活动目录下ADCS域证书服务

本次试验为活动目录域环境系统均为Windows Server 2008 x86

角色如下：

DC：192.168.30.252

CAServer：192.168.30.250

1、部署活动目录：

1.1、首先将DNS指向自己并升级19

2.168.30.252为活动目录域控制器，DomainName

为https://www.360docs.net/doc/201048943.html,，DNS的https://www.360docs.net/doc/201048943.html,域中建立A记录，将https://www.360docs.net/doc/201048943.html,指向

192.168.30.250（我们之后要部署的CAServer）。

1.2、在AD用户和计算机中建立一个OU测试组并在此OU中建立一个用户user

2、安装域证书角色：

2.1、在CAServer上将DNS指向DC192.168.30.252，并加入域环境。

2.2、重启之后打开服务器管理器→角色→添加角色→Active Directory证书服务→勾

选前三者→企业→根CA→新建私钥→加密服务提供程序保持默认→此CA的公

用名称“ROOT”→有效期根据需求而定→证书数据库未知保持默认→安装

2.3、在开始菜单→管理工具→Internet 信息服务(IIS)管理器→点击localhost→在中

间部分双击服务器证书→创建域证书

注意：此部分的通用名称必须与网站的名称相一致，如果今后要访问https://www.360docs.net/doc/201048943.html,，这里的通用名称必须填写https://www.360docs.net/doc/201048943.html,，否则在使用中会出现客户端输入的网站名字与证书名字不符合，认证报警的情况。其他内容都可以随便填写。

下一步选择证书颁发机构中选择我们的“ROOT”，好几名称为“for web”

2.4、点击Default Web Site→点击右侧的绑定→添加→选择类型为https→SSL证书选

择刚刚申请的for web证书最后确定。

之后https://www.360docs.net/doc/201048943.html,和https://https://www.360docs.net/doc/201048943.html,都可以访问。当输入

https://https://www.360docs.net/doc/201048943.html,时打开的页面出现了变化，地址栏后面出现了一把锁，

表示已经加密，点击锁可以看到说明。

3、这时到客户端的IE中输入https://https://www.360docs.net/doc/201048943.html,，任然有证书错误的告警，这是因为

客户端还没有信任我们自己建设的证书服务器。

在客户端的IE选项中把https://www.360docs.net/doc/201048943.html,添加为可信任的站点

再登录https://www.360docs.net/doc/201048943.html,/certsrv输入刚才测试OU中建立的user用户和相应密码

点击下载CA证书、证书链或CRL→下载CA证书→保存到C盘。

在C盘打开刚刚下载的证书，可以看到此根证书不受信任的警告

接下来点击安装证书→下一步→将所有的证书放入下列存储→点击浏览双击受信任的根证书颁发机构→下一步→导入完成

再次打开刚刚下载的证书可以看到报警已经消失了，而且可以看到当前证书的相关信息。

再次在客户端IE中打开https://https://www.360docs.net/doc/201048943.html,，正常的锁出现了，证书安装完毕。这个认证只针对https://www.360docs.net/doc/201048943.html,这个名字，如果用192.168.30.250来登录，因为名字和证书不一样就算他们指向同一个网站也会告警。

4、在Web客户端上配置客户端应用

此应用基于客户端到服务器端的双向认证，使WEB服务站点可只针对指定证书用户提供WEB服务,进一步提高了客户端到服务器端的访问安全性。

4.1、在CAServer上开始菜单→管理工具→Internet 信息服务(IIS)管理器→Default

Web Site→点击中间的SSL设置→勾选SSL并点选必须。

再次在客户端IE中打开https://https://www.360docs.net/doc/201048943.html,，由于没有申请客户端证书所以

访问此网站会失败。

4.2、这时回到Internet 信息服务(IIS)管理器中将刚才的SSL设置必须改为接受，再次

在客户端IE中打开https://https://www.360docs.net/doc/201048943.html,/certsrv，输入user用户名和相应密码，依次点击申请证书→用户证书→提交→安装此证书→关闭浏览器

