AD域组策略计算机配置和用户配置

这节给大家分享一下 ade 改策略跟这个建立用户和组这一方面， 之前呢我们已经把这个预见好了，我们现在的话给他改一下这个策略。墨苑的策略刚开始的时候有很多地方是，呃，根据自己的需求来去更改， 点击工具滚筒条滚下来，找到这个主策略管理器，我们进去 进来主策略这里我们可以看到这个，这个是个焊接方式来的，对应是下面这个，下面这一条的是策略，这个是默认的与策略，我们要进行把它更改一下， 点击右键编辑，从右边这边可以设置这里可以看到他的一个一个简单的一个介绍，在这里 介绍这条策略。呃，目前有一些什么设置，我们可以看到这个用户的密码策略这里可以看到四十二天呢跟跟这些复杂性，这些我们都可以看到，回头呢我们进行编辑，把它改一改， 我们对着这条策略点右键编辑，我们找到这个选项，这方面的选项在计算机配置这里永远都是策略。 云德式设置安全选项，在安全设置这里找到这个用 用户策略。密码策略第一项就是密码的负责性的要求，就是你输入密码的时候要求你大小写字母啊，加上符号啊，加上数字，这些就是一个负责性的要求啊。一般的话我们维护我的话看自己的需求了， 我们为了方便的话就把它禁用到禁用的之后呢就没那么复杂了，说说的就快一点，这个就是密码的长度大小，我们把它设为四位数吧，其他的话暂时不变的。 其他方面呢，大家自己可以去看一看，根据自己的需求啊去改一下这个策略。 下面这个用户配置这里呢我们经常比较用的到的就是一个登录脚本，可以写脚本 让他一开机这台电脑呢，用户电脑登上去就可以隐设到某个盘弧，或者这方面的一个需求。 好了这个策略方面就跟简单的给大家介绍一下这个，接下来我们给大家介绍一下这个金新建用户这方面 在工具这里找到这个用户和计算机这方面，我们这里呢就是细这个玉方面以默认的一个结构，在这里我们要进行把它一个策划来去做方案，来去策划 这个策划方案，这方面呢就是我们要去构想这个公司企业，呃，以后的发展，未来的他是会怎么样的？假设我们有广州分公司、上海分公司，也深圳 分公司，我们要对三个公司进行的去划分，所以我们这里呢可以把它 分开来一下见用户，这些都可以分开来，比如说我们现在建了一个广州的分公司，再建一个深圳的分公司，再建一个上海的分公司， 建好这样的单位的话，方便我们以后维护更更明细一点，更清楚一点，更方便有个有个构思，有这个组织单位的话，接下来呢就把这个新建的用户啊归纳到归归类到每一个地方去， 每一个分公司的单位已经建好了，我们要接着对每个公司，呃，在新建每一每 个部门，每个公司有各自的部门， 这是深圳部门，深圳有什么部门把它分类到呃，此这个单位里，我们现在接着新建其他分公司的部门， 三个分公司的部门分类已经建好了，我们接着来取往下分 部门有了，而且呢每个分公司呢有各自的服务器，文件服务器，我们要进行对文件服务器进行一个 分类啊，包括他们的一个权限，各自部门，各自呃人员，用户对各自公司所在的那个文件访问进行设置也要进行分类， 这是三个分公司的文件，甲醛线这方面的也已经建好了， 接着我们在这里建一个用户，这用户的话命名为深圳 it， 这个深圳 it 呢就是我们用这个用户来去管理这个玉，就是这个用户来去管理这个玉啊，呃，新建用户啊，呃，跟各方面的权限只派，这样这些就免得不用这个超级 管理员来去设置。我们来接的用户这个密码永不过期吧，下一步完成这里不成功，因为呢，我们的那个刚才设的这个密码策略啊，这个密码长度啊，我们设的是一二三四啊，比较简单的四位数，他是不生效的， 这个策略还不生效，所以我们这里要更新一下策略，如果你不更新策略的话，就变得你要重启电脑，重启服务器才生效，如果你不想重启的话，那就更新一下策略。 策略更新完之后，我们接着来去见用户，这里的这个姓名呢，这方面呢可以随便写，等一下还可以修改这个登录名，这里呢就没办法修改的，一次性就把它设好， 密码一二三四，密码永不过期，下一步完成，这个用户已经建好了，我们可以看到他是属于这个深圳这个单位所属下面管理的，我们把这个名字这些都改一下， 我们可以把其他改成这个深圳 it 管理员呢，这方面好，更明显的直观点的可以看到。 那么深圳这里呢，我们还有其他的同事，比如说我们新建一个用户，在深圳这里单位下面建一个用户， 你说张明，我们把这个张明的用户建好，登陆明这边的是不可以用中文的啊，大家要记住 密码，这里我用一二三四作为密码，密码的话这里不能永不过期，不能勾上去，因为他是用户，普通用户我们不能把他啊打成功，因为呢，呃， 让这个用户啊，为了安全起见的话，让他每个月或者是说四十四十多天让他自己来去更换一次密码，这样的话免避免呢这个造成一个危险。 接下来呢，我们在广州分公司这个单位组织下面再新建一个呃，用户， 广州这里的我建立个名字，名字用户为李英的下一步密码一样是一二三四密码，永不过期，不能打成功。下一步 广州建好之后，我们在上海这里分公司建立一个用户，在上海单位里建一个呃，刘海的用户，下一步 好了，深圳这边我们再建一个用户，深圳这边呢，给老板建一个用户，深圳市总部给老板这个陈总 boss 城建个用户密码，一二三四 密码，这个人我就给他勾上永不过期，因为老板吗给他是个永不过期的密码，那上头两天找你又改密码，又说你烦了。用户建完之后呢，我们在分公司建这个 每个部门的组，在深圳这里建立一个组。 好了，深圳这边我建了一个人事部，这边呢选择万用通用，这个这个比较方便一点，以后可以其他方面可以用的到。好，这里是建了一个人事部，接着可以往下建行政部啊，跟其他市场部接着建。 哈喽，我在深圳这边呢，组织这里的新建了好几个部门，我们接着在部门里面的成员呢进行添加， 在添加的过程中如果是说企业很多人的话，我们可以缩小范围在这个位置，这方面呢我们可以直接选定深圳这个分公司来去查找某某人，就不用废弃在列表当中呢，显示太多人了， 显示各个公司的人员，用户都显示出来，所以就很长很长了，我们可以直接选定深圳公司对某某同事进行添加，直接选进来。 别说，我们现在进到 it 部看到 it 部里的成员，我们可以看到有一个成员在里面，我们接着对其他公司分公司进行接着添加成员。 这个部门呢可以选择选中哪个部门，在部门也能看得到，在成员表里也能看得到他所属的部门。 其实这里还有一个要授权的，因为这个是深圳 it 管理员他所有的权，他想要拥有的权限呢，是要可以管理这些用户，新建用户啊，跟用户的这个文件夹访问权限 进行呃指派的，所以我们要在这个管理员这方面呢，要给他这个呃进行增加权限。 好了，这次他就简单给大家介绍一下这个最基本的这个用户新建用户跟策略，跟新建这个部门的组织这方面， 后面各个公司，哎，每个分公司，每个部门呢？就由大家根据自己的需求，根据自己的环境来去设置。

