搭建域环境

激动ing!!!

本周给我们带来新知识的

是组里的一位表姐

赶快搬起板凳听听这周分享的

又是神魔有趣的内容吧

域是一个有安全边界的计算机集合(安全边界是在两个域中，一个域中的用户无法访问另一个域中的资源)，同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其它机器，不再需要被访问机器的许可。

域控制器(DC)：在“域”模式下，至少有一台服务器负责每一台连入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器”。

域之间无法跨域访问，除非有信任，信任也分单项信任和双向信任。

父域和子域：比如在一个内网中搭建了一个域控，名字叫a.com，这个是父域，在这个内网中，再创建一个域叫b.a.com，这就是子域，父域中可以架设多个子域，有父域有子域就称为域树。父域和子域创建的时候都是相互信任。多个域树连接称为域林。

配置静态ip

我的系统是Windows Server2008 R2 Standard，后面就用server代替了

在server机里面：网络->本地连接->属性 将ip设置为本机ip

配置DNS服务

在配之前把server和win7的防火墙全部关闭

控制面板->系统和安全->windows防火墙->打开或关闭防火墙

主机、server、win7之间相互ping一下，确保三台机子能相互ping通

设置win7的IP，因为要将该虚拟机加入域，所以其DNS也要设置为该域的域控服务器的IP，如果没有配置DNS的话是ping不到域的

在server里面：win+R 输入dcpromo

下一步 在新林中建新域

下一步 输入域名

下一步 选择合适的版本 我的是windows server 2008 R2

下一步 输入密码

下一步 等它安装完重启就好了(登录的时候输的还是server管理员的密码)

win7加入域

先在win7里面ping一下域名，如果不能ping通，试试把server的ipv6关掉

计算机->右键->属性

点计算机名后面的更改设置

更改其域或工作组

加入域之后重启一下就好了

域中新建用户

在server机里面：开始->所有程序->管理工具->Active Directory 用户和计算机

新建用户

去win7登录

新建组织单位，test

将win7移到test里面去

开始->管理工具->组策略管理

在域中创建组策略对象（GPO）

单击编辑即可下发策略 比如禁止更改桌面之类的设置

cmd执行gpupdate force 强制刷新策略，默认是5分钟刷新一次

搭建子域控

新开了一台windows server2008 r2，先配一下ip

能ping到域控就行

win+R dcpromo ，在现有林中建新域

设置一下登录凭据

设置一下子域名

默认站点

完成后重启即可

再装一台win7，也加入到域里面

把这台win7加入到子域里面去

重启即可。然后在子域控里面创建一个用户

win7登录一下

这样一个简单的域树就搭好了，有条件的可以搭个域林出来，在这个基础上再搭一个域树，然后两个主域控互相建立一下信任就是一个域林了。

本期的知识分享就到这里了

不知道大家还有什么疑问呢？？

长按下方的二维码关注我们 

下期表哥们的干货

已经在等你了！！！

原文始发于微信公众号（SKSEC）：【表哥有话说 第83期】内网环境的搭建