目录
内网环境
内网环境分类
工作组
域
域的组成
域中的信任关系
父域与子域
域的结构
林中信任关系特点
域中的域名
活动目录(AD)
域中活动目录下的账号登录域中计算机过程
组织单位(OU)
组策略(GPO)
策略优先级
OU策略
内网环境
含义:内网/局域网(Local Area Network,LAN)是指在某一区域内有多台计算机互联而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机共享、工作组的日程安排、电子邮件和传真通信服务等。内网是封闭的访问外部网络需要与外部网络连接,其可以有办公室内的两台计算机组成,也可以由一个公司内的大量计算机组成。
内网环境分类
- 工作组:默认模式(人人平等)
- 域环境:人人不一定平等,可以实现集中管理,统一管理。
工作组
前言:为了管理成千上百的电脑连接在一起组成的局域网,管理混乱问题,有了工作组(Work Group)概念。
理解:
- 默认情况下计算机都是采用工作组方式进行资源管理的并且所有计算机都处在名为 WORKGROUP 的工作组中
- 相同组中的不同用户通过对方主机的用户名和密码可以查看对方共享的文件夹,默认共享的是 Users 目录。不同组的不同用户通过对方主机的用户名和密码也可以查看对方共享的文件夹。
- 工作组中计算机与计算机之间处于一个平等的状态,计算机1控制计算机2必须得得到计算机2的允许,没有办法强制控制计算机2
- 一工作组中的计算机点开点开对应的工作组,就可以访问另一个工作组的成员了
域
前言:对于大型企业来说,工作组环境下,当需要公司所有人做一个统一设置的情况下很困难,因此为了方便统一管理因此采用域环境
定义:域是一个有安全边界的计算机集合(安全边界在两个域中,一个域中的用户无法访问另一个域中的资源),在同一个域中的计算机之间彼此已经建立了信任关系,在域内账号访问域中的其他机器,不再需要被访问机器的许可了。
理解:域模型就是针对大型网络的管理需求设计的,域就是共享用户账号,计算机账号和安全策略的计算机集合。若你的计算机加入域的话,各种策略是域控制器统一设定的,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一个域的任何一台计算机登录(前提域控给你权限)
域的组成
- 域控制器:管理域下的所有计算机权限及策略的服务器
- 成员机:域下被域控制器控制的计算机
注意:
- 域控制器一般也是DNS服务器(两者同时部署)
- 成员机与成员机之间相互平等,域控与成员机之间相互不平等
域中的信任关系
eg:域a.com里面有成员1、2、3,域b.com里面有成员1、2、3,则域a.com里的成员不可以跨域访问域b.com里面的成员,除非他们之间做一个域间的信任,但信任又分单向信任与双向信任,如b.com单向信任a.com则域a.com成员可以访问域b.com成员,反之不行
注意:域间的信任具有传递关系,eg:a信任b,b信任c,则a信任c
父域与子域
- 出于管理及其他需求,需要再网络中划分多个域,第一个域为父域,各部分的域为子域
- abc.com为父域,asia.abc.com为子域,一个子域必须以父域名为后缀名
- 默认情况下子域与父域之间具有相互信任的关系,并且信任关系具有传递性
域的结构
- 单域:在网络中只建立一个域
- 域树:若干个域通过建立信任关系而组成新的集合
- 域林:多个域树之间进行合并
林中信任关系特点
- 自动建立:在建立子域或域树时自动创建信任关系(同一林中)
- 双向信任:在两个域之间有2个方向上的两条信任路径(a信任b,b信任a)
- 传递信任:信任关系是可以传递的
域中的域名
例子:域名为cjc.com,那么该域中的所有主机命名为主机名.cjc.com
正因如此,域控制器一般也是DNS服务器,通过特定的域名来查询特定的主机以方便域控制器对主机的统一管理
注意:
- 一般在域环境下安装域控制器后,那么同时这台计算机同时也被部署为DNS服务器,而且每添加一个机器,那么DNS便会自动增加该机器的DNS记录
- 内网环境下凡是加入域的计算机DNS配置不应该指向网上的DNS,而是指向域控下的DNS
活动目录(AD)
定义:面向windows服务器中的目录服务(以目录的方式把所有的用户、计算机全部进行统一的集中存放)其存在于域控制器中
注意:
- 域所实现的集中管理/统一管理就是靠活动目录来完成的
- 在域控制器中的活动目录创建账号,那么该账号就是域中的统一资源,其可以登录域中的所有计算机。
- 活动目录中也记录着策略信息用来管理域中的计算机
域中活动目录下的账号登录域中计算机过程
- 拿域中活动目录账号登录域中计算机
- 域中计算机查看账号是否在本地,没有则通过DNS请求域控
- 域控查找活动目录找到该账号,放行登录
- 活动目录账号登录域中计算机
- 计算机向域控发送请求活动目录,查看该账号的策略
- 计算机根据该策略执行对应的操作(如更换桌面等)
注意:当一台服务器安装完域控之后,其本地管理员密码就升级为域管理员密码。
组织单位(OU)
作用:用于归类域资源(域用户、域计算机、域组)
注意:
- 组织单位OU是活动目录AD中的容器
- 组织单位的创建可以基于部门、地理位置、对象类型等创建(并且组织单位可以嵌套)
- 针对用户实施策略时使用(对OU实施策略来决定用户策略)
组策略(GPO)
前言:
- 组策略通过与活动目录的合作来完成对成员机命令的下发。
- 组策略在域中,是基于组织单位OU下发的
策略优先级
策略冲突时策略应用顺序:本地组策略-站点策略-域策略-OU策略(小——大)
理解:通常情况下,域中的计算机执行一项操作视首先会查看本地组策略,然后将本地组策略应用后再查看站点策略,应用后再查看域策略,应用后再查看OU策略,并最终的策略执行以OU策略为主
OU策略
- 在OU策略中若出现策略冲突,那么,相对于OU嵌套,最接近自己的策略最终生效
- 下级OU阻止继承上级OU,那么就只看下级OU的组策略了(就算下级OU没配置策略,上级OU配置策略了也没用)
- 若上级OU强制中止,则下级OU最终不生效(阻止继承也没用),策略查询链到上级OU就终止了