文章目錄
- 前言
- 1. 域控服務器設計規劃
- 2. 安裝部署域控服務器
- 2.1. 添加 Active Directory 域服務
- 2.2. 將服務器提升為域控制器
- 2.3. 檢查域控服務器配置信息
- 3. 管理域賬號
- 3.1. 新建域管理員賬號
- 3.2. 新建普通域賬號
- 4. 服務器加域和退域
- 4.1. 服務器加域操作
- 4.2. 服務器退域操作
- 總結
前言
近期想要搭建一套 SQL Server AlwaysOn 實驗環境,由于需要用到域控服務器(DC),所以記錄下域控服務器的簡易安裝配置過程。
1. 域控服務器設計規劃
| Description | Value |
|---|---|
| OS Version | Windows Server 2019 Datacenter |
| Hostname | DCSVR |
| IP | 172.16.206.1 |
| 根域名 | labtest.com |
| NetBIOS 域名 | LABTEST |
2. 安裝部署域控服務器
2.1. 添加 Active Directory 域服務
在開始添加 AD 域服務之前,我關閉了系統防火墻、開啟了遠程服務、關閉了主機休眠,并修改了主機名,以上這些操作并不是配置 AD 域服務所必須的,大家根據自己的情況來做就好。由于我這臺 DC 服務器還要充當我的 DNS 服務器,所以 DC 服務器的
首選 DNS 地址,我設置成了本機 IP。下面我們打開服務器管理器并添加角色和功能,選擇Active Directory 域服務并進行添加。
2.2. 將服務器提升為域控制器
緊接著上面的步驟,我們來將此服務器提升為
域控制器。
由于前面我們勾選了如果需要,自動重新啟動目標服務器選項,所以在功能安裝成功后,會自動重啟服務器。
2.3. 檢查域控服務器配置信息
在域控服務器重啟成功后,我們至少可以發現以下3點不同之處。
不同之處1:域控服務器在重啟后,自身已經完成了加域動作,當我們在登錄服務器時,默認是以域賬號進行登錄的;如果我們需要使用本地系統管理員進行登錄,需要點擊其他用戶,以.\Administrator身份進行登錄。
以域賬號身份登錄:
以本地系統管理員身份登錄:
不同之處2:域控服務器除了自動完成了加域動作,還自動安裝了 DNS 服務。
不同之處3:加域之后在計算機管理中無法看到組和用戶的信息,此時只能在Active Directory 用戶和計算機中看到所有的用戶信息。
3. 管理域賬號
3.1. 新建域管理員賬號
域管理員賬號通常指的是具有對整個域進行管理權限的賬號,例如域管理員(Domain Administrators)組中的成員;域管理員賬號具有廣泛的權限,可以訪問和修改域內幾乎所有對象和設置。由于其權限非常高,因此需要嚴格的安全措施,如強密碼、定期更換密碼、多因素認證等。
3.2. 新建普通域賬號
普通域賬號通常指的是具有一定權限但不是最高級別權限的域用戶賬戶,在 AD 域環境中,普通域賬號可能屬于以下幾個組,他們具有執行特定任務的權限,但權限范圍有限,不像域管理員那樣具有廣泛的控制權。在實際工作環境中,根據組織的需求和安全策略,普通域賬號的權限可能會有所不同;重要的是確保權限的分配既滿足工作需要,又不超出必要的安全范圍。
- Domain Admins(域管理員組):具有對域內所有對象和設置進行管理的最高權限的組,普通域管理員通常不是指這個組的成員。
- Enterprise Admins(企業管理員組):這個組的成員具有管理整個 Active Directory 森林的權限,權限級別高于域管理員。
- Group Policy Creator Owners(組策略創建者所有者組):這個組的成員可以創建、修改和管理組策略對象(GPO)。
- Account Operators(賬戶操作組):這個組的成員可以創建、修改和管理用戶和組賬戶,但不具有刪除賬戶的權限。
- Server Operators(服務器操作組):這個組的成員可以管理服務器服務和設備,但不具有登錄到服務器的權限。
- Print Operators(打印操作組):這個組的成員可以管理打印隊列和打印機。
- Backup Operators(備份操作組):這個組的成員可以執行備份和恢復操作。
新建一個普通域賬號,與上面創建域管理員賬號步驟幾乎一樣,就是不要賦予域管理員權限而已,下面以創建一個名為 DBBAK 普通域賬號為例。
當 DBBAK 這個普通域賬號建立好以后,可以使用 DBBAK 域賬號登錄到其它加入到該域的服務器,但是在登錄域控時會提示
不允許使用你現在正在嘗試的登錄方式。請聯系你的網絡管理員了解詳細信息。此時我們需要將該賬號歸屬到具備本地登錄權限的用戶組中。
如下圖所示,當在使用 DBBAK 域賬號登錄域控服務器時會報錯:
打開本地組策略編輯器,查看是否限制了該賬號進行本地登錄(實際上既沒有限制,也沒有允許):
查看哪些組和用戶允許本地登錄:
將 DBBAK 賬號加入到 Backup Operators 用戶組中,該用戶組的成員具備本地登錄的權限:
再次使用 DBBAK 域賬號登錄域控服務器,此時可以成功登錄上:
至此,關于域賬號的管理就簡單分享到這里啦 ~~
4. 服務器加域和退域
4.1. 服務器加域操作
在服務器加域之前,我們需要正確配置 DNS 地址,以確保該節點可以正常解析域名,譬如我這里需要加入到 “LABTEST.COM” 域,那么需要加域的節點必須可以解析這個域名;此外還需要有一個具備權限加入此域的賬號和密碼;最后,服務器加域后需要進行重啟操作。
在實際工作環境中,管理員往往需要對賬號權限做精細化管理,即遵循
使用具有執行特定任務所需最小權限的原則,所以通常會創建一個專用的域賬號來執行服務器加入域操作,不會隨隨便便使用一個普通的域賬號,更不會輕易使用域管理員賬號。
加域步驟如下:
重啟后進入系統,可以看到當前服務器節點加域成功。
與此同時,從域控服務器上查看,加域后的主機,會自動生成一條主機 A 記錄。
4.2. 服務器退域操作
一般來說將服務器重新加入到“WORKGROUP”工作組,即可完成退域操作,退域也是需要進行重啟操作的。
注意事項:由于退域后服務器將不再與域控制器進行通信,相應的域用戶和組策略也將對其有效,并且失去了與其他域成員的通信權限,因此在實際生產環境中,退域之前,需要確保服務器上沒有正在運行的依賴于域的應用程序或服務,并且做好相關的備份工作。
退域步驟如下:
重啟后進入系統,可以看到當前服務器節點退域成功。
與此同時,從域控服務器上查看,退域后的主機,其主機 A 記錄會被同步清除掉。
總結
域控的管理和維護還是比較復雜的,往往需要具備深入的 Windows Server 操作系統知識,以及網絡、安全和系統管理方面的專業技能,企業一般會有專門的域控管理員去做運維和管理。
兩個音頻文件的合并)
)
)