最后将Internet 信息服务(IIS)管理器中SSL设置必须再改为接受，登录客户端IE

打开https://https://www.360docs.net/doc/201048943.html,，这时Windows安全会提示确认证书，点击确定即

可访问该站点。

至此Web客户端上配置证书应用操作已全部完成

Windows Server 2003活动目录与域控制器

实验二Windows Server 2003活动目录与域控制器 [注意事项]： 1、在虚拟机软件里自己安装的网络操作系统中做实验。 2、有两种方式打开安装或删除活动目录的界面： （1）用命令“开始——管理工具——配置您的服务器向导”（Server 2003才有）。 （2）用命令“开始——运行——输入‘dcpromo’”。 3、密码可以设置与5.1管理员相同的密码或设置另外的密码，并且一定要书面记住密码。 4、安装结束后出现配置DNS服务器的选项，选择让系统自动配置。 5、安装活动目录成功后的标志见下图5.19。 6、安装好活动目录后，请不要再次运行“dcpromo”命令，否则会删除已安装的活动目录。 一、实验目的 学习活动目录的安装和删除（实验只要求安装）。 二、实验内容 1．活动目录的安装（升级） 2．活动目录的删除（降级）——理论上掌握，具体实验不要做 三、实验理论基础 活动目录是Windows Server 2003网络中提供的目录服务。目录服务也是一种网络服务，它把网络中的资源信息集中存储起来，并将其提供给用户和应用程序使用。它提供了一种一致化的命名、描述、定位、管理和设置相应安全的方法。通过提供通用的网络资源接口和直观的网络资源访问界面，使用户能够以一致的方式管理自己的整个网络。 由于活动目录中网络资源信息集中存放和管理，使得网络的物理结构和网络所使用的传输协议对用户来讲变得透明起来。当用户访问网络时，无需了解资源的物理位置和连接方法，就可以访问资源。这对于多数缺乏网络专业知识的网络普通用户来说，显得格外有意义。使管理员和一般用户可以方便地查找和使用网络信息，同时也更便于网络管理员有效的管理网络。 活动目录是由组织单位（OU）、域（Domain）、域树（Domain Tree）和森林（Domain Forest）组成的层次结构，它存储有关计算机网络对象的信息。例如，用户、组、计算机、组织、帐户、共享资源和打印机等等。 域是网络对象的分组，如用户、组和计算机。它是最基本的管理单元，同时也是最基层的容器，它可对用户、计算机等基本数据进行存储，域中的对象均为该域的成员。在一个AD中可以根据需要建立多个域。 在域中作为服务器的计算机可以充当成员服务器或域控制器中的任何一个角色，而不在域中的服务器则为独立服务器。 成员服务器是属于某个域，并安装了Windows 2000Server家族或Windows Server 2003家族的操作系统的计算机。该计算机不是域控制器，不处理帐户登录、不参与活动目录的复制，也不存储域安全策略信息。成员服务器通常用作以下几种类型的服务器：文件服务器、应用程序服务器、数据库服务器、Web服务器、证书服务器、防火墙和远程访问服务器。

AD活动目录域信任关系图解

AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系，所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B，且域 B 信任域 C，则域 C 中的用户可以访问域 A 中的资源（如果这些用户被分配了适当的权限）. 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证：Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议，则使用 NTLM 协议.

信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中，域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任，也可以是可传递信任，这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时，系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中，域 A 信任域 B，并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的，也可以是可传递的，这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任（可传递或不可传递）、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任，部分用户资源互访。 配置双向信任关系:

管理员操作手册 AD域控及组策略管理 CTO

AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介 1、工作组与域的区别........................................ 2、公司采用域管理的好处.................................... 3、Active Directory(AD)活动目录的功能...................... 二、AD域控（DC）基本操作.................................... 1、登陆AD域控............................................. 2、新建组织单位（OU）...................................... 3、新建用户................................................ 4、调整用户................................................ 5、调整计算机.............................................. 三、AD域控常用命令.......................................... 1、创建组织单位：(dsadd)................................... 2、创建域用户帐户(dsadd)................................... 3、创建计算机帐户(dsadd)................................... 4、创建联系人(dsadd)....................................... 5、修改活动目录对象（dsmod）............................... 6、其他命令（dsquery、dsmove、dsrm）....................... 四、组策略管理 .............................................. 1、打开组策略管理器........................................ 2、受信任的根证书办法机构组策略设置........................ 3、IE安全及隐私组策略设置 .................................

活动目录(域控)解决方案

活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日

目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误！未定义书签。

AD域控规划方案解析

活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。

1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后，企业信息化建设者和网络管理员可以从中获得如下好处： 1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放的全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展

Windows Server 2008 R2 AD活动目录域控制器安装配置手册

金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日

Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件： (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤： (4) 1．首先是“开始>运行”打开运行窗口 (4) 2．运行当中输入“dcpromo”开始安装活动目录 (5) 3．进入安装界面 (5) 4．新建域控制器 (6) 5．设置域控制器的域名 (7) 6．设置林功能级别 (8) 7．安装DNS服务器和全局服务 (9) 8．设置保存数据库、日志文件和SYSVOL的位置 (10) 9．设置目录还原模式的Administrator密码 (11) 10．安装完成自动重启 (12) 11．安装完成后的登陆界面 (13) 12．查看安装AD后的相关的服务，AD活动目录安装完成 (14)

安装部署活动目录条件： 硬件需求 硬件 需求 处理器 最低：1.4 GHz（x64处理器） 注意：Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低：512 MB RAM 最大：8 GB（基础版）或32 GB（标准版)或2 TB（企业版、数据中心版及 Itanium-Based Systems 版） 可用磁盘空间 最低：32 GB或以上 基础版：10 GB或以上 注意：配备16 GB以上RAM的计算机将需要更多的磁盘空间，以进行分页处理、休眠及转储文件。 显示器 VGA（800 × 600）或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标（或兼容的指针设备） 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件（除web版以外） 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间

