Windows活动目录功能级别详细列表
Windows活动目录功能级别详细列表 域级别
林级别
活动目录术语表
活动目录术语表 整理: A 访问控制(access control)--登录计算机或网络权限的管理。 ACE--参见"访问控制条目"。 访问控制条目(access control entry,简称ACE) --每一个ACE包括一个安全标识符(SID),这个标识符标识这个ACE的应用对象(用户或小组)以及允许或者拒绝访问的ACE信息的类型。 访问控制表(access control list,简称ACL) --用来定义用户/工作组与文件、目录或其他资源相关的访问权限的一组数据。在活动目录服务中,一个ACL是一个存储访问权限与被保护对象相互之间关系的列表。在Windows NT?操作系统中,一个ACL作为一个二进制值保存,称之为安全描述符。 ACL--参见"访问控制列表"。 活动目录-- Windows? 2000支持的一种结构,这种结构可以跟踪和定位网络上任意一个对象。活动目录是Windows 2000服务器中使用的目录服务,为Windows 2000分布式网络提供基础。 活动目录服务接口(Active Directory Service Interface,简称ADSI)--基于组件对象模型(COM)的客户端软件。ADSI定义了一个目录服务模型和一组COM接口,通过这些接口可以使Windows NT 和Windows 95客户端应用程序访问一些网络目录服务,包括活动目录服务。ADSI允许应用程序与活动目录进行通信。 ADSI提供目录服务客户端通过使用一组接口与任何提供ADSI实现的名字空间进行交流
的方法。ADSI客户端通过使用ADSI替代与网络相关的应用程序编程接口(API)调用,从而获得访问名字空间服务的更简单的方法。ADSI 遵守并且支持标准的COM特征。ADSI也定义了可以从自动兼容软件,例如Java、Visual Basic、Visual Basic Scripting Edition(VBScript),来访问的接口和对象,这同样可以应用到非自动兼容语言,例如C和C++,通过这个特性可以增强性能。此外,ADSI提供它自己的OLE数据库提供者,并且可以完全支持任何客户端已经使用的OLE数据库,包括那些使用ActiveX? 技术的。 ADSI--参见活动目录服务接口"。 属性(attribute)--对象的单一属性。对象通过它们的属性值进行描述。例如,可以用属性这样来定义一辆车:制造商、模型、颜色等等。属性这个术语和特性这个词可以相互使用,它们使完全一样的。属性也是用来描述对象的数据项,这些对象通过模式中定义的类来表现的。在模式中,属性和类使分开定义的;这样使得一个属性可以在多个类中使用。参见"对象"。 授权(authentication)--确定用户的身份,即确定究竟是谁登录到计算机系统中的,或确定事物的完整性。 B 备份域控制器(backup domain controller,简称BDC) --在Windows NT Server 4.0或早期的域中,运行Windows NT Server的计算机接受包括域中所有帐户和安全策略信息的目录的拷贝。这份拷贝信息周期性并且自动的与主域控制器中的主备份进行同步。备份域控制器也可以确认用户并且配置成为象PDC类似的功能。一个域上可以有多个备用域控制器。 在Windows 2000域中,备份域控制器是不需要;所有域控制器是对等的,都可以维护目录。当Windows NT 4.0和Windows NT 3.51备份域控制器运行在混合模式下时,可以与Windows 2000域进行交流。参见"域控制器和主域控制器"。 C
AD活动目录域信任关系图解
AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限). 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任,部分用户资源互访。 配置双向信任关系:
活动目录(Active Directory)系列
活动目录(Active Directory)系列之一:为什么我们需要域 对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。从今天开始,我们将推出 Active Directory系列博文,希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。 假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器 Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。 首先,如下图所示,我们在服务器上为张建国创建了用户账号。
活动目录配置完整版
目录 一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………
