Windows Server 2016域控部署-配置域控

配置域控

设置OU

我们的域控安装好了,那么接下来我们要划分下组织单位了。

作为在您的 Active Directory 域中最重要的管理组件之一, OU 可让您将域中所有对象进行分区及组织到一个分层式结构。 OU 可以帮助您:

• 委派权力给系统管理组,使他们能够管理 OU中的某些对象或对象的属性。

• 应用组策略到 OU 下的用户和计算机对象。

• 创建一个分层式结构,可让您能够快速管理域中的对象。

有几个设计 OU 结构的策略。以下 OU 设计策略是最常见的:

《Windows Server 2016域控部署-配置域控》

我们可以把OU先划分一个上海这个地理位置,然后在划分一个广州,然后在上海里面划分一个销售组,一个行政组,这种划分模式,具体更具公司的情况来划分。

打开服务器管理器-工具-AD用户和计算机

《Windows Server 2016域控部署-配置域控》

新建-组织单位

《Windows Server 2016域控部署-配置域控》

新建一个上海的组织单位

《Windows Server 2016域控部署-配置域控》

然后在上海中在新建一个组织单位

《Windows Server 2016域控部署-配置域控》

名字叫Server,到时候我们的服务器都放在Server组中,然后就对这个Server组设置组策略。

《Windows Server 2016域控部署-配置域控》

设置时间同步

我们林中的第一台域控就是PDC主机,也是负责时间同步的服务器,我们下面在PDC中设置下时间,让其他组员都和这台服务器来同步时间。

指定外部时间源并与之同步,在PDC所在的域控制器上的管理员命令行进行操作(PDC角色(默认的域内权威的时间服务源)。

w32tm /config /manualpeerlist:” 3.cn.pool.ntp.org 1.cn.pool.ntp.org” /syncfromflags:manual /reliable:yes /update

net stop w32time & net start w32time

w32tm /resync

W32tm /query /status

《Windows Server 2016域控部署-配置域控》

/manualpeerlist表示外部时间源服务器列表,多个服务器之间可用空格分隔,210.72.145.44是中国国家授时中心的时间服务器ip地址

/syncfromflags:manual表示与指定的外部时间源服务器列表中的服务器进行同步

/reliable:yes设置此计算机是一个可靠的时间源。此设置只对域控制器有意义。

/update向时间服务发出配置已更改的通知,使更改生效

在域环境中,只需设置根域控制器的外部时间源即可,其它服务器在添加进域中时将自动设置与域控制器时间同步。

 

设置组策略

设置域成员的时间同步

服务器管理器-工具-组策略管理

《Windows Server 2016域控部署-配置域控》

我们新建一条全局的组策略

不要去修改默认的组策略,我们要设置全局策略,都新建在自己的策略上。

在我们contost这个域上右键-在这个域中创建GPO并在此处链接。

《Windows Server 2016域控部署-配置域控》

策略名字NTP

《Windows Server 2016域控部署-配置域控》

右键编辑

《Windows Server 2016域控部署-配置域控》

计算机配置—策略-管理模板—系统—Windows时间服务,双击”全局时间配置”,选择”已启用”。

《Windows Server 2016域控部署-配置域控》

修改MaxNegPhaseCorrection的值为3600(即为3600秒,1小时)

修改MaxPosPhaseCorrection的值为3600(即为3600秒,1小时)

修改AnnounceFlags的值为5

点”应用”,”确定”。

《Windows Server 2016域控部署-配置域控》

计算机配置—策略-管理模板—系统—Windows时间服务—时间提供程序,”启用Windows NTP客户端”,选择”已启用”。

《Windows Server 2016域控部署-配置域控》

关闭w32time 并重新启动w32time ,使策略生效

net stop w32time & net start w32time

《Windows Server 2016域控部署-配置域控》

计算机配置策略-Windows设置安全设置系统服务-Windows Time

设置自动启动,防止有些ghost系统优化过把这个服务禁用了。

《Windows Server 2016域控部署-配置域控》

客户端验证NTP

配置客户端与服务器端时间同步 ,并验证

在成员服务器上更新域策略gpupdate/force

与域内NTP服务器时间同步,并验证NTP同步来源

《Windows Server 2016域控部署-配置域控》

w32tm /resync

W32tm /query /status

w32tm /query /source

w32tm /query /peers

《Windows Server 2016域控部署-配置域控》

设置防火墙

我们可以在设置条ping的策略,这个由你自己决定,可能有些管理员为了安全不会去开启服务器的ping回应。

我们新建一条Firewall的策略

《Windows Server 2016域控部署-配置域控》

计算机配置-策略-Windows设置-安全设置-高级安全Windows防火墙-入站规则

设置开启Ping回包

《Windows Server 2016域控部署-配置域控》

点赞

发表评论