首先我们需要先将作为AD(Active Directory)的虚拟机加入域,这样就可以做到物理隔离。
1.打开虚拟机Server Manager,在主页选择添加角色和功能。
2.无脑下一步,在Server Roles中选择活动目录域服务。
选中后点击添加功能,即成功添加。
3.在功能界面点击软件框架,添加其功能(如果已经安装则无需关注,跳下一步)
4.点击安装之前需要勾选安装后自动重启,重启之后,即完成功能添加。
5.安装后点击close,再点击黄色感叹号,新建一个域,选择要创建的版本并设置密码。
(这里我没有打勾,尽管上面有警告提示)
确认路径等一系列操作后点击安装即可。
6.功能安装完成后,在开始页面找到Windows Administrative Tools下的 Active Directory Users and Computers。
7.如下图,此时会出现刚刚创建的域。
8.右键点击创建的域,NEW一个OU(Organizational Unit),并命名
9.在刚刚创建的OU下NEW两个新的OU,我这边以IT,HR为例
10.再分别在HR,IT的OU下添加细分的group充当users(注意区分人物的分组,以防之后搞混)
11.选择需要添加的组,方便日后的管理
12.需要将AD的DNS指向IP地址,组里用户的DNS也需要指向AD的IP地址
13.新开的组内用户的虚拟机一定要加入刚刚创建的域中,之后设置12的DNS地址
14.这样组内人员就能访问AD中的共享文件夹,且在AD内管理员可以修改每个组的权限。
注意:拒绝权限最大!!!
问:不允许HR小组访问IT文件夹,但允许HR组内一名指定成员访问IT文件夹,那此人是否可以访问成功呢?
初次分享经验,欢迎大家提问以及指出问题,谢谢!
