关于活动目录AD(域)的相关配置

目录

一、    配置Server2019升级活动目录AD    1

二、    配置活动目录AD内的文件服务器    13

三、    配置活动目录AD域内分发软件策略    24

四、    在活动目录AD中新建域用户    36

五、    配置客户端电脑加入AD域    49

六、    如何在加入域的电脑上安装软件?    59

七、    客户端电脑脱离AD域    62

  1. 配置Server2019升级活动目录AD
  1. 安装好server2019系统, 打开服务器管理器--添加角色和功能—勾选文件服务器相关功能, 如下图:

    勾选安装AD域服务和DNS服务, (这里我已经安装过了所以是灰色的)

    然后一路下一步, 等待完成, 系统需要重启, 升级到AD需要等待非常漫长的时间才会正常启动.

  1. 正常启动登陆系统后, 开始正式配置域控:

    打开这里—点击小旗子—选择升级为域控制器, 如下图:

    输入域名(这里不是internet的域名, 只是个AD域的代称, 只在内网用)

    (PS:要添加辅域控, 这里选择第2个"将新域添加到现有域", 然后按提示做即可)

    目前没有配置DNS, 先忽略, 继续下一步:

到这里仔细按提示解决所有前置条件错误, 直到提示成功通过, 即可继续下一步, 如下:

然后会重启, 继续漫长的等待后进入系统, 检查当前本地环境:

到此升级活动目录AD完成.

下边贴几个AD域控经常使用的功能:组策略、AD用户和计算机管理、共享服务器三个。

  1. 配置反向解析地址:

    不配置反向解析, 客户端添加域时会无法识别AD的域名和IP关系, 导致报错.

    域控建好的,正向解析默认建立, 反向解析需要我们手动创建, 如下图:

    输入域控的网段:

    一直到完成, 然后点开正向区域配置ptr指针:

  2. 分配给本机管理员权限操作控制面板:

    打开"服务器管理器"-"工具"-"本地安全策略"-"本地策略"-"安全选项",将右侧的"用户帐户控制:用于内置管理员帐户的管理员批准模式"选项启用后重启服务器。

  1. 配置活动目录AD内的文件服务器
  1. 打开服务器管理器--添加角色和功能—勾选文件服务器相关功能, 如下图:

    下一步, 直到完成.

  1. 安装完成重启后, 再次打开服务器管理器, 左侧仪表盘多出新功能"文件和存储服务"

    点开它, 新建共享,如下:

    按自己的需求选择, 这里我选择全勾选上:

    点击"自定义权限", 配置共享的域用户访问权限:

    点击"禁用继承", 这里的作用我理解是断掉系统的默认权限传递, 才可以开始手动配置相应的域帐户访问权限, 如下:

    添加域用户访问权限:

    确定后, 继续下一步:

这里勾选用户文件, 有别的需要可以自行勾选, 如下:

点击"创建", 完成共享建立.

需要再次分配其他部门或单独指定某人权限时, 可以再次来到这里操作分配权限.

我配置的不同部门权限分配如上图, 仅供参考哈!

共享的访问方式: 就是可以在"运行"直接输入服务器地址, 如: \\bj-s-008 ;

还可以在桌面创建快捷方式指向\\bj-s-008 .

  1. 配置活动目录AD域内分发软件策略

    配置其它限制性策略也类同

    1. 打开组策略管理器, 新建一条策略"软件分发策略":

  1. 配置好此策略应用的部门组:

  1. 在自己的公司组织中, 链接此策略, 并配置为强制:

  2. 右键编辑策略--用户配置—策略—软件设备—软件安装—右键属性, 修改属性如下:

  1. 软件安装—右侧窗体中右键—新建—数据包, 如下:

  1. 插一条: 下载exe2msi.exe软件, 把需要分发的软件转换成msi包, 如下:

  1. 继续, 数据包—选择msi程序位置

部署修改成如下:

安全—增加相应的域用户读取权限:

完成:

  1. 配置软件分发的GPO策略, win10防火墙应允许如下二条策略:

    具体规则, 如下2条:

    添加完成后, 右边会多出5条防火墙策略

  2. 客户机手动更新组策略:

去客户机强制刷新组策略: gpupdate /force

按提示重启电脑(或着直接重启电脑也可以)

  1. 在域控上, 使用"组策略结果"确认策略应用下发成功:

    选择客户端上的域用户:

    下一步等待分析结果, 点击可以查看策略是否在客户端机上应用成功和详细情况:

  2. 在客户端机上使用命令查询策略应用情况:

运行: gpresult /r

显示结果如下, 可以看到软件分发策略成功应用:

还可以运行"gpresult /h 路径\文件名.html"保存成文件方式查看, 格式与域控上的"组策略结果"一样.