欢迎来到英雄联盟，敌军还有三十秒到达战场，碾碎他们！全军出击！好戏开场了， 咚爆头。保护皮尔特沃夫公民是我的职责，而我会将他负责到底。 我知道你藏着什么秘密。卡米尔，我只需要一点证据而已。我才不是皮尔特沃夫当局的走狗，我是为他的人民效力。 金克斯，你的疯狂是有意义的呢？还是说只是为了宣泄你的痛苦？铁窗生涯就是你最后的结局。哼， 一个能打的都没有。你们知道最强的武器是什么？没错，就是补丁。 你看见过我的小熊吗？再烦我就打你哦。游戏时间到喽。 我从来不玩火柴。世间万物皆系于一箭之上。听好了，我是艾希，我是成功。命运没有选择你， 你可以完全信任普龙阿里斯坦。我想介绍一头母牛给你认识。站在普龙后面，月亮将会升起，夜晚将会永存。 以前他们倒立，但现在他们都死了。懦弱之举，我绝不姑息。诺克萨斯即将崛起。 不要用背朝着我，我就当心你的脑袋，我走到哪也就留到哪。 这一局的 mvp 就是德莱文，德莱文正在脸探草丛。你们将灰飞烟灭。 我令心灵破碎，骨髓成灰。如果你还活着，这就是美妙的一天。风暴恰是生命。欢迎来到祖安。 每个规则都需要被打破一次。我宁愿犯错也不愿什么都不做。明天是我最不担心的事情。不要放弃，直到做对为止。我用双手成就你的梦想。 控制自己，掌控敌人，战胜弱者毫无乐趣。面对浑身恶臭的敌人，双目失明根本不是障碍。 杰克，我没有对手，要刺的快，刺的狠， 天赋，荣耀，信念，还有美图，你们看上去像体面人。我不想 下手太狠。我有一个特点，不擅长倒下，锤子才是主力，我只是负责甩而已。有的时候，你只需要做你自己。有人在这附近见过一位英雄吗？ 我听过很多关于这位英雄和这把锤子的传说。等不及要见他了，每一步都是更接近目标的一步。今天就是我找到那位英雄的一天。 有些东西太重要了，无法放弃。德玛西亚，万众一心，正义与我同在，保家卫国，永远不要忘记吾等为何而战，我将带头冲锋，为了那些不能作战 的人而战！德玛西亚，为了父王，战斗之心至死方休，德玛西亚永世长存！兄弟姐妹们，和我并肩作战吧！ 德玛西亚，无可匹敌！我曾在银色平原漫步，也曾在青草之河垂钓。 这片土地认识我，我们是出生之土的孩子，我们绝不为奴，我能做的别人都不行，所以我责无旁贷。我从没想要成为领袖，我战斗，他们便会追随。我的舞有四十二种形体，他们只看得到一 我，伴着无声的旋律和安静的节奏而动。我记得曾经只是为了快乐而起舞。奶奶总说我喜欢暴跳如雷，我当然很能打。我和四个兄弟姐妹一起长大的。这支舞我去送到 离开这片土地，去他的军河。他们赶尽杀绝。属于我们的时刻就是现在，我们将誓死抵抗，出手要快，步伐要稳，砍了他们，将他们挡回去。为了逝者艾欧尼亚昂扬不灭 可以，或许下辈子你能做个及格的学生，你大限一致，所有生命都有尽头。 金克斯的含义就是金克斯。对我是个疯子。用医生开的证明有什么遗言吗？哈，没有取。 我会给你们数到三的时间。三我想都没想过能有招一日引爆全场。等等，我在想问题。 好了，我想完了。我从污秽和淤泥中复苏。我是灼热的青莲，我是独一的美。 我于杀戮之中盛放，亦如黎明中的花朵。哪一个才是谎言？是面具还是我的脸？此等丑陋 我无法忍受。我的观众已经入场。你有一双摄人心魄的眼睛。我非常喜欢。没有猎物就没有报酬。这样做的感觉真不错了呀。 管好你的嘴，小鬼，否则你会发现自己正躺在基地等重生。除了火药以外什么也没有。 为什么叫我扇子妈呢。我根本就没有扇子。当断不断，必受其乱。 传统与变革齐头并进。我回来是为了那些回不来的人。我在虚空中活了下来。我没有让死亡得逞， 我没有低头认命。卡莎，记好这个名字。只有我能逃过虚空。我回来了也变强了。我小时候很害怕黑暗里藏着的东西，我太傻了， 现在我把那里当成是家。和死亡赛跑吧。 将他们大卸八块，我将划过他们的头顶， 以敌人之血祭我大诺克萨斯。与朋友保持亲密，让敌人保持猜疑，开始大杀特杀 他吧。我已经做出了我的选择。如果你逃命的话，就看不见我是怎么背刺你的了。让开强大的逆口叫来着。 我会学习，我会成长，我会成为老好人。宁可已经不在了。金可是真也什么东西都砸。 现在谁不怕你丑呀哈哈哈。真正的大师永远都怀着一颗血徒的心，无极之道在我内心延续， 不要被骄傲遮蔽了双眼，集中起来的意志可以击中 关顽石。你们的技术太烂了， 眼睛多看东西才会更加清楚。断剑重铸之日， 骑士归来之时，我已经流浪了如此之久，我该怎样继续前行？前车之鉴，后车之师，月见知其主。我的斗志还没有失去，怎样的战斗在等待着我。 鹰的眼睛就是我最强的优势，我活跃在敌人的后方，看看周围有没有敌人，滑落的影子将是你看见的最后一样东西。我们得 马西亚人可没那么好惹。我是太阳的抉择，无论刮风还是下雨，太阳照常升起。享受太阳的荣耀，我绝对不能倒下。

今天为大家演示预控用户创建及加预操作步骤。预控服务器搭建好后，需先创建公司组织架构， 这里随便比喻一个组织架构做演示，假设这是你公司的组织架构，有公司名称、部门及对应成员。 视频内容仅供演示参考，具体以自己公司实际架构为准。在工具中打开 i 用户和计算机选项，选中域名，并右击新建组织单位， 输入公司名称， 再继续在公司 四名称下方新建组织单位，输入对应的部门。 接下来创建部门成员在对应的部门内诱击新建用户， 输入用户姓名及登录名， 按照需求勾选并为用户设置密码， 这里以幺二三四五六七为密码， 提示密码复杂度不够没关系，我们通过组策略修改密码复杂度。点击工具选择组策略管理， 选择你域名下方的左策略对象， 选中 defold domain power s c 并右击编辑， 在计算机配置下方选择策略。 windows 设置安全设置，找到账户策略下的密码策略， 双击第一个选项， 点击已禁用应用，确定 运行 c m d， 进入落实界面， 输入 gilpedit force 并按回车开始刷 星。组策略 好了之后关闭即可。现在密码策略已修改，我们继续新建用户， yeah 用户已全部见完。 现在我们需要将管理员加入到管理组。 dominia 的魅力 接下来我们找一台电脑进行加预演示。 首先将需要加预的电脑的 dns 指向预控服务器， 首选田主玉，备用田腐玉， 右及此电脑，选择属性， 点击重命名此计算机，点更改点机遇并输入域名，点确定 输入预控管理账户密码， 重启电脑， 假设这台电脑是员工 r 三的，右击此电脑选择管理。选择本地用户和组，并点击组。右击 add mini sketters， 并选择属性，点击添加。 输入阿三的账户，并点击检查名称，输入预控管理账户密码， 确定应用保存。说明，这一步仅仅是为了给阿三这个用户本地权限，也可以不给，权限不给的话对本机没有管理权限。 现在在本机登录阿三这个用户的话，这个用户就同时具有本地管理权限。 至此，预控新建用户及嘉峪的基本知识已演示完毕，下期视频将为大家演示一些预控常用的基本策略。再见！

