项目4 部署与管理Active Directory域服务环境

active directory的概念Active Directory（AD）是由微软开发的一种目录服务。

它是用于在网络环境中管理和组织网络资源的一种基于域的层次结构。

AD的概念可以从以下几个方面进行阐述：1. 域的概念：域是AD中最基本的逻辑结构单元，它是一个安全边界，类似于一个边界防火墙。

域可以包含用户、计算机、组织单位等多种对象，并且提供了集中管理和控制这些对象的能力。

2. 目录服务的概念：目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了一种将网络资源分层和分类的方法，使得用户可以更方便地访问和管理这些资源。

3. 组织单位（OU）的概念：OU是AD中的一个组织单位，它用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以根据需要创建各种组织结构，方便地对其内部的对象进行管理和控制。

4. 权限和访问控制的概念：AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

管理员可以通过AD设置访问规则和策略，限制用户对资源的访问权限，确保安全性和合规性。

5. 多域环境的概念：AD支持多域环境，可以在一个AD林（forest）中创建多个域。

不同域之间可以建立信任关系，使得用户或计算机可以跨域访问资源。

接下来，我们来一步一步回答关于AD的一些常见问题。

Q1：什么是域？域是AD中最基本的逻辑单位，相当于一个边界防火墙。

它提供了集中管理和控制网络资源的能力。

域可以包含用户、组织单位、计算机等多种对象。

域之间可以建立信任关系，使得用户可以跨域访问资源。

Q2：什么是目录服务？目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了将资源分层和分类的方法，方便用户访问和管理这些资源。

Q3：什么是组织单位（OU）？组织单位是AD中的一个组织单元，用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以方便地对其内部的对象进行管理和控制。

Q4：AD如何实现权限和访问控制？AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

如何使用ActiveDirectory管理Windows用户和组Active Directory(AD)是Windows操作系统中最常用的目录服务，它允许管理员集中管理用户账户、安全策略、组织单位等，为组织提供基于角色的访问控制和身份认证。

本文将介绍如何使用Active Directory管理Windows用户和组。

第一章：Active Directory简介Active Directory是Windows Server操作系统的一项功能，用于集中管理用户、计算机、服务和其他资源。

它提供了分层的目录结构，按照域的概念组织，每个域包含一个或多个域控制器(Domain Controller)。

域控制器负责存储、验证和复制目录信息。

第二章：创建AD域和域控制器首先，我们需要创建一个自己的AD域。

在开始之前，请确保你有一台安装了Windows Server操作系统的计算机，并且以管理员身份登录。

打开“服务器管理器”，选择“添加角色和功能”，在向导中选择“Active Directory域服务”。

按照向导的提示完成安装，安装过程中会要求你创建一个新的域或加入现有域。

第三章：添加用户账户在Active Directory中，用户账户用来标识和验证用户。

为了添加新的用户账户，我们可以打开“Active Directory用户和计算机”，在合适的组织单位(OU)下右键选择“新建用户”并按照向导的提示填写相关信息。

一般来说，我们需要设置账户名称、用户名、密码、描述等信息。

新建用户账户后，可以通过选中该用户账户，右键选择“重置密码”来更改用户密码。

第四章：创建和管理组在Active Directory中，组用于将用户账户和计算机账户进行逻辑分组，以便于管理。

创建新组的方法与添加用户账户类似，只需在“Active Directory用户和计算机”中选择合适的OU，右键选择“新建组”。

在组属性中，我们可以设置组名称、描述、成员等信息。

简述active directory结构
Active Directory（AD）是Windows Server操作系统中的目录服务，用于存储、管理和组织网络对象的信息，例如用户、计算机、打印机和共享文件夹等。

