windows AD域安装及必要设置

一、安装AD域

运行dcpromo命令,安装AD域。

步骤:

1.win+R

2.dcpromo

图例:

百度百科关于“dcpromo”解释:

dcpromo命令是一个“开关”命令。如果Windows 2000 Server计算机是成员服务器,则 运行dcpromo命令会安装活动目录,将其升级为域控制器;如果Windows 2000 Server计算机 已经是域控制器,则运行dcpromo命令会卸载活动目录,将其降级为成员服务器。

二、常用功能

创建用户、创建组织等等

三、禁用强制密码策略

四、允许创建用户登录

把域控用户添加到、、、、策略。

1、使用VM创建虚拟机,并设置静态IP

使用NAT方式

1)设置Virtual NetWork Editor

需要注意将Use local DHCP service to distribute IP address to VMS 设置为取消选中状态。

点击NAT Settings查看网关IP

2)宿主机设置网络共享

2、windows搭建AD域

请读者参看:

http://wenku.baidu.com/link?url=W4_YpAVc4n8oNT9-afyfJYHpNTZa5TuIjPRLKaOb80sHnsstY9A2xwfeA-V7KhfDwldJ7hWHGovGO3TWancQLPNcm-MMazaSaffZgWgN-YG

3、Linux加入AD域

  1. yum install krb5-libs krb5-devel pam_krb5 krb5-workstation krb5-auth-dialog

  2.  

    yum install samba-winbind samba samba-common samba-client samba-winbind-clients

1)修改DNS

(1)      编辑网卡配置文件/etc/sysconfig/network-scripts/ifcfg-eth0,添加DNS为AD域服务器地址,如:DNS1=192.168.56.10,其中192.168.56.10是AD域服务器IP。

(2)      编辑/etc/sysconfig/network更改主机名: 更改为长主机名,主机名加域名:例如域:domian.com,更改后的主机名host.domian.com.

(3)      执行service network restart,重启网络。

(4)      以上操作完成后,在命令行执行ping domain.com应该可以ping通,其中domain.com是AD域的域名。如果ping不通,请检查防火墙以及DNS的配置。

2)时间同步

请读者参看http://blog.csdn.net/ablo_zhou/article/details/5658916

3)加域

(1)setup命令

(2)

(3)

(4) 这里选择/bin/bash

(5)

(6) 成功后将会显示如下提示:

(7)      编辑/etc/samba/smb.conf,修改如下一行,可以实现登录时不需要输入域名 winbind use default domain = true

(8)      启动相关服务并设置开机自启动,执行如下命令:

Service smb start

Chkconfig smb on

4)测试加域是否成功

(1) # wbinfo –t ##测试RPC通讯,提示succeeded表示成功

cheTEST the trust secret for domain DOMAIN via RPC calls succeeded

(2)# wbinfo -u ##查看域用户
          DOMAIN\guest
          DOMAIN\administrator
          DOMAIN\krbtgt
          DOMAIN\barlowliu
          ……以下省略……

(3) ##如果如上,则读取正常

(4)# wbinfo -g ##查看域组
          DOMAIN\domain computers
          DOMAIN\cert publishers
          DOMAIN\domain users
          DOMAIN\domain guests
          DOMAIN\ras and ias servers
          DOMAIN\domain admins
          DOMAIN\schema admins
          DOMAIN\enterprise admins
          ……以下省略……

上述两个命令执行后如果可以看到域中的用户和组则正常。如果提示如下,则表示与域控制器同步还未完成。

(5)测试ntlm组件

// 关闭防火墙

ntlm_auth --username=administrator
           password: ##输入用户密码
           NT_STATUS_OK: Success (0x0)
 (6)验证代域
           # net ads testjoin
           Join is OK

4.   创建共享目录,即用户家目录

(1) 创建用户家目录,在此以/apps为例,具体目录可以自己规定,注意/etc/samba/smb.conf配置文件也要相应的改变,并要把家目录设为共享目录,

共享目录设置请参考nfs文件共享

mkdir /apps

chmod 777 /apps

(2) 编辑文件/etc/samba/smb.conf,在[global]添加如下几行:

template homedir = /apps/%D/%U

follow symlinks = yes

wide links = yes

unix extensions = no

在[homes]下添加如下几行:

[homes]

comment = Home Directories

read only = no

writeable = yes

(3)编辑/etc/pam.d/system-auth以及/etc/pam.d/sshd,两个文件中都加入如下一行:

session required pam_mkhomedir.so skel=/etc/skel umask=0077

(4)启动相关服务,执行如下三个命令

service smb restart

(5) 测试家目录是否可以成功创建,在命令行su成AD域用户jhadmin,在家目录/apps/domain下查看是否创建用户的家目录(与jhadmin同名的目录),

