【内网学习】windows域环境搭建的学习

本文最后更新于:2021年11月29日下午5点19分

什么是域?

域:用来描述一种架构,和“工作组”相对应,由工作组升级而来的高级架构,域 (Domain)是一个有安全边界的计算机集合( 安全边界,意思是在两个域中,一个域中的用户无法访问另一个域中的资源)。可以简单的把域理解成升级版的“工作组”,相比工作组而言,它有一个更加严格的安全管理控制机制,如果你想访问域内的资源,就必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份。

域和工作组有哪些区别?

  • 加入工作组仅需修改工作组名字即可,而加入域需要对应的域控(DC)进行控制
  • 在工作组里,计算机与计算机之间是平等的,它们相互之间可以访问其余计算机中的资源,而在域中,想要访问其余计算机的资源,需要由域控进行控制

一些名词解释:

域控DC(Domain Control)

在域架构中域控是用来管理所有客户端的服务器,它负责每一台联入的电脑和用户的验证工作,域内电脑如果想互相访问首先都得经过它的审核。域控是域架构的核心,每个域控制器上都包含了AD活动目录数据库。一个域中可能应该要有至少两个域控。一个作为DC,一个是备份DC。如果没有第二个备份DC,那么一旦DC瘫痪了,则域内的其他用户就不能登陆该域了,因为活动目录的数据库(包括用户的帐号信息)存储在DC中的。而有一台备份域控制器(BDC),则至少该域还能正常使用,期间把瘫痪的DC恢复了就行了。当域中的一台计算机安装了AD后,它就成了域控DC了。

活动目录AD(Active Directory)

活动目录AD是域环境中提供目录服务的组件。在活动目录中,所有的网络对象信息以一种结构化的数据存储方式来保存,使得管理员和用户能够轻松地查找和使用这些信息。活动目录以这种结构化的数据存储方式作为基础,对目录信息进行合乎逻辑的分层组织。活动目录存储着有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息。目录服务是帮助用户快速准确从目录中查找到他所需要的信息的服务。安装有AD活动目录的服务器就是域控DC。

如果将企业的内网看成是一本字典,那么内网里的资源就是字典的内容, 活动目录就相当于字典的索引。即活动目录存储的是网络中所有资源的快捷方式,用户通过寻找快捷方式而定位资源。

在活动目录中记录的信息,被分为两大部分,一部分保存在活动目录数据库文件NTDS.dit 中,另一部分保存在被复制的文件系统上。

如何搭建一个域环境?

环境介绍:

Win2012(DC域控):

  • IP:192.168.2.157
  • 网关:192.168.2.1
  • 子网掩码:255.255.255.0
  • 首选DNS:192.168.2.157
  • 备选DNS:8.8.8.8

Win7(普通计算机):

  • IP: 192.168.2.158
  • 网关: 192.168.2.1
  • 子网掩码:255.255.255.0
  • 首选DNS:192.168.2.157
  • 备选DNS:8.8.8.8

搭建域环境:

win2012域控配置

按照上方的信息进行网络配置

  • IP:192.168.2.157
  • 网关:192.168.2.1
  • 子网掩码:255.255.255.0
  • 首选DNS:192.168.2.157
  • 备选DNS:8.8.8.8

首先在win2012的机器上添加windows功能:

  • Active Directory域服务
  • DNS服务器

image-20211129160910179

安装完成后可以在左侧找到AD DS服务

image-20211129161101967

找到右侧的提示:将此服务器升级为域控

新建域林:

将根域名设置为lxxx.com

image-20211129161327313

再自行设置域的还原密码

image-20211129161418107

之后一路保持默认即可

先决条件检查的地方可能会遇到检查失败的问题

image-20211129161527435

这是因为本地的Administrator用户没有设置密码

以管理员身份打开命令行

1
2
net user administrator your_passwd
net user administrator /passwordreq:yes

记住你的密码,重新进行先决条件检查即可。

安装完毕后,系统会自动重启

接下来创建AD用户

打开服务器面板的工具——Active Directory用户和计算机

image-20211129161740151

选择User右键新建用户

image-20211129161921341

填写相关信息:

image-20211129161956294

输入密码后创建即可

至此,win2012的域控配置已经完成

win7计算机配置

同样先配置win7的网络:

  • IP: 192.168.2.158
  • 网关: 192.168.2.1
  • 子网掩码:255.255.255.0
  • 首选DNS:192.168.2.157
  • 备选DNS:8.8.8.8

image-20211129162223145

配置完成后,右键我的电脑打开系统属性

image-20211129162315072

将域名修改为lxxx.com

输入之前创建的AD用户密码:

image-20211129162643162

即可加入win2012域控创建的域

image-20211129162714801

重启后,配置生效。

可以看到这个时候win7已经加入了lxxx.com的域中

参考资料: