初始化环境
一台DELL工作站作为宿主机,安装了VMware workstation 17
虚拟机分配两台windows server2019:8G+4C+60G *2;
宿主机的网段为LAN的其他C类地址:10.6.16.x/23,而NAT8网卡的地址为192.168.52.1
所以VMware里的客户机使用NAT的地址为192.168.52.x/24,网关为192.168.52.2,DNS为192.168.52.2,DHCP为192.168.52.254(缺省的配置,若有需要更改,自行到VM里编辑)
Cmd +Winver查看客户机相关版本配置,建议最好激活下OS,如下:
激活OS:
先把原来新建的AD域角色和DNS角色删除:
服务器管理器—管理—删除角色和功能
注意删除完AD角色需要报域名后缀要改掉:
点击服务器管理器–本地服务器—计算机名(ad.hltfj.com)弹出,点击更改—修改计算机名—点击其他—输入此计算机的主DNS后缀(P)为空,勾选在域成名身份变化时,更改DNS后缀—点确定。
一、PDC主域服务器安装
最好手动设置静态IP地址和DNS:
IPv4 地址. . . . . . . . . . . . : 192.168.52.136(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
获得租约的时间 . . . . . . . . . : 2023年11月7日9:48:04
租约过期的时间 . . . . . . . . . : 2023年11月7日10:18:03
默认网关. . . . . . . . . . . . . : 192.168.52.2
DHCP 服务器. . . . . . . . . . . : 192.168.52.254
DHCPv6 IAID . . . . . . . . . . . : 83889193
DHCPv6 客户端DUID . . . . . . . : 00-01-00-01-27-E2-3A-41-00-0C-29-8D-12-59
DNS 服务器 . . . . . . . . . . . :192.168.52.2
主WINS 服务器 . . . . . . . . . : 192.168.52.2
TCPIP 上的NetBIOS . . . . . . . : 已启用
1.此图文因为自动使用了VMware的NAT地址,所以后面的DNS的SRV记录出错。需要重新配置DNS。
2.主域服务器命名为AD。
S1.安装域控功能角色
在“服务器管理器”中点击右上角“管理”→“添加角色和功能” →“Active Directory域服务”。安装后,“服务器管理器”窗口右上角旗帜下会有一个感叹号。点击它,弹出“部署后配置”,点击“将此服务器提升为域控制器”。开始提升域控操作。
在此界面选择“添加新林”→输入域名”it.com”.
输入域的还原密码。R00t@rt
这里系统会自动补全域名,点击下一页
路径保持默认设置,点击下一页
查看选项默认设置
在先决条件检查点击安装
注意,因为在vmware下使用了NAT,所以默认的ad IP为动态NAT获取的,安装完后DNS会被设置为127.0.0.1,这里不需要修改,可以使AD上网。
手动设置ad的ip
192.168.52.200/24 gateway 192.168.52.2
Dns 127.0.0.1 192.168.52.2
二、BDC部署
S1、设置IP及DNS
设置之前规划好的ip,首个DNS设为PDC的IP,第二个DNS指向本机。
S2、先加入域,同时修改主机名
点击服务器管理器—本地服务器—计算机名—更改
修改IP地址的DNS为192.168.52.200 127.0.0.1
S3、加入域出错处理
出现无法加入域的信息,查看错误提示的信息,解决如下:
1.进入ad的DNS管理器—AD—正向查找区域–_msdcs.it.com下—右键新建dc域,再从dc域新建域_tcp域
2.在_tcp目录上右键-新建主机(A)-输入_ldap,ip填入DNS服务器的地址192.168.52.200
3.在_tcp目录下,右键—其他新纪录—SRV(服务位置)–_ldap,—创建一个后缀名为“_tcp.dc._msdcs.domain.org”;指向你的域控制器;
然后即可返回bdc入域
还是出错。
后续继续百度学习,解决如下:
或者(重新安装AD和DNS服务)
重启后:加入域成功
S4、然后安装域控角色
在“服务器管理器”中点击右上角“管理”→“添加角色和功能” →“Active Directory域服务”。具体步骤如下。
在“添加角色和功能向导”界面,保持默认设置,点击“下一步”。
在选择目标服务器界面,保持默认设置,点击下一步
在“选择服务器角色”界面,点击“Active Directory域服务”在弹出来的“添加角色和功能向导”中点击“添加功能”。