今天教大家如何在局域网环境下批量给公司的电脑做一个批量软件的更新。 首先我们确认一下登录的是 ad 这个用户，然后我们在这个虚拟机上做一个模拟测试。首先我们打开 ad 域里面的策略设置，在所在的 ou 面新建一个策略， 写 h 吧，然后我们可以看见这一个策略，然后我们右键 编辑，然后打开他的用户配置，点击软件配置右键，然后选择分配，然后在这个默认 数据包位置填入一个网络位置，我们这里已经新建好了一个网络的位置，找一下 关于这个网络共享，他的话是一个要设置为艾瑞旺的一个访问权限，我们复制一下这个网络共享的路径， 然后把这一个填进去，然后点击应用，然后确定，然后再点击右键新建一个数据包共享， 看这就是自己的网络路径，然后填着选择一个 msi 格式的一个网络应用安装包，由于我的这个 aj 比较大，大概有一百多兆，所以说他可能响应会稍微慢 一点，好，等他生成了之后，然后我们重新点击他右键，然后点属性，然后部署，然后再登录时安装此应用程序。安全里面添加一个艾瑞旺的访问权限， 权限的话点读取就可以了，然后点击确定，那这个时候我们的策略基本上就是设置完成了，我们刷新看一下 策略已经成功的配置到上面了之后，我们打开运行，输入 gp 策略更新的命列 at， 然后斜杠 foace， 点击确定他会进行一个策略的更新， 等它加载完之后，我们就可以进行一个实际的测试了，我们切换到温七的这个模拟机，然后点击 注销，然后进行一个重新登录的操作。由于我这个安装包比较大，所以说他安装比较时间我就快进了， 他主要的实现方式是通过 ad 玉活动目录，然后进行主策略的升级配置，然后进行一个软件下发， 可以看到我们这个测试公司这一个 ou 里面是有一个 ad 这个用户的，如果说不知道活动目录的话，大家感兴趣的话，我会在下一期 着重的讲一下 ad 与活动目录。当启动完成后，我们可以看到这个 aj 这个浏览器已经成功的安装在这个电脑上了， 然后软件的正常使用都没有什么任何的问题，然后我们再在另外一台虚拟机上看一下他会不会生效，他这个安装时间还是比较长的，我这边做了个快进处理， 同样在这台电脑上也成功的声效安装完成了。经过我多次测试之后，发现有些时候需要在重启登录之后才会安装软件，有些时候 他直接注销就可以安装软件了，大家可以多试一下重启或者注销，都尝试一下，肯定能成功的。

哈喽，又到了我们的分享时间，今天给大家分享一个非常实用的电脑策略配置， 对我们的电脑软件安装行为进行控制，有效的避免恶意程序病毒的执行，通常是非常有用的。在大型企业通常会有预控策略，对用户的权限使用行为进行控制监控。 学会了今天我的分享，其实在我们的家庭电脑使用中，也可以通过我的方法来控制孩子们使用电脑安装软件浏览网页的行为。首先说一下原理，我们必须在电脑用户新建一个非管理员账户，在管理员账户中 我们 win 道的加号收入侦察弹吧。然后打开本地主策略编辑器。嗯，计算机配置 window 的 设置下面有一个安全设置，安全安全设置，打开有一个本地策略，在本地策略里面再打开有一个安全选项，在安全选项里面找到， 在安全选项里面找到用户权限控制管理员批准模式中管理员的提升权限提示的行为，我们将它改为提示凭证 点击应用，这样在非管理员的用户下面运行软件就需要输入我们的密码，这样就保证了系统的安全性。收藏点关注，需要不迷路。

大家好，今天呢是我们这个市场部组织的一场关于 ad 与管理的一个呃系列的一个课程，今天是第一讲， 我先给大家做一下自我的介绍，我是市场部李奇盛，坐在我旁边的这一位想必大家已已经很熟悉了，我们的小帅同学，嗯，小帅可以给大家打个招呼， 我们就把我们的主题进行下去，那我们现在就开始我们今天的一个课程。首先今天的第一节课就是 a d 与网络管理的账号同步， 整体的话我们是分为三部分，第一块就是 a d e 的一个背景介绍，第二块就是 a d e 对接的一些运用的场景。第三块就是 a d e 账号同步的我们同步的 一些方式。呃，前边的两个部分呢，就是稍微过得快一点，主要的内容就是我们怎么来做这个 a d 与账号的一个同步。 下边是第一块就是 a d 域的一个背景介绍，讲 a d 域的话，那第一块就会问到什么是 a d 域？ a d 就是 active directory 活动目录，活动目录是用在 windows server 的目录服务， 活动目录里边包含了活动目录数据库，在数据库里边存储着网络中各种对象的有关信息，比如说计算机用户组等等。那么玉呢，就是将我们的计算机用户账号密码，然后放到一个数据库里边， 使用户使用一个账号和密码能够访问网络中的其他资源，这就是 a d e。 讲 a d e 的话，就一定离不开一个协议叫 ad dep， 而 dep 的话，呃，是一个清亮的目录访问协议，主要用于是目录服务跟 t c p i p 连接或者其他面相传输的一个服务连接。上边儿 目录主要是为了浏览搜索而设计的一个专用的一个数据库，它是成一个树状的一个结构， 就是看咱们这个左边的这个图，这是我们去模拟了一下这个我们自己建的一个 a d 域，就是咱们 a d 域，它可能是一个以域名形式出现， d c 就等于咱们的 penned beat， 然后 d c 等于 com， 它完整的组成了一个域名形式，那么 o u 就是咱们的这个组织单元，也叫也叫做就是它这个树状结构里边的一个树叶， 他是可以做这个多个这个组织单元的。就可能我们的欧优是这个北京分公司跟武汉分公司，那么组织单元下边可能还会包含所属的一个组织或者部门，就比如说我们市场部，还有技术部、四零零研发等部门， 下边是 say name， say name 的话，它是一个公共名称的一个记录的一个名称，比如说我们市场部的呃，柠檬同学，还有就是我们记录部的这个呃 罗公、罗凌空啊，那还有一个就是那个 d n、 d n 的话，它就相当于是呃数据库的一个主见， 就是我们去怎么标识这个记这条记录。比如说林莽这条记录的一个位置，他唯一，他是一个唯一的值，比如说林莽，他就是他的这个路径，就是这样的，就是 c n 等于 这个零芒，等于 o u 等于市场部， o u 等于北京分公司， d c 等于 penalty， d c 等于 come， 这是它的一个路径。 那么下面就讲一下这个 a d e 的一个组成， a、 d e 组成的话，其实是主要分为两部分，但是我们拆分了一下，主要的话是目录服务器就是 a d， 其次的话就是这个 d c 预预控制器，它是可以进行一个数据同步跟验证的，还有就是我们的成员服务器，就是类似咱们预控里边的一些资源，其次就是地位最低的 p c 工作站。 那么接下来大家思考一个问题，我们为什么要用 a、 d、 e 来管理网络？ 在这个里边我们就就是我总结了一下，就是这个 a、 d、 e 的一些功能，比如说它可以做一对一的这种账号的分配，可以做一对多的这种应用的分配，应用权限的分配， 然后可以 ad 可以做这种统一的管理，然后去做用户的一个验证，就密码叫验，还可以做这种权限划分。 这以上呢就是我总结的五个，就是我们去保护数据安全，去统一的这种资源访问，去分配他的权限，去保护我们的内网接入，有一层这个验证的手段，去保证我们资源去访问的时候有控制。 上边讲到了这个 a、 d、 e 用户的一个认证，那么 a、 d、 e 用户的一个认证流程到底是什么样的呢？那这个就是看左边的一个图，就是我们把 a、 d、 e 的 d c 就理解为是一个门口的一个保安，那它是怎么区分这个登录用户跟 这个密码的这个唯一性呢？这就是 d c 来做的，就是它的一个流程是这样的，就是我们使用预账号登录计算机的时候，计算机会教验本地有没有这个 账号，有没有创建账号，然后计算机向 dns 服务器解析预控的 ip 哦，向预控汇报，有人登录将账号密码发送到预控的服务器上，然后由预控在 活动目录里边查找有没有这个账号，有的话就返回可以登录的 ack access k 这个信息，计算机收到了这个登录验证的这个 access k 之后，然后会在自己的本地 user 里边创建账号的一个目录跟配置文件， 然后计算机才才算登录成功了。上边儿就是我们讲到的一个 a d e 用户的一个认证流程，下边儿讲 a d e 对接运用场景，其实这部分呢，我们是想给大家留一个悬念的，就是让大家来自己来探索这个运用的一些场景。 下边我先给大家抛砖引玉一下吧，就是我们传统的方式是基于什么来做的？就是这种策略是基于什么来做的呢？就可能是基于 ip， 基于地址段端口应用， 就是传统的这种原组信息，或者说咱们使用了 panel beat， 还有一个应用的选项，那其实，呃， 对于网络管理来讲，他的 ip 可能是动态的，就是我没有办法基于 ip 来做。那么对接了 iadi 之后呢？我们还有什么属性呢？我们有账号用户组，通过这样来做， 我们就可以去进行其他策略的一些对象去选择。好，我就讲到这，这个接下来的这个运用成绩你就交给大家来探索，下边我们去讲我们自己同步的一个方式。 第一块就是我们基础的功能同步组织架构的一个信息，用过我们产品的同学大概都知道，就是我们有一个 a d e 同步的一个 a p p， 就是在我们的应用商商店， 就是它会把 a d e 上的服务器的组织架构跟账号同步到 pandabete 的这个对象管理里边儿 是我们的组织单位，也就是我们的就是有点类似咱们的这个地址池名称，然后 用户就有点类似这个地址池里边的一些这个账号。你说 ip， 那么它的一个操作步骤就是在我们的应用商店里边去下载安装 a d 同步 a p p， 然后打开我们的组织架构页面， 编辑填写 a d e 对应的一些参数，就是点击开启，然后输入 a d e 服务器的 ip 地址，然后选择 based n， 就是咱们 a d e 同步的一个路径，然后填写预控的账户跟密码， 下边是另一个就是我们同步了组织架构之后，但是我们没有把这个 ip 跟账号的对应关系做同步。那么在 这儿的话，我们讲两个模块儿，一个是 ads 模块儿，一个是 cable sniff 模块儿，这两个模块儿主要是用来做什么呢？先讲第一个 adrs 模块，它主要是用来接收其他程序，比如说我们接下来讲的这个同步方式里边的 ad monitor 这个监听程序跟 ad logger 这个预控脚本 这两种，然后发送到 pandebeet 上边儿的 a d e 认证过程中产生的 ip 与账号的一个对应关系。 那么 k r 五 sniff 模块呢？主要是用来分析经过 panabete 设备的 a d e 认证报文产生的 ip 与账号的一个对应关系。下边儿我们讲就具体讲一下这个呃， 恐怖的一个方式，第一个就是 a d log 预控脚本，它的逻辑是什么呢？就是我们在预控的服务器编辑默认的一个预测率，然后添加用户登录跟注销的一个脚本。 当我们的工作站，当我们的 pc 开机的时候，就会自动执行我们登录的这个脚本，然后把 ad 与账号跟 ip 的对应关系，然后发送到咱们的 panabete 设备上， 然后右边是一个配置的一个图，就是我们选择呃，在这个默认的预控策略里边，然后添加这个脚本，然后添加我们 ad log excel 的这个文件，然后在脚本的参数里边 编辑 panabete 的这个数据口， ip 就是咱们的烂口 ip， 然后默认的七七七七端口，以及它登录登出的动作 logging 跟 log log off 这两个动作， 那么当 pc 关机或者注销的时候，它的脚本也是同样运行，然后把这个信息发送到 pandebee 这上边，然后在咱们的在线用户模块里边去下线这个 ip 跟账号，这是 a d log 余空脚本， 下边是 k 包儿五 sniff 嗅探，它的这个逻辑呢，就是当我们的 panabete 设备，然后接收到来自预控的这个流量，就是我们预控的流量 要经过喷的 beat， 那有一种情况就是呃，不经过，但是也没关系，我们可以镜像或者是我们通过，我们还有一个程序叫做呃 kiver sniff 的一个 应用程序，就是装在预控上边，它的主要作用是什么呢？就是呃，我们可能会有一种特殊的场景，比如说是这种 二层环境部署的，他不具备镜像能力，或者是有多个预控的情况， 它的浴里边有浴鳞，然后有多个浴控，这样的情况下它进项的流量可能是不全的，那么我们就需要用到 keeper sniff 这个程序来安装在浴控上边儿，浴控制器上边儿，然后去把 a d e 认证的豹纹捕获出来， 发送到 panabete 的数据口，然后下边是一个 keeper sniff 的一个程序以及配置的一个图，就是 panabete 的一个 ip， 就是咱们数据口 ip， 也就是烂口的一个 ip。 最后我们讲 edie monitor 监听， edie monitor 监听它的逻辑就是通过安装在这个预控服务器上， 然后去监听 windows 日志的方式，然后把预用户与预控登录日志中的 ip 与账号的对应关系发送到 panabete 里边， 就是我们需要开启 idios 模块，就是 flower idios config in able， 等于一用行。我在我们的这个预控服 服务器上运行 id monitor 程序 p a 的 a p， 也就是我们刚才一直说到的这个 pandabete 的数据口 i p， 然后噢噢噢噢噢噢噢噢噢。 那么我们讲了上边三种的监听的方式，或者说我们同步 ip 与账号对应关系的方式，那么他们到底有什么区别呢？下边我们做一个总结， 这个是他监听的一个逻辑，也给大家讲一下，就是我们在预控服务器里边，就是在 windows 安全日志里边，他会记录与用户登录登出跟行为， 我们在这里边然后去查看预控登录的 logging 日志识别解析 用户的账户跟登录 ip 的字段，然后通过 udp 的协议发送到 panabete 数据口 ip， 然后七七七七端口这边是三种方式的一个实现方式的一个总结。 那 edi monitor 呢？它是装在浴控上边儿，浴控浴控上边儿，然后去监听这个浴控的日志。 windows 安全日志，这个是我们现在主推的一个场景，就是我们主推的一个主要方案， 他是监听日志的，就是他可以看到历史的一些这个登录的一些情况，这是他的一个优点。那么他的缺点呢，就是他需要在预控上边安装程序，可能会对咱们的预控服务器会有一定的资源消耗。 video logging 呢？就是呃，通过编辑默认的预测率，然后下发到 p c， 由 p c 来向 panda beat 发送这个登录。在线登录跟注销的一个动作，它的好处是什么呢？它可以实现实时地用在线登录注销的动作， 但是他有一个缺点，就是呃，他必须要修改预控策略，然后他有一些这个，比如说 windows 的一些这个离离线登录或者是历史缓存的一些认证，这种是没有办法解决的。 这种的场景的话是适用于我们欲控制器可以修改的一个场景。最后 keep our sniff 镜像，或者说 keep our sniff 程序，就是这个是不需要去改动玉的配置， 但是他呢对基础环境就比较高，要求比较高了，他需要你的基础环境具备镜像功能，而且他是实时的一些流量经过 panbeat 的，那么他看的也是实时的离线登录或者历史缓存，他也没有办法解决。 也是一个比较传统的一个方案，就是适用于我们预控制器不容易修改的一个场景来使用它的。 下边是两个思考题，就是 a d s 跟 keeper 五 sniff 模块儿就同步了 ip 与账号的对应关系了， 为什么还需要同步组织架构呢？啊？这个问题呢，可能大家嗯，不太熟悉，我这边给大家就是复述一遍， 就是他的这个实现逻辑呢，是需要通过 poundbeat 网关啊，设备上的一个 a p p 去预控上面，把那个组织架构和账号这个同步下来啊，这是第一个第一个模块。 然后第二个模块呢，是需要在这个预控服务器上面。注意了，第一个模块是在拍那边的网关上面内置的 a p p 去实现的啊，第二个模块呢，是在这个预控服务器上去装这个装一个程序，那这个程序呢，适用于监听这个 啊，认证的一些日志啊，问斗者的日志，认证的日志里面呢，监听的是这个 ip 与账号的这个对应关系，那既然预控的那个预控上面的那个程序就已经监听到了这个 ip 与账号的对应关系，为什么还要多此一举在 kind of beat 的这个 a p p 上去把这个组织架构和账和账号同步一次？呃，答案呢，就是 为了能够基于组去做策略，而不是基于账号去做策略。如果说基于账号做策略的话，这个肯定，嗯，对于实现方式上来说比较难啊，因为小的企业几十个人，大的企业就上万人，那不可能根据一个账号一个账号的去做策略。 所以说第一个问题的答案就是我们需要根据组去做策略，因为 ad 遇上 ad 遇服务器上装的那个程序，他只是监听了 ip 与账号的关系啊，然后把这个对应关系呢发送到 panda b 的上， 到这一步呢，其实我们就已经可以基于账号去做策略了，但是做不到基于，嗯，这个叫做组去做策略，那这就回答了。第一个动作就是我们 我们先要去 a 六一服务器上把组织架构和这个账号同步下来，然后呢这个预控上面的那个监听程序呢，再把 ip 和账号的这个对应关系啊同同步下来，这时候呢，我们就知道这个账号它在哪个组里面啊，这时候呢，我们就可以继续去组去做策略。 好感谢小帅的解答啊，那我继续讲一下这个问题的答案啊，就是这两个模块我们都同步了这个 ip 与账号的对应关系了， 然后在我们的在线用户模块里边去展示了。但是我们去做策略的时候，我们是基于账号来做吗？还是方便点，我们基于这种用户组或者熟组来做呢？当然这个不排除有特殊原因啊，就是有老板，那没 办法，那你只能是通过老板的这这个账号来做，但是我们更多的时候呢，是通过用户组、熟组来做的， 拥护组、工作组的逻辑是人人平等的，就是在这个组下边，就是你是什么策略，我就是什么策略，大家都一样。而 pan beat 同步组织架构是为了将同步过来的账号跟 他的这个数组去做对应，方便我们去通过这种用户组来做这个控制策略。 那第二个问题就是说出 ad logging 预控脚本 clever sniff 秀泰 ad monitor 监听的使用场景为什么有了前两种？就是 ad logging 预控的脚本跟 k 八五 sniff 的这个秀泰，我们最后还会出现 ad monitor 监听的这种方式呢？李老师要不要给我们回回顾一下这个三种方式的这个实际的操作流程？这些程序是安装在哪个地方？ 好，那我给大家讲一下，就是 ad logging 预控脚本，它是这个需要编辑预控的默认策略，然后下发到 pc 上，由 pc 登录账号或者注销账号时，把 ip 与账号的对应关系发送到 ten beat， 然后 k 八五 sniff 嗅探，它是需要 a d e 认证的流量经过 panabete， 相当于是 panel beat 来做。那 a d monitor 监听，它是监听，就是在预控预控制器上安装我们这个程序，由它来监听 windows 安全运行的一些日志。 这是三种场景。那最后一个问题就是为什么会出现 it in monitor 监听的这个方式？这个问题可能可能比第一个问题稍微费脑筋一点，因为第一个问题是从这个呃功能上来做这个解答就行了。那第二个问题呢？可能是 结合，需要结合一些这个实际的使用场景。那么我来给大家解答一下，就是为什么我们有了前两种方式之后，我们还会有 aid monitor 监听的这个呃方式呢？就是呃前边两种实现方法他没有办法 解决。一个是什么呢？就是当我去跟大家去复述的时候，其实已经说到了是第一个是用户，就是 pc 发送登录，登出的时候发送到 panda beat。 第二种是流量经过了 pat beat 是有一个局限性，是一个是实时的，一个是经过实时的。那么 edimotor 监听的方式它可以查看，就是预控的一个历史的一个登录登出的一个情况， 它解决了，就是我们历史记录或者我们 windows 缓存认证的一个机制， 这是 ad monter 监听诞生的一个由来。 ad monter 加 ads 是我们现在就是做这个 a d e 账号跟 ip 同步的一个主推的一个方式。 好的，那谢谢大家，今天感谢这个市场部的这个李老师啊，对这个 a d e 这个场景的一个分享啊，也感谢大家对拍完这个抖音号的一个关注。那今天呢，这次的这个公开课呢，就到此结束了，那我们下次直播，再见。再见，下期再见。

为什么要使用玉？如果你要为一千台电脑设置权限，那你要分别坐在这一千台电脑前工作，相信没有哪个管理员想要用这种傻瓜方式来工作吧，所以应运而生了玉的概念。 预服务器怎么搭建呢？第一步，我们进入安装好的二零一六操作系统的服务器桌面，进入服务器管理器，点击添加角色功能，安装 a d 预服务， 接着一路点击下一步，安装完即可。第二步，配置服务器的 ip 地址，这里我们将它配置成幺九二点幺六八点一零点八五， 接着去安装 dns 服务器，也是一路点击下一步，等他安装成功。 第三步，开始配置预服务成功安装之后，在卢胜图所示会有一个黄色的三角提示标，点开，选择将此服务器提升为预控制器， 进入 ad 域服务配置向导选择添加心灵，创建一个全新的心灵心域，并输入根域名 test 点 cn， 域名尽量为一， 不要与网站其他域名重复，一直下一步都选择默认的选项，设置一下目录服务恢复密码，安装完成后服务器会重启的，我们 在玉下可以创建主用户联系人等。我在域名为 test 点锡恩的玉下创建了特效主与剪辑主，还有张三李四这两个用户， 并给他们设置了账号密码，我将张三加到特效组去，并设置特效组是他的主要组，然后将李氏加到剪辑组， 同样设置剪辑就是主要主，设置主要主的目的是这个主有什么权限，里面的所有用户就有什么权限。 