第3章管理活动目录域
活动目录介绍
活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。
NT的"域(domain)"的概念是⽬录服务的⼀个基本单元。
"⼀次登录,Single Logon"在Windows NTServer 的环境下有了具体的应⽤,⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进⼀步发展了"活动⽬录(Active Directory)"。
活动⽬录充分体现了微软产品的"ICE",即集成性(Integration),深⼊性(Comprehensive),和易⽤性(Ease of Use)等优点。
活动⽬录是⼀个完全可扩展,可伸缩的⽬录服务,既能满⾜商业ISP的需要,⼜能满⾜企业内部⽹和外联⽹的需要。
活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。
它采⽤的是Exchange Server的数据存储,称为:Extens ible Storage Service (ESS)。
其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能⾮常优良。
这个数据存储之上已建⽴索引的,可以⽅便快速地搜索和定位。
活动⽬录的分区是"域(Domain)",⼀个域可以存储上百万的对象。
域之间还有层次关系,可以建⽴域树和域森林,⽆限地扩展。
在数据存储之上,微软建⽴了⼀个对象模型,以构成活动⽬录。
这⼀对象模型对LDAP有纯粹的⽀持,还可以管理和修改Schema。
Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义,其本⾝也是活动⽬录的内容之⼀,在整个域森林中是唯⼀的。
WindowsServer2022R2域与活动目录
WindowsServer2022R2域与活动目录什么是域域(Domain)是Window网络中独立运行的单位,域之间相互访问则需要建立信任关系(TrutRelation)。
信任关系是连接在域与域之间的桥梁。
当一个域与其他域建立了信任关系后,两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。
为什么需要域如果资源分布在N台服务器上,那么用户需要资源时就要分别登陆这N台服务器,也就需要N个账号。
一个用户如此,那M个呢,管理员也就需要给他们创建N某M个账户,这样不仅负责而且难管理。
有了域,管理员只需要给每个用户创建一个域用户,用户只需在域中登陆一次就可以访问域中的资源,实现了单一登陆。
用户信息是存放在域中的域控制器(DC,DomainController)上,上图中,可以在服务器中选定一台或者几台服务器作为域控制器。
有多台域控制器时,各个域控制器是平等的,每个域控制器上都有所在域的全部用户的信息,域控制器之间需要同步这些信息。
而其它不适域控制器的服务器仅仅是提供资源。
什么是活动目录活动目录(ActiveDirectory)是Window2003Server平台提供的目录服务。
在中央数据库中存放信息,使用户在网络上只拥有一个用户账号。
目录是存储各种对象的一个物理上的容器,目录服务是使目录中所有信息和资源发挥作用的服务。
信息的安全性大大增强,引入基于策略的管理,使系统的管理更加明朗,具有很强的可扩展性、可伸缩性、智能的信息复制能力,与DNS集成紧密、与其他目录服务具有互操作性、具有灵活的查询。
活动目录逻辑结构:域、组织单元、树、林。
域控制器(DC,DomainController)上存放着域中所有用户、组、计算机等信息(实际上域控制器存放的信息还不止这些),域控制器把这些信息存放在活动目录中。
活动目录和DNS的关系在TCP/IP网络中,DNS(DomainNameSytem)是用来解决计算机名字和IP地址的映射关系的,活动目录和DNS是紧密不可分的,活动目录使用DNS服务器来登记域控制器的IP、各种资源的定位等,在一个域林中至少要有一个DNS服务器存在,所以安装活动目录时需要同时安装DNS。
Active Directory管理和构架-第3部分(AD数据库的维护与操作主机角色)
PDC Emulator 仿真) (PDC仿真) 仿真
Internet 时间服务器
PDC Emulator
PDC Emulator 域控制器
Pre-Windows 2000客户端 Pre 客户端
Windows NT BDC
Windows 2000客户端 客户端
时间服务器
查看服务器所使用的时间服务器 net time /querysntp (simple network time protocol) 设置服务器所使用的时间服务器 net time /setsntp:服务器名 手动同步时间 W32tm /resync