一、活动目录配置基本知识 1、活动目录的重要概念 (1)目录服务是一个什么东西 一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中,目录就储存了有关文件的信息。 在一个分布式计算系统中或是一个公共计算机网络(如Internet)中,就有许多用户感兴趣的对象,如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象,而管理人员则想管理对这些对象的使用。 在此文档中,术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于,它既是目录的信息源,而它的服务又可以使用户得到和利用信息。 (2)什么是活动目录 活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务,还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作,从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性,使得在大规模信息的管理及在其中漫游变得很简单,为管理者和终端用户都节省了时间。 (3)为什么需要目录服务 目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性,而且可以查询目录来得到符合属性的对象列表,例如:"查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。 目录服务可以: ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。 目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时,目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念 用来描述活动目录的概念和术语中有些是新的,而另外一些则不是。不幸的是,一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前,理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围
活动目录相关概念
域和活动目录 win2003支持的网络结构 1、工作组结构图的网络(对等式网络) 网络上没有专门的服务器,没有集中的数据库所有的资源分散在不同的 网络上的计算机都由本机的本地用户安全数据库审核。 2、域结构的网络 域是管理员定义的一组对象的集合(计算机、用户和组),域是一个安全边界,是由网络上的计算机组成,域中的资源存放在集中数据库内,便于用户的查找和使用,便于管理员的管理。 ●域中计算机的角色 域控制器 在win2000域内,只有win2000 server 才可做域控制器;win2003内只有WEB版不可以做DC; DC内存储了该域的AD数据库,它负责审核域用户的登录、域中资源的管理等; 域内可以有多台域控制器,它们的地位是平等的; 多台DC之间按照一定的频率相互复制数据库保持同步(即保持地位平等); NT域内也有多台域控制器,但只能有一台PDC管理域,其余为BDC 注:额外域控制器的辅助功能: )容错功能; )相互减轻负担; )提高用户的访问效率。 成员服务器 1)具有服务器版本的操作系统; 2)属于某个域中; 3)没有存储AD数据库的称为成员服务器。 注:服务器级的操作系统: windows NT服务器操作系统 win2000server以上版本 win2003所有版本 其它成员 )本身加入某个域中 )是非服务器版本的操作系统 例如:win2000 pro、win99、winNT workstation 等 注:独立服务器 1)本身是服务器版本操作系统; 2)不属于任何域的计算机。 活动目录地相关概念(一) 活动目录是微软目录服务的一种机制,它是用来存储网络上的用户账户、计算机、打印机等资源信息,方便用户的查找和使用。活动目录指的是用户在使用资源时不需要了解该资源存放在哪台计算机上和哪台计算机上有哪些资源! 、名称空间 所谓的名称空间,实际是划分好的区域,在该区域可以通过名称查找到与该名称相关的信息。
活动目录(域控)解决方案
活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日
目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误!未定义书签。
AD域控规划方案解析
活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。
1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理,加强了安全性,扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后,企业信息化建设者和网络管理员可以从中获得如下好处: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展
Windows Server 2008 R2 AD活动目录域控制器安装配置手册
金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日
Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件: (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤: (4) 1.首先是“开始>运行”打开运行窗口 (4) 2.运行当中输入“dcpromo”开始安装活动目录 (5) 3.进入安装界面 (5) 4.新建域控制器 (6) 5.设置域控制器的域名 (7) 6.设置林功能级别 (8) 7.安装DNS服务器和全局服务 (9) 8.设置保存数据库、日志文件和SYSVOL的位置 (10) 9.设置目录还原模式的Administrator密码 (11) 10.安装完成自动重启 (12) 11.安装完成后的登陆界面 (13) 12.查看安装AD后的相关的服务,AD活动目录安装完成 (14)
安装部署活动目录条件: 硬件需求 硬件 需求 处理器 最低:1.4 GHz(x64处理器) 注意:Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低:512 MB RAM 最大:8 GB(基础版)或32 GB(标准版)或2 TB(企业版、数据中心版及 Itanium-Based Systems 版) 可用磁盘空间 最低:32 GB或以上 基础版:10 GB或以上 注意:配备16 GB以上RAM的计算机将需要更多的磁盘空间,以进行分页处理、休眠及转储文件。 显示器 VGA(800 × 600)或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标(或兼容的指针设备) 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件(除web版以外) 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间
网络常用语
A 3GPP(The 3rd Generation Partnership Project,第三代移动通信伙伴项目) AAL层(A TM Adaptation Layer,A TM适配层) ABM(Asynchronous Balanced Mode,异步平衡方式) ABR(A valiable Bit Rate,可用比特率业务) AC(Access Control,访问控制) ACK(Acknowledgment,确认) ACL(Access Control Lists,访问控制列表) ACL链路(Asynchronous Connection-Less,异步无连接链路) ACSE(Association Control Service Element,连接控制服务元素) Active Directory(活动目录) ADCCP(Advanced Data Communication Control Procedure,高级数据通信控制过程)address overloading(地址超载) ADS(Active Directory Service,活动目录服务) ADSL(Asymmetric Digital Subscriber Line,非对称数字用户线路) AES(Advanced Encryption Standard,高级加密标准) AH(Authentication Header,身份验证头) AM(Amplitude Modulation,调幅) AMI(Alternate Mark Inversion,信号交替反转码) AMPS(Advanced Mobile Phone System,先进移动电话系统) AP(Access Point,无线访问点) ARM(Asynchronous Response Mode,异步响应方式) ARP(Address Resolution Protocol,地址转换协议) ARPA(Advanced Research Project Agency,高级研究计划局) ARQ(Automatic Repeat Request,自动请求重发方式) AS(Autonomous System,自治系统) ASIC(Application Specific Integrated Circuit,专用集成电路) ASK(Amplitude Shift Keying,幅移键控) ASP(Active Server Page,活动服务器页面) A TM交换(Asynchronous Transfer Mode Switching,异步传输模式交换) A TM(Asynchronous Transfer Mode,异步传输模式) A TU-C(ADSL Termination Unit-Central,中央ADSL终结单元) A TU-R(ADSL Termination Unit-Remote,远端ADSL终结单元) B B/S(Browser / Server,浏览器/ 服务器模型) B/W/D(Browser / Web Server / Database Server,浏览器/ 网站服务器/ 数据库服务器)模型 Bc(Committed Burst,承诺突发量) BCA(Brand Certificate Authority,品牌认证中心)
科技词汇英汉对照汇总
