零、AD DC CA 组策略
AD类似个数据库。存放用户名密码计算机等信息。IAS读取AD中的用户名密码做验证。
用户vs计算机:
用户,如在AD里建一个lanny用户。该用户可以登录许多计算机。
计算机:某个物理实体。
网络中计算机两种组织形式
1,工作组
域(统一管理&统一身份验证)
统一管理:组策略。如批量给域中计算机部署软件,禁用软件、下发证书等。
统一身份验证:帐号集中管理,通用。
3,DC:装了AD的server2008
4,CA:CA颁发证书,802.1x环节即EAPOL&Radius环境需要证书验证身份。
5,
一、搭建AD:(DNS&AD同体)
1,修改计算机名字DCServer
2,固定DC的IP,DNS指向自己
3,dcpromo 选择DC和DNS:FADN写mxl.com
4,重启后检查:
5,改DNS
6,检查DNSserver 4+6(AD注册的)
net stop netlogon
net start netlogon
7,检查计算机名 DCServer.mxl.com
8,打开AD,DC在domainController组里。不要随意挪动。
以后加入的计算机被分配到commputer里。
9,本地用户变为域用户了。在AD里users组查看。
二、将计算机加入到域:
1,改xp的计算机名
2,配置xp dns到DC的dns
3,创建组织单元tac
当计算机加入域时,自动归类到定义的组
4,创建用户maxiaolang
5,创建计算机WINXP(xp的名字)
6,xp加入域后就归入到tac了
也可以手工:
新建了一个分组
新建xp拖拽到分组里
三、域用户添加到本地管理员组:
先用本地管理员登录 然后修改管理员组成员。
四、统一管理
1,组策略管理(管理用户和计算机)
2,#管理所有组织单元
default domain policy
3,default concollers是保卫DC的,一般别动
4,#管理各个组织单元的:
default domain controller policy
五、为特定的组建组策略
1,新建组策略对象tacGPO
2,右键编辑 windows设置
3,禁止使用软件,calc 其他规则 新建hash规则 找到calc.exe
4,将tacGPO拽到tac,使能策略。,
gpupdate /force
六、安装活动目录证书服务(装http)
1,使用组策略告诉计算机信任哪个证书颁发机构
下载证书 http certsrv
组策略的default domain policy导入
gpupdate /force
七、域用户申请证书
主动申请:mmc 证书 个人 申请
组策略下发域用户证书
证书模板-用户证书-复制-安全(自动注册 注册)
证书模板 新建要颁发的证书
八、可以修改密码复杂度:
修改默认域安全设置
本地策略 账户策略
九、安装radius
在AD中注册服务器,使IAS能够读取AD里面的帐号。
启动NPS服务
初始化IAS,添加802.1x无线(顺便添加客户端),加密选PEAP(当然也可以选AD中哪些组具有访问权限)
添加radius客户端
添加策略:
修改安全无线连接,去掉所有约束,添加时间计划。删除别的条目。
修改网络策略,去掉所有约束,添加时间计划。删除别的条目。
排错:
看日志(装AD的时候)
或事件查看器
tip:
1,用户VLAN接口的dns和wac的DNS一定要指向DC的dns。否则可能出现身份验证问题,
2,win8 10不需要自动配置工具配置。
3,域用户登录过的计算机连接无线时候,默认会使用以域帐号认证服务。
如果想让域帐号做也需要输入帐号密码,则在AD组策略里,修改wifi策略,勾选【不允许共享用户凭据用于网络身份验证】,下发组策略再次登录就需要输入帐号密码了。