打开存储后台，点击为预设置认证模式，我们就选择预，依次输入预服务器的 ip 预名称、密码等，填写完成后点击保 保存。当状态栏显示审 cd 的就成功加入到玉了。存储界面中就可以看到对应玉中的所有主和用户。 我们在 y 了一个目录下创建了 rand 子目录，用户组选择特效组权限，选择可读可写，并开启回收账的功能，再给剪辑组设置一下子读权限。 如果这台计算机没有加入玉，那他的账号格式为玉米反斜杠玉用户账号。这时候我用属于特效组的玉用户张三的身份进入到存储，拖个视频进去播放正常新建一个文档， 往文档里写入内容也能保存成功。接着我在这个视频上右键删除，删除成功，并且删除的视频也在回收站里了。说明，特效组可读可写，也可删除。 再用剪辑组的理事身份进入到存储，里面的文档内容都能预览，也能将文档复制出去。 当我往文栏里写入文字时，提示保存不成功，铺入一个视频也是不可操作的。说明，剪辑组只有只读的权限。 打开 win 管理全局共享，设置，设置 rend 共享目录，然后点击权限配置， 添加预控管理员 administrator 的读写权限，然后预控管理员可以直接打开存储共享目录，通过预控配置权限也可以实现回收账的功能。在 rent 文件夹属性中添加特效组， 设置他完全控制权限，也就是可读可写可删除。添加剪辑组并设置剪辑组的只读权限，然后应用确定 张三是属于特效组的，我以张三的身份进入到存储，可以新建文件夹，预览，删除也都能操作，并且删除的文件会马上出现在跟目录的回收站里， 所以特效组确实是属于完全控制状态的，可读、可写可删除。 剪辑组有李氏，这个用户同样以李氏的身份进入到存储，李氏能预览里面原有的视频内容， 视频也能复制出去，但新建文件夹或者拖个文档视频进去，都提示没有权限，拒绝执行说明剪辑。注，这个组别只能可读 a、 d、 e 的实现极大地节省了时间，权限管理集中管理成本下降，方便用户使用，各种共享资源，能进行统一管理。

大家好，今天我们来讲一下 a、 d、 e 的搭建与配置。我们先来演示一下 windows server 系统的安装， 我们打开网页去微软官网下载 windows server 二零二二的镜像，那网址我会贴在视频下方，我们选择中文，点击下载。 好，那我们镜像已经下载完毕了。接下来我们在 vm 虚拟机上演示安装 windows sever。 二零二二， 如果还有不会用 vm 虚拟机的小伙伴可以看一下我之前的视频。我们打开 vmwear， 点击文件新建虚拟机，选择典型，点击下一步， 选择稍后安装操作系统，点击下一步，选择微软操作系统，选择 windows server 二零二二，点击下一步， 我们选择一个安装位置， 就叫 server， 点击下一步，我们分配一百个 g， 选择多个文件，点击下一步，点击完成。 我们选择刚刚创建的虚拟机，点击编辑虚拟机，设置内存，我们选择四个 g 处理器，我们选择每个处理器的内核数量为两个，这样一共有四个 cd 杠 dvd， 我们选择使用 iso 印象文件，点击浏览，选择我们刚刚下载好的镜像， 点击网络适配器，我们选择调节模式，点击打印机，我们移除它， 点击确定， 那我们已经设置好了，我们点击开启此虚拟机。在出现 press any king 这句英文的时候，我们点击选中虚拟机，然后按键盘上任意键进入安装， 点击下一页，点击现在安装， 我们选择标准且有图形界面的系统进行安装，点击下一页， 勾选许可，点击下一页，我们选择自定义，点击下一页。 接下来我们等待安装， 那我们现在设置一个密码， 按照要求，我们点击虚拟机 发送， ctrl， 加 alt， 加 delete， 然后输入密码 进入系统， 我们右键 serve 二零二二，点击安装 when we are tools， 我们把服务器管理器最小化， 右键桌面， 点击个性化选择主题拉到最下面，点击桌面图标设置， 把我们待会会用到的计算机和网络放在桌面上，点击应用，点击确定 我们右键桌面，选择显示设置，把分辨率调整为一九二零乘一零八零， 保留更改。 然后在虚拟机的上方有一个 个自由拉伸，我们点击它， 那么 windows super 二零二已经安装完成了。

组策略在部分意义上是控制用户可以或不能在计算机上做什么，例如施行密码复杂型策略，避免用户选择过于简单的密码，允许或阻止身份不明的用户从远程计算机连接到网络共享，阻止访问 windows 任务管理器 或限制访问特定文件夹。这样一套配置被称为组策略对象。 good policy object gpo 我们分三期分别应用三个常见的组策略，这期我们应用一下客户端统一桌面并不可以让用户修改。首先在预控制器上面新建一个文件夹，命名为 gm， 在这个文件夹里面放一张图片，图片尺寸要等于或大于一千九百二十乘一千零八十。然后在 cm 文件夹右键选择属性，切换到共享选项卡，点击共享。在网络访问里 面添加 domain users 素，全线级别设置为读取，然后点击共享。最后看一下共享文件夹的路径，点击完成。我们在任意一台家具的电脑上访问这个共享文件夹，测试是否可以正常访问，看看里面的图片是否可以正常打开，没问题后进行下一步操作。 在服务器里面进入组策略管理，展开后选择组策略对象，在右边空白处右键选择新建，填写组策略名称，然后点击确定。在新建的组策略右键选择编辑，进入到用户配置策略管理模板。桌面桌面，在右边选择桌面壁纸，双击进入， 点击已启用，在墙纸名称里面输入共享文件的完整路径，墙纸样式选择适应，最后点击确定在 eh 这个组织单位，右键选择链接现有 gpo， 选择刚才新建的组策略对象，点击确定，等待九十分钟后策略会自动更新，我们也可以强制更新一下。在命令提示符里面输入 gp update first， 点击回车。正在更新策略，稍等一下，计算机和用户更新完成。 我们使用预账号登录一台问识客户端，同样也强制更新一下组策略，注意普通用户一样有权限更新。组策略正在更新策略，稍等一下，计算机和用户更新完成。因为我们应用的是用户策略，所以只需要注销一下才可以生效， 如果应用的是计算机策略，那么就需要重启一下，注销后再登录。看看桌面壁纸是不是已经更新了，我们在问十一系统上也来测试一下。看桌面同样也是更新了，在问十系统里面，我们修改背景图已经变为灰色， 不可修改，同样在问十一系统里面也是灰色，不可修改。至此，与环境统一，桌面已全部完成。感谢观看，喜欢就点赞加关注吧！

ab 组策略只限制远程桌面剪贴板。默认情况下， rdp 远程桌面连接后， 可以在被控电脑和控制电脑间复制粘贴文件。员工在家远程办公时可能会有一定信息安全风险，可以通过组策略禁止剪贴板重定项功能。右键点击要编辑的组策略对象， 展开计算机配置策略管理模板 windows 组建展开远程桌面服务。远程桌面绘画主机 选中设备和资源重定项双击不允许剪贴板重定项，选择已启用，点击确定，然后重启控制端电脑或利用 gpap day 命令刷新阻策略， 利用 sop 命令确认阻策略生效即可。用户远程桌面时将无法在被控电脑之间拷贝。

