Active Directory服务器配置

Active Directory配置与应用一． Active directory的概论1、Active directory 的几个基本概念目录(directory)：它就象我们日常用的电话本，本子上记录着家人朋友的姓名、电话、住址、生日等等，这就是“电话目录”。

我们说的Active directory是在windows Server 2003域内负责提供目录服务的组件。

命名空间(Namespace):就是一个界定好的区域，在这块区域内我们可以利用某个名称来找到与这个名称有关的信息。

一个电话本好象是一个“命名空间”。

对象(object)：在windows server 2003 域内用户、计算机、打印机、应用程序等都是对象。

属性(attribute):属性就是用来描述对象特征的。

对象本身就是一些“属性”的集合。

容器(container)：它和对象相似，也是一些属性的集合。

容器内可以包含其他对象，比如“用户”“计算机”等对象，还可以包含其他容器。

组织单元(OU):实际就是一个特殊点的容器，可以包含其他容器与OU，还有“组策略”的功能。

域树(domain tree) :架设一个多域的网络，则网络可以设置成“域树”的架构，这些域是以倒置树状结构存在。

树的最上层是这棵域树的根域，根域之下会有很多会有很多子域。

信任(trust):要想让两个域可以访问对方域内的资源，必须让两个域建立“信任关系”。

任何一个windows server 2003域被加入域树后，这个域都会自动信任前一层的父域，同时父域也会自动信任此新域，这个信任的功能是通过Kerberos安全协议来完成的，也被称做kerberos信任。

如果A域和B域双向信任，B域和C域也互相信任，那么A域和C域也会自动双向信任，这也叫隐性信任。

林(forest):如果一个网络有多个域树则可以将这些域树组合成为一个“林”。

一个林可以包括一个或多个域树，每一个域树都有自己唯一的命名空间。

Active Directory部署之完全手册本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:AmericanIP:192.168.0.253子网掩码:255.255.255.0DNS: 192.168.0.253 (因为我要把这台机器配置成DNS服务器)点开始—运行输入dcpromo:待活动目录安装向导启动:点击下一步:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

然后点击“下一步”：在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”, 然后点“下一步”:我们把DNS Server与域控制器集成是有很多好处：1、基于Active Directory 功能的多主机更新和增强的安全性。

2、只要将新的区域添加到Active Directory 域，区域就会自动复制并同步至新的域控制器。

3、通过将DNS 区域数据库的存储集成到Active Directory 中，可以针对网络简化数据库复制规划。

4、与标准DNS 复制相比，目录复制更快捷、更有效。

5、该目录中只能存储主要区域。

DNS 服务器不能在目录中存储辅助区域。

因此，它必须在标准文本文件中存储这些数据。

如果将所有的区域都存储在Active Directory 中，Active Directory 的多主机复制模式将不再需要辅助区域。

OK，我们默认然后点“下一步”：在这里我们输入我们预先想好的域名：然后点“下一步”：这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

