Window AD域集成登錄、組織結(jié)構(gòu)同步

此設(shè)置適合Windows AD域（Windows LDAP），非Windows AD域（比如 Free LDAP）請參考 LDAP用戶統(tǒng)一登錄 。

創(chuàng)新互聯(lián)是一家業(yè)務(wù)范圍包括IDC托管業(yè)務(wù),雅安服務(wù)器托管、主機租用、主機托管，四川、重慶、廣東電信服務(wù)器租用,四川雅安電信機房，成都網(wǎng)通服務(wù)器托管,成都服務(wù)器租用,業(yè)務(wù)范圍遍及中國大陸、港澳臺以及歐美等多個國家及地區(qū)的互聯(lián)網(wǎng)數(shù)據(jù)服務(wù)公司。

1、進(jìn)入“系統(tǒng)常用管理功能 ” - “Windows域用戶統(tǒng)一登錄 ”, 如下圖：

2、設(shè)置域驗證的方式，域名稱和域IP等參數(shù)

3、設(shè)置參數(shù)后重啟文檔服務(wù)，可以用域賬號直接登錄文檔系統(tǒng)

可以用域賬號直接登錄，也可以實現(xiàn)混合用戶登錄

4、同步域組和域用戶

可以導(dǎo)入選擇的域組、用戶賬號，實現(xiàn)組織結(jié)構(gòu)同步

AD域是什么意思？

AD的全稱是Active Directory。AD域是Windows網(wǎng)絡(luò)中獨立運行的單位，域之間相互訪問則需要建立信任關(guān)系(即Trust Relation)。信任關(guān)系是連接在域與域之間的橋梁。

兩個域之間不但可以按需要相互進(jìn)行管理，還可以跨網(wǎng)分配文件和打印機等設(shè)備資源，使不同的域之間實現(xiàn)網(wǎng)絡(luò)資源的共享與管理，以及相互通信和數(shù)據(jù)傳輸。

擴展資料：

工作組與域的區(qū)別

1、工作組網(wǎng)實現(xiàn)的是分散的管理模式，每一臺計算機都是獨自自主的，用戶賬戶和權(quán)限信息保存在本機中，同時借助工作組來共享信息，共享信息的權(quán)限設(shè)置由每臺計算機控制。在網(wǎng)上鄰居中能夠看到的工作組機的列表叫瀏覽列表是通過廣播查詢?yōu)g覽主控服務(wù)器，由瀏覽主控服務(wù)器提供的。

而域網(wǎng)實現(xiàn)的是主/從管理模式，通過一臺域控制器來集中管理域內(nèi)用戶帳號和權(quán)限，帳號信息保存在域控制器內(nèi)，共享信息分散在每臺計算機中，但是訪問權(quán)限由控制器統(tǒng)一管理。這就是兩者最大的不同。

2、在“域”模式下，資源的訪問有較嚴(yán)格的管理,至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作，相當(dāng)于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡寫為DC）”。

3、域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。

如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。而工作組只是進(jìn)行本地電腦的信息與安全的認(rèn)證。

參考資料來源：百度百科-windows域

Windows AD域通過GPO設(shè)置客戶端電腦本地管理員賬號密

0x01 介紹

在實際生產(chǎn)環(huán)境中，由于Windows AD域的限制，桌面對客戶端電腦進(jìn)行軟件安裝或其他系統(tǒng)配置時，均需要管理員權(quán)限，而網(wǎng)內(nèi)客戶端眾多，不同客戶端電腦密碼可能都是不同的，也經(jīng)常忘記本地管理員密碼，所以這時候就需要批量變更客戶端的本地管理員密碼。

0x02 環(huán)境介紹

DC：Windows Server 2012R2 域名：yeah.local

CLIENT:Windows 7 已經(jīng)將客戶端加入域

0x03 操作步驟

1. 首先在DC上用于與計算機控制臺，新建一個計算機OU，便于管理，將剛加入域的計算機移動到這個OU中。

2. 在DC上打開組策略管理工具，新建一條策略，命名自己能看懂即可

3.?并對此策略進(jìn)行設(shè)置，依次展開?計算機配置—?策略?—?Windows設(shè)置?—安全設(shè)置?—?安全選項?—?賬戶：重命名系統(tǒng)管理員賬戶?將administrator用戶重命名其他，此處修改為Local_admin。

4.?然后再回到Windows設(shè)置?—?腳本(啟動/關(guān)機)，新建一條啟動腳本。

#啟動腳本內(nèi)容：意思為新建administrator用戶，密碼設(shè)置為passwd1!,啟用此賬戶

net user administrator passwd1! /active:yes

將腳本內(nèi)容復(fù)制到txt，另存為cmd后綴或者bat后綴文檔，然后點開啟動屬性，點開顯示文件，出來路徑，將腳本文件粘貼到路徑中，再點開編輯瀏覽到剛才路徑，選中寫好的開機腳本文件。

另外，有時候還有特殊需求，比如域中客戶端用戶由于一些特殊原因需要本地管理員權(quán)限，有這個需求的時候又不可能每次到跑到客戶端操作電腦，因?此可以使用受限制的群組，設(shè)定，當(dāng)域中某些特定用戶需要有本機管理員權(quán)限的時候就可以直接在AD服務(wù)器上操作即可。

5. 回到用戶和計算機管理工具，在Users中新建一個組，命名為Local-admins并將張三加入到此用戶組測試。

6. 再回到組策略管理工具中，此處依舊掛載在這條GPO策略上，找到計算機配置 — Windows設(shè)置 — 安全設(shè)置 — 受限制的組 新建Administrators 組，并將默認(rèn)需要添加到客戶端本地管理員的用戶與用戶組添加進(jìn)來。

7. 確定后關(guān)閉這條GPO編輯頁，回到組策略管理工具，找到之前新建的yeah-Computers計算機組的OU，右鍵鏈接到現(xiàn)有GPO找到剛新建的GPO，鏈接確定。

8. 此時，到DC服務(wù)器中強制刷新組策略。

#強制刷新組策略命令

gpupdate /force

9. 找一臺客戶端驗證策略是否生效，以本地管理員用戶Local_admin登錄，查看策略是否生效，因為應(yīng)用的是計算機策略，只能在本地管理員賬號下看到策略是否應(yīng)用。

#查看當(dāng)前用戶計算生效gpo

gpresult/r

#如發(fā)現(xiàn)策略沒應(yīng)用，可多執(zhí)行幾次強制刷新策略命令

gpupdate /force

10. 可以看到策略已經(jīng)應(yīng)用，我們再切換用戶，以張三登錄客戶端，右鍵點擊計算機，計算機管理–本地用戶和組–組–administrators，可以發(fā)現(xiàn)當(dāng)前已經(jīng)有我們設(shè)定的用戶組位于本地管理組中了。

到此已經(jīng)完成需求的所有操作，即通過GPO統(tǒng)一設(shè)置域內(nèi)計算機本地管理員賬戶重命名為Local_admin,并在AD上新建一個Local-Admins用戶組，將這個組加入到客戶端本地管理員組中，后續(xù)需要用到本地管理員的域用戶只要在AD上將用戶加入到這個組即擁有本地管理員權(quán)限

AD域到底是什么

Active Directory

什么是活動目錄？

Active Directory 可幫助 IT 團(tuán)隊監(jiān)控各種網(wǎng)絡(luò)對象，授予和撤銷不同的用戶權(quán)限，并將各類策略在網(wǎng)絡(luò)中順利實施。例如，管理員可以創(chuàng)建一組用戶并為他們分配對服務(wù)器上目錄的特定訪問權(quán)限。然而，隨著網(wǎng)絡(luò)的發(fā)展，管理員可能很難跟蹤用戶、登錄詳細(xì)信息、資源分配詳細(xì)信息和權(quán)限。Active Directory 是最重要的 IT 基礎(chǔ)架構(gòu)工具之一，它可以幫助管理員管理用戶配置流程、安全性和審計，并提供從單個位置訪問每個用戶帳戶的權(quán)限。在 Active Directory 的幫助下，用戶可以按邏輯組織成組和子組，以提供訪問控制。

AD域管理

在 Active Directory 中，數(shù)據(jù)存儲為對象。對象可以理解為單個元素，例如用戶、組、應(yīng)用程序或設(shè)備。對象可以是資源或安全主體，如用戶或組。每個對象都有一個名稱和屬性。例如，用戶名可能是名稱字符串和與用戶相關(guān)聯(lián)的信息的組合。