  1. 在活动目录AD中新建域用户:
    1. 在AD中添加组(划分公司部门):

      创建好"技术部"组后, 双击它,加入Users系统组:

    2. 创建组织单元OU, 即公司单位:

    3. 在AD中添加新域用户:

右键-新建-用户:

输入姓名和登陆名称

(登陆名建议使用英文字母,这是以后用户从客户端电脑登陆时使用的帐户和密码):

配置权限, 取消默认组, 加入他应属于的技术部组:

先添加技术部组并设备为主要组后, 才能删除系统默认分配的Users组:

下一次再创建用户时, 直接选择部门内一个用户右键复制, 修改描述和帐户即可:

  1. 配置客户端电脑加入AD域:

修改DNS服务器, 手工指向域控的IP地址,(网络质量不好时, 可以只留域控的DNS),如下:

先安装好win10 lstc2021版本系统, 开始图标右击-系统-高级系统设置:

选择"计算机名"—更改—隶属于—域, 这里输入域名或NETBIOS名都可以:

(例: 本文这里可以输入"bcyf"或"bcyf.com"

确定后弹出提示框, 输入域管理员权限的帐户密码(一般都是输administrator的):

经过一段时间的等待, 提示成功:

按提示重启电脑后, 登陆窗改成域用户登陆:

域用户登陆方式如下:

登陆过程中会直接显示上边域控中配置的域用户姓名:

登陆进系统后, 登陆共享服务器测试一下权限:

这里正常进入且只能看公共和技术部的文件夹

(PS:加入域正常情况, 进这里是不再需要输帐户和密码的, 因为权限已经与域用户身份绑定)

再打开C盘用户目录, 结构如下图:

至此, 可以说这台电脑加入域成功, 域用户登陆正常.

下面最后一步, 需要注销用户, 登陆域管理员帐户操作:

打开计算机管理—本地用户和组-本地用户,

禁用所有非administrator本用用户,

administrator用户统一修改成复杂密码作为以后管理备用.

以下为非要操作:添加某域用户成为此电脑的管理员, 即可以随意安装卸载修改系统等操作:

确定后即可.

  1. 如何在加入域的电脑上安装软件?

    在加入域的客户端电脑上尝试安装软件时, 会弹出此对话框, 需要管理员过去输入帐号和密码才能继续顺利安装.

软件安装完成后, 双击即可打开正常运行:

若软件是非法安装, 或要修改系统文件权限时(如下图标上带着盾牌角标), 还会弹出此框:


如果员工非要运行这种软件, 网管人员必须要跟该员工部门领导申请, 同意后可以在他电脑上把他的域用户加入到本地administrators组(管理员组不是管理员)中.

  1. 客户端电脑脱离AD域

先安装好win10 lstc2021版本系统, 开始图标右击-系统-高级系统设置:

此时要求输入管理员权限, 继续脱域

工作组名随意, win系统默认是叫WORKGROUP(工作组不同时,电脑之间无法使用邻居):

脱域通知:

按提示再次输入域管理员的帐号权限, 看到如下提示表示脱域成功:

按提示重启系统:

登陆时已经看到不再是提示域"bcyf.com\xxxx", 恢复成单机Local状态登陆提示了:

关于活动目录AD(域)的相关配置(已更新8.31)的更多相关文章

  1. SharePoint 2010中重置windows 活动目录(AD)域用户密码的WebPart(免费下载)

    由于SharePoint 2013推出不久,并非所有的企业都会升级到SharePoint 2013的,毕竟升级不是打打补丁这么简单,更多的企业还是使用Sharepoint 2010版本的,因此本人自行 ...

  2. SharePoint 2013中修改windows 活动目录(AD)域用户密码的WebPart(免费下载)

    前段时间工作很忙,好久没更新博客了,趁国庆休假期间,整理了两个之前积累很实用的企业集成组件,并在真正的大型项目中经受住了考验:.Net版SAP RFC适配器组件和SharePoint 2013修改AD ...

  3. TFS 与活动目录AD(Active Directory)的同步机制

    TFS用户管理机制 TFS系统与企业域服务器用户系统(或本地计算机用户系统)高度集成在一起,使用域服务器验证系统用户的账户和密码,从而在企业中实现单一用户,单点登录.也就是说,TFS系统自身并没有用户 ...