家用电器英语Home appliances 1:电视机: LCD TV/liquid crystal display television液晶电视 Wall hung Plasma TV 壁挂式等离子电视 ACTV- advanced compatible television 与普通电视兼容的高清晰度电视系统 数字电视按照清晰度分为4档:高清晰度HDTV(High-definition television)、增强清晰度EDTV(Enhanced-definition television)、标准清晰度SDTV(Standard-definition television)、普通清晰度PDTV(pure digital television). 等离子电视:PDP(Plasma Display Panel TV) 液晶电视: LCD( Liquid Crystal Display TV) 数字电视(Digital TV,简称DTV) 机顶盒:set-top box 液晶电视Plasma TV 背投电视Projection TV 平板电视Flat Panel TV CRT电视:CRT:Cathode Ray Tube纯平显示器 黑白电视机monochrome television/black-and-white TV 彩色电视Color TV: 双声道stereo: 2:关于冰箱的词汇: 电冰箱对开门样式free standing side by side/French Door 电冰箱的双开门样式top freezer 3:关于洗衣机的词汇: 波轮式全自动洗衣机automatic impeller washing machine 前开式滚筒洗衣机front loader washing machine 顶装式洗衣机 top loaded washing machine 4:其它家电: Vertical Disinfection Cabinetffice 消毒碗柜 Household Gas Stove 煤气炉 Smoke Exhauster 抽油烟机 Range hood 抽油烟机 stove 炉子 toaster 烤面包机 air exhauster抽气机 Soya-bean milk Grinder 豆浆机 Food Blender 搅拌机 Juice extractor 榨汁机 Filter Purifier 净水器 Water Dispenser 饮水机 DVD: Digital Versatile Disc fluorescent lamp 日光灯 flashlight 手电筒
域与活动目录的管理
单元一:Windows Server 2008域与活动目录 任务一:安装Windows Server 2008域控制器 任务描述: 企业网络采用域的组织结构,可以使得局域网的管理工作变得更集中、更容易、更方便。虽然活动目录具有强大的功能,但是安装Windows Server 2008操作系统时并未自动生成活动目录。因此,管理员必须通过安装活动目录来建立域控制器,并通过活动目录的管理来实现针对各种对象的动态管理与服务。同时客户机登录域的操作也是组建域网络必不可少的部分,也是网络管理员应该熟练掌握的基本技能之一。 任务目标: 作为网络管理员,只有明确安装域控制器的条件和准备工作,掌握域网络的组建流程和操作技术,才能在服务器上安装好Windows Server 2008操作系统。为此,可以启用活动目录安装向导,成功安装活动目录后,将使得一个独立服务器升级为域控制器。同时通过任务,还应能够区分登录窗口,例如是登录域不是登录本机的登录框。 任务实施: 一、建立第一台域控制器: 活动目录是Windows Server 2008非常关键的服务,它不是孤立的,与许多协议和服务有着非常紧密的关系,并涉及整个操作系统的结构和安全。因此,活动目录的安装并非一般Windows组件那样简单,必须在安装前完成一系列的准备,注意事项如下: (1)文件系统和网络协议:Windows Server 2008所在的分区必须是NTFS文件系统,同样活动目录必须安装在NTFS分区,同时计算机上要正确安装了网卡驱动程序,并启用了TCP/IP协议。 (2)域结构规划:活动目录可包含多个域,只有合理地规划目录结构,才能充分发挥活动目录的优越性。在组建一个全新的Windows Server 2008网络时,所安装的第一台域控制器将生成第一个域,这个域也被称为根域,选择根域最为关键。根域名字的选择可以有以下几种方案: 使用一个已经注册的DNS域名作为活动目的根域名,使得企业的公共网络
02 实现活动目录域服务 (AD DS)
微思网络,福建IT精英的发源地! 第二章实现活动目录域服务
章节概述 创建AD DS域前的准备工作 安装AD DS 确认AD DS域是否正常 提升域与林功能级别 部署额外域控制器 部署RODC 将计算机加域或脱离域 在域成员计算机内安装AD DS管理工具删除域控制器与域 域升级与现有域环境中安装域控制器
第1 节:创建AD DS域前的准备工作 选择适当的域名 准备好用了支持AD DS的DNS服务器 选择Active Directory数据库的存储位置 安装AD DS 的要求
选择适当的域名 https://www.360docs.net/doc/49626977.html, https://www.360docs.net/doc/49626977.html, AD DS 域名必须使用DNS 名称,如https://www.360docs.net/doc/49626977.html, 。 https://www.360docs.net/doc/49626977.html, https://www.360docs.net/doc/49626977.html, 可以使用右侧的选项将AD DS 域名与外部命名空间集成?同一命名空间 ?外部命名空间的子域 ?域名和本地名不同的其他命名空间
