使用Win Server 2022 安装AD实现双域控制器互为冗余
- Windows
- 2024-10-11
- 656热度
- 0评论
前言
企业为了统一管理电脑,公司IT人员都会在公司搭建域控,将公司所有电脑都加入到域中,然后进行权限的集中管理。公司员工电脑加入域后,可以控制员工的登录权限,文件访问权限,打印权限,电脑配置修改权限等。
阻止一些软件自动升级,用户私自安装软件,电脑的安全得到了一定的防范。对于用户集中权限管理后,IT管理工作效率高,现在很多企业的ERP软件,加密软件都和AD域进行帐户绑定,分配权限。
在部署活动目录服务的时候,首先应该考虑域控制器的安全性,主域控一旦崩掉,一般很难修复,后果非常严重,本文介绍在活动目录中部署两台域控制器,两台都是主控,互为冗余。
如果一个域内有多个域控制器,可以有如下好处:
提高用户登录的效率:如果同时有多台域控制器对客户提供服务,可以分担审核用户登录身份(账户与密码)的负担,让用户登录效率更佳。
容错功能:如果有域控制器发生故障,此时依然能有其他正常的域控制器继续提供域服务器。
高可用性:可以配置成为冗余,其中一台故障,不需要切换仍然可保持正常服务。
一、AD1主域服务器安装
最好手动设置静态IP地址和DNS:
1.此图文因为自动使用了VMware的NAT地址,所以后面的DNS的SRV记录出错。需要重新配置DNS。
2.主域服务器命名为AD1。
1.1 安装域控功能角色
(1)打开服务器管理器,添加角色和功能
(2)出现”添加角色和功能”界面,下一步
(3)根据提示操作,下一步
(4)选择添加AD域服务(Active Directory 域服务),同时添加所需功能
(5)根据提示操作,下一步
(6)安装完成
1.2 配置AD域
安装后,“服务器管理器”窗口右上角旗帜下会有一个感叹号。点击它,弹出“部署后配置”,点击“将此服务器提升为域控制器”。开始提升域控操作。
(1)点击”将此服务器提升为域控制器”
(2)进入AD域服务器配置向导,选择”添加新林”,输入域,点击下一步
(3)输入域的还原密码。比如admin@AD
(4)出现关于DNS的警告,因为目前还没有安装DNS,所以不用理会,直接选择下一步,如图
(5)这里系统会自动补全域名,点击下一页
(6)路径保持默认设置,点击下一页
(7查看选项默认设置
(8)在先决条件检查点击安装
二、部署AD2
2.1 设置IP及DNS
设置之前规划好的IP,首个DNS设为DC1的IP,第二个DNS指向DC2本机。
2.2 安装域控角色
此安装步骤,跟安装DC1相同,参考前文1.1章节。
2.3 配置AD域
(1)回到“服务器管理 仪表板”界面点击右上角旗帜,弹出“部署后配置”,点击“将此服务器提升为域控制器”。
(2)进入AD域服务器配置向导,在“部署配置”界面,选择“将域控制器添加到现有域”→输入“yinhai-blog.com”。
注意:请用域管理员账户进行此操作。若非域管理员,请点击“更改”按钮修改账户。
(3)在“域控制器选项”界面,输入域的还原密码点击下一步。比如admin@DC,还原密码跟DC1相同。
(4)在“DNS选项”界面,保持默认设置,点击“下一步”。
(5)在其他选项界面,选择从另一个域控服务器中复制信息过来,或者保持默认
(6)在“路径”界面,保持默认设置,点击“下一步”。
(7)在“查看选项”界面,保持默认设置,点击“下一步”。
(8)在“先决条件检查”界面,保持默认设置,点击“下一步”:安装。
(9)报错是因为,我使用了链接克隆生成的AD2服务器,所以重新安装系统,重复以上步骤,将DC2加入到域。
(10)可以看到有2台域控制器:两台控制器都已经正常在线。
三、更改DNS区域类型
3.1 打开DNS管理器
3.2 确认主副名称服务器:
在DNS管理器中,依次点开正向查找区域,在域名链接上点右键,选择熟悉。
选择名称服务器选项卡,确保主副的名称服务器都有,没有的话点击添加。
在AD2上打开Active Directory 用户和计算机,会发现内容和AD1上的完全一致,在Domain Controller中可以看到,AD1、AD2、类型都是全局编录GC,表示两个域控制器是平等互为冗余的,需要把域中的计算机对象DNS同时指向DC1和DC2的IP地址,这样在当某台域控制器宕机时,不会影响域的正常使用。
四、创建和管理对象、容器和组织单位(OU)
4.1 梳理组织架构和OU对应
根据公司的组织架构
把公司的组织架构按照二级部门来对应AD中的OU(组织单位)
新建公司作为一级OU;
二级部门作为二级OU;
二级OU底下直接为用户了,不做过深的OU,有利于后续管理。
新建如下:
一级OU:研究院
二级OU: 信息化部,人力资源部,审计部,研发部,财务部,采购部
三级OU:信息化部-基础架构处、生产制造处、企业应用处