如果成功创建,则相关配置正确。

5.  解决uid不同问题

将以下内容拷贝到/etc/samba/smb.conf的[global]中

idmap uid =20000-29999

idmap gid =20000-29999

idmap config domain:backend= rid

idmap config domain:range  = 20000000-29999999 注意:domain(为短域名大写)

winbind enum users =yes

winbind enum groups= yes

winbind separator =+

注:如果uid仍不统一,则需要清理samba数据库:rm –rf /var/lib/samba/*.tdb,然后重新加域。

6. 使用域账户直接登录

重新启动linux,账户名输入域账户,传统为HADOOP\user  ,经过上述配置读者可以直接使用用户名称,而不用再加短域名。

原文地址:https://www.cnblogs.com/klb561/p/9271279.html

时间: 2024-11-05 15:44:40

windows AD域安装及必要设置的相关文章

linux 加入到WINDOWS ad域

以下是从网上搜集到的内容 概念: 1. DC AND AD DC是Domain Controller的缩写,即域控制器,AD是active directory的缩写,即活动目录. Domain Controller是一台计算机,实现用户,计算机,目录的统一管理. AD(活动目录)是一种存储协议,基于LDAP. 两者完全是两种概念,DC也可以不基于AD实现,比如基于数据库或文件,当然目前微软还没有这样的实现. 在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等.尽

Windows AD域升级方法

前面的博客中我谈到了网络的基本概念和网络参考模型,今天我们来谈企业中常用的技术,Windows AD 域,今天我的笔记将重点讲解Windows AD 域的升级和迁移方法,通过3个小实验进行配置,真实环境可能和虚拟机上的有些差异,请注意.(部分内容参考博友王哥哥哥哥和51CTO论坛上的一些资料,进行配置验证)如有错误,请各位博友批评指正. 实验一:Windows server 2003AD 升级到Windows servers2008AD 环境:1台Windows server 2003 域控,域

MySQL Windows ZIP 免安装版的设置和启动

MySQL Windows ZIP免安装版,设置和启动的过程其实挺麻烦的.下面一步一步介绍使用的过程: 1.下载Windows (x86, 64-bit), ZIP Archive: 2.解压zip文件 3.复制mysql下的my-default.ini,在同目录下创建my.ini.简单的配置: basedir = D:/mysql-5.6.22-winx64 datadir = D:/mysql-5.6.22-winx64/data character-set-server=utf8 4.设置

Windows AD域管理软件到底能解决什么问题?

Windows AD域管理软件是什么?ADManager Plus是一个简单易用的Windows AD域管理工具,帮助域管理员简化日常的管理工作.通过直观友好的操作界面,可以执行复杂的管理操作,比如批量管理用户帐号和其它AD对象.指派管理权限并生成全面的AD域分析报表.另外,该AD域管理工具还提供手机App,便于随时随地进行重要的用户管理操作.免费版支持管理1个域内100个对象! Windows AD域管理软件到底能解决什么问题?简化重复性.繁琐复杂的AD域管理工作自动执行AD域管理任务和生成报

Windows AD域管理软件是什么?

Windows AD域管理软件是什么? ADManager Plus是一个简单易用的Windows AD域管理工具,帮助域管理员简化日常的管理工作.通过直观友好的操作界面,可以执行复杂的管理操作,比如批量管理用户帐号和其它AD对象.指派管理权限并生成全面的AD域分析报表.另外,该AD域管理工具还提供手机App,便于随时随地进行重要的用户管理操作. 免费版支持管理1个域内100个对象! Windows AD域管理软件到底能解决什么问题? 简化重复性.繁琐复杂的AD域管理工作 自动执行AD域管理任务

ASA防火墙实现windows AD域LDAP认证

很多公司通过ASA防火墙实现VPN用户远程访问公司内网,但默认情况下需要为每个用户分配一个VPN账号. 而企业内部人员都有自己的域账号,如果能使用域账号访问VPN,这样会大大改善用户体验. 以下我们通过LDAP实现ASA与AD域的集中认证. LDAP(Lightweight Directory Access Protocol),轻量级目录访问协议.它是目录访问协议一个标准,基于X.500 标准且可以根据需要定制. LDAP 目录中可以存储各种类型的数据:电子邮件地址.邮件路由信息.人力资源数据.

Windows下ruby安装和ri设置

1. ruby最强大的web框架ruby on rails .必学的.所以可以直接安装RailsInstaller. 地址:http://www.railsinstaller.org/en .安装过程默认勾选添加环境到PATH. 2. 更改gem镜像到http://ruby.taobao.org/ $ gem sources --remove https://rubygems.org/ $ gem sources -a https://ruby.taobao.org/ $ gem sources

Windows AD域管理软件

原文地址:http://blog.51cto.com/13922960/2174548

Windows活动目录系列---配置AD域服务的信任(1)

在一个多域的AD林中,AD域之间会自动生成双向传递的信任关系,这样能够在所有的AD域之间有一条信任通道.在林中自动创建的信任都是可传递的信任,这表示如果A域信任B域,B域信任C域,那么A域就会信任C域. 下面列举几种主要的信任关系: 信任类型 传递性 方向 描述 父子信任 传递 双向 当一个新的AD域加入到现有的AD域树中,会自动创建父子信任关系 根树信任 传递 双向 当一个新的AD域树加入到现有的AD林中,根树信任会被自动创建 外部信任 非传递 单向或双向 外部信任能够将资源的访问权限开放给W