设置好后“Active Directory域服务”选项就勾选好了。
在“选择功能”界面,保持默认设置,点击“下一步”。
在“Active Directory域服务” 保持默认设置,点击“下一步”。
在“确认安装所选内容”界面点击“安装”。
等待安装结束关闭向导,不需要重启。
S6、提升域控角色
回到“服务器管理 仪表板”界面点击右上角旗帜,弹出“部署后配置”,点击“将此服务器提升为域控制器”。
在“部署配置”界面,选择“将域控制器添加到现有域”→输入“it.com”(自动填写了)。
注意:请用域管理员账户进行此操作。若非域管理员,请点击“更改”按钮修改账户。
在“域控制器选项”界面,输入域的还原密码点击下一步。R00t@rt
在“DNS选项”界面,保持默认设置,点击“下一步”。
在“其他选项”界面,保持默认设置,点击“下一步”。
在“路径”界面,保持默认设置,点击“下一步”。
在“查看选项”界面,保持默认设置,点击“下一步”。
在“先决条件检查”界面,保持默认设置,点击“下一步”:安装。
等待安装结束。安装结束提示注销重启。
至此,BDC辅助域控安装完成。
三、配置计算机重定向
点击“开始”→“管理工具”→“Active Directory用户和计算机”
右击“it.com”点击“新建”→“组织单位”,命名为:“AllComputer”。
在“开始”→“运行”→“cmd”打开命令行窗口。
在命令行窗口输入:“redircmp ou=AllComputer,dc=it,dc=com”
将加入的计算机重定向到AllComputer中。
四、配置NTP服务器
Win+cmd,输入regedit,找到
打开注册表,找到
[计算机HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]的Type将其键值改为“NTP”。
[计算机HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]找到AnnounceFlags键值改为5
[计算机HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]找到NTPServer键值改为防火墙IP或者其他NTPserver的地址。{注意这里的防火墙需要支持NTPserver的角色,一般sangfor的没有这个功能角色}
[计算机HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient]找到SpecialPollInterval键值为120。每2分钟同步一次。
可以在BDC上查看:
查看时间源命令:w32tm /query /source
查看时间同步状态命令:“w32tm /query /status”
查看时间列表命令:“w32tm /query /peers”
五、创建和管理对象、容器和组织单位(OU)
S1、梳理组织架构和OU对应
根据公司的组织架构
把公司的组织架构按照二级部门来对应AD中的OU(组织单位)
新建公司作为一级OU;
二级部门作为二级OU;
二级OU底下直接为用户了,不做过深的OU,有利于后续管理。
新建如下:
一级OU:合力泰股份(合股份)
二级OU: 信息化部,人力资源部,审计部,投资部,办公室,战略发展部,法务部,管理层,管理会计部,会计核算部,资金部,资产部,综合招采部,组织部
三级OU:信息化部-基础架构处、生产制造处、企业应用处
S2、通过csv文件格式批量创建OU
将OU.csv文件上传至域服务器根目录,以管理员身份运行win+cmd(注意必须以csv分隔符的格式保存文件,否则会出错。)
通过以下命令导入域控相关的OU
导入一级OU:
for /f “skip=1 eol=;tokens=1-3 delims=,” %a in (C:ou.csv) do dsadd ou “ou=%a,DC=it,DC=com”skip=1指跳过第一行标题,tokens=1-3指取1-3行一级OU的数据
参数含义: skip=1跳过第一行数据 eol=;注释行开始字符为”;” tokens=1-9
每次提取1-9个变量 delims=, 分割符号为”,”
导入二级OU:
for /f “skip=4 eol=;tokens=1-17 delims=,” %a in (C:ou.csv) do dsadd ou “ou=%b,ou=%a,DC=it,DC=com”skip=4指跳过第一行标题和一级OU,tokens=1-20指取1-3行二级OU的数据
导入三级OU:
for /f “skip=21 eol=;tokens=1-3 delims=,” %a in (C:ou.csv) do dsadd ou “ou=%c,ou=%b,ou=%a,DC=it,DC=com”skip=21指跳过第一行标题和一级OU和二级OU,tokens=1-3指取1-3行三级OU的数据,c,b,a为一级、二级、三级的变量。
-视频,批量新建OU
六、批量导入AD用户
重点是如何创建表格文件-批量的数据
首先这里我们需要找HR要到员工的信息表,越详细越好,
注:初始密码不能太过于简单,一定要符合密码的复杂性的要求
复制黏贴命令于CMD窗口即可。
=”dsadd user “&”””cn=”&Sheet1!A2&”,ou=”&Sheet1!B2&”,ou=”&Sheet1!C2&Sheet1!D2&Sheet1!E2&Sheet1!F2&Sheet1!G2&””””&” -company “&Sheet1!H2&Sheet1!I2&” “&Sheet1!J2&Sheet1!K2&” “&Sheet1!L2&Sheet1!M2&” “&Sheet1!N2&Sheet1!O2&” “&Sheet1!P2&Sheet1!Q2&” “&Sheet1!R2&Sheet1!S2&” “&Sheet1!T2&Sheet1!U2&” “&Sheet1!V2&Sheet1!W2&” “&Sheet1!X2&Sheet1!Y2&” “&Sheet1!Z2&” “&” “&Sheet1!AA2&” “&Sheet1!AB2&” “&Sheet1!AC2&” “&Sheet1!AD2&” “&Sheet1!AE2&” “&Sheet1!AF2&” “&Sheet1!AG2&” “&Sheet1!AH2七、组策略(常用)的使用和推送
S1、本地管理员重命名
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。
“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”→“账户:重命名系统管理员账户” →输入“hltadmin” →点击“确定”
这样就将原来系统管理员账户administrator改为hltadmin 。
S2、禁用Guest账户
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”
生成策略。右击此策略,点击“编辑”。
“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”→“帐户:来宾帐户状态” →编辑选择“已禁用”。
S3、禁用USB
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。
“计算机配置”→“策略”→“管理模板”→“系统”→“可移动存储访问” →“可移动磁盘:拒绝执行权限” →编辑选择“已启用”。
“可移动磁盘存储:拒绝读取权限”设为“已启用”。
“可移动磁盘:拒绝写入权限”设为“已启用”。
设置完成。点击关闭。
S4、密码复杂度
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→点击“Default Domain Policy”右击此策略,点击“编辑”。
“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“账户策略”→“密码策略”→按上图所示设置策略。
S5、统一桌面背景
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→点击“Default Domain Policy”右击此策略,点击“编辑”。
“用户配置”→“策略”→“管理模板”→“桌面”→“桌面”→“桌面墙纸”。
路径:10.6.100.25css10项目实施1AD域系统桌面壁纸win11.jpg
墙纸样式选择:适应。
S6、禁止客户端自行修改IP
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。
“用户配置”→“管理模板”→“网络”→“网络连接”→“禁止访问LAN连接组件的属性”→选择“已启用”。
S7、客户端禁用注册表
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。
“用户配置”→“管理模板”→“系统”→“防止访问注册表编辑工具”→选择“已启用”
S8、映射网络驱动器
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。
“用户配置”→“首选项”→“Windows 设置”→“驱动器映射”→输入网络地址。
在“常用”选项卡中勾选“在登录用户的安全上下文中运行(用户策略选项)”和“项目级别目标”,点击“确定”
S9、修改本地管理员密码
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。
“计算机配置”→“策略”→“Windows 设置”→“脚本(启动/关机)”添加脚本。
暂无评论内容