关于活动目录AD（域）的相关配置(已更新8.31)

关于活动目录AD（域）的相关配置

目录

一、    配置Server2019升级活动目录AD    1

二、    配置活动目录AD内的文件服务器    13

三、    配置活动目录AD域内分发软件策略    24

四、    在活动目录AD中新建域用户    36

五、    配置客户端电脑加入AD域    49

六、    如何在加入域的电脑上安装软件？    59

七、    客户端电脑脱离AD域    62

1. 配置Server2019升级活动目录AD：

1. 安装好server2019系统, 打开服务器管理器--添加角色和功能—勾选文件服务器相关功能, 如下图：

   

   勾选安装AD域服务和DNS服务, (这里我已经安装过了所以是灰色的)

   

   然后一路下一步, 等待完成, 系统需要重启, 升级到AD需要等待非常漫长的时间才会正常启动.

1. 正常启动登陆系统后, 开始正式配置域控:

   打开这里—点击小旗子—选择升级为域控制器, 如下图:

   

   输入域名(这里不是internet的域名, 只是个AD域的代称, 只在内网用)

   

   （PS:要添加辅域控, 这里选择第2个"将新域添加到现有域", 然后按提示做即可）

   

   目前没有配置DNS, 先忽略, 继续下一步:

   

   

   

到这里仔细按提示解决所有前置条件错误, 直到提示成功通过, 即可继续下一步, 如下:

然后会重启, 继续漫长的等待后进入系统, 检查当前本地环境:

到此升级活动目录AD完成.

下边贴几个AD域控经常使用的功能:组策略、AD用户和计算机管理、共享服务器三个。

1. 配置反向解析地址:

   不配置反向解析, 客户端添加域时会无法识别AD的域名和IP关系, 导致报错.

   域控建好的,正向解析默认建立, 反向解析需要我们手动创建, 如下图:

   

   

   

   

   输入域控的网段:

   

   

   一直到完成, 然后点开正向区域配置ptr指针:

   

2. 分配给本机管理员权限操作控制面板:

   打开"服务器管理器"-"工具"-"本地安全策略"-"本地策略"-"安全选项"，将右侧的"用户帐户控制：用于内置管理员帐户的管理员批准模式"选项启用后重启服务器。

1. 配置活动目录AD内的文件服务器：

1. 打开服务器管理器--添加角色和功能—勾选文件服务器相关功能, 如下图：

   

   

   

   

   

   下一步, 直到完成.

1. 安装完成重启后, 再次打开服务器管理器, 左侧仪表盘多出新功能"文件和存储服务"

   

   点开它, 新建共享,如下:

   

   

   

   按自己的需求选择, 这里我选择全勾选上:

   

   点击"自定义权限", 配置共享的域用户访问权限:

   

   点击"禁用继承", 这里的作用我理解是断掉系统的默认权限传递, 才可以开始手动配置相应的域帐户访问权限, 如下:

   

   

   

   添加域用户访问权限:

   

   

   

   

   确定后, 继续下一步:

   

这里勾选用户文件, 有别的需要可以自行勾选, 如下:

点击"创建", 完成共享建立.

需要再次分配其他部门或单独指定某人权限时, 可以再次来到这里操作分配权限.

我配置的不同部门权限分配如上图, 仅供参考哈!

共享的访问方式: 就是可以在"运行"直接输入服务器地址, 如: \\bj-s-008 ;

还可以在桌面创建快捷方式指向\\bj-s-008 .

1. 配置活动目录AD域内分发软件策略：

   配置其它限制性策略也类同
   

   1. 打开组策略管理器, 新建一条策略"软件分发策略":

1. 配置好此策略应用的部门组:

1. 在自己的公司组织中, 链接此策略, 并配置为强制:

   

2. 右键编辑策略--用户配置—策略—软件设备—软件安装—右键属性, 修改属性如下:

1. 软件安装—右侧窗体中右键—新建—数据包, 如下:

1. 插一条: 下载exe2msi.exe软件, 把需要分发的软件转换成msi包, 如下:

1. 继续, 数据包—选择msi程序位置

部署修改成如下:

