第十一章 活动目录的维护

第十一章活动目录的维护

内容摘要

本章重点介绍Windows2000活动目录数据的存储过程和维护方法。重点包括：

? 活动目录数据的备份和恢复

? 活动目录数据的优化

? 活动目录的维护程序

考点提示

? 活动目录的授权恢复和非授权恢复

? 管理活动目录对象移动的程序：Movetree

? Ntdsutil.exe的应用

11．1 活动目录维护简介

造成Windows2000活动目录故障的原因很多，后果也不完全相同，如系统不能启动，不能登录，网络访问和网络验证出现故障等。当活动目录出现故障时，首先应查找可能引起故障的原因，然后根据掌握的资源情况，制定修复策略，对活动目录进行修复。

11．2 活动目录数据的维护

Windows2000活动目录将数据存储在一个事物数据库和日志文件中，对活动目录数据进行维护可以在系统出现故障时，如硬盘损坏或者软件系统崩溃而导致数据丢失时，对数据进行有效的恢复。活动目录数据维护的关键在于对活动目录数据库和日志文件进行有效的维护。

Windows2000服务器对活动目录数据提供如下的维护方法：

? 备份和恢复。使用Windows2000自带的备份工具可以对活动目录数据库进行备份和恢复。活动目录数据库在Windows2000中是整个系统数据的一部分。

? 移动。Windows2000服务器支持将活动目录数据库从一个地方移动到另一个地方，注意移动一个活动目录数据库文件后，原文件并不会自动删除，而是继续存在，这儿的移动和复制有一些相似。

? 碎片整理。频繁的数据库访问会造成磁盘空间利用率下降。碎片整理可以重新排列数据库中的数据，回收可以利用的磁盘空间。

11．2．1 活动目录数据的存储过程

Windows2000活动目录使用可扩展的存储引擎(ESE)对数据进行存储。ESE应用事务和日志的概念将数据存储在数据库和事务日志文件中。所谓事务（Transaction），是指系统作为一个不可分割的整体进行处理的更改、添加、删除等操作的集合。

活动目录数据存储的基本过程如下：

1、为数据库更改创建一个事务

2、向日志文件中写入事务

3、将事务写入内存缓冲区

4、将更改在系统空闲的时候写入数据库

5、更改指向日志中未写入数据库的数据项的指针。

由上述存储过程可以看出，系统向数据库中写入数据之前首先要向日志中添加相应的事务日志。然后再对数据库文件做更改。这样能够保证在数据库更改失败的情况下根据事先记录的日志数据对数据库文件进行还原。

由于日志文件和数据库文件在更改过程中存在一个时间差，日志文件更改在前，因而日志文件中的更改往往比数据库中的新。

11．2．2 活动目录数据库的存储文件

在ESE存储数据的过程中，使用到的文件包括：

? 数据库文件(Database Files)。活动目录数据库文件的文件名是Ntds.dit，存储路径是：%Systemroot%＼NTDS。Ntds.dit中包含活动目录的所有信息。

事务日志文件（Transaction log files）。事务日志文件存储提交到数据库的事务。

事务日志的文件的文件名为Edb.log，大小默认限制为10M。如果超过10M，系统会

重新创建一个日志文件，原有的日志文件更名为Edb*****.log,*****表示从1开始

递增的一个数字。

Windows2000默认使用的日志文件在提交到数据库后不会马上清空，直到备份后才清空。这样，当活动目录数据库不能访问，而日志和备份存在的情况下，系统能够将数据库内容恢复到最新状态。如果管理员使用了循环（Circular Logging）日志，系统最多允许同时存在四个日志文件，如果日志容量继续增加，则覆盖最早的日志文件。

校验点文件(Checkpoint Files)。校验点文件(Checkpoint Files)是一个指针文件，指针指明事务日志中已经提交到活动目录数据库的事务。每一次事务从日志提交到数据

库文件，指针会自动指向下一个没有提交的事物。

在系统出现故障后，校验点文件提供数据恢复点信息。例如，由于电源故障系统关闭时没有将日志中的记录写入数据库文件，在下次系统启动时校验点文件自动将没有提交的数据写入对应的数据库文件。检验点文件(Checkpoint Files)的文件名是Edb.chk。

保留日志文件(Reserved Log files)。当运行过程中硬盘空间不够，不能创建新的日志文件时，系统会向保留日志文件(Reserved Log file)中写入事务数据，随后发出警报

并关机。正常情况下保留日志文件(Reserved Log file)并不存储数据，只是占据着一

定的硬盘空间，在空间不够时使用。保留日志文件(Reserved Log file)共有两个，名

称分别为：res1.log和res2.log。

11．2．3 活动目录数据的优化

随着访问和更改的增加，如果对活动目录数据库不加以维护，数据库文件的访问性能会不断下降。Windows2000为此提供了一系列优化方法。这些优化方法属于标准的数据库优化方法，与SQL Server和Exchange Server的数据库优化方法基本相同。

活动目录数据库优化方法包括垃圾整理（Garbage Collection）、数据库碎片整理（Database Defragment）和其它一些离线数据库文件优化程序。

1、垃圾整理（Garbage Collection）

讲解垃圾整理（Garbage Collection）之前，首先要介绍一个墓碑（Tombstone）的概念。

墓碑（Tombstone）是一个对象被删除的标识。活动目录中的对象存储后会被复制到多个域控制器中，在多个域控制器中存在多个副本。当一个副本被删除后，其它的副本会被复制回来。因此，Windows2000活动目录删除一个对象不是简单地将这个对象直接从数据库中清除，而是在这个对象上作一个被删除的标识，这个标识会不断地复制到多个域控制器中，

做过标识的对象系统认为与被删除等同，不再处理和复制。

经过足够长的时间，系统中被删除对象的所有副本都会有被删除的标识。系统设置一个期限，称为墓碑生命期（Tombstone Lifetime）。超过墓碑生命期（Tombstone Lifetime）的墓碑被认为是过期的墓碑（Expired Tombstone）。根据网络复制速度，墓碑生命期（Tombstone Lifetime）可以调整，默认值是60天。

垃圾整理（Garbage Collection）是Windows2000活动目录的一个进程，它负责周期性收集过期的墓碑，将它们从数据库中彻底清除。如果将过期的墓碑当作垃圾的话，垃圾整理（Garbage Collection）就是一个定期收集垃圾的应用程序。

2、数据库碎片整理（Database Defragment）

活动目录数据库使用一段时间后,随着新增数据和删除数据的增多,数据库文件中会

产生很多碎片,也就是本来应该连续的数据被分割存储.这样系统在搜索活动目录对象过程中搜索范围增加,显著影响系统性能。为克服由数据库碎片产生的问题,Windows2000引入数据库碎片整理程序以清除碎片。

数据库碎片整理（Database Defragment）将不连续的数据写到连续的空间中以提高系统性能。经过数据库碎片整理（Database Defragment）后，记录再被更新后将写到活动目录数据库的最大的连续空间中。

数据库碎片整理（Database Defragment）可以在线维护，也可以离线维护。

在线数据库碎片整理（Database Defragment）。

在线数据库碎片整理（Online Database Defragment）是指数据库正常使用状态下进行维护。在线数据库碎片整理（Online Database Defragment）虽然不必终止系统工作，但维护工作对系统性能有负面影响，因此维护周期不能太短，而且最好在系统工作负载最小的时间进行。默认状态下系统每隔12小时自动进行一次在线维护。

在线数据库碎片整理（Online Database Defragment）不减少数据库文件大小，但可以优化数据库性能，并为存储对象整理出更好的存储空间。

离线数据库碎片整理（Offline Database Defragment）。

离线数据库碎片整理（Offline Database Defragment）是指在活动目录数据库不在使用的情况下进行维护。因此，进行数据库碎片整理（Database Defragment）之前，首先要终止活动目录的工作。终止活动目录的工作通过使系统进入目录服务恢复模式完成。

在目录服务恢复模式状态下，系统基本功能正常工作，但活动目录相关服务不启动。

活动目录数据库终止工作后，可以使用命令行程序ntdsutil.exe对活动目录数据库进行整理。离线数据库碎片整理（Database Defragment）彻底重新整理数据库中的全部数据，并创建一个新的经过压缩的数据库文件。经过数据库碎片整理（Database Defragment）后的活动目录数据库文件可能比原文件小很多。

3、Ntdsutil.exe应用程序的使用。

Ntdsutil.exe是一个系统提供的用于活动目录管理的命令行工具。Ntdsutil.exe的功能很多，使用Ntdsutil.exe可以对活动目录数据库文件进行维护，如数据库文件的修复、检查、压缩、移动和转储等；可以在活动目录中列出站点、域和服务器信息；还可以管理操作主机，执行验证恢复，创建域等。

默认情况下，Ntdsutil.exe在Windows2000安装好后自动存在于%Systemroot%＼System32目录中。

Ntdsutil.exe对活动目录数据库文件的维护需要在活动目录恢复模式下运行，在命令行首先执行Ntdsutil.exe，然后执行files选项，后面可以执行针对文件的系列命令选项。可以执

行的针对文件的相应开关包括：

Compact 文件压缩：将目录数据库文件进行压缩并存储到另外一个文件夹，将压缩后的新文件覆盖原有文件，删除新建文件，这样就减少了活动目录数据库文件占据的硬盘空间。

Info 显示活动目录数据库文件的信息：包括数据库文件的目录和文件大小，备份目录，工作目录，日志目录等。

Move 移动数据库文件和日志文件：将当前的活动目录数据库文件和日志文件移动到指定的文件夹中。移动目录数据库后，系统重新启动时将自动从新的路径调用活动目录数据文件。

Recovery 执行数据库软恢复：能够将写入日志但还没有提交到数据库的记录马上提交到数据库中，在系统不正常关机等情况下会产生一些没有提交到数据库的日志记录。

Repair 执行低级修复功能，一般情况下不建议使用，可能会导致活动目录正常数据的丢失。

Set Path 设置数据库路径，日志路径，和NTDS路径。

除了对文件的管理之外，Ntdsutil.exe还有如下功能选项：

? Domain Management：创建新的域，升级域控制器，指定操作主机等。

? Metadata Cleanup：清理活动目录中不使用的服务器对象。

? Security Account Management：管理安全帐户数据库

? Semantic Database Analysis：语法检查器

实验1 ：离线维护活动目录数据库

1、启动计算机，选择进入活动目录恢复模式。

2、命令行中执行Ntdsutil.exe。

3、执行files

4、执行Compact to :＼，对活动目录数据库进行压缩。

5、执行Move db to :＼，对活动目录数据库进行移动。

11．3 活动目录数据的备份与恢复

11．3．1 活动目录数据的备份

Windows2000提供了方便的方法，使活动目录的备份变得非常容易。Windows2000支持在线备份，使管理员可以在不终止活动目录正常工作的前提下对活动目录数据库进行备份。

由于活动目录备份的同时活动目录所依赖的系统数据也自动备份下来,所以事实上并不能对活动目录单独进行备份。在Windows2000中，管理员可以通过选择备份系统状态数据（System State Data）的方法备份活动目录数据。

域控制器中的系统状态数据（System State Data）内容包括：

活动目录数据：包括活动目录数据库文件和日志文件

SYSVOL共享文件夹中的数据：在SYSVOL共享文件夹中存储着组策略模板和登录脚本程序。

登记项（Registry）：登记项（Registry）中记录与计算机配置有关的数据

系统启动文件（System Startup Files）：系统启动文件（System Startup Files）是在Windows2000 Advanced Server启动过程中需要的文件。

类注册数据库（Class Registration Database）：类注册数据库（Class Registration Database）中存储相关服务应用程序的信息。

证书服务数据库（Certificate Service Database）：证书服务数据库（Certificate Service

Database）中存储Windows2000 Advanced Server用来验证用户身份的证书。

上述数据中活动目录数据和SYSVOL共享文件夹数据是域控制器所特有的。

如果要备份系统状态数据（System State Data），需要具有足够的权限，默认情况下，Administrators，Backup Operator，Server Operator组拥有备份的权限。

需要特别注意的是使用Windows2000自带的备份工具备份只能进行本地系统信息的备份，如果需要在一台域控制器上对所有的域控制器进行备份，需要第三方备份软件。

图11-1

实验2 ：备份系统状态数据和活动目录数据

1、打开备份向导。

2、选择备份系统状态数据（System State Data）

注意如果需要，可以使用备份中的计划功能使系统状态数据实现自动备份。

11．3．2 活动目录数据的恢复

由于硬件或软件失败，Windows 2000活动目录的数据可能被破坏。域控制器中活动目录数据受到损坏后系统不能正常启动。

为使域控制器恢复到损坏前的状态，需要对活动目录数据进行恢复。恢复活动目录数据的方法有两种。

第一种恢复方法是重装域控制器，并将这个域控制器加入到原来的域中。通过域控制器之间正常的目录复制过程，活动目录数据可以从现有正常工作的域控制器复制到新建的域控制器。这种方法的优点是不需要为恢复做事前的设置，但必须保证网络中存在至少一个正常工作的域控制器。

第二种恢复方法是使用备份和恢复工具从事前的备份中恢复损坏的数据。这种方法不需要重装系统以及配置域控制器，但实现恢复的前提是事前对活动目录数据进行备份。

使用备份和恢复程序从备份中恢复活动目录有两种方法：非授权恢复方式

（Nonauthoritative Restore）和授权恢复方式（Authoritative Restore），两种方法都需要在离线（Offline）状态下进行。

1、授权恢复（Authoritative Restore）

执行授权恢复可以在网络中同时存在多个域控制器时恢复某一个域控制器上被误删除或者更改的活动目录对象。

当域中同时有多台域控制器时，系统对域的活动目录数据进行备份。假设使用一段时间后，系统活动目录损坏，需要进行恢复。从磁带中恢复的数据是一段时间前的数据，而在这段时间，活动目录对象做过一些其它的更改，在对象被恢复后，经过不同域控制器之间活动目录的复制过程，该对象最新的更改会从其它的域控制器中复制过来。这个过程可以使恢复的活动目录保持最新状态，但当特意要使一个对象恢复到一段时间前的状态时，就需要特别处理了。授权恢复可以将特定的对象恢复到备份时的状态。

授权恢复的原理是将备份中恢复过来的特定对象手工标识为最新，从而防止被其它域控制器中的对象副本覆盖。

活动目录数据库中的对象是根据对象的版本号（Version Number）判断的。对象的每次更改版本号自动加1，因此，版本号越高的对象越新。授权恢复（Authoritative Restore）根据备份与恢复时间间隔向被恢复对象分配一个新的版本号，规则是每间隔一天，版本号增加十万，这个数值足够保证恢复对象的版本号比当前网络中实际使用对象的版本号大得多。

由于被恢复的对象版本号高，因此会覆盖网络中所有该对象的副本，结果使该对象回复到备份时的状态。

当授权恢复容器对象时，容器中包含的所有对象也将被恢复。

进行授权恢复首先必须进行非授权恢复，然后再执行Ntdsutil.exe，选择Authoritative Restore，输入需要授权恢复的对象路径和名称。

注意：不能授权恢复活动目录的Schema数据。因此架构的更改不能使用授权恢复。

2、非授权恢复（Nonauthoritative Restore）

非授权恢复使活动目录数据恢复到它备份前的状态。

由于非授权恢复仅仅对数据进行恢复，当同时有多台域控制器的时候，对一台域控制器进行非授权恢复后，从其它域控制器中会向这台域控制器中复制备份后更改的记录，从而使被恢复的域控制器经过一段时间后，目录数据保持最新。

Windows2000中自带的备份程序能够执行活动目录的非授权恢复。

在恢复活动目录后，Windows 2000自动执行数据库一致性检查，重新对目录数据库进行索引，然后使用其它域控制器中的数据副本更新被恢复的活动目录对象和文件复制服务（FRS）。

图11-2

实验3 ：对Windows2000活动目录执行恢复

1、重新启动系统进入活动目录恢复模式。

2、打开Windows2000自带的备份程序。

3、选择恢复，重新启动计算机，完成非授权恢复。

4、重新启动系统进入活动目录恢复模式。

5、打开Windows2000自带的备份程序。

6、选择恢复，不重新启动计算机，使用Ntdsutil.exe对数据库进行授权处理。

7、重新启动计算机，完成授权恢复。

11．4 活动目录的支持工具

Windows2000中除了能够对活动目录进行正常管理、备份和恢复之外，还提供了很多支持工具，提供不同的功能。这些支持工具存储在Windows2000 Server安装光盘的

＼SUPPORT＼RESKIT 目录下。其中最常用的包括：Movetree.exe，Ntdsutil.exe，Eseutil.exe等。

Movetree.exe：是一个将对象从一个域移到另一个域的命令行程序。可以移动的对象包括帐户和组织单元等。

Ntdsutil.exe：是一个功能强大的活动目录处理程序。能够执行的任务和操作方法在本章前面列出，也可以在命令行中输入命令后通过“Help”查看。

ESEUtil.exe：修复、检查、压缩、移动和转储目录数据库文件。（其中的许多功能被NTDSUTIL 调用。）

其它的工具和功能如下表所示：

工具说明

SIDWalker 设置以前已移动、遗弃或删除的帐户所拥有的对象的访问控制表。

LDP 允许对 Active Directory 执行 LDAP 操作。该工具带有图形用户

界面。

DNSCMD 检查 DNS 资源记录的动态注册，包括安全 DNS 更新及资源记录

的解除注册。

DOMMAP 检查复制拓扑结构、站点和域关系

DSACLS 查看或修改目录对象的访问控制表。

NETDOM5 信任关系的分批管理，将计算机连接到域，验证信任关系和安全

通道

NETTest 检查端对端网络以及已分配的服务功能。

NLTest 检查目前起作用的定位程序和安全通道。

REPAdmin 检查复制伙伴之间的复制一致性、监视复制状态，显示复制元数

据、强行进行事件复制以及知识一致性检测的重计算。REPLMon 显示复制拓扑结构、监视复制状态（包括组策略）、强行进行事

件复制和知识一致性检测的重计算。该工具带有图形用户界面。DSAStat 比较域控制器的目录信息并检测它们之间的差异。

ADSIEdit Microsoft 管理控制台 (MMC) 管理单元用于查看目录中的所有对象（包括架构和配置信息）、修改对象以及设置对象的访问控制表。

SDCheck 检查目录中指定对象的访问控制表的产生和复制。该工具使管理员能够确定访问控制表是否正确继承而且对访问控制表的更改是否从一个域控制器复制到另一个控制器

ACLDiag 确定用户是否被授权或拒绝访问某个目录对象。也可用于将访问控制表还原到默认状态。

DFSCheck 用于管理分布式文件系统 (DFS) 所有方面、检查 DFS 服务器的配置并发性以及显示 DFS 拓扑结构的命令行实用程序。

第3章管理活动目录域

第3章管理活动目录域 教学要求： 理解：域的概念、特点；活动目录的架构；组织单位的概念、特点；域用户账户的概念、特点；域组账户的概念、特点；域组账户的使用原则； 掌握：创建域；将计算机加入或脱离域；将域控制器降级为独立服务器或成员服务器；管理组织单位；管理域用户账户的工作；管理域组账户的工作； 3.1活动目录的概述 活动目录（ActiveDirectory，AD）服务能把网络中的众多资源有效地组织在一起，实现集中管理与统一保护，最大限度地保证资源的可用性与安全性。 活动目录以数据库的形式存放在网络中的一些特定计算机上，这个数据库称为“活动目录数据库”。 1 2 1 2输入： 3 4-6User 3.2 。 一个活动目录的完整逻辑结构称为“域森林”，一个域森林由若干“域树”组成，一个域树有若干“域”组成。 1、域的定义 在活动目录中，域是一种重要的逻辑管理单元，代表了一个独立的安全范围，能包含大量对象的一种容器。 2、域中计算机的角色 有域控制器、成员服务器、工作站。 域控制器是存放活动目录数据库的，是域中必须要有的。其它两种则不是必须的。 所以最简单的域将只包含一台计算机，这台计算机是该域的域控制器。 3、计算机账户 每台计算机都有一个账户来标识自己，这个账户称为“计算机账户”。在Computers容器内

4 5 创建组账户的主要目的是为用户账户分配资源访问权限，但是管理员不能直接对组账户指定管理策略，也就是不能直接控制组账户中各对象的更复杂的行为。 当删除一个组账户时，其包含的用户账户并不会被删除。但删除一个组织单位时，其包含的所有活动目录对象都将随之删除。 （4）组织单位和其他活动目录容器的区别 图标有所不同 普通容器仅起到把一些活动目录对象组织在一起的作用，管理员不能对其设置组策略。 在组策略中只能看到组织单位而看不到普通容器，这说明只能对组织单位设置组策略而不能对普通容器设置组策略。 在上图中右击“DefaultDomainControllers Pllicy”组策略对象，然后在快捷菜单中选择编辑。可以看到各种组策略。

活动目录配置完整版

目录 一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………

一、活动目录配置基本知识 1、活动目录的重要概念 （1）目录服务是一个什么东西 一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中，目录就储存了有关文件的信息。 在一个分布式计算系统中或是一个公共计算机网络（如Internet）中，就有许多用户感兴趣的对象，如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象，而管理人员则想管理对这些对象的使用。 在此文档中，术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于，它既是目录的信息源，而它的服务又可以使用户得到和利用信息。 （2）什么是活动目录 活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务，还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作，从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性，使得在大规模信息的管理及在其中漫游变得很简单，为管理者和终端用户都节省了时间。 （3）为什么需要目录服务 目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性，而且可以查询目录来得到符合属性的对象列表，例如："查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。 目录服务可以： ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。 目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时，目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念 用来描述活动目录的概念和术语中有些是新的，而另外一些则不是。不幸的是，一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前，理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围

《Windows服务器配置与管理》-活动目录与用户管理 大作业文档

连云港职业技术学院 信息工程学院 《Windows服务器配置与管理》 大作业文档 题目：活动目录与用户管理 组别：无 姓名：张昭辉 学号： 12号 专业：计算机网络 091 导师：孙前 连云港职业技术学院信息工程学院 2010 年 12 月

摘要 本文档摘要： Active Directory又称为Windows2000server和Windows Server2003系统中非常重要的目录服务。Active Directory用于存储网络上各种对象的有关信息，包括用户账户、组、打印机、共享文件等，并把这些数据存储在目录服务数据库中，便于管理员和用户查询及使用。活动目录具有安全性、可扩展性、可伸缩性的特点，与DNS集成在一起，可基于策略进行管理。本文档主要是介绍活动目录的设置及通过活动目录进行用户管理的方法。 [关键词] 活动目录的概念、 活动目录与域、 域控制器（即Active Directory）的配置、 管理域用户和组、 新建组织单元、 管理组织单元、

目录 摘要 (2) 第一章引言 (4) 第二章域控制器（即Active Directory）的配置 (5) 2.1 活动目录配置前的准备工作 (5) 2.2 配置DNS服务器 (7) 2.3 配置域控制器（即Active Directory） (20) 第三章新建域用户和组 (30) 3.1 新建域用户 (30) 3.2 新建域组 (34) 第四章新建并管理组织单元 (38) 4.1 新建组织单元（OU） (38) 4.2 管理组织单元（OU） (39) 第五章总结 (44) 第六章参考资料与文献 (45)

活动目录的好处

使用活动目录服务的好处是什么? 完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力，这样可以： ●简化管理任务 ●加强网络安全性 ●通过互操作使用现存网络 简化管理 分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时，他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置，活动目录可以显著降低公司的管理费用。例如，活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。基于下列原因，活动目录可以从以下方面帮助公司简化管理： ●消除冗余管理任务提供对Windows用户账号、客户、服务器和应 用程序以及现存目录同步能力进行单一点管理。 ●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分 发软件，以减少或消除系统管理员为软件安装和配置而安排的多次行程。 ●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的 所有层次上。 ●降低总体拥有成本（TCO）通过使网络资源容易被定位、配置和 使用来简化对文件和打印服务的管理和使用。 活动目录如何简化管理 以层次化组织用户和网络资源，活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。这就减少了冗余的管理任务，同时，通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。 图4：活动目录简化了网络资源的管理 活动目录允许管理员分派特定的管理权限和任务给单独的用户和组，以便更好地使用系统管理资源。如上图所示，特定的管理任务，例如重新设置用户密码，可以被分派给市场机构的办公室管理员。更多的特权功能，如"创建用户"，可以为IT管理员保留。 活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分 发给他们。例如，一个公司可以指定职员容器中的所有用户（无论是从哪里登录到网络上的）均可使用人力资源管理应用程序。活动目录集中存储这些信息，同时，应用智能镜像管理技术自动安装所分配的应用程序，并给予用户访问其桌面系统的能力而无论用户正在使用网络中的哪个工作站。

Windows Server 2008 R2之活动目录服务部署

Windows Server 2008 R2之活动目录服务部署 测试环境： 服务器：计算机名Win2008R2CNDC,已安装Windows Server 2008 R2。 IPV4:192.168.1.13,255.255.255.0,网关地址192.168.1.1 管理员：Bill.XU 实验要求：安装第一个企业根据域控制器域名为https://www.360docs.net/doc/363057911.html,。 部署过程： 以下操作都是以管理员Bill.XU登录完成 方法一：手动部署 1、使用事件查看器(EventVWR.MSC），查看日志情况。并要所查看情况，进行系统诊断，确保安装前系统的状态正常 2、打开网络连接，设置网卡的IP4地址为一静态地址，同时将DNS服务器地址设置为127.0.0.1 3、运行DCPROMO,出现设置向导。设置过程如下图 检测系统是否安装AD域服务二进制文件，如果没有，系统会自动安装(也可以在运行命令之前，通过服务器管理器，添加活动目录域服务角色来安装） 出现活动目录域服务安装向导，选择高级模式（如果不选择此项，安装过程中将无法对有些设置进行更改，如域Netbios名的更改等）

由于这是森林中的第一台服务器，所以选择在新林中新建域。

功能级别，所提供的功能不同。如要使用R2新增的活动目录回收站功能，必须将功能级别提升到2008 R2功能级别。要使用棵粒化密码策略，须将功能级别提升到2008。R2新增了一种功能级别即2008 R2级别。注意功能级别的操作是单向，即当提升到一个高功能级别后，它不能再降为低功能级别。除非得新安装AD域服务 具体见： Appendix of Functional Level Features

AD域控规划方案解析

活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。

1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后，企业信息化建设者和网络管理员可以从中获得如下好处： 1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放的全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展

活动目录服务的基本安装和配置

活动目录服务的基本安装和配置 Active Directory 是用于Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 Active Directory 是用于Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。Active Directory 的优点:信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS 集成、与其他目录服务的互操作性、灵活的查询。 本章主要内容: 1、活动目录的基本概念及其作用 2、在安装活动目录前的目录规划 3、活动目录工具 6.1 活动目录的概念 6.1.1 域 域提供了多项优点: §组织对象。 §发布有关域对象的资源和信息。 §将组策略对象应用到域可加强资源和安全性管理。 §委派授权使用户不再需要大量的具有广泛管理权利的管理员。 要创建域，用户必须将一个或更多的运行Windows 2000 Server 的计算机升级为域控制器。域控制器为网络用户和计算机提供Active Directory 目录服务、存储目录数据并管理用户和域之间的交互作用，包括用户登录过程、验证和目录搜索。每个域至少必须包含一个域控制器。 域树和域林 活动目录中的每个域利用DNS 域名加以标识，并且需要一个或多个域控制器。如果用户的网络需要一个以上的域，则用户可以创建多个域。共享相同的公用架构和全局目录的一个或多个域称为域林。如图6.1 中所示，如果树林中的多个域有连续的DNS 域名，则该结构称为域树。

活动目录-权限管理-AGDLP示例

首先我们需要明确一点：为什么我们需要建立组？ 答案很简单：为了管理方便！ 其实计算机文件或者文件夹的控制权限是在属性的安全的选项卡中设定的，如下图所示： 在“组或用户名称”中可以添加对此文件夹行使权限的用户或者组。 现在来看这样一种情况： 你是一个域的管理员，在文件服务器上建立了一个共享文件夹，用来放置一些财务部专用文档，假如你有两个选择： 1．在安全属性页中一个一个添加财务部的人员并配置相应的权限。 2．在域控制器中创建财务部的组（包含所有财务部人员），在安全属性页中添加财务部组 假设财务部又新来了Ｎ位员工，如果你选择第一种方案，你就需要在安全属性中添加并配置Ｎ位员工，而选择第二种方案，你只需要在域控制器上创建用户帐户的时候指定他们的组为财务部就可以了，而无需修改安全属性中的角色列表。所以，很显然你应该选择第二种方式。尤其是你有很多共享文件夹进行管理的时候，使用组来管理的好处就更能够体现出来了。 通过这个例子你也能够体会到：使用组其实是为了管理方便，用最少的工作获得最好的效果！

明确了组的作用后就来看看本地组、全局组、域本地组和通用组的概念和区别。什么是本地组呢？ 很多时候本地组被人认为是域本地组的简称。其实严格来说，本地计算机上也可以创建属于本机的组，这些组才应该称为“本地组”。它的成员可以来自本地计算机或者所有的可信任域。本地组存储在本地计算机中，而域本地组存储在域控制器上。你如果使用过域，应该有这种体验：使用域帐户登录域中任意一台计算机后，默认情况下是普通的Users组权限，如果要提升成管理员权限，需要把这个域帐户添加到本地计算机的Administrators组中。 全局组的特点是什么呢？ 全局组成员来自于同一域的用户账户和全局组，在林范围内可用。 也就是说能够添加到全局组的成员是本域的成员或者全局组（这样就构成了组的嵌套）。如果在上海的域中创建了全局组A，那么能添加到A中的人只能是上海域中的对象或者是其他可信任域，如北京或大连的全局组。 域本地组的特点是什么呢？ 域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组，在本域范围内可用。 通用组的特点是什么呢？ 通用组成员来自林中任何域中的用户账户、全局组和其他的通用组，在全林范围内可用。但是注意通用组的成员不是保存在各自的域控制器上，而是保存在全局编录中，当发生变化时能够全林复制。 规则就这些，请不要记混。可以简单这样记忆： 全局组来自本域用于全林 通用组来自全林用于全林 域本地组来自全林用于本域 因为只有域本地组专用于在本地赋予权限，所以，通常情况下，域本地组总是最后被应用。下面我们通过几个例子来讲述他们的应用： 康博公司是一个大型的软件公司。公司的业务发展很快，目前在北京拥有自己的办公大楼，总部也因此设在那里，另外在上海也有分公司。公司在企业内部建立了域名为https://www.360docs.net/doc/363057911.html,的域，由于上海的分公司主营外包业务，相对比较独立，于是为其创建了子域https://www.360docs.net/doc/363057911.html,，从而形成了域树。 后来公司管理层经过商议与另外一个物流公司A合作创办了一个电子物流公

2018电大形考任务管理活动目录域

实训目标： 理解域的特点，掌握创建域、管理域以及管理组织单位的方法与步骤；理解域用户账户与组账户的特点、用途，掌握管理域用户账户与组账户的方法与步骤。 实训环境： 6台Windows Server 2008 R2企业版计算机。 实训内容： 假设你是一家公司的网络管理员，负责管理公司的网络。公司希望创建域来管理网络。为此，需要你执行以下工作： ①按照下图1，创建域森林。 图1 具有两棵域树的森林 ②在域https://www.360docs.net/doc/363057911.html,中有三个部门：销售部、培训部和技术支持部，现在需要为这 三个部门分别建立组织单位，并把每个部门的10台计算机加入到各自的组织单位 中。 ③在域https://www.360docs.net/doc/363057911.html,中，为公司员工创建域用户账户，并设置域用户账户的个人信息。 ④对某些用户（例如：临时工），设置这些域用户账户的登录时间以及限制登录地点。 ⑤如果一个用户（如：john）由于生病而在一段时间内无法上班，请禁用他的域用户账户。 ⑥如果一个用户忘记了自己的账户密码，为其重设账户密码。 ⑦一个用户辞职后离开了公司，请删除该用户的用户账户。 ⑧创建组账户，并把一系列的用户账户加入到这个组账户中。

提示：本实训需要搭建五台域控制器，如果学员实训中无法在计算机上运行这么多虚拟机，本实训可以化简为仅搭建 https://www.360docs.net/doc/363057911.html,、https://www.360docs.net/doc/363057911.html,、https://www.360docs.net/doc/363057911.html,三台域控制器。内容②中对https://www.360docs.net/doc/363057911.html,的操作改为对https://www.360docs.net/doc/363057911.html,的操作。 一、创建森林域 ①在此计算机上安装Windows Server 2008 R2企业版。将此计算机的名称设置为dc3，当它升级为域控制器后会自动改名为https://www.360docs.net/doc/363057911.html,。此计算机的IP地址和DNS服务器地址等信息按照图2所示进行配置。 ②以该计算机的本机管理员身份登录，然后使用以下两种方式之一安装活动目录。●单击屏幕左下角的“服务器管理器”图标，然后请转到步骤○3。●单击【开始】→【运行】，输入“dcpromo.exe”后，单击【确定】图标。此时它会自动执行步骤○3～步骤○10，所以请转到步骤○11。 ③在“服务器管理器”中，单击左侧的“角色”，然后单击右边的“添加角色”。 ④在“开始之前”窗口中，单击【下一步】按钮。 ⑤在“选择服务器角色”窗口中，选中【Active Directory域服务】，然后在弹出的“是 否添加Active Directory域服务所需的功能”窗口中，单击【添加必需的功能】，最后单击【下一步】按钮。 ⑥在活动目录安装窗口中，单击【下一步】按钮。 ⑦在“Active Directory域服务简介”窗口中，单击【下一步】按钮。 ⑧在“确认安装选择”窗口中，单击【安装】按钮。 ⑨在“安装结果”窗口中，单击【关闭】按钮。 ⑩单击【关闭该向导并启动Active Directory域服务安装向导（dcpromo.exe）】 ?在“欢迎使用Active Directory域服务安装向导”窗口中，单击【下一步】按钮。?在“操作系统兼容性”窗口中，单击【下一步】按钮。 ?如图2所示，因为是在一个已有森林中新创建子域，所以选中【现有林】和【在现有林中新建域】，然后单击【下一步】按钮。

计算机网络原理 安装活动目录服务

计算机网络原理安装活动目录服务 活动目录(Active Directory)是用于Windows 2003的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。 1．DNS与活动目录 由于活动目录与DNS是集成的，并且共享相同的名称空间结构，因此注意两者之间的差异非常重要： ●DNS是一种名称解析服务 DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收名称查询，并且解析名称查询，或者进行名称解析。DNS不需要活动目录可以独立运行。 ●活动目录是一种目录服务 活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol，LDAP)”向活动目录服务器发送查询。然后要定位活动目录服务器，活动目录客户机将查询DNS。即活动目录用于组织资源，而DNS用于查找资源；只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。2．规划活动目录 为了让用户和管理员操作更为方便，在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计。 ●规划DNS 如果用户准备使用活动目录，则需要首先规划名称空间。在Windows 2003中，用DNS 名称命名活动目录域。选择DNS名称用于活动目录域时，以保留在Internet上使用的已注册DNS域名后缀开始(如https://www.360docs.net/doc/363057911.html,)，并将该名称和单位中使用的地理(部门)名称结合起来，组成活动目录域的全名。 ●规划用户的域结构 最容易管理的域结构就是单域。规划时，用户应从单域开始，并且只有在单域模式不能满足用户的要求时，才增加其他的域。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。在一个域中，可以使用组织单元(OU，Organizational Units)来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。 ●规划用户的委派模式 用户可以将权限下派给单位中最底层，方法是在每个域中创建组织单元树，并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限，用户不再需要那些定期登录到特定账户的人员，这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组，可以仍保留这些账户以备少数管理员使用。 3．安装活动目录服务 首先，用户必须有安装活动目录的管理员权限，否则无法安装。在安装活动目录之前，要确保系统盘为NTFS分区。同时，已做好了DNS服务器的解析，如https://www.360docs.net/doc/363057911.html,。 在安装活动目录前首先确定DNS服务正常工作，下面我们来安装根域为https://www.360docs.net/doc/363057911.html,的域控制器。其操作步骤如下： （1）执行【开始】|【控制面板】|【管理工具】|【配置您的服务器向导】命令，打开【配置您的服务器向导】对话框，如图11-13所示。

活动目录(域控)解决方案

活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日

目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误！未定义书签。

实训3 管理活动目录与用户

实训任务单卡 3 Training Task Card 班级：组别：学号：姓名：实训日期： 【任务1 创建与配置活动目录】实施步骤（老师演示后，学生操作步骤2-8） 1.分析任务要求：创建与配置活动目录 2．创建第一个域 在win2003-1计算机安装window 2003 server 2003，使其成为独立服务器，并将其提升为域控制器，创建网络的第一个域。（在创建域过程中安装DNS服务器到本机，本机的IP设置为.学号.98/24）首先确认“本地连接”属性TCP/IP 中首选 DNS 指向了自己（.学号.98） 在服务器上安装活动目录。命令行：dcpromo 选择“新域的域控制器。 在“创建一个新域”窗口中，选择“在新林中的域”。 在计算机上安装并配置DNS(将DNS指向自己.学号.98) 在新的域名页面中，输入新域的完整域名（FQDN）。（） 在“NetBIOS域名”窗口中确认NetBIOS名。

