创建AD域与用户添加管理
ad的使用基本流程
ad的使用基本流程AD(Active Directory)是Windows操作系统提供的一种目录管理服务。
其主要目的是方便IT管理员在企业网络中管理和分配资源,如用户账户、计算机设备、安全策略等。
本文将围绕AD的使用基本流程来介绍它的主要特点和操作过程。
步骤1:安装和配置AD服务首先需要在一台运行Windows Server操作系统的计算机上安装和配置AD服务。
这里需要注意的是,在安装过程中必须选择域控制器角色,并根据实际情况设置与网络相关的信息,如域名、DNS服务器地址等。
安装完成后系统会自动进行初始化配置,此时一台域控制器已经搭建完成并可以用于管理和控制其他计算机设备。
步骤2:创建和管理用户账户在AD中,每个用户都有一个独特的账户,通过该账户可以登录到Windows系统、访问网络资源等。
为了创建一个账户,需要在AD上打开“Active Directory用户和计算机”管理工具,然后在域内新建一个用户账户,填写必要的信息如姓名、密码、邮箱等,并选择用户所属的组织单元(OU)。
OU是AD中的一个重要单元,可以用于对组织结构进行分类和管理。
步骤3:管理计算机设备管理员可以使用“Active Directory用户和计算机”工具来管理AD域内的计算机设备。
首先需要在“计算机”单元下添加一个新的计算机对象,并指定所属的组织单元。
然后可以使用AD提供的工具来对计算机对象进行管理,如重置密码、启用/禁用账户等。
步骤4:实施安全策略AD还提供了一系列安全策略,可以用于保护域内资源的安全性。
常见的安全策略包括密码策略、账户锁定策略、用户访问控制策略等。
管理员可以在AD上设置这些策略,以保证系统的安全性和可靠性。
总结:以上就是AD的基本使用流程,使用AD不仅可以提高管理员对企业内资源的管理和控制能力,而且可以大大提高企业内的信息安全和稳定性。
AD的功能非常强大,还有许多高级操作和功能,需要深入的了解和学习才能进行更为复杂的操作。
AD域添加用户添加客户端到AD域
AD域添加用户:AD 域基本信息:AD域IP:192.168.235.238AD域用户名:administratorAD域密码:testpass1登陆AD域服务器,start-all programs-administrative tools-active directory users and computers 2选择---users3 在users上点击右键,选择new---user4 在向导中填入用户基本信息5、完成初始信息后,在user中会出现此用户,双击用户名,在用户属性中完善Email等基本信息。
6、用户添加完成添加XP客户端到AD域:1、更改internet protocol(TCP/IP) properties中的DNS为AD域的IP(否则加入后PC登陆会很慢且问题很多)。
2、点击my computer-properties-computer name检查full computer name是否是名字的全拼3 如果2中不是名字的全拼,点击change,将computer name更改为名字全拼。
4 点击Ok,会提示重启电脑,确认重启。
5 重启后,再次进入my computer-properties-computer name,点击change,将member of 更改为Domain,输入.6 确定后会要求输入域管理员账号密码,输入后确定提示加域成功,重启电脑。
7 再次进入电脑,右键我的电脑---mange-system tools—Local users and groups---groups,在administrators组中增加域用户。
8 将域用户名增加到administrator组,会提示输入域管理员密码9 输入管理员密码,确认后退出10重启电脑,在登录界面点击Options,将log on to选择SIMCOM-SY,输入域用户登录。
11 首次登录可能会提示更改密码,更改后确定即可11 登录后会重新创建桌面,可将原来桌面文件从C:\Documents and Settings\olduser的目录下copy到当前用户目录下。
AD域管理员手册v12
AD域管理员手册v12AD域管理员手册v12简介本指南提供了有关如何管理Microsoft Active Directory(AD)域的详细信息。
本文档向 AD 域管理员介绍了 AD 管理的基本概念,并介绍了如何使用 Windows 帐户管理和 AD 中的用户,计算机和组等功能的相关细节。
它还介绍了如何备份和恢复 AD 数据,监视系统性能,远程管理和有效利用 AD 的其他技术。
本文档旨在帮助 AD 域管理员了解他们可以使用此功能的方式。
安装和配置您可以从 Windows Server 操作系统安装 Microsoft Active Directory,也可以从 Windows Server Essentials 安装 AD 功能。
在安装之前,您可以使用 Windows 帐户管理器(任何版本)或 Windows 帐户向导(仅限 Windows Server Essentials)配置 AD。
配置 AD 的过程可分为若干个细节步骤。
按照此安装手册提供的指导,首先,您应配置网络协议,安装域控制器和客户端等。
之后,您应该创建AD 域,并创建用户和计算机的域内安全组,以便有效地管理权限和访问控制等措施。
您可以使用任何 Windows 版本的 AD 管理工具来完成 AD配置,但通常建议使用 Windows Server Essentials 或 Windows Server 版本的 AD 管理工具。
安装完成后,应定期执行维护任务以确保AD的可用性和安全性。
例如,可以定期完成备份和恢复,确保完整性,检查文件系统,确保安全性和管理性能等。
管理用户帐户。
AD域组建,XP系统加入域、添加域用户、ou组建
一:建域1.开始>>运行>>dcpromo2.进入AD安装向导3.关于系统兼容性的说明4.创建域控制器的类型,我们这里因为是第一台域控制器,所以选第一项。
第二项为创建备份域控制器做冗余的时候用的,这留到以后关于迁移域控制器的时候再跟大家说。
5.创建一个新域。
各项的说明图中已经给出,我们这里选第一项"在新林中的域",因为本文的环境为安装第一个域。
6.创建的域的名称。
我个人来说习惯在企业内部用。
local的后缀表示本地的。
BIOS域名,一般不用改直接下一步!8.数据库及日志文件存放的位置,可以改也可以不改。
如果你习惯把日志类文件放到一齐的话,可以进行修改。
因为我只有一个盘就不改了。
9.共享的系统卷,这里要注意了!此文件必须要放在NTFS卷上!而且sysvol文件是被用于以后的域信息同步的。
所以在安装完后会自动的共享出来。
10.这里一般的话集成安装DNS比较好,如果是分离安装的话,对新手比较麻烦。
因为AD 会在DNS下创建许多SRV记录。
11.设置权限,其实就是为了与旧的系统AD迹象联系用的。
一般来说默认就可以了!2000以前的已经没见过有人用了。
12.AD在进入目录服务还原模式时使用的管理员密码。
注意与现在的管理员密码概念区分。
此密码只适用于目录服务还原模式。
此模式在大家平时选择进入安全模式的菜单下可以找到。
13.你所创建的域环境摘要,说穿就是你前面的设置信息。
14.在上面的图示中点击下一步就开始部署AD了!需要一点时间,大概5分钟就可以了。
休息一下眼睛。
在这里之前如果大家没有填写TCP/IP的信息,会在安装过程中叫你填写TCP/IP信息。
15.会出现提示要选择映像文件的位置--如选择取消,DNS服务就会手动配置(有点麻烦),点击确定-----浏览---选择文件的位置16.看到这里就表示安装完毕了。
17.最后就重启--------立即重启才会生效二,加入域1.加入域前的准备a.开始---程序---管理工具---ActiveDirectory用户和计算机---选择---新建域名下的Computers---在右侧窗口,右击---新建---计算机---输入计算机名(是你要加入这个域的计算机名,)---下一步---下一步---完成。
ad域操作实例
AD域操作实例1. 什么是AD域?AD(Active Directory)是由微软开发的一种用于管理网络资源的目录服务。
它提供了一种集中管理和控制网络中所有计算机、用户、组织结构和安全策略的方式。
AD域是基于Windows Server操作系统的一种网络架构,可以将多台服务器组织成一个逻辑上的单个域,并通过域控制器进行统一管理。
AD域提供了许多功能,包括用户身份验证、访问控制、组织结构管理和集中化的资源管理。
通过使用AD域,管理员可以轻松地添加、删除和管理用户账户,设置权限和安全策略,并集中管理网络上的共享文件夹、打印机等资源。
2. AD域操作实例下面将介绍几个常见的AD域操作实例,包括创建用户账户、重置密码、添加组成员等。
2.1 创建用户账户在AD域中创建新的用户账户非常简单。
首先打开Windows Server上的“Active Directory Users and Computers”工具,然后按照以下步骤进行操作:1.在左侧树形菜单中选择合适的组织单位(OU)或容器。
2.右键点击选定的OU或容器,在弹出菜单中选择“New” -> “User”。
3.在弹出的对话框中填写用户的必要信息,如用户名、姓名、密码等。
4.点击“Next”并按照需要设置其他选项,如密码过期策略、账户锁定策略等。
5.最后点击“Finish”完成创建。
2.2 重置密码当用户忘记密码或需要更改密码时,管理员可以通过以下步骤在AD域中重置用户密码:1.打开“Active Directory Users and Computers”工具。
2.在左侧树形菜单中找到相应的用户账户,并右键点击选择“ResetPassword”。
3.在弹出的对话框中输入新密码,并确认新密码。
4.点击“OK”完成重置。
2.3 添加组成员在AD域中,可以将多个用户账户组织成组,并为组分配权限和资源。
以下是添加组成员的步骤:1.打开“Active Directory Users and Computers”工具。
ad域管理
统一的身
份验证机
制,确保
只有合法
单点登录:
用户才能
AD域支持
访问资源
Single
Sign-On
(SSO),
用户只需
登录一次
即可访问
所有关联
资源访问
控制:通
过AD域内
的组和权
限设置,
实现对资
企业政策
源的访问
管理:通
控制
过AD域,
企业可以
实施和管
理各种政
策,如密
码策略、
软件分发
02
04
02
AD域的规划与部署
• 监控域性能:使用工具监控AD域的性能,及时发现和解决问题
扩展策略
• 添加子域:根据企业发展,将AD域划分为更多的子域
• 增加域控制器:在需要时,添加新的域控制器,提高AD域的可扩展性
• 跨域访问:实现与其他AD域的信任关系,实现跨域访问
03
AD域的用户与组管理
用户帐户的创建与管理
创建用户帐户
• 日志报告:生成日志报告,记录分析结果和改进措施
AD域的故障诊断与解决思路
故障诊断
解决思路
• 故障识别:识别AD域的故障现象和症状
• 检查配置:检查AD域的配置,确保配置正确无误
• 故障定位:确定故障发生的位置和原因
• 检查日志:分析AD域的日志,找出故障原因和线索
• 故障排除:采取相应的措施,排除故障
• 基本属性:如姓名、电子邮件和电话号码
• 打印权限:控制用户对打印机的访问权限
• 组织单位:将用户分配到特定的组织单位,便于管理
• 其他权限:控制用户对其他资源和功能的访问权限
• 其他属性:如IP地址、计算机名和登录时间
创建AD域及用户添加管理
创建AD域及⽤户添加管理AD 域域:域是⼀种管理边界,⽤于⼀组计算机共享共⽤的安全数据库,域实际上就是⼀组服务器和⼯作站的集合。
其实上我们可以把域和⼯作组联系起来理解,在⼯作组上你⼀切的设置在本机上进⾏包括各种策略,⽤户登录也是登录在本机的,密码是放在本机的数据库来验证的。
⽽如果你的计算机加⼊域的话,各种策略是域控制器统⼀设定,⽤户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同⼀域的任何⼀台计算机登录。
AD:活动⽬录(Active Directory)主要提供以下功能:①基础⽹络服务:包括DNS、WINS、DHCP、证书服务等。
②服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加⼊域管理并实施组策略。
③⽤户服务:管理⽤户域账户、⽤户信息、企业通讯录(与电⼦邮件系统集成)、⽤户组管理、⽤户⾝份认证、⽤户授权管理等,按省实施组管理策略。
④资源管理:管理打印机、⽂件共享服务等⽹络资源。
⑤桌⾯配置:系统管理员可以集中的配置各种桌⾯配置策略,如:界⾯功能的限制、应⽤程序执⾏特征限制、⽹络连接限制、安全配置限制等。
⑥应⽤系统⽀撑:⽀持财务、⼈事、电⼦邮件、企业信息门户、办公⾃动化、补丁管理、防病毒系统等各种应⽤系统。
⼀、将Windows Server 2003安装⾄PC上⼆、将服务器安装AD控制器先设置AD域:1.依次打开:开始-运⾏-输⼊:Dcpromo2.下⼀步,选择⾃定义3.选中域控制器(Active Directory)下⼀步4.然后会让你安装dns和配置⽹络,5.把⽹卡的⽹线接好,处于已经连接状态,下⼀步6.安装完DNS以后,就可以进⾏提升操作了,先点击“开始—运⾏”,输⼊“Dcpromo”,然后回车就可以看到“Active Directory安装向导”在这⾥直接点击“下⼀步”:在这⾥由于这是第⼀台域控制器,所以选择第⼀项:“新域的域控制器”,然后点“下⼀步”:既然是第⼀台域控,那么当然也是选择“在新林中的域”:在这⾥我们要指定⼀个域名,我在这⾥指定的是,这⾥是指定NetBIOS名,注意千万别和下⾯的客户端冲突,也就是说整个⽹络⾥不能再有⼀台PC的计算机名叫“demo”,虽然这⾥可以修改,但是我建议还是采⽤默认的好,省得以后⿇烦。
实验五 活动目录服务(AD的安装、加入和退出域、域用户的管理和配置)
实验五活动目录服务(AD的安装、加入和退出域、域用户的管理和配置)【实验目的】1、理解域的概念,掌握AD的安装方法。
2、掌握加入和退出域的方法。
3、掌握域用户的管理和配置,组的规划和建立。
4、了解Windows Server 2003域用户和本地用户的区别。
5、理解组的概念和作用,认识组的类型。
【实验内容】1、练习AD的安装方法,2、练习加入和退出域的方法。
3、练习域用户的管理和配置,组的规划和建立【实验步骤】一、安装活动目录1)新建DC的角色。
在开始菜单中点击“管理您的服务器”,在打开的画面中点击“添加或删除角色”。
2)在“预备步骤”对话框中,单击[下一步]按钮,出现“服务器角色”对话框后,选择“域控制器”,按[下一步]继续。