其结构主要包括以下组件：
1. 域：域是AD的基本单位，是一组网络对象的集合，可以将其看作是一个大型的目录数据库。

每个域都有一个域控制器（Domain Controller），负责管理该域的所有活动。

2. 目录树：一个或多个域可以组成一个目录树。

目录树以一个域作为根域，其他域作为子域。

根域控制器管理整个目录树，其他域控制器则管理各自域内的对象。

3. 目录林：一个或多个目录树可以组成一个目录林。

目录林以一个目录树作为根目录树，其他目录树作为子目录树。

根目录树的管理员可以对整个目录林进行管理，而其他目录树的管理员只能管理各自目录树内的对象。

4. 组织单元（OU）：组织单元是一种特殊类型的目录对象，用于将用户和计算机等对象组织成逻辑单元。

OU可以用来表示组织结构、地理位置或安全策略等信息。

5. 信任关系：信任关系是AD中不同域之间的一种关系，允许一个域的用户访问另一个域的对象。

例如，当一个用户从外部网络登录到内部网络时，可以通过信任关系进行身份验证和授权。

以上是Active Directory的基本结构，通过这种结构，管理员可以方便地管理网络中的对象，并确保安全性和可靠性。

Active Directory（AD）是Microsoft Windows Server操作系统中的核心组件，它提供了一种集中式的目录服务，用于管理和组织网络中的计算机、用户、组和资源。

以下是Active Directory的主要功能：目录服务：Active Directory作为中央目录服务，允许用户和计算机在网络中轻松找到和访问其他用户、计算机、共享文件夹、打印机和其他网络资源。

这大大简化了网络管理和资源访问。

身份验证和授权：Active Directory提供了一个集中的身份验证机制，使得用户可以登录到任何受信任的计算机，而无需重新输入用户名和密码。

同时，它还提供了基于角色的访问控制（RBAC），使得管理员可以轻松地管理用户的权限和访问级别。

组策略管理：通过Active Directory，管理员可以定义组策略（Group Policy），这是一种强大的管理工具，可以用于配置和管理网络中的计算机和用户。

组策略可以用于配置各种设置，如桌面壁纸、屏幕保护程序、应用程序配置、安全策略等。

安全策略管理：Active Directory还提供了一套完整的安全策略管理机制，包括防火墙规则、安全审计、数据加密等。

管理员可以通过Active Directory来管理和实施这些安全策略，确保网络的安全性。

网络服务管理：Active Directory可以用于管理各种网络服务，如文件共享、打印服务、电子邮件服务、数据库服务等。

管理员可以通过Active Directory来配置和管理这些服务，确保它们的正常运行。

报告和监视：Active Directory还提供了一套完整的报告和监视工具，可以帮助管理员了解网络的使用情况、安全状况、性能等。

这些工具可以帮助管理员及时发现和解决网络问题。

与其他应用的集成：Active Directory可以与其他Windows Server应用和服务无缝集成，如DNS服务、IIS服务、Exchange Server等。

《Windows网络操作系统》电子初九年级数学教案
图一公司域环境示意图
要求如下:
一．创建域long.,域控制器地计算机名称为Win二零一六-一。

二．检查安装后地域控制器。

三．安装域long.地额外域控制器,域控制器地计算机名称为Win二零一六-二。

四．创建子域china.long.,其域控制器地计算机名称为Win二零一六-三,成员服务器地计算机名称为Win二零一六-四。

五．创建域smile.,域控制器地计算机名称为Server一。

六．创建long.与smile.双向可传递地林信任关系。

七．备份smile.域地活动目录,并利用备份行恢复。

八．建立组织单位sales,在其下建立用户testdomain,并委派对OU地管理。

Active Directory部署之完全手册本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:AmericanIP:192.168.0.253子网掩码:255.255.255.0DNS: 192.168.0.253 (因为我要把这台机器配置成DNS服务器)点开始—运行输入dcpromo:待活动目录安装向导启动:点击下一步:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

然后点击“下一步”：在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”, 然后点“下一步”:我们把DNS Server与域控制器集成是有很多好处：1、基于Active Directory 功能的多主机更新和增强的安全性。