接上期视频，今天来讲一下与环境组策略常见问题排查命令及步骤。我们在应用组策略时有时会出现不生效或者部分客户端不生效的问题， 出现这种问题我们需要怎么排查呢？常见的三种方法可以试试看。第一种，使用 g p update force 客户机上刷新策略，同时事件查看器中打开系统的 windows 日志，在应用程序和系统中查看产生的日志事件。 使用 gap date 来查看语法和详细描述，这种办法可以在日志中看一下详细信息，参考解决办法进行处理。 第二种，使用 gp resolve 客户上查看组策略作用结果 cryso 有很多语法，大家可以使用来查看详细描述，在图中可以看到上次应用的时间可以应用的组策略对 对象有哪些。第三种，在运行中使用 shop mse 客户机查看组策略应用报告图中可以看出只应用了用户配置，下面有文件加重定向和桌面，在属性里面可以看看有没有错误信息，是否产生叹号警告提示。找到有红 x 的选项， 并在属性中能看到所产生的日志文件路径，打开日志文件排查问题。以上这些就是常见的组策略不生效的检查步骤，希望对你有帮助。

皓月当空，爱的人手捧星光， 我能去了黑暗一趟， 幻想。

大家好，我是北方有为，欢迎大家收看我的视频，这一期来继续为大家讲解，嗯， vim 二和 weison view 桌面虚拟化的系统性教学，今天呢我们讲解 啊，桌面虚拟化教学零二节，也就是部署 ad 与服务器啊，按照我们这个拓普图来说呢，我们今天就是要做 啊，这一部分的工作，为什么先要做这个啊，就是因为后面啊，我们要做 nfs 存储啊，或者是其他的那些服务器的话， 他呢都得要加入到 ad 玉里面去验证啊。这个 ad 玉呢起了很大的一个作用，所以说要提前把它准备好，然后呢，我们下面 那些工作才可以方便的去进行啊，就是这么一个意思。然后呢，如果说你不太了解这个 ad 的话，我简单的跟你说一下，它的基本的功能就是第一个 管人，第二个管机器，哎，然后再有更详细的呢，你自己去网上啊科普一下去，好好的学一下。 然后他在这个云这个环境中呢，主要是起到一个身份验证，还有这个 这些组建服务器以及这些虚拟机的权限管理啊，就是干这个的。所以说呢，这个 ad 玉在这个云环境中是必须得有的一个东西，而且他的级别还有挺高，如果没有他的话，后面 这些都没法做啊。好，那么今天我们就开始来演示如何去部署一台 ad 域服务器啊，这个 ad 域服务器呢，从网上你可以看文章呃，去学啊，如果感觉比较吃力的话呢，可以跟着我这个步骤 啊，我这呢 ad 玉已经有了，但是为了方便教学呢，我还是仍然带大家从头来做一遍啊，去部署一下这个 ad 玉服务器啊，你准备一台啊，二零一二二二的系统准备好之后呢，跟着我这个步骤来做， 然后你就不说好一台呃 ad 服务器，那么接下来的课程好能跟得上我的啊，这个操作是吧？好，比如， 比如说现在你已经准备好了一台空的服务器了，是吧？那我们怎么去部署 ad 与服务器呢？那么第一点你就是先要把这个主机的 ip 地址还有哎 主机名给他改好，因为 ad 玉的话，我们必须得有一个呃方便识别的一个主机名，然后呢他的 ip 地址必须得是静态的，如果是动态的话，你想想啊，你这电脑一重启之后呢，别人就找不到你这个 ad 玉服务器了，对吧？然后同时我们也把 ipv 六给他取消掉， 因为 ipv 六如果开着的话，其他的那些呃主机在解析你的 ad 域的主机名的时候，很有可能会解析错误，然后就导致呢很多的服务就啊明明是能正常解析到你的 呃啊域名的，但是就是连不上啊，这个服务就是连不上啊，通信也没法通信啊，就是因为 ipv 六的这个问题，因为现在很多的 这个服务呢，他还没有完全兼容的啊。 ipv 六这么啊，这么好啊，所以说我们要把它给关掉，关掉以后我们先改一个 ip 地址，比如说呢，我给他啊，改成 这个一点六，然后呢 dns 服务器地址，因为我们 ad 与跟 dns 服务器呢要部署到一起，所以说这个 dns 服务器地址我们仍然选择 选使用自己的本身的 ip 地址，不要使用幺二七点零点零点幺，因为啊这样说吧，就是这个你用了 啊本身的这个 ip 地址跟保留的那个呃本地的幺幺七点零点零点幺的这个 ip 地址，他俩的区别是什么啊？就是在外部服务器进行解析的时候， 比如说我有一台呃其他的客户机，想要通过矿网段去解析这台呃服务器的这个 ip 地址的时候，他可能会有那种情况，就是 解析到是幺二七点零点零点幺，这样的话就可能会导致你的这个服务出错，然而你使用这个本机这个 啊网络 ip 地址之后呢，他就能正常的解析到啊，就是这个区别，他在跨网络传输的时候还是有区别的，当然如果是在二层网络 的话，可能会没有什么多大的区别，所以说为了打消这些没有必要的麻烦啊，所以我们就电源 s 服务器地址就跟你这个本机 ip 地址是一样的啊， 这样就好了，然后我们确定，然后把这个这样的话，我们 ip 地址静态 ip 地址呢就改好了，改好了之后我们要把主机名改一下啊，稍等， 好，我们来到这以后呢，打开系统属性，然后呢更改，把这个 ad 的计算机名给他改好，比如说我们叫 sort 啊， 或者叫 dc 都行啊，我之前的那个服务器呢是叫 dc， 然后我这里仍然给他叫 dc 吧啊，然后我们点确定，这样的话主机名就改好了，改好 好了之后呢，这些信息已经准备好了，然后我们重启一下系统，重启完系统之后呢，我们就要开始部署 ad 域服务了，部署 ad 域服务分为两步，第一步呢，我们就是要先安装 ad 域服务，然后呢 你服务安装完之后再把它提升为 ad 服务器，哎，这个才算是完成啊。好，重启之后呢，我们选择 打开这个服务器管理器，然后选择添加决策和功能，哎，然后一路下一步，下一步，下一步，然后这个界面我们选择 active， 然后 direct 这个服务啊，然后就是这个， 我给大家放大看一下啊， ad 与服务就是他啊，我勾选的，你就跟着勾选，我没有说到的，你就不要乱勾，不然的话出错啊，注意细节，每一步都看详细了，我们直接下一步，下一步，然后安装， 然后我们等待它安装完成。这个过程呢，根据你当前的这个虚拟级的速度来定啊。好，这个 服务安装完了之后呢，我们就直接在这个主界面选择将此服务器提升为与控制器，这一步呢，就是我们要把这个讯机要给他提升成 ad 与服务器啊，好，我们点击完之后呢， 他会来到这个配置向导这里面，然后我们选择要添加的域名，比如说我们当前呢，就是叫啊 testcom， 如果说你是 公司实际的生产环境中部署呢，这就是你的根域名啊，比如说啊，百度点 com 或者腾讯点 com 啊，这个就是你这个根域名啊， 这呢我们选择是添加的心灵，这样你这边可以写这个啊，新的背地域的域名吗？是吧？然后我们下一步， 好，来到这之后呢，我们把这个给一个密码，就是用来，嗯，故障恢复的时候使用的， 所以说呢，啊，这个密码你一定要记住将来 add 出现服务的啊，这个服务出现问题的话啊，你将来需要还原，然后就得需要用到这个密码，所以说这个密码的级别很高，你要把它啊找一个表格给它记下来啊。