AD域学习笔记
AD域学习笔记
- 一、写在前面
- 二、笔记
- 1、Kerberos和ldap
- 2、组策略
- 3、类型
- 未分类
一、写在前面
按以前开发的思想,我将本来一个在一个文章内完成的内容,分成几个文章,应该算是解耦吧。
二、笔记
1、Kerberos和ldap
Kerberos 是一种身份验证协议,用于验证用户或主机的标识;这里作为域控制器做身份验证;
ldap:轻型目录访问协议,这里作为搜索服务
进入后可以看到详细的信息。
这里出现文件丢失,可能会导致加域无法成功。这种情况可以恢复。
2、组策略
- 每个组织单元都可以设置自己的组策略。
- 域的组策略作用范围是整个域。
- 组策略分为计算机策略和用户策略。
- DC默认不给域用户登录,这个需要在组策略设置。
- 需要域策略修改后生效,需要在命令行输入gpdate /force刷新
- 可以修改域用户的计算机加入数量
更细致的权限控制,但是需要把域用户添加到域的管理范围中。
3、类型
组类型
- 安全组:安全组可以授权组策略,有SID
- 通讯组:通讯组则是为了群发邮件
组作用域
- 本地域:针对某个资源的访问
- 全局:同一类型的人,比如一个班的学生,研发部门的员工进行统一管理,为了合并用户
- 通用:
用户加入全局组:U →G
针对某个资源,创建域本地组并授权:DL→P
用户访问该资源:U →G→DL→P
当然文件夹可以给员工授权,但是员工太多了,还是用上面的方法。
未分类
组织单元不仅可以管理用户,还可以管理计算机。