工作组和域 工作组 类似于QQ分组,通过建立网络,对系统用户进行分组。所创建的工作组,实际没有什么价值,仅是为了方便查找到对应用户。工作组是对等网模式。
域 “什么是域?”:域环境是一种逻辑结构,从逻辑上将网络中的计算机组织到一起,进行统一管理。
在“域”模式下,至少有一台服务器负责每一台联入域网络的电脑和用户的验证工作,相当于一个单位的门卫,称为“域控制器(Domain Controller,DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
域控制器负责存储整个域环境的数据信息。
AD域 AD域的功能:权限集中、共享集中、策略部署。
权限集中:所有用户账户直接通过DC进行管理。
共享集中:共享数据后,通过权限配置,使得需要的用户能够直接访问该数据。
策略部署:对域中的计算机、用户实施统一策略部署,达到所有计算机、用户的配置相同,也可对某些特定用户进行区分。
活动目录 活动目录也叫AD、AD域。
AD是Windows的一种服务器、一个目录数据库。
AD的特点和特性:集中管理、访问网络资源便捷、可扩展性强。
域控制器 域控制器简称DC。对整个域环境进行管理和控制。
域中的管理服务器通常为第一台安装了活动目录的服务器。
一个域可以有多台域控制器。
对象和属性 对象由一组属性组成,它代表的是具体事物。
属性就是描述对象的数据。
(属性是用来描述对象具体事物的数据。属性组合起来就形成对象。)
域结构 逻辑结构(重点) 单域:网络中只建立了一个域。
域树:域树中域以树的形式出现,由根域(域树中创建的第一个域)、父域(上级域)和子域(下级域)构成,共用连续名字空间的域就组成一个域目录树。
域林:域林是一个或多个目录树的集合,目录林中的目录树并不共用相同的连续的名字空间。域林中创建的第一个域为林根域。
组织单元(OU):是域内的一种容器,也是一种对象。可以把域中的对象组织成逻辑组,以简化管理工作。组织单元可以包含各种对象,如用户账户、用户组、计算机、打印机等,甚至可以包括其他的组织单元,所以可以利用组织单元把域中的对象组成一个完全逻辑上的层次结构。对企业来讲,可以按部门把所有的用户和设备组成一个组织单元层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个组织层次结构。
全局编录服务器(GC):存储着本域中所有对象所有属性,同时存储林中其他域中所有对象的部分属性。一般来说,属性是否存储在GC中,取决于该属性在搜索中使用的频率,由系统自动进行决定。主要具有以下两个功能:
允许用户在林中所有域上搜索活动目录信息,提高查询速度。
为域控制器提供请求验证登陆的用户信息。
物理结构 站点:对应高速稳定的IP子网,如企业内部的局域网
域控制器(DC):域控制器是安装了 AD DS 服务器角色的服务器。
承载 AD DS 目录存储的副本;
提供身份验证和授权服务;
将更新复制到域和林中的其他域控制器;
允许在服务器上管理用户账户和网络资源;
Windows Server 2016 AD DS 支持 RODC;
参与活动目录的复制;
单主控操作。
域中的计算机分类 在域结构的网络中,计算机身份是一种不平等的关系,存在关以下4种类型:
域控制器DC 安装了活动目录的服务器,存储了所有域范围内的账户和策略信息。在网络中可以将多台服务器配置为域控制器,并一起工作,即使部份域控制器瘫痪,网络访问仍然不受影响,提高了网络安全性和稳定性。
成员服务器(windows server) 安装了Windows Server 2016/2019/2008的服务器,又加入到了域,但没有安装活动目录的计算机。
独立服务器 不加入到域中也不安装活动目录,就称为独立服务器,独立服务器和域没有关系。
域中的客户端(windows) 加入到域中,但没有安装活动目录的其他操作系统的计算机。
PS:服务器的角色可以改变,如服务器在删除时,如果是域中最后一个域控制器,则该服务器成为独立服务器,如果不是域中的最后一个域控制器, 则成为成员服务器。同时独立服务器既可以转换为域控制器也可以加入到某个域成为成员服务器。
活动目录的功能级别 分为林功能级别与域功能级别。
工作组与域的区别(重点) 管理模式:工作组分散管理,域集中管理
管理结构:工作组对等网,域C/S
部署AD域的要求 本地管理员权限
操作系统版本必须满足条件
NTFS分区
静态IP地址
有足够的可用磁盘空间
该服务器需要DNS角色
域环境管理 域用户账户的作用:验证用户的身份,授权或拒绝对域资源的访问。
域组的管理 组的类型 安全组:为用户设置访问权限
通讯组:用于电子邮件通信,包含联系人和用户帐户。
组的作用域 本地域组:针对本域的资源创建本地域组,适用范围:本域。
全局组:管理日常维护的目录对象,适用范围:整林及信任域。
通用组:身份信息记录在全局编录中,查询速度快,适用范围:整林及信任域。
全局组和通用组的区别: 在多域环境中,通用组成员的身份信息记录在全局编录中,而全局组成员身份存储在每个域中。在多域环境中,相比较而言,通用组成员登录或者查询速度较快。
组织单位OU OU的概念 OU是AD中的容器
可在其中存放用户、组、计算机和其他OU
OU不能包含来自其他域中的对象
OU的常见结构 基于部门
基于地理位置
基于对象类型
创建及删除OU 防止对象被意外删除
VMware网卡的使用 只是用NAT(连接外网)、自定义两种模式(连接真实机、虚拟机互联)。
如何实现虚拟机与真实机互通
采用自定义模式,如vment1。
如何实现虚拟机之间的网络互通
使用同一个自定义,如vment1。可以将其视为一个交换机,再将两个虚拟机的IP地址配置到同一网段内,便可以网络互通。
如何实现虚拟机连接外网
使用vment8(NAT模式),只要使用NAT,IP地址需要改为自动获取方式。当虚拟机连接到外网之后,会自动更新系统。(如果非必要,尽量不连接外网)
当虚拟机连接上外网时,真实机也可以通过IP地址对其进行访问。
虚拟机网络故障的解决方法
当NAT出现BUG不能使用时,可以使用vment0代替NAT连接外网。(选择桥接模式,将其桥接到真实机的网卡),这种模式也尽量不要使用。会导致真实的网关压力过大,出现没有足够的IP可以分配的情况。