为什么需要域?
试想一下,假设你是某部门的管理人员,希望能够拥有该部门的所有服务器的登陆、配置权限,那么是不是需要去所有服务器上创建管理员账户呢?
一旦需要修改管理员账号信息、或者统一下发服务器配置,那就需要去每一台服务器上都操作一次,工作量巨大。
如果这时候,服务器都在一个域里面,管理员只需要用域管账号修改一次,配置就会统一下发到所有服务器上,极大程度上减少了我们的工作量。
相关概念
搭建DNS服务器
首先使用一台Windows Server 2008搭建域控(同时充当DNS服务器):
//此处建议修改一下计算机名,方便识别。
由于域控的地址需要固定,因此使用静态IP的方法进行配置:
使用域控作为dns服务器,将DNS服务地址改为自己,127.0.0.1:
进入开始菜单 -> 管理工具 -> 服务器管理器:
通过"添加角色"功能,添加服务器功能:
选择下一步:
选择角色为DNS服务器,一路点击下一步安装:
DNS服务安装完成~
安装AD域服务
依然是这台服务器,点击开始菜单 -> 运行 -> 输入命令 "dcpromo" ,进行安装:
//dcpromo 命令是一个 "开关" 命令。如果 Windows Server 2008 计算机是成员服务器,则 运行 dcpromo 命令会安装 AD 活动目录,将其升级为域控制器。
如果Windows Server 2008 计算机已经是域控制器,则运行 dcpromo 命令会卸载 AD 活动目录,将其降级为成员服务器。
打开向导后,点击下一步开始安装:
选择“在新林中新建域”:
第一项是内网中已经存在 AD 环境再想搭建额外域控制器的时选择的。
输入域名:
选择服务器版本:
//这里需要强调的是,如果你的 AD 中以后可能会出现 Windows Server 2003 系统的域控制器,请务必选择 Windows Server 2003 的域功能级别,要不以后那些 Windows Server 2003 的服务器就做不了域控制器了,所以安装第一台 DC 的时候,都选择的低级别的林功能,以后要升到 Windows Server 2008 的域功能级别是没问题的,若是选了 Windows Server 2008 的功能级别,以后要降级就难了。
如果没设置DNS服务,此处需勾选上DNS服务器:
点击下一步,这里选择“是”即可:
进入AD 域的数据库文件、日志文件和共享文件位置设置页面,点击下一步:
设置还原模式密码(在开机进入安全模式修复活动目录数据库时使用):
点击下一步:
配置完成:
安装完成后,域控制器 DC 会将自己扮演的角色注册到 DNS 服务器内,以便让其他计算机能够通过 DNS 服务器来找到这台域控制器,因此先检查 DNS 服务器内是否已经存在这些记录。
在DNS服务器中也可以查到解析记录:
AD域账户管理
AD配置完毕后,我们来试着创建账户,首先创建一个组织单位(OU):
例如创建一级部门“应急业务部”:
继续添加子组织,如二级部门渗透测试组和安全服务组:
在渗透测试组中添加用户(张三):
设置用户信息:
设置用户密码:
完成配置:
域控可以对该账户做各种操作:
加入域
现在用户也有了,我们来将一台win7的pc加入域:
域成员机器需要将DNS指向域控服务器:
测试连通性,可以ping通域控:
在计算机属性中更改“计算机名称、域和工作组设置”:
设置域:
//为了方便识别,我把计算机名更改为test
使用前面创建的账户(张三)进行登陆:
成功加入域:
重启计算机后,使用域用户登录:
查看系统信息,加入成功: