活动目录管理及维护-第一章 部署 Windows 域
Windows的使用活动目录讲义
活动目录
活动目录
该窗口可对计算机进行以下管理。 监视诸如登录次数和应用程序错误等系统事件。 创建和管理共享。 浏览与本地或远程计算机相连的用户列表。 启动和终止计划任务和线程。 设置存储设备的属性。 查看设备配置和添加新设备驱动器。
活动目录
⑤创建用户账户 弹出“Active Directory用户和计算机”窗 口 。 在左窗格中右击要创建计算机账户的域,快捷 菜单中选择“新建→用户”选项, “新建对象— 用户”对话框。
活动目录
目录服务把域详细分为组织单元。组织单元是 一个逻辑单位,是域中一些用户和组、文件与打印 机等资源对象的集合。组织单元还可以再划分下级 组织单元,下级组织单元能够继承父组织单元的访 问许可权。 每个组织单元可以有自己单独的管理员并指定 其管理权限,它们管理着不同的任务,从而实现对 资源和用户的分级管理。动态目录服务通过这种域 的组织单元树和域之间的可传递信任树来组织其信 任对象,实现颗粒式管理,为动态活动目录的管理 和扩展带来了极大的方便。
步骤3. 输入要加入的域名,然后单击“确定“。
步骤4.系统提示“输入有权限在域中重命名这台计算机的 帐户的名称和密码”时,输入该域中有权限的用户名和密 码,需经域控制器验证通过。 步骤5.出现“欢迎您加入xxxx.xxx域”后,表示当前计算 机已经成功地加入到指定的域中
活动目录
(2)域和信任关系管理工具 “Active Directory域和信任关系”管理工具 可以帮助系统管理员完成不同域之间信任关系的设 置。 例如,系统中安装两个域:hzjsj域与hzjw域, 两个域各有一台Active Directory的域控制器,且 两个域之间的连接正常。
活动目录
2 安装活动目录 (1)注意事项 1)在服务器上安装活动目录时,磁盘中必须有一个 格式化为NTFS的分区。 2)可以利用系统提供的活动目录安装向导配置服务 器。如果网络没有其他域控制器,可将服务器配置 为域控制器,并新建子域、域目录树或目录林。如 果网络中有其他域控制器,可将服务器设置为附加 域控制器,加入旧域、旧目录树或目录林。 3)活动目录安装后,服务器的开机和关机时间变长, 且系统的执行速度变慢。
活动目录的安装及配置
示:
任务二:安装活动目录
步骤12:单击【下一
步】按钮,开始安装。 如果本服务器上未安装 DNS服务,则Active Directory安装向导
会自动安装该服务,此
时可能提示用户插入光 盘,如右图所示:
任务二:安装活动目录
步骤13:这时是我
们插入windows
2003安装光盘,
然后按【确定】按 钮,开始安装DNS 服务,如右图所
任务二:安装活动目录
1.安装活动目录的前提条件 (1)计算机上必须安装了Windows Server 2003操作系 统,且至少有一个NTFS分区,至少有250M的空间。 (2)执行活动目录安装的用户必须对计算机有管理员 权限。 (3)计算机必须配置好了IP地址和DNS服务器地址。 (4)DNS服务可以在安装活动目录前安装,也可以和 活动目录集成安装,即在安装活动目录过程中安装。
步骤5:单击【下一
步】按钮,显示 【NetBIOS域名】 对话框。在其中为 新域指定一个 NetBIOS名称,
如“Wlgc”,如右
图所示:
任务二:安装活动目录
步骤6:单击【下一步】 按钮,显示【数据库和 日志文件夹】对话框。 在其中指定放置 Active Directory数 据库和日志文件的位置, 可以通过单击【浏览】 按钮来选择合适的位置,
,域名为
,如右图所示:
任务二:安装活动目录
方法2:查看活动目录组件。
打开【管理工具】后,会出
现3个与活动目录相关的 Microsoft管理控制台
(MMC),即“Active
Directory用户和计算 机”、“Active
Directory域和域信任关
系”和“Active Directory站点和服务”,
WindowsServer2022R2域与活动目录
WindowsServer2022R2域与活动目录什么是域域(Domain)是Window网络中独立运行的单位,域之间相互访问则需要建立信任关系(TrutRelation)。
信任关系是连接在域与域之间的桥梁。
当一个域与其他域建立了信任关系后,两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。
为什么需要域如果资源分布在N台服务器上,那么用户需要资源时就要分别登陆这N台服务器,也就需要N个账号。
一个用户如此,那M个呢,管理员也就需要给他们创建N某M个账户,这样不仅负责而且难管理。
有了域,管理员只需要给每个用户创建一个域用户,用户只需在域中登陆一次就可以访问域中的资源,实现了单一登陆。
用户信息是存放在域中的域控制器(DC,DomainController)上,上图中,可以在服务器中选定一台或者几台服务器作为域控制器。
有多台域控制器时,各个域控制器是平等的,每个域控制器上都有所在域的全部用户的信息,域控制器之间需要同步这些信息。
而其它不适域控制器的服务器仅仅是提供资源。
什么是活动目录活动目录(ActiveDirectory)是Window2003Server平台提供的目录服务。
在中央数据库中存放信息,使用户在网络上只拥有一个用户账号。
目录是存储各种对象的一个物理上的容器,目录服务是使目录中所有信息和资源发挥作用的服务。
信息的安全性大大增强,引入基于策略的管理,使系统的管理更加明朗,具有很强的可扩展性、可伸缩性、智能的信息复制能力,与DNS集成紧密、与其他目录服务具有互操作性、具有灵活的查询。
活动目录逻辑结构:域、组织单元、树、林。
域控制器(DC,DomainController)上存放着域中所有用户、组、计算机等信息(实际上域控制器存放的信息还不止这些),域控制器把这些信息存放在活动目录中。
活动目录和DNS的关系在TCP/IP网络中,DNS(DomainNameSytem)是用来解决计算机名字和IP地址的映射关系的,活动目录和DNS是紧密不可分的,活动目录使用DNS服务器来登记域控制器的IP、各种资源的定位等,在一个域林中至少要有一个DNS服务器存在,所以安装活动目录时需要同时安装DNS。
windows服务器_部署活动目录域
32
实验案例2:OU的管理
• 学员练习:
– 创建OU – 创建用户 – 委派权限 – 在客户机添加“Active Directory域服务工具” 功能 – 在客户机上使用被委派用户验证委派
40分钟完成
33
6
安装活动目录
• 推荐步骤
– 运行dcpromo命令 – 在新林中新建域 – 设置域名 – DNS服务器 – 目录服务还原模式的Administrator密码
7
域功能级别
域功能级别 支持的域控制器
Windows 2000 Window Server 2003 Window Server 2008 Window Server 2003 Window Server 2008
– 可扩展性
4
域和活动目录的概念3-3
• 域树
– 具有连续的域名空间的多个域
• 林
– 林由一个或多个域树组成
5
安装域控制器的条件
• 安装者必须具有本地管理员权限 • 操作系统版本必须满足条件(Windows Server 2003 除Web版外都满足) • 本地磁盘至少有一个分区是NTFS文件系统 • 有TCP/IP设置(IP地址、子网掩码等) • 有相应的DNS服务器支持 • 有足够的可用空间
• 可以按AGDLP规则来使用全局组
19
通用组
• 使用范围是整个林及信任域 • 全局组和通用组的区别
– 通用组的成员身份在全局编录中
• 多域环境下通用组成员登录或者查询速度较快
– 全局组的成员身份在每个域中
20
组织单位(OU)的管理
• 概念
– 容器:有效地组织活动目录对象 – 委派控制 – 组策略
16
windows域安装和维护手册
Windows域维护手册一、域的安装步骤1.安装windows2003 server企业版2.设置首选DNS地址为本机IP3.打开开始菜单,输入“DCPROMO”,回车,4.回车后,出现“Active Directory 安装向导”,点击“下一步”,出现“操作系统兼容性”信息后,单击“下一步”,5.选择“新域的域控制器”,点“下一步”,6.选择“在新林中的域”,点击“下一步”,7.“新域的 DNS全名”输入“”,点击“下一步”8.点击“下一步”,表示使用“TEST”作为域NetBIOS名9.直接点“下一步”,数据库和日志文件文件夹放在默认目录10.注意:SYSVOL文件夹必须在NTFS卷上,即这个文件夹所在的磁盘格式必须为NTFS,点“下一步”11.选择第二项,点“下一步”12.设置好你的还原模式密码之后,点“下一步”,出现“Active Directory 安装选项摘要”,单击“下一步”开始安装 Active Directory。