准备好用了支持AD DS的DNS服务器 安装AD DS前,网络中必须要有一台DNS服务器,且此DNS服务器必须支持SRV记录,最好支持动态更新。 两种方式架设DNS服务器: ?在将服务器升级为域控制器时,让系统自动在这台服务器上安装DNS服务器角色 ?使用现有DNS 服务器或另外安装一台DNS服务器创建一个支持AD DS 域的区域
选择Active Directory数据库的存储位置 建议将Active Directory数据库与日志文件分别存储到不同硬盘内以提高运行效率及提高还原数据库的能力。 3个与Active Directory有关的数据: ?Active Directory数据库 ?日志文件 ?SYSVOL文件夹 提示:SYSVOL文件夹必须存储到NTFS磁盘内。
活动目录之域功能详解
一概念 从win NT到win2000、win2003、win2008都提供提供活动目录功能,然而不同操作系统运行的域都提供不同功能的服务,在域内由不同类型的操作系统组合而成的域,支持不同的功能、服务,这就称之为域的功能级别。同理在林中也存在林的功能这个概念 在Windwos2003的Active Directory中提供了比Windows2000 Active Directory 更高的功能级别,称为windows2003临时模式和windows2003模式。只有把所有的与控制器升级到Windows2003模式,整个森林才能被提升到Windwos2003模式。森林功能级别的提升需要手动完成。 二:域功能级别 域功能激活只影响整个域和该域的功能。Windows Server 20008功能级别支持 五功能级别,一下分别介绍五功能级别及其功能级别所支持的域控制器 1:Windows 2000 混合模式(默认)其网络配置使用Windows 2000和Windows NT 的任意组合系统。Windows 2000 域控制器和Windows NT 4.0 备份域控制器可 以在同一个域中无缝共存而不会出现任何问题。当然Windwos 2003域控制器也支持此模式。激活的功能包括本地与全局组并支持全局编录 2:Windows 2000本机模式。域中所有域控制器都可以运行Windows2000或Windwos2003.激活的功能包括组嵌套、通用组、Sidhistory、安全组与通讯组之间的转换、 3:Windows Server 2003临时模式。允许Windows 2003域控和Windows NT 4 域控制器的混合使用。但不能与Windows2000域控制器混合使用。显见支持的域控为Windows 2003和Windows NT4.此级别内没有域范围的激活功能。该模式只在将NT4的域控升级到Windows2003域控时使用 4:Windows Server 2003模式。域中所有域控制器只能是Windows 2003和Windows2008。支持的功能包括: Netdom.exe提供的域控制器重命名功能、 更新登录时间戳。将使用用户或计算机的上次登录时间来更新lastLogonTimestamp 属性。可以在域内复制该属性。 在 inetOrgPerson 和用户对象上将 userPassword 属性设置为有效密码的功能。
项目 活动目录和域的建立
项目活动目录和域的建立 4.1 项目内容 1 项目目的 通过安装活动目录,理解活动目录和域的关系,了解域、域树和域林的概念,并掌握控制器的安装和配置,以及成员服务器的设置。 2项目任务: 某公司组建了单位内部的办公网络,该局域网是一个基于工作组的对等网,近期公司的发展很快,新增了了许多员工,计算机用户激增,网络的管理和安全都出现了问题,这是考虑将基于工作组的网络升级为基于域的网络,现在需要将一台计算机升级为域控制器,并将其它所有计算机加入到域成为成员服务器。 3 任务目标 1)学会规划和安装局域网中的活动目录; 2)学会在Windows 2003 Server中创建域; 3)学会在Windows 2003 Server中添加和管理各种域服务器。 4)学会将局域网中的计算机加入到在Windows 2003 Server的域服务器中。 4.2项目设计 1设计 有两个域树:https://www.360docs.net/doc/49626977.html,和https://www.360docs.net/doc/49626977.html,,其中https://www.360docs.net/doc/49626977.html,域树下有https://www.360docs.net/doc/49626977.html,子域,在https://www.360docs.net/doc/49626977.html,域中有两个域控制器;在https://www.360docs.net/doc/49626977.html,域中有一个域控制器和有一个成员服务器;下面先创建https://www.360docs.net/doc/49626977.html, 的域树,然后再创建https://www.360docs.net/doc/49626977.html,的域树。 2 设备清单 为了搭建网络环境,需要如下设备: 1)安装Windows 2003 Server的PC计算机5台; 2)Windows Windows XP计算机1台; 3)Windows Server 2003安装光盘。 4.3 项目实施 步骤1:创建第一个域https://www.360docs.net/doc/49626977.html, 创建域可以把一台已经安装Windows Server 2003的对立服务器升级为域控制器。 步骤如下: (1)首先确认“本地连接”属性TCP/IP中首选DNS指向了自己。 (2)其次,打开“开始”菜单,选择“管理工具”菜单中的“管理您的服务器”命令启动配置向导,在此管理介面中出现该服务器已具备功能,如图所示。 (3)选择“添加或删除角色”命令,出现“配置您的服务器向导”介面。 (4)单击“下一步”,选择要安装的服务器角色,在此要安装的是域控制器(Active