一．手动安装Active Directory：1.单击“开始”按钮，单击“运行”，键入“DCPROMO”，然后单击“确定”。

2.在出现“Active Directory 安装向导”时，单击“下一步”开始安装。

3.阅读“操作系统兼容性”信息后，单击“下一步”。

4.选择“新域的域控制器”（默认），然后单击“下一步”。

5.选择“在新林中的域”（默认），然后单击“下一步”。

6.对于“DNS 全名”，键入“”，然后单击“下一步”。

（这表示一个完全限定的名称。

）7.单击“下一步”，接受将“test”作为默认“域NetBIOS 名”。

（NetBIOS 名称提供向下兼容性。

）8.在“数据库和日志文件文件夹”屏幕上，将Active Directory“日志文件文件夹”指向“L:\Windows\NTDS”，然后单击“下一步”继续。

9.保留“共享的系统卷”的默认文件夹位置，然后单击“下一步”。

10.在“DNS 注册诊断”屏幕上，单击“在这台计算机上安装并配置DNS 服务器”。

单击“下一步”继续。

11.选择“只与Windows 2000 或 Windows Server 2003 操作系统兼容的权限”（默认），然后单击“下一步”。

12.在“还原模式密码”和“确认密码”中，键入密码，然后单击“下一步”继续。

13.单击“下一步”开始安装Active Directory。

14.在“Active Directory 安装向导”完成后，单击“完成”。

15.单击“立即重新启动”以重新启动计算机。

二．创建组织单位和组，创建OU 和安全组1.单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。

2.单击“”旁边的“+”号将其展开。

单击“”本身，显示其在右窗格中的内容。

3.在左窗格中，右键单击“”，指向“新建”，然后单击“组织单位”。

4.在名称框中键入“testou1”，然后单击“确定”。

Active directory配置平台信息:OS ----- Windows Server 2003 CN1、安装DNS服务器如果之前没有安装过DNS，则需要安装DNS步骤：控制面板->添加删除程序->添加删除windows组建选上网络服务(双击网络服务)选上域名系统(DNS)确定(返回上级),点击下一步开始安装DNS,如下点击完成完成DNS组建安装配置DNS如下打开DNS配置管理器(dnsmgmt)如下选择正向查找区域新建区域开始新建区域步骤如下选择下一步选择主要区域下一步填写域名下一步选择默认知道下面这一步选择允许非安全和安全动态更新(A) 下一步选择完成，完成新建区域从dns管理器可以看到新建的区域已经有了修改SOA记录选择SOA属性修改NS如下选择编辑将服务器完全合格的域名改为刚才填写的域名,IP地址对应本机IP,点击添加确定F5刷新如下可以看到主机(A)已经添加进来将本机的dns服务设置为自己的ip地址使用如下命令控制DNS服务器状态netstat –an | find “53”–查看DNS是否启动查看端口53的是否处于监听状态Net stop dns –停止dns服务Net start dns –启动dns服务测试:内网上一台计算机将其dns配置成192.168.1.150 在控制台ping 如果192.168.1.150有相应则配置正确(www-04daa8f7fd5为机器名,你可以改的更简单一些) 至此DNS已经配置完成Active directory配置如下打开服务器管理器进入到如下界面,点击添加或删除角色点击下一步可以看到DNS DHCP已经配置域控制器尚未配置一直选择默认配置选择下将看到如下步骤一直选择默认配置至将先前配置的域名填入新域的DNS 全名接下来你可以选择默认(也可以修改一些文件的位置),可能会有警告不用理睬知道完成配置.重启后会看到active directory控制器已经配置点击管理Active Directory中的用户和计算机进入active directory管理器已经将的域加了进来现在可以新建组、用户等操作了现在查看dns管理器会发现多了一些东西说明配置成功了。

管理Active Directory用户和计算机服务器技术2010-01-26 21:36:55 阅读133 评论0 字号：大中小在使用Windows Server 2003 所包括的Active Directory服务的网络上，每个用户都必须由目录中的一个用户对象来表示。

用户对象由包含用户信息的属性和用户在网络上的权利组成。

创建和管理用户对象是网络管理员执行的常见任务。

一、用户账号简介用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。

定期使用网络的每个人都应有一个惟一的用户账号。

Windows Server 2003提供两种主要类型的用户账号：本地用户账号和域用户账号。

除此之外，Windows Server 2003系统中还有内置的用户账号。

1.本地用户账号（Local User Account）本地用户账号只能登录到账号所在计算机并获得对该资源的访问。

当创建本地用户账号后，Windows Server 2003将在该机的本地安全性数据库中创建该账号，本地账号信息仍为本地，不会被复制到其他计算机或域控制器。

当创建一个本地用户账号后，计算机使用本地安全性数据库验证本地用户账号，以便让用户登录到该计算机。

注意不要在需要访问域资源的计算机上创建本地用户账号，因为域不能识别本地用户账号，也不允许本地用户访问域资源。

而且，域管理员也不能管理本地用户账号，除非他们用计算机管理控制台中的操作菜单连接到本地计算机。

2.域用户账号（Domain User Account）域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。

域用户账号是在域控制器上建立的，作为AD的一个对象保存在域的AD数据库中。

用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的域控制器所验证。

当在一个域控制器上新建一个用户账号后，该用户账号被复制到域中所有其他计算机上，复制过程完成后，域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。

管理手册：Active Directory站点和服务目录1.概述 (2)1.1.站点管理 (2)1.2.服务发布 (4)2.向林添加站点 (4)2.1.过程要求 (5)2.2.向林添加站点过程 (5)3.站点间的计划复制 (9)3.1.了解站点间复制 (10)3.2.配置站点间复制可用性 (11)3.3.配置站点间复制频率 (12)4.向站点添加全局编录 (13)4.1.了解全局编录 (14)4.2.添加或删除全局编录 (16)4.3.验证全局编录准备就绪情况 (17)4.4.验证全局编录 DNS 注册 (18)附录：Active Directory 站点和服务用户界面说明 (19)<SiteLinkName>属性页 - 常规选项卡 (19)<ConnectionObjectName>属性页 - 常规选项卡 (19)NTDS 设置属性页 - 常规选项卡 (20)NTDS 站点设置属性页 - 站点设置选项卡 (21)<ServerName>属性页 - 常规选项卡 (21)IP 或 SMTP 属性 - 常规选项卡 (21)新建对象 - 子网对话框 (22)新建对象–站点链接桥对话框 (22)输入地址前缀 (23)1.概述Active Directory(R) 站点和服务是 Windows Server(R) 2008 R2 操作系统中的一个 Microsoft管理控制台 (MMC) 管理单元，可用来管理 Active Directory 域服务 (AD DS) 林中所有站点间目录数据的复制。

此管理单元还提供 AD DS 中发布的服务特定对象的视图。

注意可以委派负责应用程序服务的管理员负责管理向其中发布应用程序特定对象的服务容器。

将 Active Directory 域服务服务器角色添加到服务器时，就将“Active Directory 站点和服务”添加到了“管理工具”菜单中。