【免费下载】活动目录管理及维护

注意：预习作业在上课前提交，复习作业在上课后提交，共性的作业在实验课会评讲一下，一般不会单独评讲，统一在习题课做综合解答，请各位组长记录作业出现的问题，提交到教员。预习重点部分，不用做在作业上，是给各位学员预习时的引导线。务必记住80%的精力放在预习。 第一章： 预习作业：1.什么是域？什么是活动目录？活动目录有什么特点？2.什么是域树？什么是林？3.安装域控制器必须具备哪些条件？4.将计算机加入域前，要检查客户机哪些配置？5.DNS 在域中有什么作用？● （预习重点：这章节就开始难了，会有很多的名词要理解：域 域控 活动目录 域树 森什么安全组通讯组等等，工作组只适合小型网络，换句话来说，域就适合更大型网络了啦！更换句话来说，你想当个大一点的网络管理，就一定要学好域了，给几个简单的解释先骗大家懂一下吧：?活动目录：一是目录，二是活动，也就是说有一个目录，它是活动的，不属于一台计算机，属整个域的所有电脑。更具体地说他是一个数据库存储着很多对象，例如：组 帐号 打印机 共享文件等等。它能存储这些对象，就能提供一种很好的服务，能让属这个域的用户能快速查找所需的数据了。?域：前面的课提到过，两种网络环境，一种是对等网，平等，没有谁管谁的，另一种是c/s 组构，有服务器有客户机。而我们本课所提到的域，其实就是c/s 结构，能进行集中管理的，其它的域树和森主要看图再对比书本的文字再理解一下。?域控：那一台用来管理这个域的计算机就是域控了，在这里我们暂且单纯地认域域控只有一台，其实在多域的环境下会有多台的，在后面的课程会详细学习。● 安装活动目录：先检查条件够不够，熟读六个条件，域的安装。?加入域：加入域时候，客户机要设置什么才能加入域，这个很重要，很多学员做实验的时候，两台主机都没ping 就去加域，加不入就在大呼大叫，组长帮组员排错的时候要注意是否ping 通ip,是否ping 通域名，别把每个组员都想得太理想了，没有ping 通就急着去加域的学员及加入域的时候域名都写错了，还敢大呼大叫的学员我见得多了。●看书本5页的图，理解一下域树和域林，当然课只应用到单域，由于单一次接触域，多域只是理论上的理解，不要纠结于怎么创，如果非要纠结也行，请预习第八章。 、管路敷设技术通过管线敷设技术，不仅可以解决吊顶层配置不规范问题，而且可保障各类管路习题到位。在管路敷设过程中，要加强看护关于管路高中资料试卷连接管口处理高中资料试卷弯扁度固定盒位置保护层防腐跨接地线弯曲半径标高等，要求技术交底。管线敷设技术中包含线槽、管架等多项方式，为解决高中语文电气课件中管壁薄、接口不严等问题，合理利用管线敷设技术。线缆敷设原则：在分线盒处，当不同电压回路交叉时，应采用金属隔板进行隔开处理；同一线槽内，强电回路须同时切断习题电源，线缆敷设完毕，要进行检查和检测处理。、电气课件中调试对全部高中资料试卷电气设备，在安装过程中以及安装结束后进行高中资料试卷调整试验；通电检查所有设备高中资料试卷相互作用与相互关系，根据生产工艺高中资料试卷要求，对电气设备进行空载与带负荷下高中资料试卷调控试验；对设备进行调整使其在正常工况下与过度工作下都可以正常工作；对于继电保护进行整核对定值，审核与校对图纸，编写复杂设备与装置高中资料试卷调试方案，编写重要设备高中资料试卷试验方案以及系统启动方案；对整套启动过程中高中资料试卷电气设备进行调试工作并且进行过关运行高中资料试卷技术指导。对于调试过程中高中资料试卷技术问题，作为调试人员，需要在事前掌握图纸资料、设备制造厂家出具高中资料试卷试验报告与相关技术资料，并且了解现场设备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况，然后根据规范与规程规定，制定设备调试高中资料试卷方案。、电气设备调试高中资料试卷技术电力保护装置调试技术，电力保护高中资料试卷配置技术是指机组在进行继电保护高中资料试卷总体配置时，需要在最大限度内来确保机组高中资料试卷安全，并且尽可能地缩小故障高中资料试卷破坏范围，或者对某些异常高中资料试卷工况进行自动处理，尤其要避免错误高中资料试卷保护装置动作，并且拒绝动作，来避免不必要高中资料试卷突然停机。因此，电力高中资料试卷保护装置调试技术，要求电力保护装置做到准确灵活。对于差动保护装置高中资料试卷调试技术是指发电机一变压器组在发生内部故障时，需要进行外部电源高中资料试卷切除从而采用高中资料试卷主要保护装置。