AD实施:域管理手册
深圳市海格物流股份有限公司操作主机与AD DB管理 文档编号:SXD- HGWL--01 版本: 编写:索信达运维服务 部 最后修订:2015年09月22日 深圳市索信达实业有限公司
目录
第一章管理域中的操作主机角色 (一)操作主机介绍 Active Directory 支持域中所有域控制器之间的目录数据存储 的多主机复制,因此域中的所有域控制器实质上都是对等的。但是, 某些更改不适合使用多主机复制执行,因此对于每一个此类更改,都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机 可以保证一致性并消除AD DS数据库中出现冲突的项目的可能性。 AD D S中的五个操作主机角色分别是:架构主机(Schema M aster)、域命名主机(Domain Naming Master)、RID主机(RID Master)、PDC 仿真器(PDC E mulator)、基础结构主机(Infrastructure Master)架构主机和域命名主机是林范围角色,即每个林只有一台架构主 机和一台域命名主机。RID主机、PDC仿真器、基础结构主机是域范 围角色,这3种操作主机角色在林中的每个域中分别只有一个。当在林中安装AD DS并创建第一台域控制器时,它会拥有所有5个角色,类似地,在向林中添加域时,每个新域中的第一台域控制器也会获得 每域的操作主机角色。 架构主机(Schema Master) 宿主架构主机角色的域控制器负责对林的架构进行更新和修改, 其他域控制器则只包含架构的只读副本。要更新或修改林的架构,您必须具备访问架构主机的权限。如果做出架构改变后,架构更新就会复制到林中的所有其他域控制器。在整个林中,架构主机是唯一的, 只能有一个架构主机。
活动目录域 学习笔记
一、计算机内的存储结构:线性存储,树状存储(在存储大量内容时,检索速度较快) 二、C:\windows\ntds\ntds.dit 记录的域中所有的内容安全主体访问安全对象域的架构(记录了域中存储的元素):规定了域中可以存在哪些元素。这些元素是主体是对象这些元素有哪些属性对象:计算机、用户、组 三、域的存储 活动目录域会把所有的内容记录在数据库中,形成一个目录,这个目录分成了五个分区,用来存储不同的内容 1、域目录分区----〉域中的用户和计算机以及组 2、配置目录分区----〉域中的配置信息 3、架构目录分区----〉架构:规定了域中可以存在哪些元素这些元素包括哪些内容(安全主体、安全对象:分别具体哪些属性) 4、全局编录分区 5、应用程序目录分区 四、域的组织 1、统一的边界的管理父域的管理员可以管理子域,子域的管理员不能管理父域或其他子域。 2、分散管理,相互信任(信任边界),实现跨边界的管理,就要建立林信任关系,在多个域中建立信任关系,方便域之间的协作,同时形成一个新的管理团队。林中有一个特别的域叫做根域,根域的管理员可以协调域之间的协作关系,使两个及其两个以上的域关系密切,通过传递性而得到的信任关系,可称为隐性的信任关系! 五、DNS的问题使得多个管理边界无法合并,只能是分散管理,互相信任 1、活动目录域需要DNS的支持 2、不同的二级DNS域不能合并成一个管理边界 六、将xp加入contoso域思考:1、如果xp 未配置DNS 2、如果XP DNS配置错误 3、如果XP配置正常但域控上的DNS服务不正常会有什么结果? 1、结果:没有DNS,AD可以正常工作,借助于(NETBIOS)NBNS缺点:(1)在互联网上表现很差,以至于在大型网络里表现也很差;(2)缺乏集中管理。如果使用AD+NBNS,则不利于大型网络的管理,使AD的功能大打折扣,所以使用AD+DNS如果DNS安全、可靠并且支持SRV记录,最好能支持自动更新,可以使用不是windows 下的DNS有这些功能的就可以使用 七、定义AD的需求 行政管理需求 技术需求 项目约束 企业的各种需求是说服领导层同意部署的最好的理由
活动目录术语表大全
