在部署其根域的时候,首先应该考虑其安全性,根域一旦崩溃掉,后果将不堪设想,所以我将部署两台域控制器,一台主控,一台额控,以达到冗余的特性。我用windows2003做实验,首先做好基本设置,我的主域控Ip为192.168.1.1,额外域控ip为192.168.1.2一,在主域控上设置好Ip二,为了安全起见,我新建一个账号wangwang,把此账号加入administrators组.三,将当前用户切换到wangwang,开始部署根域。因为此域服务器为根DC,同时也作为DNS服务器,所以选择第二项。此我为目录服务的还原密码,一定要记牢。接下来就慢慢等待。。。等完成后重启,这样第一台根DC就做好了。。。域控建好后,想要把成员机器加入到域:出现以下提示,说明就成功加入域了!上文说到了,额外域控充分显示了冗余的特性,对于维护主域控的安全性有可靠的保障。下面我们在主域控的基础是来搭建另一台域控——额外域。额外域所在的机器的Ip为:192.168.1.2ip设置如下:开始部署。前面两步与部署主域一样,不同的是第三步:这个时候我们输入的是域管理员的用户名和密码输入域名注意这里输入的还原密码最好和根域保持一致到这一步直到最后完成后重启就好了。。。接下来我们来看看域中DNS的问题。因为DNS在根域上,域中的用户要求上网,必须将其DNS指向根域,即192.168.1.1,然后再将根域的DNS转发到公网的DNS,这样我们就可以上网了。如下图:但是,如果根域崩了,不能用了,DNS也就不能用了,自然就不能上网了,所以为了安全起见,我们应该在额外DC上创建辅助DNS。然后点击下一步完成即可。最后在根域服务器上作区域复制:注意在客户端设置DNS的时候最好填入两个DNS,一个主的,一个辅的,当主域失效了,我们就可以提升额外域控为主域控了。建立子域之前,我们最好先将子域所在的机器加入域,然后再提升为子域。ip设置如下:加入域的方法在前文提到,不说了。我们接着来提升子域。此时我想建立子域sh.yinhe.com,则填写内容如下:此时的NETBios名只是SH,其实我们也可以将其改成全域名SH_YINHE_COM,方便记忆。好了,接下来的设置和部署主域和额外域一样,不说了。。。等完成后重启就OK了!下面就来部署林中的第二棵域树了。首先来看Ip设置:注意,建立第二棵域树之前要先在根DNS上建立好相对应的域名,我先在根域DNS上建好域名cpipec.com,如下:好了!开始部署第二棵域树了。不同的地方在于:注意此时的新域名应该写cpipec.com了嗯,接下来就一样了,等完成后重启。在域环境中,组策略显得尤为重要,作为一个域管理员,要时刻有效的管理域中的成员,就必须对组策略熟之又熟,它是我们域中的一个十分强大的管理机制,我们要学懂它,恐怕还得多下点功夫,下面我单把脚本的应用和软件限制策略作一下简单的叙述:1、脚本。我们知道,在组策略中分为两大模块:计算机配置和用户配置。对计算机做配置只是作用于某台计算机,对用户配置做配置只是作用于某用户,不过,计算机配置的优先级是大于用户配置的优先级的,明白了这点,我们就可以有目的的去做配置了。首先,我在域yinhe.com中新建了一个组织单元“精英计划”,在“精英计划”下面又建了两个用户。我现在想对张三和李四同时做脚本策略,那么我们就对“精英计划”这个组织单元做策略好了。点击“精英计划”属性,点组策略。然后新建策略点编辑,既然对用户对策略,我们就对“用户配置”做配置。我们先点开“登录”,然后点“添加”这时我手动作一个“登录”脚本好了,把这个做好的脚本粘贴到上面的面板中好了,我们接着点“确定”就可以了,我们用同样的方法做一个用户注销脚本不同的是在用户配置中点击“注销”最后,等配置好了我们来刷新组策略(刷新策略有利于策略及时生效)到用户机器上看一下结果用账号“张三”登录到域中登录后就会出现“登录脚本”提示了然后我们来注销“张三”这个用户2.软件限制策略首先新建一条策略编辑该策略(我们还是对用户进行配置)点击“创建软件限制策略”,我们可以看到“安全级别”和“其他规则”,“安全级别”定义了策略的表现形式(“不允许的”和“不受限的”),“其他规则”就包含了软件限制策略的四条规则(证书规则、哈希...