Active Directory 結(jié)構(gòu)由三個主要組件組成：域、樹和林?？梢詫⒍鄠€對象（例如使用同一 AD 數(shù)據(jù)庫的用戶或設(shè)備）分組到一個域中。域具有域名系統(tǒng) (DNS) 結(jié)構(gòu)。多個域可以組合形成一個稱為樹的組。樹形結(jié)構(gòu)使用連續(xù)的名稱空間以邏輯層次結(jié)構(gòu)排列域。樹中的不同域共享安全連接并在層次結(jié)構(gòu)中相互信任。這意味著第一個域可以隱式信任層次結(jié)構(gòu)中的第三個域。多棵樹的集合稱為森林。管理員可以在各個級別分配特定的訪問權(quán)限和通信權(quán)限。此外，森林還包括目錄架構(gòu)、共享目錄、域配置和應(yīng)用程序信息。全局編錄服務(wù)器提供林中所有對象的列表，架構(gòu)定義林中對象的類和屬性。組織單位 (OU) 管理組、用戶和設(shè)備。每個域都可以包含自己的 OU。

域樹結(jié)構(gòu)

Active Directory 提供多種服務(wù)，例如域服務(wù)、輕量級目錄服務(wù)、證書服務(wù)、聯(lián)合服務(wù)和權(quán)限管理服務(wù)。這些服務(wù)屬于 Active Directory 域服務(wù) (AD DS)。AD DS 隨 Windows Server 一起提供，旨在管理客戶端系統(tǒng)。AD DS 可以被認(rèn)為是 Active Directory 的主要服務(wù)；它存儲目錄信息并負(fù)責(zé)用戶和域之間的交互。當(dāng)用戶嘗試通過網(wǎng)絡(luò)連接到設(shè)備、服務(wù)器或資源時，AD DS 會檢查授予用戶的登錄憑據(jù)和訪問權(quán)限。SharePoint Server 和 Exchange Server 等其他產(chǎn)品也依賴 AD DS 進(jìn)行資源訪問。

Active Directory 證書服務(wù) (AD CS) 創(chuàng)建、共享和管理證書。這些證書使用戶能夠通過 Internet 安全地交換信息。

Active Directory 輕型目錄服務(wù) (AD LDS) 具有與 AD DS 相同的功能。AD LDS 可以使用輕量級目錄訪問協(xié)議 (LDAP) 存儲目錄數(shù)據(jù)，并在單個服務(wù)器上運行多個實例。LDAP 應(yīng)用程序協(xié)議存儲與目錄服務(wù)中的對象相關(guān)的數(shù)據(jù)，例如用戶名和密碼，并在網(wǎng)絡(luò)上共享它們。

Active Directory 聯(lián)合身份驗證服務(wù) (AD FS) 使用單點登錄 (SSO) 的概念來驗證用戶，并允許他們在單個會話中訪問不同網(wǎng)絡(luò)上的多個應(yīng)用程序。使用 SSO，用戶只需為每項服務(wù)登錄一次。

Active Directory 權(quán)限管理服務(wù) (AD RMS) 通過加密服務(wù)器上的內(nèi)容來保護(hù)機密和離散信息免遭未經(jīng)授權(quán)的訪問。

Active Directory 附帶 Microsoft Server 操作系統(tǒng)，并提供多種功能和服務(wù)。Active Directory 可幫助 IT 專業(yè)人員將訪問權(quán)限分配給新員工（帳戶配置）并撤銷離開公司的員工的訪問權(quán)限（帳戶取消配置）。雖然 Active Directory 域服務(wù)在組織中發(fā)揮著至關(guān)重要的作用，但它本身并不提供針對網(wǎng)絡(luò)犯罪的安全性。如果存在可疑活動，IT 團(tuán)隊需要手動查看日志并花時間查明需要糾正的區(qū)域。這是因為 Active Directory 附帶的集成工具在企業(yè)級別可能不是非常有效或有用。

因此，我們還可以利用第三方工具對域進(jìn)行有效管理，接下來就給大家介紹幾款A(yù)D域管理、審計、自助服務(wù)工具。