改变活动目录数据库以及日志存放的路径。(建议将数据库和日志放在不同硬盘上，以提高安全性和性能，在此按默认路径) 在“权限”窗口中，选择一个权限选项。(选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限) 在“目录服务还原模式的管理员密码”窗口中，设置一个密码。（如pa$$worD） 最后，系统显示安装摘要。 3.安装后检查 查看计算机名，查看管理工具（AD用户和计算机，AD站点和服务，AD域和信任关系），查看目录对象，查看AD数据库，查看DNS记录。 注：AD数据库文件保存在 %systemboot%\NTDS文件夹。 查看计算机名。 查看管理工具。 查看活动目录对象。 查看Active Directory 数据库。 查看DNS记录。 4.安装额外的域控制器 在计算机win2003-2计算机上安装window 2003 server 2003，使其成为独立服务器，并将其提升为域的额外域控制器 在服务器上检查“本地连接”属性，确认能否正常通信。(设置IP为：.学号.2/24) 运行“Active Directory”安装向导。命令行：dcpromo /adv 将该计算机设置为现有域的额外域控制器 输入拥有将该计算机升级为域控制器权力的用户名和密码。(用户名必须隶属于目的域Domain Admins 组、Enterprise Admins组或其它授权用户，此项目域为,用户为Administrator) 安装向导从原有的域控制器上开始复制活动目录。 5.创建子域 在win2003-3计算机上安装window 2003 server 2003，使其成为独立服务器,并将其提升为域的子域的域控制器。 注意：win2003-3计算机的首选DNS指向父域的DNS服务器（即win2003-1计算机）在要升级为子域域控制器的独立服务器(win2003-3)上，设置“本地连接”属性。(设置IP为.学号.3/24,DNS为.学号.98，即域控制器的IP，一定要设置DNS的地址！) 运行活动目录安装向导。命令行：dcpromo 选择“新域的域控制器”单选按钮，单击“下一步”按钮；选择“在现有域树中的子域”单选按钮，单击“下一步”按钮。 输入父域的域名以及管理员的账户、密码等。,Administrator，123@abc) 接着输入子域的NetBIOS名。(china) 重新启动计算机，用管理员登录到域中。查看“Active Directory用户和计算机”工具查看子域是否建立成功。 6.创建域林中的第二棵域树 在win2003-1计算机的DNS服务器上新建DNS区域； 展开DNS管理窗口左部的列表，右击“正向查找区域”，选择“新建区域”命令。 在“欢迎使用新建区域向导”界面中单击“下一步”；在“区域类型”中选择“主要区域”。 选择如何复制DNS区域数据（此处选第二项） 输入DNS区域名称，选择“只允许安全的动态更新”或者“允许非安全和安全动态更新”单选按钮。 单击“完成”按钮。 在win2003-4上安装window 2003 server 2003，使其成为独立服务器，并将其提升为域的域控制器。 确认服务器上“本地连接”属性中的TCP/IP的首选DNS指向即.学号.98,并设置IP地址为.学号.4/24)运行活动目录安装向导。命令行：dcpromo 选择“新域的域控制器”，下一步选择“在现有的林中的域树”。

Windows Server 2008 R2 AD活动目录域控制器安装配置手册

金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日

Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件： (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤： (4) 1．首先是“开始>运行”打开运行窗口 (4) 2．运行当中输入“dcpromo”开始安装活动目录 (5) 3．进入安装界面 (5) 4．新建域控制器 (6) 5．设置域控制器的域名 (7) 6．设置林功能级别 (8) 7．安装DNS服务器和全局服务 (9) 8．设置保存数据库、日志文件和SYSVOL的位置 (10) 9．设置目录还原模式的Administrator密码 (11) 10．安装完成自动重启 (12) 11．安装完成后的登陆界面 (13) 12．查看安装AD后的相关的服务，AD活动目录安装完成 (14)

安装部署活动目录条件： 硬件需求 硬件 需求 处理器 最低：1.4 GHz（x64处理器） 注意：Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低：512 MB RAM 最大：8 GB（基础版）或32 GB（标准版)或2 TB（企业版、数据中心版及 Itanium-Based Systems 版） 可用磁盘空间 最低：32 GB或以上 基础版：10 GB或以上 注意：配备16 GB以上RAM的计算机将需要更多的磁盘空间，以进行分页处理、休眠及转储文件。 显示器 VGA（800 × 600）或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标（或兼容的指针设备） 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件（除web版以外） 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间

【免费下载】活动目录管理及维护

注意：预习作业在上课前提交，复习作业在上课后提交，共性的作业在实验课会评讲一下，一般不会单独评讲，统一在习题课做综合解答，请各位组长记录作业出现的问题，提交到教员。预习重点部分，不用做在作业上，是给各位学员预习时的引导线。务必记住80%的精力放在预习。 第一章： 预习作业：1.什么是域？什么是活动目录？活动目录有什么特点？2.什么是域树？什么是林？3.安装域控制器必须具备哪些条件？4.将计算机加入域前，要检查客户机哪些配置？5.DNS 在域中有什么作用？● （预习重点：这章节就开始难了，会有很多的名词要理解：域 域控 活动目录 域树 森什么安全组通讯组等等，工作组只适合小型网络，换句话来说，域就适合更大型网络了啦！更换句话来说，你想当个大一点的网络管理，就一定要学好域了，给几个简单的解释先骗大家懂一下吧：?活动目录：一是目录，二是活动，也就是说有一个目录，它是活动的，不属于一台计算机，属整个域的所有电脑。更具体地说他是一个数据库存储着很多对象，例如：组 帐号 打印机 共享文件等等。它能存储这些对象，就能提供一种很好的服务，能让属这个域的用户能快速查找所需的数据了。?域：前面的课提到过，两种网络环境，一种是对等网，平等，没有谁管谁的，另一种是c/s 组构，有服务器有客户机。而我们本课所提到的域，其实就是c/s 结构，能进行集中管理的，其它的域树和森主要看图再对比书本的文字再理解一下。?域控：那一台用来管理这个域的计算机就是域控了，在这里我们暂且单纯地认域域控只有一台，其实在多域的环境下会有多台的，在后面的课程会详细学习。● 安装活动目录：先检查条件够不够，熟读六个条件，域的安装。?加入域：加入域时候，客户机要设置什么才能加入域，这个很重要，很多学员做实验的时候，两台主机都没ping 就去加域，加不入就在大呼大叫，组长帮组员排错的时候要注意是否ping 通ip,是否ping 通域名，别把每个组员都想得太理想了，没有ping 通就急着去加域的学员及加入域的时候域名都写错了，还敢大呼大叫的学员我见得多了。●看书本5页的图，理解一下域树和域林，当然课只应用到单域，由于单一次接触域，多域只是理论上的理解，不要纠结于怎么创，如果非要纠结也行，请预习第八章。 、管路敷设技术通过管线敷设技术，不仅可以解决吊顶层配置不规范问题，而且可保障各类管路习题到位。在管路敷设过程中，要加强看护关于管路高中资料试卷连接管口处理高中资料试卷弯扁度固定盒位置保护层防腐跨接地线弯曲半径标高等，要求技术交底。管线敷设技术中包含线槽、管架等多项方式，为解决高中语文电气课件中管壁薄、接口不严等问题，合理利用管线敷设技术。线缆敷设原则：在分线盒处，当不同电压回路交叉时，应采用金属隔板进行隔开处理；同一线槽内，强电回路须同时切断习题电源，线缆敷设完毕，要进行检查和检测处理。、电气课件中调试对全部高中资料试卷电气设备，在安装过程中以及安装结束后进行高中资料试卷调整试验；通电检查所有设备高中资料试卷相互作用与相互关系，根据生产工艺高中资料试卷要求，对电气设备进行空载与带负荷下高中资料试卷调控试验；对设备进行调整使其在正常工况下与过度工作下都可以正常工作；对于继电保护进行整核对定值，审核与校对图纸，编写复杂设备与装置高中资料试卷调试方案，编写重要设备高中资料试卷试验方案以及系统启动方案；对整套启动过程中高中资料试卷电气设备进行调试工作并且进行过关运行高中资料试卷技术指导。对于调试过程中高中资料试卷技术问题，作为调试人员，需要在事前掌握图纸资料、设备制造厂家出具高中资料试卷试验报告与相关技术资料，并且了解现场设备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况，然后根据规范与规程规定，制定设备调试高中资料试卷方案。、电气设备调试高中资料试卷技术电力保护装置调试技术，电力保护高中资料试卷配置技术是指机组在进行继电保护高中资料试卷总体配置时，需要在最大限度内来确保机组高中资料试卷安全，并且尽可能地缩小故障高中资料试卷破坏范围，或者对某些异常高中资料试卷工况进行自动处理，尤其要避免错误高中资料试卷保护装置动作，并且拒绝动作，来避免不必要高中资料试卷突然停机。因此，电力高中资料试卷保护装置调试技术，要求电力保护装置做到准确灵活。对于差动保护装置高中资料试卷调试技术是指发电机一变压器组在发生内部故障时，需要进行外部电源高中资料试卷切除从而采用高中资料试卷主要保护装置。