  4. Reporting Service服务SharePoint集成模式安装配置(1、虚拟机+ 2、AD域环境配置)

    研究 Reporting Service SharePoint 集成模式安装有一段时间,最初其实只是想知道Power View 技术是怎么回事,能实现什么效果.(当然也可以通过Excel 配置好 Po ...

  5. 配置Windows server dhcp与AD域对接并使用Win1创的用户登录Win2

    创建两台windows_server_2012 创建步骤链接(https://www.cnblogs.com/zhengyan6/p/16338084.html) 注意:所有虚拟机都要在同意网段 配置 ...

  6. windows server 2012 AD 域和站点部署系列

    http://blog.csdn.net/ronsarah/article/category/1495599 http://blog.csdn.net/david_520042/article/cat ...

  7. AD 域服务简介(一)- 基于 LDAP 的 AD 域服务器搭建及其使用(转)

    一.前言 1.1 AD 域服务 什么是目录(directory)呢? 日常生活中使用的电话薄内记录着亲朋好友的姓名.电话与地址等数据,它就是 telephone directory(电话目录):计算机 ...

  8. win2008 ad域控搭建

    一.前言 1.1 AD 域服务 什么是目录(directory)呢? 日常生活中使用的电话薄内记录着亲朋好友的姓名.电话与地址等数据,它就是 telephone directory(电话目录):计算机 ...

  9. Windows AD域升级方

    前面的博客中我谈到了网络的基本概念和网络参考模型,今天我们来谈企业中常用的技术,Windows AD 域,今天我的笔记将重点讲解Windows AD 域的升级和迁移方法,通过3个小实验进行配置,真实环 ...

  10. Ldap实现AD域认证

    1.java Ldap基础类 package com.common; import java.io.FileInputStream; import java.io.IOException; impor ...

随机推荐

  1. Postgresql架构体系解析

    一.PostgreSQL物理架构 postgresql的物理架构非常简单,它由共享内存.一系列后台进程和数据文件组成. 二.Shared Memory 共享内存是服务器服务器为数据库缓存和事务日志缓存 ...

  2. Django中多数据库的配置,实现分库分表,主从复制,读写分离

    在django项目中, 一个工程中存在多个APP应用很常见. 有时候希望不同的APP连接不同的数据库,这个时候需要建立多个数据库连接. 1. 修改项目的 settings 配置 在 settings. ...

  3. vue模板三目运算判断报错

    问题: 关于vue三目运算符提示报错 1.三目运算符等于判断 {{ a==b ? '是' : '否'}} 2.其他三目运算符 <代表小于号(<) >代表大于符号(>) ≤表示小 ...

  4. Vulnhub:ReconForce-01.1靶机

    kali:192.168.111.111 靶机:192.168.111.200 信息收集 端口扫描 nmap -A -v -sV -T5 -p- --script=http-enum 192.168. ...

  5. 快速构建用户xlwings环境

    一.安装python python-3.8.3-amd64.exe 二.准备文件requirements.txt 内容如下 安装失败需要切换国内镜像源 numpy==1.22.1 openpyxl== ...

  6. 自定义一个JdbcTemplate(增删改数据库中表记录)

    需求: 自定义一个JdbcTemplate模板,实现增删改数据库中表记录的功能 1 package demo03; 2 3 import utils.JDBC_DBCP_Utils; 4 5 impo ...

  7. vue数组传值到后端

    const arrays= ["zhangsan","lisi"] 请求方式:GET vue前端: getDetailList({arrays:arrays}) ...

  8. c++获取类型信息

    获取类型信息 typeid typeid运算符用来获取一个表达式的类型信息. 对于基本类型数据, 类型信息比较简单, 主要指数据的类型; 对于对象(类类型的数据), 类型信息指: 对象所属的类, 所包 ...

  9. 七、25.创建user子分支并把代码推送到码云仓库中

    打开终端点击+新建一个终端 注意 :如下操作都是在2:powershell下进行 先来检查一下当前所处分支 git branch 我们应该把这些代码都写到user分支上 接下来应该把这些代码统一迁移到 ...

  10. Qt5.6使用Qt自带虚拟键盘

    Qt自带虚拟键盘是5.7版本以上才有,要在Qt5.6上使用自带虚拟键盘需要先下载源码,再进行编译安装.上网查了一些资料都很有用. https://doc.qt.io/qt-5/qtvirtualkey ...