域环境的搭建(保姆级教程)
一、基础知识
1、组:要介绍域的概念,先介绍一下组的相关概念。
组是用户的集合,由多个用户账户组成,组名可以看成是组成员共同的名字。引入组的概念就是为了简化管理。例如,如果要把某个资源授权给一批用户,或者对一批用户设置相同的权限,若没有组,则只能给单个用户账户进行设置授权,但是有了组之后就可以一次性的对组进行授权,实质上也就是给该组的所有用户同时进行了授权。
很重要的一点:一共用户可以同时属于多个组,用户对某个资源的权限等于它在各组的权限之和,但是如果一旦有个组对某个资源的权限为禁止,那么该用户将不得访问该资源,因为禁止是优先的。在一个组中也可以包含其他组或者其他组的成员。
组的特点:计算机的地位都是平等的。每一台计算机都独立的维护自己的资源,不需要集中管理网络资源,每一台计算机都在本地存储用户的账号,本地账号只能登陆本地计算机。
2、域(Domain):域就是将多台计算机在逻辑上组织到一起,进行集中管理,也就是创建在域控制器上的组,将组的账户信息保存在活动目录中。域组可以用来控制域内任何一台计算机资源的访问和执行系统任务的权限。
域是组织和存储资源的核心管理单元,域的核心是域控制器,域控制器的核心是活动目录,活动目录实质上相当于一个数据库。
3、活动目录:活动目录是Windows Server平台下提供的目录服务,在中央数据库存放信息,使用户在网络上只拥有一个用户账号。活动目录可以管理诸如计算机对象、用户账号、打印机之类的网络资源。活动目录主要包括目录和目录相关的服务两方面,目录是存储各种对象的一个物理上的容器;而目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在多个不同的计算机上,保证用户能够快速访问。
二、实验环境
域环境基础信息
Windows server 2008 (主控端)[下方简称server2008]
ip地址:192.168.15.100
Windows 7 [下方简称win7]
ip地址:192.168.15.101
如若没有镜像(iso)文件的话可以从下方链接地址中下载。
链接:https://pan.baidu.com/s/1gxH549TV0o5jeuDvEcs_Yw
提取码:hjzk
三、实验步骤
1.设置静态ip地址
我们给server 2008 设置静态ip地址
设置一个DNS指向本机,因为它后面是一个域控的角色。
2.安装活动目录角色
2.1 点击添加角色
2.2 我们单击下一步:
下一步条件
必须具备两点:
Administrator强密码
配置静态IP
2.3 勾选“Active Directory 域服务”,然后下一步:
2.4 单击“下一步”:
这里表明,后续会有安装DNS服务的过程,所以网上要先安装DNS的文章会导致域搭建失败,因为安装向导会创建一些DNS记录,以及查找域。
2.5 点击“安装”。
一分钟不到就可以安装完毕,但是域的搭建还没有完成。
3.安装向导
3.1 打开“服务器管理器”,找到Active Directory安装向导:
点击“dcpromo.exe”,就可以进入向导:
3.2 这里我们直接默认下一步
在这里点击下一步时,必须Administrator有密码。不然可能会出问题。
这里说一下,“Windows NT 4.0兼容的加密算法”,指的是低版本的SMBv1客户端,在进行NTLM网络认证的过程中采用的算法较为简单,能够轻易破解;其次,未升级到SMB v2的服务器可能会受到Pass The Hash的技术手段利用、MS17-010等漏洞的危害,为了后续的学习,我们直接选择下一步,暂时不去做加固。
目前我们只有一个域,所以直接选择第二项:“在新林中新建域”,在有域的情况下,可以将域纳入“林”中。多个域称之为“林”。
3.3 设置“域名”:
这里必须符合DNS对域名的名称标准规范,如我就将域名定为:chenxi.region:
3.4 点击下一步会有一个检查,等待即可,这是为了防止域冲突:
3.5 选择林功能级别:
为了保持向下兼容,我们选择Windows 2003的林功能级别,如果选择2008的,未来加入的域控制器必须是Windows 2008。
单击“下一步”,选择域功能级别,上面已经解释了,是为了兼容性,我们也选择2003:
3.6 域控制器选项DNS
单击下一步,此时进入DNS服务器的安装过程:
这里是由于在“payloads.online”中没有委派关系,所以我们自建:
单击“是”,进入选择数据库、日志、SYSOL的存放路径
默认选择“下一步”,设置DC管理员(Administrator)密码:[我设置的是administrator]
单击“下一步”,可以看到刚才的设置:
这里你也可以导出设置,用于下次安装的时候自动配置。单击“下一步”就可以安装了。
勾选“重新启动”,去喝杯茶,回来它就安装完毕了!
安装完毕后,会默认使用域内账户Administrator登录:
3.7 重启后安装成功
登录进入后,会弹出“初始化配置任务”窗口,这里有关于本机的信息:
4.加入域环境
4.1 打开一个windows虚拟机,设置其ip为域控同网段地址
4.2 查找系统保护依照下图顺序,填写自己的域
4.3 点击确定后会让输入密码(这里的密码为域管理员的密码)
4.4 成功添加域
成功添加后,重启计算机