13.在出现以上提示时,请把 Windows Server 2003 安装盘放入光驱中,点确定(以上提示会出现两次,不过需要使用的文件不同)。
下面就按照提示点“下一步”直至“完成”。
14.重启你的计算机,这样你的Win Server 2003服务器就成为了域控制器了。
二、创建组织单位、用户、设置密码1. 创建组织单位:打开管理工具->Active Directory 用户和计算机,右键单击“”,新建->组织单位。
2. 建立用户:在组织单位名称上点右键,新建->用户。
3. 设置密码。
设置密码的时候,会提示你密码不符合密码策略,从而不能新建用户。
解决方法:打开管理工具->Active Directory 用户和计算机,右键单击“”,属性->选择组策略,默认选择的是 Default Domain Policy,点“编辑”,这样就打开组策略,选择计算机配置->Windows 设置->安全设置->账户策略->密码策略。
Windows域环境的部署与管理-部署与管理Active Directory域服务环境
《Windows网络操作系统》电子初九年级数学教案
图一公司域环境示意图
要求如下:
一.创建域long.,域控制器地计算机名称为Win二零一六-一。
二.检查安装后地域控制器。
三.安装域long.地额外域控制器,域控制器地计算机名称为Win二零一六-二。
四.创建子域china.long.,其域控制器地计算机名称为Win二零一六-三,成员服务器地计算机名称为Win二零一六-四。
五.创建域smile.,域控制器地计算机名称为Server一。
六.创建long.与smile.双向可传递地林信任关系。
七.备份smile.域地活动目录,并利用备份行恢复。
八.建立组织单位sales,在其下建立用户testdomain,并委派对OU地管理。
Windows活动目录权限管理服务电脑资料PPT
02
活动目录基础知识
活动目录结构
目录树
由组织单位、域、站点等 组成的层次结构,用于管 理和组织网络中的资源。
域
共享相同的安全策略、用 户账户和密码策略的逻辑 边界,包含一个或多个物 理位置。
组织单位
目录树中的容器,用于将 相关对象(如用户、组、 计算机)组合在一起,便 于管理。
04
活动目录权限管理服务实施
权限管理服务器部署
服务器硬件要求
活动目录安装与配置
确保服务器满足最低硬件要求,如处 理器、内存和存储空间。
安装活动目录服务,并配置域控制器 、站点和复制等。
服务器操作系统
安装支持的Windows Server操作系 统,并配置必要的角色和功能。
权限管理客户端配置
客户端操作系统
监控与审计结果分析
结果汇总与整理
将监控和审计结果进行汇总和整理,形成可视 化报告,便于理解和分析。
异常检测与定位
通过对比分析,检测目录权限的异常变动,定 位潜在的安全风险。
改进建议与措施
根据分析结果,提出针对性的改进建议和措施,优化目录权限管理策略。
06
活动目录权限管理优化建议
定期审查权限策略
确保客户端计算机运行支持的Windows操作系统 。
加入域
将客户端计算机加入到活动目录域中,以便集中 管理。
客户端软件安装
安装必要的客户端软件,如远程桌面服务客户端 等。
权限管理策略应用
用户和组管理
在活动目录中创建用户账户和组,并 分配相应的权限。
文件和文件夹权限设置
设置文件和文件夹的访问权限,包括 读取、写入和执行等。
Windows Server 2008 R2活动目录配置和管理
Demonstration:配置 AD DS 组帐户
在此stration:配置其他 AD DS 对象
在此演示,您将看到如何配置其他 AD DS 对象
Lesson 2:使用组策略
•为将访问分配给资源的选项。 •使用帐户组来分配资源的访问。 •使用帐户组和资源组。 •讨论: 在单个域或多域环境中使用组。
Module 1:配置
Active Directory ® 域服务的域名称服务
模块概述
•Active Directory 域服务和 DNS 集成的概述。 •配置 AD DS 集成的区域。 •配置只读 DNS 区域。
Lesson 1: Active Directory 域服务和 DNS 集成的概述
Lesson 1:配置 Active Directory 对象
•AD DS 对象的类型。 •演示: 配置 AD DS 用户帐户。 •AD DS 组类型。 •AD DS 组范围。 •默认 AD DS 组。 •AD DS 特别标识。 •讨论: 使用默认组和特别的标识。 •演示: 配置 AD DS 组帐户。 •演示: 配置其他 AD DS 对象。
2008
Windows XP
3 客户端验证现有的注册
4
DNS 服务器响应的说明 注册并不存在
客户端将动态更新发送
5 到DNS 服务器
如何安全动态 DNS 更新工作
只有当客户端有正确的凭据要更新接受安全 的动态更新
Windows Vista DNS Client
Local DNS Server
Domain Controller with Active Directory
•在域分区或应用程序分区中,可以存储一个 DNS 区域。 •管理员可以定义自定义复制的范围 应用程序分区。 •DomainDNSzones forestDNSzones 并存储 DNS
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 安全组
• 为用户设置访问权限
– 通讯组
• 用于电子邮件通信 • 包含联系人和用户帐户
组的管理2-2
• 组的作用域
– 本地域组
• 针对本域的资源创建本地域组 • 适用范围:本域
– 全局组
• 管理需要进行日常维护的目录对象 • 适用范围:整林及信任域
– 通用组
• 身份信息记录在全局编录中 • 查询速度快 • 适用范围:整林及信任域
活动目录管理及维护
课程目标
• 了解Windows域的概念 • 学会添加和卸载域控制器 • 学会部署组策略 • 学会对活动目录进行备份和还原 • 学会转移和占用操作主机角色 • 学会解决活动目录常见故障 • 掌握跨域访问资源
课程结构
Windows域管理
1. Windows域的概 念
2. 部署windows域 3. 添加额外域控 4. 卸载域控 5. 组策略概念 6. 部署组策略
安装域控制器 将客户机加入域 域用户账户的管理
组的管理 组织单位的管理
域的概述
• 工作组
– 单独管理,工作量大 – 规模较小
•域
– 将网络中的计算机逻辑上组织到一起,进行集 中管理
– 规模较大
活动目录
• 活动目录是一个目录数据库
– 存储整个Windows网络中对象的相关信息
• 活动目录是一种服务
第1-3章
第4-5章
第6-7章
第8章
第一章 部署 Windows 域
—— 理论部分
技能展示
• 理解域和活动目录的概念 • 会创建Windows域 • 会管理域用户账户、组以及OU
本章结构
部署Windows域
域和活动目录概述
部署Windows域
Windows域的基 本管理
域和活动目录的概念 域结构
组织单位的管理
• OU的概念
– OU是AD中的容器
– 可在其中存放用户、组、计算机和其他OU
• 创建OU
– 基于部门,如行政部、人事部
– 基于地理位置,如北京、上海
– 基于对象,如用户、计算机
• 删除OU
– 取消“防止对象被意外删除”
取消该选项 启用高级功能
本章总结
部署Windows域
域和活动目录概述
– 可对活动目录中数据执行各种操作
• 活动目录的优点
– 集中管理 – 便捷的网络资源访问 – 可扩展性
域和域控制器
•域
– 活动目录的一种实现形式 – 活动目录中最核心的管理单位 – 由域控制器和成员计算机组成
• 域控制器
– 安装了活动目录的一台计算机 – 域管理员可以控制每个域用户的行为
域结构2-1
– NTFS分区 – 有TCP/IP设置 – 有足够的可用磁盘空间
安装域控制器3-1
• 管理员登录运行Dcpromo • 选择在新林中新建域 • 在命名林根域中输入林的名称 • 输入目录服务还原模式的Administrator密
码 • 安装和配置活动目录 • 完成安装
小结
• 请思考
– 什么是活动目录? – 活动目录特点? – 域的结构有哪些? – 如何安装域控制器?
备份和灾难恢复
操作主机角色与 AD故障排查
多域间访问
1. Windows
1. 五种操作主机
Server Backup
角色功能
介绍
2. 转移和占用操
2. 对数据进行备份
作主机角色
和恢复
3. 升级域环境
3. 对AD进行备份 4. 排查AD常见故
和恢复
障
1. 林、域树和子 域的概念
2. 安装子域和域 树
3. 实现跨域访问 资源
部署Windows域
Windows域的基 本管理
域和活动目录的概念 域结构
安装域控制器 将客户机加入域 域用户账户的管理
组的管理 组织单位的管理
第一章 部署 Windows 域
—— 上机部分
实验案例一:安装活动目录2-1
• 实验环境
– 建立 Windows Server 2008 域,域名为
将客户机加入域
• 客户机加入域的条件
– 计算机IP地址和DNS配置正确 – 确保该计算机和域控制器互相连通
• 将客户机加入域
– 输入域名称 – 输入用户名及密码 – 成功加入域
Windows域的基本管理
• 域用户账户的管理
– 创建域用户账户 – 配置域用户账户属性
• 组的管理
– 组的类型 – 组的作用域
到域
• 学员4练0分习钟完成
实验案例二:域的基本管理2-1
• 实验环境
– Windows Server 2008域
• 需求描述
– 按部门来管理用户账户 – 用户账户在第一次登录域时需要更改密码
实验案例二:域的基本管理2-2
• 实现思路
– 为各部门建立OU – 在 OU 中创建多个用户账户 – 选中“用户下次登录时须更改密码” – 将用户账户 UserA 移动到 销售部OU 中 – 验证结果
– 管理计算机和用户账户以及其他网络资源
• 需求描述
– 在服务器DC01上安装活动目录,域名为
– 将客户机Client01加入域 – 创建域用户账户UserA
实验案例一:安装活动目录2-2
• 实现思路
– 检查DC01是否满足安装活动目录的条件 – 在DC01上安装活动目录 – 将客户机Client01加入域 – 创建域用户账户UserA – 使用用户账户UserA从客户机Client01可以登录
• 组织单位的管理
– OU的概念 – OU的应用
域用户账户的管理2-1
• 域用户账户的作用
– 验证用户的身份 – 授权或拒绝对域资源的访问
• 创建域用户账户
– 域用户账户的命名 – 域用户账户的密码
域用户账户的管理2-2
• 配置域用户账户属性
– 登录时间 – 登录到 – 账户过期
组的管理2-1
• 单域–ຫໍສະໝຸດ 网络中只建立了一个域• 域树
– 具有连续的名称空间的多个域 – 树形结构
域结构2-2
• 域林
– 由一个或多个没有形成连续名称空间的域树组 成
– 林中每个域树都有唯一的名称空间,之间不连 续
安装域控制器的条件
• 安装DC的必备条件
– 本地管理员权限 – 操作系统版本必须满足条件
• Windows Server 2003 • Windows Server 2008(Web版除外)
• 学员练习
40分钟完成