域与活动目录的管理

单元一：Windows Server 2008域与活动目录 任务一：安装Windows Server 2008域控制器 任务描述： 企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。虽然活动目录具有强大的功能，但是安装Windows Server 2008操作系统时并未自动生成活动目录。因此，管理员必须通过安装活动目录来建立域控制器，并通过活动目录的管理来实现针对各种对象的动态管理与服务。同时客户机登录域的操作也是组建域网络必不可少的部分，也是网络管理员应该熟练掌握的基本技能之一。 任务目标： 作为网络管理员，只有明确安装域控制器的条件和准备工作，掌握域网络的组建流程和操作技术，才能在服务器上安装好Windows Server 2008操作系统。为此，可以启用活动目录安装向导，成功安装活动目录后，将使得一个独立服务器升级为域控制器。同时通过任务，还应能够区分登录窗口，例如是登录域不是登录本机的登录框。 任务实施： 一、建立第一台域控制器： 活动目录是Windows Server 2008非常关键的服务，它不是孤立的，与许多协议和服务有着非常紧密的关系，并涉及整个操作系统的结构和安全。因此，活动目录的安装并非一般Windows组件那样简单，必须在安装前完成一系列的准备，注意事项如下： （1）文件系统和网络协议：Windows Server 2008所在的分区必须是NTFS文件系统，同样活动目录必须安装在NTFS分区，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP协议。 （2）域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。在组建一个全新的Windows Server 2008网络时，所安装的第一台域控制器将生成第一个域，这个域也被称为根域，选择根域最为关键。根域名字的选择可以有以下几种方案： 使用一个已经注册的DNS域名作为活动目的根域名，使得企业的公共网络

实验指导书(项目2)-活动目录的安装与配置

实验二：活动目录域服务的安装与配置 实训课时：2 实训目的： 1、理解域环境中计算机4种不同的类型。 2、熟悉Windows Server 2008域控制器、额外域控制器以及子域的安装。 3、掌握确认域控制器安装成功的方法。 实训要求： 这个项目需要分组来完成完成。 1、安装5 台独立服务器win2008-1、win2008- 2、win2008- 3、win2008-4 和win2008-5 要求： 把win2008-1 提升为域树https://www.360docs.net/doc/363057911.html, 的第一台域控制器； 把win2008-2 提升为https://www.360docs.net/doc/363057911.html, 的额外域控制器； 把win2008-4 提升为域树https://www.360docs.net/doc/363057911.html, 的第一台域控制器； https://www.360docs.net/doc/363057911.html, 和https://www.360docs.net/doc/363057911.html, 在同一域林中； 把win2008-3 提升为https://www.360docs.net/doc/363057911.html, 的域控制器， 把win2008-5 加入到https://www.360docs.net/doc/363057911.html,中，成为成员服务器。 各服务器的IP 地址自行分配。实训前一定要分配好IP 地址，组与组间不要冲突。 2、请读者上机实训前，一定做好分组方案。分组IP 方案举例（以第10 组为例，每 组 3 人）：5 台计算机的IP 地址依次为：192.168.10.1/24、192.168.10.2/24、 192.168.10.3/24、192.168.10.4/24、192.168.10.5/24。 3、在上面项目完成的基础上建立https://www.360docs.net/doc/363057911.html,和https://www.360docs.net/doc/363057911.html,域的双向的快捷信任关系。 4、在任一域控制器中建立组织单元outest，建立本地域组Group_test，域账户User1 和 User2，把User1和User2加入到Group_test；控制用户User1 下次登录时要修改密码，用户User2可以登录的时间设置为周六、周日8:00～12:00，其他日期为全天。 实验设备和环境 安装虚拟机和WindowsServer2008系统的计算机5台 实训内容： 1．创建第一个域https://www.360docs.net/doc/363057911.html, ①在win2008-1上设置TCP/IP 协议，并且确认DNS 指向了自己。 ②在win2008-1上安装AD 域服务。 ③在win2008-1上安装活动目录（dcpromo.exe）。注意将DNS服务器一同安装。 2．安装后检查 ①查看计算机名。 ②查看管理工具。 ③查看活动目录对象。 ④查看Active Directory 数据库。 ⑤查看DNS 记录。 3．安装额外的域控制器win2008-2 ①首先要在win2008-2 服务器上检查“本地连接”属性，确认win2008-2 服务器和现在 的域控制器win2008-1 能否正常通信；更为关键的是要确认“本地连接”属性中TCP/IP