A ---------------------------------------------------------------------------------------------------------------- 访问控制(access control)--登录计算机或网络权限的管理。 ACE--参见"访问控制条目"。 访问控制条目(access control entry,简称ACE) --每一个ACE包括一个安全标识符(S ID),这个标识符标识这个ACE的应用对象(用户或小组)以及允许或者拒绝访问的ACE 信息的类型。 访问控制表(access control list,简称ACL) --用来定义用户/工作组与文件、目录或其他资源相关的访问权限的一组数据。在活动目录服务中,一个ACL是一个存储访问权限与被保护对象相互之间关系的列表。在Windows NT?操作系统中,一个ACL作为一个二进制值保存,称之为安全描述符。 ACL--参见"访问控制列表"。 活动目录-- Windows? 2000支持的一种结构,这种结构可以跟踪和定位网络上任意一个对象。活动目录是Windows 2000服务器中使用的目录服务,为Windows 2000分布式网络提供基础。 活动目录服务接口(Active Directory Service Interface,简称ADSI)--基于组件对象模型(COM)的客户端软件。ADSI定义了一个目录服务模型和一组COM接口,通过这些接口可以使Windows NT 和Windows 95客户端应用程序访问一些网络目录服务,包括活动目录服务。ADSI允许应用程序与活动目录进行通信。 ADSI提供目录服务客户端通过使用一组接口与任何提供ADSI实现的名字空间进行交流的方法。ADSI客户端通过使用ADSI替代与网络相关的应用程序编程接口(API)调用,从而获得访问名字空间服务的更简单的方法。ADSI 遵守并且支持标准的COM特征。ADS I也定义了可以从自动兼容软件,例如Java、Visual Basic、Visual Basic Scripting Editio
域控制器中术语解析
域控制器中术语解析 Active Directory又称为活动目录,是Windows 2000和Windows2003系统中非常重要的目录服。 活动目录功能:存储本地网络中各种资源的相关信息,例如,计算机、用户帐号、组、共享资源等,网络管理员借助活动目录可以轻松实现对这些公共资源的统一管理,另外活动目录还有安全性,可靠性和很好的伸缩性等。 1、域林的相关概念 域林就像是一个由众多树构成的森林,每颗树可以是一个独立的域,也可以是其中几棵树组成的一个域,而与每一个域控制器上不同的自组织单位就好比是树的分支,树叶等。 2、活动目录概念 说到目录,最让人容易想起的就是DOS下的目录等信息,但是那些目录只是代理一个文件存在于磁盘上的位置关系。我们活动目录分为两个方面,目录和与目录相关的服务。目录是存储各种对像的一个物理容器,从静态角度来理解,这个活动目录和前面我们提到的文件存放位置没有太大的关系,它仅仅是一个对像,是一个实体。而目录服务是使目录中所有的信息和资源发挥作用的服务,活动目录是一个分布式的服务,它的信息可以分散在多台不同的计算机上,保证用户能快速的访问,因为多台计算机上有些资源信息相同,所以在信息控制方面具有很强的控制能力,无论用户从何处访问都能实现统一控制的目的。 3、名字空间 其实活动目录也就是一个名字空间,也可以理解为给定的名字解析边界,这个边界是指提供或关联、映射的所有信息范围 4、对像 对像也就是目录对像,是活动目录的信息实体,也是一组属性的集合,实际使用代表的是实体。比如,用户等 5、容器 容器是指活动目录名字空间的一个部分,与目录对像一样,它也有属性,但又与目录不同的是它不是代表有形的实体。而是代表存放对像的空间,比如一个用
网络工程师考试常用英语术语
太多了慢慢积累以后排序这些是最常用的网络缩略词了。 3DES—三重数据加密标准 AAA—验证授权与帐号 身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。见authentication。authorization和accounting 常用的AAA协议是Radius,见RFC 2865,RFC2866。AARP—AppleTalk地址方案协议 AB:地址总线(Address Bus) ABR—可用位速率 ACK:确认字符 (ACKnowledge Character) ACP—访问控制协议 ADS—活动目录服务 ADSL—非对称数字用户线路 AH—验证报头 ANSI—美国国家标准协会 API—应用程序接口 ARA—AppleTalk远程访问 ARAP—AppleTalk远程访问协议 ARCNet—附加资源计算机局域网 ARP—地址方案协议 ARPA—远景研究规划局 ARQ:自动重传请求、自动重发技术(Auto Repeat Request) ASCII—美国标准信息交换码 ASK:幅移键控(Amplitude Shift Keying) AT&T—美国电话电报公司 ATM—异步传输模式(Asynchronous Transfer Mode) BBN—Bolt、Beranek和Newman BDC—备份域控制器 B-ISDN—宽带ISDN BITNET—BecauseIt'sTimeNetwork,一种联接世界教育单位的计算机网络BNC—不明确,或者是同轴电缆连接器,或者是同轴电缆卡环形接头 BRI—基本速率接口 CAD—计算机辅助制图 CAP—竞争访问提供者 CB:控制总线(Control Bus) CCITT—国际电报电话咨询委员会 CDM:码分复用(Code Division Multiplexing) CDMA:码分多址 (Code Division Multiple Access) CERN—不明确,或欧洲粒子物理研究所 CGI:公共网关接口(Common Gateway Interface)