安全—增加相应的域用户读取权限:

完成:

1. 配置软件分发的GPO策略, win10防火墙应允许如下二条策略:

   

   具体规则, 如下2条:

   

   

   添加完成后, 右边会多出5条防火墙策略

2. 客户机手动更新组策略:

去客户机强制刷新组策略: gpupdate /force

按提示重启电脑(或着直接重启电脑也可以)

1. 在域控上, 使用"组策略结果"确认策略应用下发成功:

   

   选择客户端上的域用户:

   

   下一步等待分析结果, 点击可以查看策略是否在客户端机上应用成功和详细情况:

   

2. 在客户端机上使用命令查询策略应用情况:

运行: gpresult /r

显示结果如下, 可以看到软件分发策略成功应用:

还可以运行"gpresult /h 路径\文件名.html"保存成文件方式查看, 格式与域控上的"组策略结果"一样.

1. 在活动目录AD中新建域用户:
   1. 在AD中添加组(划分公司部门):

      

      

      创建好"技术部"组后, 双击它,加入Users系统组:

      

   2. 创建组织单元OU, 即公司单位:

      

      

      

   3. 在AD中添加新域用户:

右键-新建-用户:

输入姓名和登陆名称

(登陆名建议使用英文字母,这是以后用户从客户端电脑登陆时使用的帐户和密码):

配置权限, 取消默认组, 加入他应属于的技术部组:

先添加技术部组并设备为主要组后, 才能删除系统默认分配的Users组:

下一次再创建用户时, 直接选择部门内一个用户右键复制, 修改描述和帐户即可:

1. 配置客户端电脑加入AD域:

修改DNS服务器, 手工指向域控的IP地址,(网络质量不好时, 可以只留域控的DNS),如下:

先安装好win10 lstc2021版本系统, 开始图标右击-系统-高级系统设置:

选择"计算机名"—更改—隶属于—域, 这里输入域名或NETBIOS名都可以:

(例: 本文这里可以输入"bcyf"或"bcyf.com"

确定后弹出提示框, 输入域管理员权限的帐户密码(一般都是输administrator的):

经过一段时间的等待, 提示成功:

按提示重启电脑后, 登陆窗改成域用户登陆:

域用户登陆方式如下:

登陆过程中会直接显示上边域控中配置的域用户姓名:

登陆进系统后, 登陆共享服务器测试一下权限:

这里正常进入且只能看公共和技术部的文件夹

(PS:加入域正常情况, 进这里是不再需要输帐户和密码的, 因为权限已经与域用户身份绑定)

再打开C盘用户目录, 结构如下图:

至此, 可以说这台电脑加入域成功, 域用户登陆正常.

下面最后一步, 需要注销用户, 登陆域管理员帐户操作:

打开计算机管理—本地用户和组-本地用户,

禁用所有非administrator本用用户,

administrator用户统一修改成复杂密码作为以后管理备用.

以下为非要操作：添加某域用户成为此电脑的管理员, 即可以随意安装卸载修改系统等操作:

确定后即可.

1. 如何在加入域的电脑上安装软件？
   

   在加入域的客户端电脑上尝试安装软件时, 会弹出此对话框, 需要管理员过去输入帐号和密码才能继续顺利安装.

软件安装完成后, 双击即可打开正常运行:

若软件是非法安装, 或要修改系统文件权限时(如下图标上带着盾牌角标), 还会弹出此框:

如果员工非要运行这种软件, 网管人员必须要跟该员工部门领导申请, 同意后可以在他电脑上把他的域用户加入到本地administrators组(管理员组不是管理员)中.

1. 客户端电脑脱离AD域
   

先安装好win10 lstc2021版本系统, 开始图标右击-系统-高级系统设置:

此时要求输入管理员权限, 继续脱域

工作组名随意, win系统默认是叫WORKGROUP(工作组不同时,电脑之间无法使用邻居):

脱域通知:

按提示再次输入域管理员的帐号权限, 看到如下提示表示脱域成功:

按提示重启系统:

登陆时已经看到不再是提示域"bcyf.com\xxxx", 恢复成单机Local状态登陆提示了: