌面aa 运行：删除
下级OU：桌面：未配置 运行：不删除
下级OU结果：桌面：aa 运行：不删除
忘了开启哪些策略如何查看—千锋集团—右侧–设置—添加----添加—用户配置—管理模板
西北区杨涛桌面如何也用a：1）去掉西北策略2）千锋集团策略点强制继承
注销杨涛用户再登录—右键----个性化
西北区管理模板----整个西北区OU右键阻止继承—不再启用前边的组策略只看自己的组策略
开始----注销—输入杨涛账号密码----查看桌面背景—对话框开始运行
上级组策略强制继承，下级组策略组织继承----结果还是强制继承，强制最大
下级向上级阻止继承：
上级OU：桌面aa 运行：删除
下级OU：桌面未配置 不删除
结果下级OU：未配置 不删除
千锋集团右键编辑—windows设置—脚本（启动/关机）
用户----脚本（登录/注销）
win2008如何查看拓展名：计算机—组织—文件夹和选项—查看
E盘新建tmp文件夹新建垃圾文件
clear.bat
e:
cd
cd tmp
rd. /s/q
用户配置—注销—脚本名----确定
把clear.bat复制到显示文件下
win7注销再注销再进去temp文件夹内容被删除
千锋集团策略—右键编辑—计算机配置----windows设置—安全设置—本地策略—安全选项–交互式登录无须按ctrl+alt+delete
安全设置----账户策略----密码复杂性要求
长度最小值
最短使用周期
最长使用期限
强制密码历史
用可还原的加密存储密码（一般不建议）
账户锁定策略—账户锁定时间30min 30min 35
阈值 3
重置账户锁定计数器30min 40min 20
30之后还进不去得再等十分钟等到40之后
20之后置为0，15min之后又可以再输入三次
1min输两次错，20min之后又可输入三次
win7重启输错三次可否进去？
测试修改是否符合规则。