现在的企业一般都建立一个自己局域网的域,那域控有什么用?能防止病毒吗?域主机和成员机是怎样的关系

现在的企业一般都建立一个自己局域网的域,那域控有什么用?能防止病毒吗?域主机和成员机是怎样的关系,第1张

你所说的域主机,也就是域服务器,你所说的成员机,就是加入到域中的域用户。安装了活动目录Active Directory的计算机叫做域控制器。加入域林中的域控制器叫做成员服务器,未加入域林中的服务器叫做独立服务器。

简单的说,域用户的权限都是域服务器的管理员创建和分配的,所以,域服务器的管理员对域用户对本地计算机的使用权限和对服务器的访问权限有很大的限制。通过分配不同的权限对每个域用户进行控制。对于域用户来说,权限越低,可操作的范围越局限。也就是你所说的 “为何域里面的一个文件夹里有些文档打开的时候说是加密或者只读的,无法打开,其他的又正常?还有个更奇怪的地方就是,有些成员机能打开这个文档,有些不行,能打开的也没有输入什么密码之类的,不能打开的成员机可能在第二天登录之后又可以了”。也就是每个用户都只能活动在管理员给分配的范围里。

关于杀毒的问题,域服务器是可以通过服务器进行杀毒的,但是道高一尺魔高一丈,防病毒还是要在平时多注意自己的使用习惯,多了解计算机知识才行。如果你想更深的了解域方面的知识,你可以参看有关Windows 2003 、Windows 2008 的书籍和资料,很详细。

首先介绍一下windows2003的版本

windows2003版本识别分类

1Windows Server 2003, Standard Edition 标准版:

针对中小型企业的核心产品,他也是支持双路处理器,4GB的内存。它除了具备 Windows Server 2003 Web Edition 所有功能外,还支持像证书服务、UDDI服务、传真服务、IAS因特网验证服务、可移动存储、RIS、智能卡、终端服务、WMS和 Services for Macintosh。

支持文件和打印机共享。

提供安全的网络联接。

2Windows Server 2003, Enterprise Edition 企业版

这个产品被定义为新一带高端产品,它最多能够支持8路处理器,32 GB内存,和28个节点的集群。它是 Windows Server 2003 Standard Edition 的扩展版本,增加了 Metadirectory Services Support、终端服务会话目录、集群、热添加( Hot-Add)内存和 NUMA非统一内存访问存取技术。这个版本还另外增加了一个支持64位计算的版本。

全功能的操作系统支持多达8个处理器。

提供企业级的功能例如8节点的集群,支持32GB内存。

支持英特尔 安腾Itanium 处理器。

将推出支持64位计算机的版本,可以支持8个64位处理器以及64GB的内存。

3Windows Server 2003, Datacenter Edition 数据中心

像以往一样,这是个一直代表微软产品最高性能的产品,他的市场对象一直定位在最高端应用上,有着极其可靠的稳定性和扩展性能。他支持高达8-32路处理器,64GB的内存、2-8节点的集群。与 Windows Server 2003 Enterprise Edition 相比, Windows Server 2003 Datacenter Edition 增加了一套 Windows Datacenter Program 程序包。这个产品同样也为另外一个64位版本做了支持。

微软迄今为止提供的最强大、功能最为强劲的服务器操作系统。

支持32路处理器和64GB内存。

同时提供8点集群和负载均衡。

将提供64位处理器平台,可支持惊人的64路处理器和512GB的内存。

4Windows Server 2003, Web Edition Web版

这个版本是专门针对Web服务优化的,它支持双路处理器,2GB的内存。该产品同时支持ASPNET、DFS分布式文件系统、EFS文件加密系统、IIS60、智能镜像、ICF因特网防火墙、IPv6、MircrosoftNet Framework、NLB网络负载均衡、PKI、Print Services for UNIX、RDP、远程OS安装(非RIS服务)、RSoP策略的结果集、影子拷贝恢复(Shadow Copy Restore)、***和WMI命令行模式等功能。Windows Server 2003 Web Edition 唯一和其他版本不同的是它仅能够在AD域中做成员服务器,而不能够做DC域控制器。

可以架构各种网页应用,XML页面服务。

IIS 60。

轻松迅速开发各种基于 XML以及 ASPNET服务项目的平台。

5Windows Server 2003,64-bit Edition 64位版本

专门针对64位处理器 安腾Itanium而开发的版本。

包括两个版本:

Windows Server 2003 Enterprise Server

64-bit Edition。

Windows Server 2003 Datacenter Server

64-bit Edition。

注:除web版外其余版本均支持域模式

域可以提供一种集中式管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控,我们用一台Windows Server 2003服务器进行示例:

首先,当然是在服务器上安装上Windows Server 2003,安装成功后进入系统,

第一件事是给这台成员服务器指定一个固定的IP,指定情况如下:

机器名:DemoServer

IP:19216851 (地址随便写)

子网掩码:2552552550

DNS:127001 (因为我要把这台机器配置成DNS服务器)

由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,找到“网络服务”,选中 (默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉,需要的时候再安装)

安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导

按照想到做~

兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”:

在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步既然是第一台域控,那么当然也是选择“在新林中的域”

(在这里我们要指定一个域名,我在这里指定的是democom )

这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但个人建议还是采用默认的好,省得以后麻烦。在这里要指定AD数据库和日志的存放位置,如果不是C盘的空间有问题的话,建议采用默认。 这里是指定SYSVOL文件夹的位置,还是那句话,没有特殊情况,不建议修改:

第一次部署时总会出现上面那个DNS注册诊断出错的画面,主要是因为虽然安装了DNS,但由于并没有配置它,网络上还没有可用的DNS服务器,所以才会出现响应超时的现像,所以在这里要选择:“在这台计算机上安装并配置DNS,并将这台DNS服务器设为这台计算机的首选DNS服务器”。

我选择第二项:“只与Windows 2000或Window 2003操作系统兼容的权限”,因为在我做实验的整个环境里,并没有Windows 2000以前的操作系统存在”

还原密码,希望大家设置好以后一定要记住这个密码,千万别忘记了,因为在后面的关于活动目录恢复的文章上要用到这个密码的。

请仔细检查刚刚输入的信息是否有误,尤其是域名书写是否正确,因为改域名可不是闹着玩的,如果有的话可以点上一步进入重输,如果确认无误的话,那么点“下一步”就正式开安装了大概需要10分钟左右

点“立即重新启动”,点完成

登陆到域控制器,运行“dsamsc”,出现“AD用户和计算机”管理控制台:

先来新建一个用户,展开“democom”,在“Users”上击右键,点“新建”-“用户”:

然后出现一个新建用户的向导,在这里,我新建了一个名为“swg”的用户,并且把密码设为“永不过期”。

密码策略

开始--程序--管理工具--域控安全策略--密码策略

密码必须符合复杂性要求(禁用)

最小字符长度(0)

运行--gpupdate(刷新策略)

创建帐户,无需输入秘密,因为实验所以这么改,建议默认密码策略

把另一台电脑与域控设置成同一网短,dns指向域控这里是19216851

右键--我的电脑--属性--计算机名-更改--在域的选项中--输入democom

单击确定,提示输入用户~把刚建的swg用户和密码输入,从新启动电脑,在登录界面再次输入swg域用户和密码,登录域控~

注:把所有的防火墙关闭~以免网络不通导致实验失败

 解决方法是,用户需将Windows Server 2008 R2系统升级为域控制器,那么域会自动把本地安全策略的某些功能锁定。现在,Windows Server 2008 R2的域安全策略应如何启动和打开呢?

一、方法步骤如下:

  1、点击“开始”-“程序”-“管理工具”-点击“组策略管理”。

  2、在打开的组策略管理,一次展开“林”-“域”-“saymscom(域名)”-“组策略对象”-右击“Default Domain Policy”,选择“编辑”。

  3、在打开的“组策略管理编辑器”,依次展开“计算机配置”-“策略”,这个策略里面包含的就是Windows Server 2008的域安全策略啦。

  注:如用户需修改账户密码的复杂度,应继续展开“Windows设置”-“安全设置”-“账户策略”-“密码策略”。

  当一台服务器被提升为域控制器后,本地策略不再有效,取而代之的是默认域策略。

  二、本地组策略

本地组策略是指应用于本机,且设定后只会在本机起作用的策略,运行的方法为点‘开始’-‘运行’-然后键入‘gpeditmsc’,在弹出本地组策略编辑器中即可进行设置。

三、域组策略

域组策略是指应用于站点,域或者组织单元(OUs)的策略,它的最终作用对象通常是多个用户或者计算机,可以在DC上点开始 运行 然后键入gpmcmsc来运行。

密码策略是属于域级别的策略,必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Default domain controller policy 中定义密码策略,但是因为Default domain controller policy只应用到了domain controllers OU而不是整个域,所以在Default domain controller policy 中定义密码策略是无效的。 另外由于域组策略的优先级高于本地组策略的优先级,在域密码策略应用并生效后,所有已经加入域的电脑(包括DC)的本地策略中,密码相关设置都会变成灰色不可修改状态。

在本地策略中的,密码策略就应该是灰色的,无法编辑。当点击开始-运行, 然后键入gpeditmsc回车后,本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级,所有在域组策略中已经设定过的策略都将变为灰色不可修改状态(比如密码策略)。

如果您要修改密码策略,可以使用以下方法:

1、点击‘开始’-‘运行’-然后键入‘gpmcmsc’,回车后打开“组策略管理”控制台。

2、展开到 “域-Domaincom-组策略对象(Domaincom是指您的域名)”。

3、右键点击Default Domain Policy然后选择“编辑”。

4、展开到“计算机配置-策略-Windows 设置- 安全设置-账户策略- 密码策略”。

5、您可以在右边的窗口中定义密码相关的策略,此策略会应用于整个域中的所有账户。

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 现在的企业一般都建立一个自己局域网的域,那域控有什么用?能防止病毒吗?域主机和成员机是怎样的关系

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情