域与活动目录的管理

单元一：Windows Server 2008域与活动目录 任务一：安装Windows Server 2008域控制器 任务描述： 企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。虽然活动目录具有强大的功能，但是安装Windows Server 2008操作系统时并未自动生成活动目录。因此，管理员必须通过安装活动目录来建立域控制器，并通过活动目录的管理来实现针对各种对象的动态管理与服务。同时客户机登录域的操作也是组建域网络必不可少的部分，也是网络管理员应该熟练掌握的基本技能之一。 任务目标： 作为网络管理员，只有明确安装域控制器的条件和准备工作，掌握域网络的组建流程和操作技术，才能在服务器上安装好Windows Server 2008操作系统。为此，可以启用活动目录安装向导，成功安装活动目录后，将使得一个独立服务器升级为域控制器。同时通过任务，还应能够区分登录窗口，例如是登录域不是登录本机的登录框。 任务实施： 一、建立第一台域控制器： 活动目录是Windows Server 2008非常关键的服务，它不是孤立的，与许多协议和服务有着非常紧密的关系，并涉及整个操作系统的结构和安全。因此，活动目录的安装并非一般Windows组件那样简单，必须在安装前完成一系列的准备，注意事项如下： （1）文件系统和网络协议：Windows Server 2008所在的分区必须是NTFS文件系统，同样活动目录必须安装在NTFS分区，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP协议。 （2）域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。在组建一个全新的Windows Server 2008网络时，所安装的第一台域控制器将生成第一个域，这个域也被称为根域，选择根域最为关键。根域名字的选择可以有以下几种方案： 使用一个已经注册的DNS域名作为活动目的根域名，使得企业的公共网络

02 实现活动目录域服务 (AD DS)

微思网络，福建IT精英的发源地！ 第二章实现活动目录域服务

章节概述 创建AD DS域前的准备工作 安装AD DS 确认AD DS域是否正常 提升域与林功能级别 部署额外域控制器 部署RODC 将计算机加域或脱离域 在域成员计算机内安装AD DS管理工具删除域控制器与域 域升级与现有域环境中安装域控制器

第1 节：创建AD DS域前的准备工作 选择适当的域名 准备好用了支持AD DS的DNS服务器 选择Active Directory数据库的存储位置 安装AD DS 的要求

选择适当的域名 https://www.360docs.net/doc/201048943.html, https://www.360docs.net/doc/201048943.html, AD DS 域名必须使用DNS 名称，如https://www.360docs.net/doc/201048943.html, 。 https://www.360docs.net/doc/201048943.html, https://www.360docs.net/doc/201048943.html, 可以使用右侧的选项将AD DS 域名与外部命名空间集成?同一命名空间 ?外部命名空间的子域 ?域名和本地名不同的其他命名空间

准备好用了支持AD DS的DNS服务器 安装AD DS前，网络中必须要有一台DNS服务器，且此DNS服务器必须支持SRV记录，最好支持动态更新。 两种方式架设DNS服务器： ?在将服务器升级为域控制器时，让系统自动在这台服务器上安装DNS服务器角色 ?使用现有DNS 服务器或另外安装一台DNS服务器创建一个支持AD DS 域的区域

选择Active Directory数据库的存储位置 建议将Active Directory数据库与日志文件分别存储到不同硬盘内以提高运行效率及提高还原数据库的能力。 3个与Active Directory有关的数据： ?Active Directory数据库 ?日志文件 ?SYSVOL文件夹 提示：SYSVOL文件夹必须存储到NTFS磁盘内。

3-1 活动目录的域、域树、森林的实现与管理

《应用系统集成与管理》指导 活动目录的域、域树、森林的实现与管理 【实训目的】 1.理解Active Directory、域、域树、森林等概念； 2.掌握创建域的方法； 3.熟悉创建域树和森林的方法； 4.了解如何解决在创建域、树、森林过程中出现的问题的方法。 【参考资料】 1．戴有炜. Windows Server 2003用户管理指南, 清华大学出版社, 2004 2．戴有炜. Windows Server 2003 Active Directory配置指南, 清华大学出版社, 2004 【实训内容】 1.建立Windows Server 2003域 建立域的方法是先安装一台独立服务器或成员服务器，然后在将其升级为域控制器。可以利用两种方法来建立整个网络中的第一台域控制器：1)利用Active Directory安装向导； 2)标准安装。在建立域之前，要先完成以下准备工作： ●DNS域名； ●DNS服务器。可以采用两种方式来架设DNS服务器，1)在独立服务器或成员服务 器升级为域控制器时，系统会自动在这台服务器上安装Microsoft DNS服务器；2) 使用现有的DNS服务器，或是另外安装一台DNS服务器，然后在这台DNS服务 器内建立一个用来支持Active Directory域的区域。 ●足够的硬盘空间； ●一个NTFS硬盘分区。 2.确认Active Directory是否正常 Active Directory安装完成之后，应检查DNS的SRV记录、SYSVOL文件夹、Active Directory数据库文件等数据是否已经正常建立等。 3.建立域树和森林 具有树状结构的多个域构成域树，域树中最上层是根域，其下有子域，子域下还可以有子域的子域。要建立子域，必须先安装一台独立服务器，或利用一台隶属于其他域的现有成员服务器，然后将这台服务器升级为子域的域控制器。建立子域时要首先为子域的域控制器指定DNS服务器的IP地址。 把一个域树添加到另一个域树中就形成最初的森林。添加域树的方法，是通过建立此域树中的第一个域来完成的，而建立第一个域的方法是通过建立第一台域控制器来完成的。另外，在建立新域树的第一域控制器的时候，必须能够通过DNS服务器来找到整个森林中的“域命名主机”。“域命名主机”默认是由森林（或首次要加入的域树）中的第一台域控制器所承担的。除此之外，还必须先在DNS服务器内建立一个名字为新域名的“主要区域”。【实训任务】 1．建立森林中的第一个域，并构建两台域控制器。 1)建立网络中的第一台域控制器。 在建立网络中的第一台域控制器时，会同时建立此域控制器所隶属的域以及该域所 隶属的域树。 2)添加额外的域控制器。 3)确认Active Directory是否正常。

