#yyds干货盘点# web安全day9(5个实验实实在在学习windows域部署)

博观而约取,厚积而薄发。这篇文章主要讲述#yyds干货盘点# web安全day9:5个实验实实在在学习windows域部署相关的知识,希望能为你提供帮助。
1、实验一:部署安装活动目录需要提前准备windows2008虚拟机,后续我们会将其配置称为dc,将其连接到vmnet2上,并且关闭其防火墙。同时还需准备windowsxp和windows7,作为后续的成员机。
配置静态ip地址10.1.1.5/24







开始--运行中输入dcpromo,可以安装或者卸载活动目录。
大概两三分钟后会弹出安装向导。

此时我们并不需要使用高级模式安装,直接点击下一步。








我们在之前已经学习到dc本身将作为一台dns服务器,所以我们一般勾选“通过在此计算机上安装dns服务器来自动更正问题”。出现这个对话框的前提是没有为此计算机设置dns服务器。

什么是林呢?我们先来讲域树,我们已经知道一个公司一般存在于一个域中,如果这个公司比较庞大,跨区域工作,每个区域都有自己的网络管理部门,部署了自己的域,但是总部为了加强管理,还是希望能够管理到这些分部的计算机,那么从总部到分部的域的这种层级关系,就叫做域树。而如果这个大型企业拥有多个不同的公司,这些公司之间是平级关系,那么树的结构就不太适合它们去部署,而是将多个树组成一个林。


需要说明的是,国内目前还没有哪一家企业用到域林的架构方式,用到树的方式也少之又少。

所以我们在这一步中一般选择在新林中新建域。
如果我们的安装过程中出现下图所示的提示框,则可能是我们没有为本地administrator账户设置口令。


这里就可以输入我们的域名。



设置林功能级别



林功能级别的意思是后续如果林中还继续添加域控,其版本不能低于该域控,可以对后续的域控进行一些限制。我们一般配置为最高级别。




如果出现下图的报错,是正常的,继续下一步就行了。







这里的路径不需要改,也不能改。
这里的口令是目录服务还原模式的administrator口令,一般是用不到的。他不是登录口令,也不是域口令,如果在将来某一天我们的域服务器出现了错误,整个域服务器都需要进行还原操作,就需要用到这个口令。




最后我们点击立即重新启动,系统重启。dc安装完成。


我们进行验证。


2、实验二:登录和验证域我们再次登录时,我们之前所定义的本地管理员已经被迁移到域的活动目录中,称为整个域的管理员。





之前我们在登录的时候只会出现我们的用户名,现在在用户名的前面加上了XDF,这是我们之前设置的域名。
我们可以打开我们计算机属性查看我们的计算机名,发现多了一个域的信息。







我们还可以打开dns管理工具查看

我们明明没有创建dns任何信息,但是在创建域的时候已经完成了这一步,在正向查找区域中,存在xdf.com的解析内容。
我们再打开AD用户和计算机。



builtin目录

computer目录:表示域中的普通成员,因为我们目前没有加入,所以为空

domain controller目录:表示域中的DC,可以有多台

users目录:用户目录,即我们此前所说的活动目录。domain admins组和原来本地组中的administrators组的权限类似。



3、实验三:添加域的成员windowsxp



我们将windowsxp添加到我们的域中,首先确保我们处于同一个网络中,在本实验中,windowsxp的ip地址是10.1.1.2,连接在vmnet2中。






我们将其dns服务器指向dc服务器。










右键点击我的电脑属性,选择计算机名,点击更改。

将其隶属于方式从工作组修改为域,并且加入我们此前定义的dc的域名。



点击确定。
输入域的用户名和口令

登录成功后,重启计算机。



重启后再次登录



登录成功后再次查看计算机名,发现已经加入了域。



我们在dc中进行验证。此时computer中已经有了我们的计算机名,说明加入域成功。


【#yyds干货盘点# web安全day9(5个实验实实在在学习windows域部署)】


4、实验四:添加域的成员windows7

1)我们将windows7的ip地址设为10.1.1.4,连接到vmnet2中,并将dns服务器地址指向dc。





2)右键我的电脑选择属性,打开修改计算机名。

3)点击更改,将其加入域中



使用域的用户名和口令登录

登录成功后会显示欢迎加入xdf域







后面的操作和windowsxp几乎一样了。





在dc中进行验证。









5、实验五:新建用户我们在之前的实验中,登录计算机时都是用adminitrator账户登录的,我们可以在dc中新建用户。



我们可以理解为网络管理员为新的员工分配计算机前就需要为其在域中创建用户名和口令,便于后续他加入公司的域。


那么创建完毕后,新员工李强同学就可以以自己的账号和口令来登录自己的计算机了。

实验进行到这一步,我们有一个疑问,我们还没有为李强同学指定过他的电脑,这是不是意味着他可以用自己的账号和口令登录任何一台加入该域的计算机呢?我们使用windows7验证一下。



果然是可以登录的。怎么解决呢?欢迎继续关注博主,下期更新。

    推荐阅读