当在DC1中添加相应的组织单位,用户和组,DC2会马上同步,这样实现了双域控的实时同步,
如果出现意外一个域控挂了,还有 一个备用,实现冗余
4.2 通过csv文件格式批量创建OU
将OU.csv文件上传至域服务器根目录,以管理员身份运行win+cmd(注意必须以csv分隔符的格式保存文件,否则会出错。)
通过以下命令导入域控相关的OU
导入一级OU:
| 1 |
|
skip=1指跳过第一行标题,tokens=1-3指取1-3行一级OU的数据
参数含义: skip=1跳过第一行数据 eol=;注释行开始字符为”;” tokens=1-9
每次提取1-9个变量 delims=, 分割符号为”,”
导入二级OU:
| 1 |
|
skip=4指跳过第一行标题和一级OU,tokens=1-20指取1-3行二级OU的数据
导入三级OU:
| 1 |
|
skip=21指跳过第一行标题和一级OU和二级OU,tokens=1-3指取1-3行三级OU的数据,c,b,a为一级、二级、三级的变量。
4.3 批量导入AD用户
重点是如何创建表格文件-批量的数据
首先这里我们需要找HR要到员工的信息表,越详细越好,
注:初始密码不能太过于简单,一定要符合密码的复杂性的要求
复制黏贴命令于CMD窗口即可。
| 1 |
|
五、组策略(常用)的使用和推送
5.1 本地管理员重命名
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。
“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”→“账户:重命名系统管理员账户” →输入“yjyadmin” →点击“确定”
这样就将原来系统管理员账户administrator改为yjyadmin 。
5.2 禁用Guest账户
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”
生成策略。右击此策略,点击“编辑”。
“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”→“帐户:来宾帐户状态” →编辑选择“已禁用”。
5.3 禁用USB
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。
“计算机配置”→“策略”→“管理模板”→“系统”→“可移动存储访问” →“可移动磁盘:拒绝执行权限” →编辑选择“已启用”。
“可移动磁盘存储:拒绝读取权限”设为“已启用”。
“可移动磁盘:拒绝写入权限”设为“已启用”。
设置完成。点击关闭。
5.4 密码复杂度
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→点击“Default Domain Policy”右击此策略,点击“编辑”。
“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“账户策略”→“密码策略”→按上图所示设置策略。
5.5 统一桌面背景
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→点击“Default Domain Policy”右击此策略,点击“编辑”。
“用户配置”→“策略”→“管理模板”→“桌面”→“桌面”→“桌面墙纸”。
路径:\10.6.100.25css10项目实施1AD域系统桌面壁纸win11.jpg
墙纸样式选择:适应。
5.6 禁止客户端自行修改IP
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。
“用户配置”→“管理模板”→“网络”→“网络连接”→“禁止访问LAN连接组件的属性”→选择“已启用”。
5.7 客户端禁用注册表
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。
“用户配置”→“管理模板”→“系统”→“防止访问注册表编辑工具”→选择“已启用”
5.8 映射网络驱动器
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。
“用户配置”→“首选项”→“Windows 设置”→“驱动器映射”→输入网络地址。
在“常用”选项卡中勾选“在登录用户的安全上下文中运行(用户策略选项)”和“项目级别目标”,点击“确定”
5.9 修改本地管理员密码
在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称,点击“确定”生成策略。右击此策略,点击“编辑”。
“计算机配置”→“策略”→“Windows 设置”→“脚本(启动/关机)”添加脚本。