2、只要将新的区域添加到Active Directory 域，区域就会自动复制并同步至新的域控制器。

3、通过将DNS 区域数据库的存储集成到Active Directory 中，可以针对网络简化数据库复制规划。

4、与标准DNS 复制相比，目录复制更快捷、更有效。

5、该目录中只能存储主要区域。

DNS 服务器不能在目录中存储辅助区域。

因此，它必须在标准文本文件中存储这些数据。

如果将所有的区域都存储在Active Directory 中，Active Directory 的多主机复制模式将不再需要辅助区域。

OK，我们默认然后点“下一步”：在这里我们输入我们预先想好的域名：然后点“下一步”：这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

Active directory配置平台信息:OS ----- Windows Server 2003 CN1、安装DNS服务器如果之前没有安装过DNS，则需要安装DNS步骤：控制面板->添加删除程序->添加删除windows组建选上网络服务(双击网络服务)选上域名系统(DNS)确定(返回上级),点击下一步开始安装DNS,如下点击完成完成DNS组建安装配置DNS如下打开DNS配置管理器(dnsmgmt)如下选择正向查找区域新建区域开始新建区域步骤如下选择下一步选择主要区域下一步填写域名下一步选择默认知道下面这一步选择允许非安全和安全动态更新(A) 下一步选择完成，完成新建区域从dns管理器可以看到新建的区域已经有了修改SOA记录选择SOA属性修改NS如下选择编辑将服务器完全合格的域名改为刚才填写的域名,IP地址对应本机IP,点击添加确定F5刷新如下可以看到主机(A)已经添加进来将本机的dns服务设置为自己的ip地址使用如下命令控制DNS服务器状态netstat –an | find “53”–查看DNS是否启动查看端口53的是否处于监听状态Net stop dns –停止dns服务Net start dns –启动dns服务测试:内网上一台计算机将其dns配置成192.168.1.150 在控制台ping 如果192.168.1.150有相应则配置正确(www-04daa8f7fd5为机器名,你可以改的更简单一些) 至此DNS已经配置完成Active directory配置如下打开服务器管理器进入到如下界面,点击添加或删除角色点击下一步可以看到DNS DHCP已经配置域控制器尚未配置一直选择默认配置选择下将看到如下步骤一直选择默认配置至将先前配置的域名填入新域的DNS 全名接下来你可以选择默认(也可以修改一些文件的位置),可能会有警告不用理睬知道完成配置.重启后会看到active directory控制器已经配置点击管理Active Directory中的用户和计算机进入active directory管理器已经将的域加了进来现在可以新建组、用户等操作了现在查看dns管理器会发现多了一些东西说明配置成功了。

管理Active Directory用户和计算机服务器技术2010-01-26 21:36:55 阅读133 评论0 字号：大中小在使用Windows Server 2003 所包括的Active Directory服务的网络上，每个用户都必须由目录中的一个用户对象来表示。

用户对象由包含用户信息的属性和用户在网络上的权利组成。

创建和管理用户对象是网络管理员执行的常见任务。

一、用户账号简介用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。

定期使用网络的每个人都应有一个惟一的用户账号。

Windows Server 2003提供两种主要类型的用户账号：本地用户账号和域用户账号。

除此之外，Windows Server 2003系统中还有内置的用户账号。

1.本地用户账号（Local User Account）本地用户账号只能登录到账号所在计算机并获得对该资源的访问。

当创建本地用户账号后，Windows Server 2003将在该机的本地安全性数据库中创建该账号，本地账号信息仍为本地，不会被复制到其他计算机或域控制器。

当创建一个本地用户账号后，计算机使用本地安全性数据库验证本地用户账号，以便让用户登录到该计算机。

注意不要在需要访问域资源的计算机上创建本地用户账号，因为域不能识别本地用户账号，也不允许本地用户访问域资源。

而且，域管理员也不能管理本地用户账号，除非他们用计算机管理控制台中的操作菜单连接到本地计算机。

2.域用户账号（Domain User Account）域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。

域用户账号是在域控制器上建立的，作为AD的一个对象保存在域的AD数据库中。

用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的域控制器所验证。

当在一个域控制器上新建一个用户账号后，该用户账号被复制到域中所有其他计算机上，复制过程完成后，域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。