活动目录之域功能详解

一概念 从win NT到win2000、win2003、win2008都提供提供活动目录功能，然而不同操作系统运行的域都提供不同功能的服务，在域内由不同类型的操作系统组合而成的域，支持不同的功能、服务，这就称之为域的功能级别。同理在林中也存在林的功能这个概念 在Windwos2003的Active Directory中提供了比Windows2000 Active Directory 更高的功能级别，称为windows2003临时模式和windows2003模式。只有把所有的与控制器升级到Windows2003模式，整个森林才能被提升到Windwos2003模式。森林功能级别的提升需要手动完成。 二：域功能级别 域功能激活只影响整个域和该域的功能。Windows Server 20008功能级别支持 五功能级别，一下分别介绍五功能级别及其功能级别所支持的域控制器 1：Windows 2000 混合模式（默认）其网络配置使用Windows 2000和Windows NT 的任意组合系统。Windows 2000 域控制器和Windows NT 4.0 备份域控制器可 以在同一个域中无缝共存而不会出现任何问题。当然Windwos 2003域控制器也支持此模式。激活的功能包括本地与全局组并支持全局编录 2：Windows 2000本机模式。域中所有域控制器都可以运行Windows2000或Windwos2003.激活的功能包括组嵌套、通用组、Sidhistory、安全组与通讯组之间的转换、 3：Windows Server 2003临时模式。允许Windows 2003域控和Windows NT 4 域控制器的混合使用。但不能与Windows2000域控制器混合使用。显见支持的域控为Windows 2003和Windows NT4.此级别内没有域范围的激活功能。该模式只在将NT4的域控升级到Windows2003域控时使用 4：Windows Server 2003模式。域中所有域控制器只能是Windows 2003和Windows2008。支持的功能包括： Netdom.exe提供的域控制器重命名功能、 更新登录时间戳。将使用用户或计算机的上次登录时间来更新lastLogonTimestamp 属性。可以在域内复制该属性。 在 inetOrgPerson 和用户对象上将 userPassword 属性设置为有效密码的功能。

项目 活动目录和域的建立

项目活动目录和域的建立 4.1 项目内容 1 项目目的 通过安装活动目录，理解活动目录和域的关系，了解域、域树和域林的概念，并掌握控制器的安装和配置，以及成员服务器的设置。 2项目任务: 某公司组建了单位内部的办公网络，该局域网是一个基于工作组的对等网，近期公司的发展很快，新增了了许多员工，计算机用户激增，网络的管理和安全都出现了问题，这是考虑将基于工作组的网络升级为基于域的网络，现在需要将一台计算机升级为域控制器，并将其它所有计算机加入到域成为成员服务器。 3 任务目标 1)学会规划和安装局域网中的活动目录； 2)学会在Windows 2003 Server中创建域； 3)学会在Windows 2003 Server中添加和管理各种域服务器。 4)学会将局域网中的计算机加入到在Windows 2003 Server的域服务器中。 4.2项目设计 1设计 有两个域树：https://www.360docs.net/doc/201048943.html,和https://www.360docs.net/doc/201048943.html,，其中https://www.360docs.net/doc/201048943.html,域树下有https://www.360docs.net/doc/201048943.html,子域，在https://www.360docs.net/doc/201048943.html,域中有两个域控制器；在https://www.360docs.net/doc/201048943.html,域中有一个域控制器和有一个成员服务器；下面先创建https://www.360docs.net/doc/201048943.html, 的域树，然后再创建https://www.360docs.net/doc/201048943.html,的域树。 2 设备清单 为了搭建网络环境，需要如下设备： 1)安装Windows 2003 Server的PC计算机5台； 2)Windows Windows XP计算机1台； 3)Windows Server 2003安装光盘。 4.3 项目实施 步骤1：创建第一个域https://www.360docs.net/doc/201048943.html, 创建域可以把一台已经安装Windows Server 2003的对立服务器升级为域控制器。 步骤如下： （1）首先确认“本地连接”属性TCP/IP中首选DNS指向了自己。 （2）其次，打开“开始”菜单，选择“管理工具”菜单中的“管理您的服务器”命令启动配置向导，在此管理介面中出现该服务器已具备功能，如图所示。 （3）选择“添加或删除角色”命令，出现“配置您的服务器向导”介面。 （4）单击“下一步”，选择要安装的服务器角色，在此要安装的是域控制器（Active

AD实施：域管理手册

深圳市海格物流股份有限公司操作主机与AD DB管理 文档编号：SXD- HGWL--01 版本： 编写：索信达运维服务 部 最后修订：2015年09月22日 深圳市索信达实业有限公司

目录

第一章管理域中的操作主机角色 (一)操作主机介绍 Active Directory 支持域中所有域控制器之间的目录数据存储 的多主机复制，因此域中的所有域控制器实质上都是对等的。但是， 某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机 可以保证一致性并消除AD DS数据库中出现冲突的项目的可能性。 AD D S中的五个操作主机角色分别是：架构主机（Schema M aster）、域命名主机（Domain Naming Master）、RID主机（RID Master）、PDC 仿真器（PDC E mulator）、基础结构主机（Infrastructure Master）架构主机和域命名主机是林范围角色，即每个林只有一台架构主 机和一台域命名主机。RID主机、PDC仿真器、基础结构主机是域范 围角色，这3种操作主机角色在林中的每个域中分别只有一个。当在林中安装AD DS并创建第一台域控制器时，它会拥有所有5个角色，类似地，在向林中添加域时，每个新域中的第一台域控制器也会获得 每域的操作主机角色。 架构主机（Schema Master） 宿主架构主机角色的域控制器负责对林的架构进行更新和修改， 其他域控制器则只包含架构的只读副本。要更新或修改林的架构，您必须具备访问架构主机的权限。如果做出架构改变后，架构更新就会复制到林中的所有其他域控制器。在整个林中，架构主机是唯一的， 只能有一个架构主机。

活动目录域 学习笔记

一、计算机内的存储结构：线性存储，树状存储（在存储大量内容时，检索速度较快） 二、C:\windows\ntds\ntds.dit 记录的域中所有的内容安全主体访问安全对象域的架构（记录了域中存储的元素）：规定了域中可以存在哪些元素。这些元素是主体是对象这些元素有哪些属性对象：计算机、用户、组 三、域的存储 活动目录域会把所有的内容记录在数据库中，形成一个目录，这个目录分成了五个分区，用来存储不同的内容 1、域目录分区----〉域中的用户和计算机以及组 2、配置目录分区----〉域中的配置信息 3、架构目录分区----〉架构：规定了域中可以存在哪些元素这些元素包括哪些内容（安全主体、安全对象：分别具体哪些属性） 4、全局编录分区 5、应用程序目录分区 四、域的组织 1、统一的边界的管理父域的管理员可以管理子域，子域的管理员不能管理父域或其他子域。 2、分散管理，相互信任（信任边界），实现跨边界的管理，就要建立林信任关系，在多个域中建立信任关系，方便域之间的协作，同时形成一个新的管理团队。林中有一个特别的域叫做根域，根域的管理员可以协调域之间的协作关系，使两个及其两个以上的域关系密切，通过传递性而得到的信任关系，可称为隐性的信任关系！ 五、DNS的问题使得多个管理边界无法合并，只能是分散管理，互相信任 1、活动目录域需要DNS的支持 2、不同的二级DNS域不能合并成一个管理边界 六、将xp加入contoso域思考：1、如果xp 未配置DNS 2、如果XP DNS配置错误 3、如果XP配置正常但域控上的ＤＮＳ服务不正常会有什么结果？ １、结果：没有ＤＮＳ，ＡＤ可以正常工作，借助于（NETBIOS）ＮＢＮＳ缺点：（１）在互联网上表现很差，以至于在大型网络里表现也很差；（２）缺乏集中管理。如果使用ＡＤ＋ＮＢＮＳ，则不利于大型网络的管理，使ＡＤ的功能大打折扣，所以使用ＡＤ＋ＤＮＳ如果DNS安全、可靠并且支持SRV记录，最好能支持自动更新，可以使用不是windows 下的DNS有这些功能的就可以使用 七、定义AD的需求 行政管理需求 技术需求 项目约束 企业的各种需求是说服领导层同意部署的最好的理由

第章管理活动目录域

第章管理活动目录域 Prepared on 22 November 2020

第3章管理活动目录域 教学要求： 理解：域的概念、特点；活动目录的架构；组织单位的概念、特点；域用户账户的概念、特点；域组账户的概念、特点；域组账户的使用原则； 掌握：创建域；将计算机加入或脱离域；将域控制器降级为独立服务器或成员服务器；管理组织单位；管理域用户账户的工作；管理域组账户的工作； 活动目录的概述 活动目录（Active Directory，AD）服务能把网络中的众多资源有效地组织在一起，实现集中管理与统一保护，最大限度地保证资源的可用性与安全性。 活动目录的含义 活动目录以数据库的形式存放在网络中的一些特定计算机上，这个数据库称为“活动目录数据库”。 管理员可以利用活动目录来集中执行组织、管理与控制网络资源的各项功能。用户也能够通过活动目录方便迅速的找到所需要的资源、使用所需要的功能。 活动目录的容量可以动态调整； 活动目录的结构可以动态调整。 活动目录的特点 动态的组织形式 方便的资源查找 集中管理与分散管理相结合

资源访问的分级管理 活动目录的基本概念 1、对象和属性 在活动目录中，存储着众多的资源、规则、策略等，它们被称作“活动目录对象”，简称对象。 一个活动目录对象所具有的各种各样的特征，称为“属性”。一个对象可认为是一系列属性的集合。 2、活动目录的架构 活动目录中所有对象和属性的定义存储在“活动目录架构”中，只有Schema Admins组的成员才有权限添加或修改架构中的内容。一个活动目录共享一个共同的架构。

查看活动目录架构的具体步骤为 1、以Schema Admins组的一个用户账户身份登录 2、注册Active Directory Schema控制面板的动态链接库。在命令窗口中输 入： .

创建和管理域

实验二创建和管理域 一、实验目的 1．掌握Windows Server 2003域的创建（安装活动目录）； 2．学会将计算机加入到域； 3．学会创建和管理域用户账户； 4．学会创建和管理域中的组。 二、实验内容 1．在Windows Server 2003 上安装活动目录（即安装Active Directory）； 2．将计算机加入到域； 3．创建和管理域用户账户； 4．创建和管理域中的组。 三、基础知识 1．活动目录 活动目录（Active Drectory）是一个存储在网络中多台服务器上的分布式数据库，这个数据库中存储了整个网络中的账户信息（包括用户账户、计算机账户等各种权限和资源信息），当用户登陆网络时，活动目录将进行身份验证，并分配许可的资源和权限。 2．域和域控制器 域（Domain）是Windows Server 2003计算机网络的单一安全边界。域控制器是指控制域的服务器，亦即安装了活动目录的服务器。活动目录由一个或多个域组成，域是目录服务的一个基本单元。 3．组和安全组、分布组的领域 组（Group）是活动目录或者本地计算机对象，它包含用户、联系人、计算机和其他的组。安全组显示在访问控制列表（ACL）中，定义了网络资源和对象的权限。分布组则没有安全性，不在访问控制列表中显示。 4．活动目录用户与计算机账户 用户或者计算机要登陆到网络以使用网络资源，必须是活动目录用户或计算机账户，以便于通过安全验证。活动目录用户与计算机账户是用户的安全凭据。 四、实验环境 1．一台安装有Windows Server 2003 Enterprise Edition中文版的计算机YZCITSVMAIN 作为服务器，安装其操作系统的默认选项，并且设置该计算机的静态IP地址：，子网掩码：； 2．两台安装好Windows 2000 Professional的计算机，两台安装好Windows XP的计算机作为客户机成员，两台安装好Windows Server 2003的计算机作为域中的成员服务器； 3．连接好的10 BASE T或100 BASE T以太网； 4．Windows Server 2003 Enterprise Edition中文版安装光盘。 五、实验步骤 1．安装Acitive Directory创建域 （1）打开准备安装目录服务服务器计算机的电源，启动计算机，以Administrator身份登录，将Windows Server 2003 Enterprise Edition中文版安装光盘放入光盘驱动器。

域与活动目录的管理题目

第4单元域与活动目录的管理 一、填空题 1.域树中的子域和父域的信任关系是双向、可传递的。 2.活动目录存放在注册表中 3.你是一个Windows Server 2008域的管理员，域名为https://www.360docs.net/doc/201048943.html,，现在你需要在该域下面创建一个新的子域https://www.360docs.net/doc/201048943.html,，那么在创建遇到类型时，该选择在现有的域树中的子域 4.独立服务器上安装了活动目录就升级为域控制器。 5.域控制器包含了由这个域的用户、网络中的其他对象以及属于这个域的计算机等信息构成的数据库。 6.活动目录中的逻辑单元包括域、域树、域林和组织单元。 7.SYSVOL是位于操作系统系统分区%windir%目录中的操作系统文件的一部分，必须位于NTFS分区。 8.网络中的第一台安装活动了目录的服务器通常会默认被设置为主域控制器，其他域控制器（可以有多台）称为辅助（备份）域控制器，主要用于主域控制器出现故障时及时接替其工作，继续提供各种网络服务，不致造成网络瘫痪，同时用于备份数据。 9.活动目录的物理结构的两个重要概念是站点和域控制器。 10.域中的计算机分类是哪4种：域控制器、成员服务器、独立服务器、域中的客户端。 11.域中的计算机使用DNS来定位域控制器和服务器以及其他计算机、网络服务等。 12.企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。 二、选择题 1.下列（D ）不是域控制器存储所有的域范围内的信息。 A.安全策略信息 B.用户身份验证信息 C.账户信息 D.工作站分区信息 2.活动目录和（A ）的关系密不可分，使用此服务器；来登记域控

制器的IP、各种资源的定位等 A.DNS B.DHCP C.FTP D.HTTP 3.下列（ C ）不属于活动目录的逻辑结构。 A.域树 B.域林 C.域控制器 D.组织单元 4.活动目录安装后，管理工具里没有增加（ D ）菜单。 A.Active Directory用户和计算机 B.Active Directory域和信任关系 C.Active Directory域站点和服务器 D.Active Directory管理 5.你是一台Windows Server 2008计算机的系统管理员，你可以使用（C ）工具来管理该计算机中的组账号。 A.活动目录用户和计算机 B.域用户和计算机 C.活动目录用户与用户组 D.本地用户和组 6.关于组可以包含粗的描述，正确的是（C ）。 A.组在任何时候都可包含组 B.组在任何时候都可以加入组 C.在工作组模式下，本地组不能包含本地组 D.在工作组模式下，本地组可以包含内置组 7.一个用户账户可以加入（ D ）个组。 A.1 B.2 C.3 D.多 8.办公网络中计算机的逻辑组织形式可以有两种，工作组和域。下列关于工作组的描述中正确的是（C ）。 A.工作组中的每台计算机都在本地存储账户 B.本计算机的账户可以登录到其它计算机上 C.工作组中的计算机的数量最好不要超过10 台 D.工作组中的操作系统必须一样 9.公司需要使用域控制器来集中管理域账户，你装域控制器必须具备以下条件（B ）。 A.操作系统版本是Windowsserver20 B.本地磁盘至少有一个NTFS分区 C.本地磁盘必须全部是NTFS分区

活动目录的功能级别

关于活动目录的功能级别 编号：Windows003 作者：遗忘冰河 出版日期：2007-08-09 E-Mail：xwg9999@https://www.360docs.net/doc/201048943.html, 为什么要讲功能级别，因为Windows 的活动目录的功能级别不同，Windows 网络就有有不同的兼容性和不同的功能。 如果企业当中又有NT4,有windows 2000,还有windows 2003情况下,，大家知道，如果设置不 当，就会引起这几种系统之间的通信，特别是早期的NT4.0，当为了发挥系统的最大功能，设置不同的功能级别，这样可能做的选择就会与其中的部分服务器产生兼容性的问题，也可能解决部分服务器产生兼容性的问题。 一般情况下有两种功能级别：域的功能级别和森林的功能级别。 再早期使用 Windows 2000 域中，有两种域模式可供选择： 1、混合模式（缺省设置）：其网络中使用Windows 2000和Windows NT 的任意组合系统。Windows 2000 域控制器和Windows NT 4.0 备份域控制器可以在同一个域中共存而不会出现任何问题。 2、本机模式：域中的域控制器只能运行Windows 2000系统。在这种模式下，可享受到一些更高级的功能。 但是windows 2003的出现，网络变的越来越复杂，域模式的种类将会变得更多，Windows Server2003有四种模式可以选择，多出模式来的主要是体现Windows Server 2003功能的优势。 冰 河工作室p :/ /w w w .m c s e .o r g .c n

1、Windows2000混合模式:Windows mixed 也是默认模式；这种模式下，Windows Server 2003域可以兼容NT4域控制器, Windows Server 2000域控制器, Windows Server 2003域控制器，也就是说在windows 2003的域中可以安装NT4域控制器和Windows Server 2000域控制器。 2、Windows 2000本机模式（native）：windows 2003域可以兼容Windows Server 2000,域控制器和Windows Server 2003域控制器，不兼容ＮＴ４域控制器 3、Windows 2003临时模式（interim）：这种模式只存在于NT4域升级到Windows Server 2003域当中。但是不允许Windows Server2000的域控制器 4、Windows 2003模式（family）：只允许有Windows Server 2003域控制器。在4种域级别中，它的功能级别最高，域中所有的域控制器都只能运行Windows Server 2003。可享受Windows Server 2003域所提供的完整特性和功能。 森林的功能级别 域中的Windows Server 2003域控制器部署完毕后，还可以根据需要选择森林的功能级别。一般森林的功能级别有三种： 1、Windows 2000模式(Default):森林当中，允许有NT4、Windows Server 2000、Windows Server 2003的域控制器，属于默认状态下的森林功能级别，可提供了最基础的森林结构特性与功能。 2、Windows 2003临时模式（interim）：适用于NT4域升级到Windows Server 2003域模式 3、Windows 2003模式family：森林当中只允许存在Windows Server 2003域控制器。 企业的域适合采用哪种功能级别？ 应该根据本公司目前及日后可能的需求，根据自己的操作系统版本，然后参照以上关于功能级别的介绍，来设置域和森林的功能级别。 下面列举出了四种域功能级别的优缺点，你可根据本公司自身的需求，加以选择。 Windows2000混合模式：对于那些并没有完全淘汰Windows NT 域控制器的企业而言，这种域级别显然是最佳选择。它最大的缺点是：自2004年年底起，微软公司正在慢慢削减对Windows NT 的支持服务。 Windows 2000本机模式：如果你已经部署了从Windows NT 到Windows 2000的AD 迁移，那 么，这个功能级别显然是最适合你的。它最大的特点是：只适合于从Windows NT 环境升级到Windows 2000 Active Directory 的情况。 Windows 2003临时模式：事实证明，Windows Server 2003是一套性能非常稳定的操作系统， 冰 河工作室p :/ /w w w .m c s e .o r g .c n