3)在“选择总结”对话框中,单击[下一步]按钮,随后会进入AD安装向导过程,(如果直接执行“dcpromo”命令也可以启动AD安装向导,则可以省略前三个步骤),单击[下一步]按钮。
4)出现“操作系统兼容性”对话框,单击[下一步]按钮,在“域控制器类型”对话框中,我们将在这个向导中建立一个新域的DC和林,所以我们选择“新域的域控制器”,按[下一步]按钮继续。
5)选择“在新林中的域”,按[下一步]按钮继续,。
6)出现如下图所示,在“新域的DNS全名”文本框中输入新建域的DNS全名,例如: 或者或者之类的DNS全名。
按[下一步]按钮继续。
7)在“NetBIOS域名”对话框中,在“域NetBIOS名”文本框中输入NetBIOS域名,或者接受显示的名称。
NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。
8)在出现“数据库和日志文件夹”的对话框中(如下图),这些文件夹必须放在NTFS分区上,注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上。
按[下一步]按钮继续。
9)在出现“共享的系统卷”对话框中,该文件夹必须放在NTFS分区上,在Windows Server 2003中,Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AD 域
域:域是一种管理边界,用于一组计算机共享共用的安全数据库,域实际上就是一组服务器和工作站的集合。
其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。
而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
AD:活动目录(Active Directory)主要提供以下功能:
①基础网络服务:包括DNS、WINS、DHCP、证书服务等。
②服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
③用户服务:管理用户域账户、用户信息、企业通讯录(与电子系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。
④资源管理:管理打印机、文件共享服务等网络资源。
⑤桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
⑥应用系统支撑:支持财务、人事、电子、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
一、将Windows Server 2003安装至PC上
二、将服务器安装AD控制器
先设置AD域:
1.依次打开:开始-运行-输入:Dcpromo
2.下一步,选择自定义
3.选中域控制器(Active Directory)下一步
4.然后会让你安装dns和配置网络,
5.把网卡的网线接好,处于已经连接状态,下一步
6.安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导”
在这里直接点击“下一步”:
在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”:
既然是第一台域控,那么当然也是选择“在新林中的域”:
在这里我们要指定一个域名,我在这里指定的是demo.,
这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但是我建议还是采用默认的好,省得以后麻烦。
在这里要指定AD数据库和日志的存放位置,如果不是C盘的空间有问题的话,建议采用默认。
这里是指定SYSVOL文件夹的位置,还是那句话,没有特殊情况,不建议修改:
第一次部署时总会出现上面那个DNS注册诊断出错的画面,主要是因为虽然安装了DNS,但由于并没有配置它,网络上还没有可用的DNS服务器,所以才会出现响应超时的现像,所以在这里要选择:“在这台计算机上安装并配置DNS,并将这台DNS服务器设为这台计算机的首选DNS服务器”。
“这是一个权限的选择项,在这里,我选择第二项:“只与Windows 2000或Window 2003操作系统兼容的权限”,因为在我做实验的整个环境里,并没有Windows 2000以前的操作系统存在”
这里是一个重点,还原密码,希望大家设置好以后一定要记住这个密码,千万别忘记了,因为在后面的关于活动目录恢复上要用到这个密码的。
这是确认画面,请仔细检查刚刚输入的信息是否有误,尤其是域名书写是否正确,因为改域名可不是闹着玩的,如果有的话可以点上一步进入重输,如果确认无误的话,那么点“下一步”就正式开安装了:
几分钟后,安装完成:
点“立即重新启动”。
到此,服务器的安装和配置就告一段落了,
接下来我们看下服务器发生了那些改变.