好，我们下一步，下一步 稍微等待一会。好啊，这里头默认就行了啊，我们仍然是下一步。 这个 nice bels 啊。域名呢？就是说啊，其他的客户机在聘的时候用啊，哪个域名来聘啊？默认的话就是当前的这个呃域名就可以了，然后这个是 呃 ad 玉他的这个一些日制的存放路径啊，默认的话是在 c 盘的这个位置，如果你想改的话，比如说你想给他改成 d 盘的话啊， 我建议大家只把这个 c 一给改成 d 就可以了。后面的这些路径不要改它，因为将来你在后期进行维护的话会很方便的。呃，参考别人写的那个教程，然后能进行识别， 不然的话你把这个目录改的乱七八糟的话，你将来找这些路径就不好找了啊。啊，我们就默认吧，塞一盘，然后下一步，然后下一步。 现在呢就是在检查他的先决条件，如果之前你的竞猜 ip 跟主机名没有改好的话，这里面可能验证不会通过啊。好，这如果通过以后呢，下边就可以点击安装了， 我们点击安装哎，安装完之后呢就可以重启了，重启之后，然后这台服务器呢就变成了 ad 与服务了啊。 好，我们在稍微等待一会啊。如果您对这个教学视频感兴趣的话， 欢迎来到今日头条 app， 然后搜索北漂运为四个字，就可以根据这些教学的标题找到这些以往发布的过程 啊，这些课程如果你想系统性的学一下的话，从零零一直到幺四啊开始看，然后呢就可以从零基础到这个整个桌面完全发布出来，这个过程你就完全就学会了啊， 然后一些细节性的东西呢？嗯，如果你不太了解啊，或者是我没有讲到的，你就可以去，嗯，搜索一下啊，自己去学一下。 好，现在重启完了，然后我们进入到系统里面看一下，哎，这默认的情况下呢，就是你看这个登录的用户名就发生变化了，原来呢，我们直接是啊，咱们一起起飞的，然后现在呢是前面有个太死的，然后斜杠 迷你组织的，就是说明现在我们这个是玉服务器，然后登录的管理员是玉管理员，哎，然后我们现在登录啊， 哎，这样的话呢，这个 ad 玉服就部署好了，部署好了之后呢，我们再开始菜单，然后呢管理工具，这里面我们找到 用户和计算机，然后把它复制到桌面上去，因为我们后面呢要经常用到他，所以说我们给他复制到桌面上来，哎，然后以后就方便找了，还有这个 dns 啊， dns 也给他复制过去啊， 注意啊，是复制，你别剪切，剪切完了以后这就没有了，然后以后你再来这找的话就找不到了啊， 哎，然后这样的话呢，你看 ad 玉就建好了，建好了之后呢，我们呀从这里面建一个，欧呦，就是组织单元啊，你可以理解为他就是一个大大的目录啊， 然后我们新建啊，新建呢组织单位我们选择，然后这里面呢我们选择云平台 就直接敲个中国名称就可以了，没关系啊。哎，给他建好，建好之后呢，我们确定这个云平台呢，就是专门用来将来存储我们这些云平台里面 发布的所有的组建服务器啊，还有就是业务的讯息啊，还有这些云平台相关 关的人员啊，哎，就都在这里面，比如说你之前有其他的这个什么开发部，什么技术部，什么设计部这些没有关系，跟他们互不影响啊，然后 我们将来就是要跟他们区分开，如果说将来你去给这些平台做什么策略的时候呢，就可以往这个哦呦，下面去挂，然后其他的这些就不受影响啊，避免说你这个 ad 玉呢太乱啊。 好，我们建好云平台这个 ou 之后呢，我们仍然再建一个，新建一个组织单位，这个组织单位呢，我们选择，哎， 叫什么呢？叫 vm 殉机。哎，这样的话呢， 这个里面我们专门存放虚拟机，就是我们云平台发布出来的所有的，不管你是业务的虚拟机还是用来啊， 其他的这些讯息，选择是放这里啊，然后呢再建一个，新建一个组织单位，这里呢我们选择啊用户， 或者你直接用英文选择优作词啊，都是可以的啊。哎，这里我们就用来存放云平台的这些用户，然后用户下面呢，你就可以新建啊，这些什么啊 开发部，然后技术部，什么设计部，哎，这些你在新建啊，这些都可以，然后这样的话呢，这些我们就已经提 先准备好了，将来我们发布这些云平台的机器还有用户，哎，都往这面这下面放，然后我们将来进行管理的时候去再找他的时候呢，我们就方便了，首先来这下面找，然后再找 机器，然后找用户啊，这你就方便了，然后呢因为云平台不单单可以把这些虚拟机发布出来，作为桌面给这些用户用，还有一些呢物理机也可以，是吧？然后我们再建一个 组织单位，这个呢我们就专门用来放物理机，比如说，呃，将来 开发部的，呃，或者是设计部的他的这个物理机呢 说，哎，我这人经常出差，我也想通过这个云平台来访问我的这个物理主机，同时呢我又带带不走让我们，那我怎么样从那个 出差的这个异地去访问我的这个物理机呢？将来我们也可以把这台物理机哎 交付到云平台上来，然后呢我们就会把这台物理机分类到这里面来，哎，这样的话你不就做好分类了吗？是吧？将来你就会，哎，凡是虚拟机的你就可以来这里面找，凡是物理机的呢，甭管是张三还是李四的你就可以来这里面找啊， 然后这些云平台的用户呢，你就可以来这里面找。哎，其他的这些单跑的这些呢啊，你就可以是觉得他是干别的用的啊，这样就是能区分开啊，就是做这个的， 然后呢这个 dns 服务器我们来验证一下啊，你会发现，哎，这个 dns 也已经装好了啊，那么这个呢，就是 ad 玉的一个提前准备把这个做好，然后呢 跟上我下一节课的这个步骤啊，我们下一节课会讲什么呢？会讲这个 就是 nfs 存储，也就是当前呢我们已经把什么做好了呢？我找一下这个 错误涂出来给大家看一下啊。哎， 我们呢第一节课已经把这个 esxi 这个雪景画主机准备好了，然后当前这节课呢，我们已经把 ad 玉准备好了，是吧？哎，准备好了之后，下一节课我们要讲什么呢？要讲这个 nfs 共享存储， 你想啊，你主机准备好了，然后 ad 准备好了，那么下面我们要固守这些组建服务器了，对吧？那么这些组建服务器你打算把这些 组建服务器装在哪里呢？你不可能说装在我这个呃， esx 主机这个上面吧， 那因为这上面只有一个三百 g 的硬盘，只来用来装这个系统的，然后我们要部署的这些训机组建服务器，我们是要都把它丢到这个共享存储里面的，然后将来如果我们要做啊数据备份的话，我们直接把这个 共享存储，哎，这一个服务器里面所有东西都给他备份好就可以了。然后将来比如说这个 esxa 挂掉之后，我们就把它重装一下系统，也没关系，顶多也就是十来分钟就搞定了，是不是？然后你这个数据呢，也不会丢， 将来就从这个共享存储里面再把这些虚拟机，哎，注册回来就可以了。这个就是一个分布式文件管理的一个好处啊，这就是为啥我之前跟你说 按照我这个步骤来，不要在我没有讲到的时候你去啊胡乱的操作啊。嗯，就往里面提前装好训练机，打什么提前量这些都没有必要，因为你可能做的那些步骤都是错的，我们在实际生产的环境当中呢， 可能就不是按照你想象中那么去做的，所以说呢，我讲的这个就是最贴合实际生产环境的去部署的啊，然后，哎，把这一节课都消化完，跟上我的下一节课啊， 这样好，那这一期视频就给大家先分享到这里，我们下期再见，谢谢大家。