网安日记④之搭建域环境（domain）并且配置域

搭建域环境（domain）并且配置域

什么是域

域就是将多台计算机在逻辑上组织到一起，进行集中管理，也就是创建在域控制器上的组，将组的账户信息保存在活动目录中。域组可以用来控制域内任何一台计算机资源的访问和执行系统任务的权限。

相关概念

• 域(Domain)：将网络中的多台计算机通过逻辑的方式组织到一起，进行集中管理，这种集中管理的环境称为域。
• 域控制器（Domain Controller，DC)：每个域中至少有一台域控制器、集中存放整个域的用户账号和安全数据库，安装了活动目录(AD)的主机称为域控制器。
• 活动目录（Active Directory，AD)：活动目录是一个目录数据库，存储整个windows网络中对象的相关信息（可以理解为存储了网络中所有资源的快捷方式）。也是一种服务，可对活动目录中数据执行各种操作。
• 父域和子域：出于管理需求，需要在网络中划分多个域。第一个域称为父域，各分部的域称为子域。不同的域之间，信息交互的条目会大大减少，且可以压缩后进行交互，节约带宽。并且域管可以针对各个域，设置不同的安全策略，灵活管理。
• 域树 (Tree)：域管只能管理本域，如果需要管理其他域，则需要建立信任关系，域树则是指多个域通过建立信任关系组成的集合。同理，多个域树通过建立信任关系组成的集合则称为域林。
• 域名服务器 (DNS)：用于实现域名和与之对应的IP地址之间相互转换。因为域中的计算机是使用DNS来定位域控和其他服务器的，所以域的名字就是DNS域的名字。（DNS和DC一般在同一台机器上）

观前提示

本日记使用的测试系统，服务器是win2008 r2 企业版，客户机为win xp，均为vm虚拟机

搭建域环境

设置ip

• 首先设置服务器的ip，将它固定下来
  
  

配置虚拟机

• 设置一个虚拟网络环境
  
  

win+r键运行dcpromo

• 接下来我没展示的设置默认为下一步

这里选择新建林（多个同等级的域环境组合就是林）

设置一个顶级域名为域名称

兼容版本我是这样选的，参考即可

设置域目录还原的密码

• 在这里设置域目录还原的密码
  
  

判断是否成功

• 之后一直下一步，直到安装，等待完毕，重启即可
  
  
• 此时再进行登录时，就变为域账号登录
  
  
• 打开dns服务器，如果可以查看到域名的配置，即搭建域环境成功
  
  

成功截图

最后重命名一下计算机，这里可以看到我们已经加入了域，并且服务器已经是dc（domain controller,域控制器）

添加域成员

1. 将客户机添加到域

• 首先创建一个域用户，名字可以为中文，密码得满足四分之三原则
  
  

1. 打开虚拟机，固定ip，dns设置为服务器ip
   
   

2. 右键计算机--属性--计算机名--更改--隶属于域--填入域名，确定--输入域管理员账户，显示添加成功之后重启电脑
   
   

3. 此时发现xp登录时出现新选项，打开选项，选择登录到域，输入前面创建的域用户账号（这里的用户名是我之前创建的，填自己创建就好）
   
   

4. 登录进去之后返回服务器查看computers，可以看到用户机，即添加成功
   
   

小结

到了这里，你的域环境就搭建完毕，此时可以通过域进行统一管理了，在下一章，我会通过配置组策略的形式同一管理域环境下面的用户