然后来看一下安装了AD后和没有安装的时候有些什么区别,首先第一感觉就是关机和开机的速
度明显变慢了,再看一下登陆界面:
多出了一个“登陆到”的选择框:
进入系统后,右键点击“我的电脑”选“属性”,点“计算机”
怎么样?和安装AD以前不一样吧,其它的比如没有本地用户了,在管理工具里多出么多图标什么的,这些将在以后里讲述,这里就不再详谈了。
我们现在来看一下
如何把下面的工作站加入到域。
由于从网络安全性考虑,尽量少的使用域管理员,所以先在域控制器上建立一个委派,登陆到域控制器,运行“dsa.msc”,出现“AD用户和计算机”管理控制台:
先来新建一个用户,展开“demo.”,在“Users”上击右键,点“新建”-“用户”:
然后出现一个新建用户的向导,在这里,我新建了一个名为“swg”的用户,并且把密码设为“永不过期”。
这样点“下一步”,直到完成,就可以完成用户的创建。
然后在“demo.”上点击右键,先择“委派控制”:
注:如果下一步显示:在新安装的AD里建立新用户时总会提示说“密码不满足密码策略的要求,检查最小密码长度、密码复杂性和密码历史的要求”。
答:1,打开域安全策略-安全设置-账户策略-密码策略-密码必须符合复杂性要求。
定义这个策略设置为:已禁用。
/ 密码长度最小值:定义这个策略设置为0。
2,打开域控制器安全策略-安全设置-账户策略-密码策略-密码必须符合复杂性要求。
定义这个策略设置为:已禁用。
/ 密码长度最小值:定义这个策略设置为0。
3,最后运行刷新组策略命令为:gpupdate /force
就会出现一个“委派控制向导”:
点击“下一步”:
点击中间的“添加”按钮,并输入刚刚创建的“swg”:
然后点“确定”,再点“下一步”:
在上面的画面中,暂时不需要让该用户去“管理组策略”,所以在这里,仅仅选择“将计算机加入到域”,然后点“下一步”:
最后是一个信息核对画面,要是没有什么问题的话,直接点“完成”就可以了。
接下来转到客户端,看看怎么把XP进来,在实验中采用的客户端操作系统是Windows XP 专业版,需要大家注意的是Windows XP 的Home版由于针对的是家庭用户,所以不能加入域,大家别弄错了,我们先来设置一下这台XP的网络:
计算机名:TestXP
IP:192.168.5.5
子网掩码:255.255.225.0
DNS服务器:192.168.5.1,
设置完网络以后,在“我的电脑”上击右键,选“属性”,点“计算机名”。
在这里把“隶属于”改成域,并输入:“demo.”,并点确定,这是会出现如下画面:
输入刚刚在域控上建的那个“swg”的,点确定:
出现上述画面就表示成功加入了,然后点确定,点重启就算OK了。
来看一下登陆画面有没有什么不一样,看到那个“登陆到”了吧,可以选择域登陆还是本机登陆了,在这里选择域“DEMO”,这样就可以用域用户进行登陆了。
使用域用户登陆后,在“我的电脑”上击右键,选“属性”,点“计算机名”:
就可以看到加入到域:DEMO
三、活动目录之用户配置文件
首先,要在一个网络的公共位置开设一个共享文件夹,用来存放用户配置文件,就在域控制器上开设一个为share(名字随便都可以)的共享文件夹,并开放权限:
然后,点击“开始-设置-控制面板-管理工具”,双击“AD用户和计算机”,并选中相应的用户,这里以“swg”为例:
在“swg”上双击,然后选“配置文件”,在“用户配置文件-配置文件路径”里输
入:\\192.168.5.1\share\%username%,“192.168.5.1”是域控制器的IP地址,如下图所示:
然后点确定,接下去就到客户端去,用“swg”登陆一下,看看会发生什么变化。
如上图所示,DEMO\swg的状态由刚刚的“本地”变成了“漫游”,此时注销一下用户,那么就会自
动的将该用户的本地用户配置文件同步到网络公共位置,如果再用“swg”到另外的域计算机上去登陆的话,会发现所有的用户配置文件和这台计算机上是一样的。
那么服务器上发生了些什么变化呢?
如上图所示,服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹,默认情况下这个文件夹只允许对应的用户打开。
最后有一点需要注意:
当使用漫游用户配置文件时,请不要在桌面等地方存放一些大型的程序或文件,因为用户在登陆和注销过程中会下载和上传配置文件,如果文件过大,会影响登陆和注销的速度。