网络运维与网络安全 学习笔记2023.11.13
网络运维与网络安全 学习笔记 第十四天
今日目标
活动目录与域概述、创建AD域网络、加入域网络
域用户管理、OU与组策略、域组策略的应用
回顾之前学习的内容
Windows Server 2016系统中,本地安全策略主要包括?账户安全策略主要包含?
本地安全策略主要包括账户策略、本地策略。
账户安全策略主要包括密码策略、账户锁定策略。
什么样的密码是符合复杂性要求的密码?
不能包括用户的账户名
包含以下四类字符中的三类字符:
大写字母(A到Z),小写字母(a到z),数字(0到9),非字母字符(例如!、$、#、%等)
什么是WEB虚拟主机及实现方式?
虚拟主机,指的是在一台服务器同时运行多个WEB站点的技术。
实现方式:
①基于端口的虚拟机(同IP不同端口)
②基于IP的虚拟主机(同端口不同IP)
③基于域名的虚拟主机(同IP同端口不同主机名)
数据库备份类型:完整备份、差异备份、事务日志备份
事务日志备份:
创建数据库,库名为tedu,创建目录(C:\事务日志)
右击tedu数据库名-任务-备份-备份类型 选择 完整-删除默认备份目标路径-添加(C:\事务日志)-文件名输入log.bak-确定
在tedu的数据库中创建数据表,表名为Table_1,(记录Table_1表的创建时间9:26)
在tedu的数据库中创建数据表,表名为Table_2,(记录Table_2表的创建时间9:30)
右击tedu数据库名-任务-备份-备份类型选择 事务日志-确定
事务日志还原:
删除已备份的数据库-右击数据库-还原数据库-目标数据库输入tedu-定义还原的具体时间(9:26:59)-源设备-添加-(C:\事务日志\log.bak)-确定-勾选tedu完整及tedu事务日志-确定。
创建数据库并验证分离与附加
什么是工作组?
工作组是一种计算机的工作环境,计算机默认所属的工作组是WORKGROUP。
工作组环境的特点:地位平等、管理分散、没有实现集中管理。
工作组环境下的用户称为本地用户、用户本地创建、本地存储、本地登录且只能登录本地一台计算机。
域概述
域(Domain):将来于网络的多台计算机,以逻辑的方式组织到一起实现了集中管理的环境,这种环境称为域。
①集中管理网络中的多台计算机的一种逻辑模式
②有别于工作组的对等式管理
③是组织与存储资源的核心管理单元
域控制器(Domain Controller,简称DC)
①每个域至少有一台域控制器
②集中存放整个域的用户账号和安全数据库
活动目录(Active Directory,简称AD)
Windows网络中的目录服务
提供了存储网络对象信息并使网络用户使用这些数据的方法
活动目录特点:
①集中管理
②便捷的网络资源(用户/组账号、共享文件夹、打印机)访问
③可扩展性
升级域控的条件:
①具有本地administrator管理员权限
②具有足够的磁盘空间
③TCP/IP的配置(IP地址、子网掩码)
④需要DNS服务器支持
⑤操作系统版本必须为Windows Server
⑥本地磁盘至少有一个NTFS文件系统的分区
丐帮 = 域
帮主 = 域控
打狗棒 = 活动目录(AD)
**域树:**具有连续域名空间的多个域
**林:**由一个或多个域树组成
**林的根域:**第一个域树状目录的根域
升级域控的条件
①安装者必须具有本地管理员权限
②操作系统版本必须为Windows Server版
③本地磁盘至少有一个分区是NTFS文件系统
④静态TCP/IP设置(IP地址、子网掩码等)
⑤有相应的DNS服务器支持
⑥有足够的可用磁盘空间
安装第一台域控制器
推荐步骤:
①设置网络环境和主机名
②Active Directory域服务
③提升为域控制器
④在新林中新建域
⑤林功能级别
⑥设置目录服务还原模式的Administrator密码
⑦安装
①配置域控制器网络环境
配置IP地址:192.186.10.100
子网掩码:255.255.255.0
DNS服务器地址:192.168.10.100 或 127.0.0.1
②添加Active Directory域服务
管理-添加角色和功能-三个下一步-Active Directory域服务-添加功能-三个下一步-安装。
打开服务器管理-左侧点击AD DS -右上角更多-将此服务器提升为域控制器
③添加新林、输入域名
④林功能级别及目录服务还原密码
添加新林-输入域名ntd.com-下一步-输入目录服务还原密码-一路下一步-安装
⑤安装
客户机加入域
①配置客户端网络环境
②设置“计算机名/域更改”
③输入域用户账户名
④确认域成员身份
创建域用户
域用户账户存储在活动目录数据库中
创建域用户的工具:“Active Directory 用户和计算机”
显示名:在同一组织单位(OU)内应唯一
用户登录名:在整个域内唯一、最长20字符
配置域用户账户属性
登录时间:默认任意时间都能登录
登录到:可限制登录的计算机
OU组织单位
概念:
容器:有效地组织活动目录对象
设计方式:
①基于部门的OU
②基于地理位置的OU
③基于对象类型的OU
④OU的设计也可以是混合的
域组策略
组策略(一组策略的集合)
①可以统一修改程序、设置程序
②调整桌面环境、安全设置、自动执行脚本、软件分发
使用组策略可以:
①对整个域设置组策略,可影响所有成员计算机和域用户的工作环境
②对OU设置组策略,可影响该OU下的所有计算机和域用户的工作环境
③降低布置用户和计算机环境的总费用,方便推行公司计算机使用规范及安全策略
……
组策略设置对象
①组策略的具体设置保存在GPO中
②默认的2个GPO
默认域策略(Default Domain Policy)
默认域控制器策略(Default Domain Controllers Policy)
组策略规则
域中组组策略应用规则:
继承、阻止/强制继承、累加
继承:默认情况下,下层容器自动继承上层容器的GPO(组策略对象)
阐述示例:
①配置默认域策略禁止更改桌面背景
②财务OU中的用户登录后,上述禁止更改桌面背景设置生效
阻止继承:子容器可以阻止继承上级的组策略
阐述示例:
①配置默认域策略进制更改桌面背景
②右击“财务OU”->属性->组策略->选中“阻止策略继承”选项
③“财务”OU中的用户登录后,禁止更改桌面背景不受上层策略影响
强制生效:强制生效是上级容器强制下级容器执行其GPO设置
阐述示例:
①若“财务”阻止继承域组策略
②或者“财务OU”与域的GPO设置冲突
③域GPO设置“强制生效”,“财务OU”被迫应用域GPO设置
累加:
域组策略的叠加效果
若多个容器的组策略不冲突,则最终的有效策略是所有组策略设置的总和。
阐述示例:
①组策略设置“域”:启用“阻止更改墙纸”,“OU”:IE主页设为http://www.taobao.com
②OU的有效设置“阻止更改墙纸”及“IE主页设为http://www.jd.com”