Infrastructure Master(结构主机) (结构主机)
组嵌套
Group Membership List GUID SID New DN
移动 Infrastructure Master
结构主机
在任何时候, 在任何时候,每个域中只能有一个域控制器作为结 构主机。 构主机。结构主机负责更新从它所在的域中的对象 到其他域中对象的引用。 到其他域中对象的引用。结构主机将其数据与全局 编录的数据进行比较。 编录的数据进行比较。全局编录通过复制操作定期 接受所有域中对象的更新, 接受所有域中对象的更新,从而使全局编录的数据 始终保持最新。如果结构主机发现数据过时, 始终保持最新。如果结构主机发现数据过时,则它 从全局编录申请更新的数据。 从全局编录申请更新的数据。结构主机然后将这些 更新的数据复制到域中的其他域控制器。 更新的数据复制到域中的其他域控制器。
初始化事 务
写入事务 缓冲
写于数据 库文件
写入事务 日志文件 Ntds.dit EDB.log
维护活动目录数据库简介
活动目录部署方案
东莞三洲物产电子有限公司FILES- Server方案目的:建立高效,稳定,安全的办公网络,有效的实现办公网络信息资源的共享管理机制.一.现有网络结构:(WORKGROUP)工作组环境.1.管理分散,文件储存为每台计算机,安全性差等.二.升级后网络结构:(DOMAIN)域网络环境.1.集中管理,统一储存公司重要文件,安全性高等.三.活动目录域及命名方案.1.公司域名(DOMAIN NAME): 四.域用户帐号和计算机账号方案1.域用户命名规则:(以在公司员工"工号"命名)2.密码由用户自已设定.3.计算机帐号按现有网络标识不改变.五.域扑结构图:域用户计算机用户计算机服务器服务器用户登录名:PESGD/工号或工号@PESGD计算机名:按现行标识六:安装域控制器(DC) :SERVER1,SERVER21.安装操作系统Windows Server 2003(Enterpries企业版).计算机名称:, ,IP:192.168.1.3 ; 192.168.1.4 ;子网掩码:255.255.255.0网关:192.168.1.3DNS:192.168.1.3(DOMAIN)(DC)主域,备份域控制器由于承担了整个域控制器的功能,对系统的稳定要要求比较高,域控制器通过Active Directory 功能实现对用户帐号的管理,主要承担域名定义,用户帐号管理以及DNS服务的功能用户密码的验证等,同时也提供DHCP,WINS服务。
在大多数部署方案中,建议用户采用单独的Windows 域控制器服务器,因为如果运行在一个域控制器中,它将仅使用该域控制器。
如果域控制器发生故障,建议用户采用备份域控制器。
如果一个服务器发生故障,采用备份域控制器可保证Active Directory 信息的安全。
2. 关于域控制器的备份及恢复Windows server 2003的NTBackup工具提供了对数据以及系统状态信息的备份及恢复功能,使用对系统状态信息的备份,可以备份Active Directory中的帐户信息,这样,当域控制器出现故障时,可以使用NTBackup进行帐号恢复。
windows服务器_部署活动目录域
32
实验案例2:OU的管理
• 学员练习:
– 创建OU – 创建用户 – 委派权限 – 在客户机添加“Active Directory域服务工具” 功能 – 在客户机上使用被委派用户验证委派
40分钟完成
33
6
安装活动目录
• 推荐步骤
– 运行dcpromo命令 – 在新林中新建域 – 设置域名 – DNS服务器 – 目录服务还原模式的Administrator密码
7
域功能级别
域功能级别 支持的域控制器
Windows 2000 Window Server 2003 Window Server 2008 Window Server 2003 Window Server 2008
– 可扩展性
4
域和活动目录的概念3-3
• 域树
– 具有连续的域名空间的多个域
• 林
– 林由一个或多个域树组成
5
安装域控制器的条件
• 安装者必须具有本地管理员权限 • 操作系统版本必须满足条件(Windows Server 2003 除Web版外都满足) • 本地磁盘至少有一个分区是NTFS文件系统 • 有TCP/IP设置(IP地址、子网掩码等) • 有相应的DNS服务器支持 • 有足够的可用空间
• 可以按AGDLP规则来使用全局组
19
通用组
• 使用范围是整个林及信任域 • 全局组和通用组的区别
– 通用组的成员身份在全局编录中
• 多域环境下通用组成员登录或者查询速度较快
– 全局组的成员身份在每个域中
20
组织单位(OU)的管理
• 概念
– 容器:有效地组织活动目录对象 – 委派控制 – 组策略
16
形考作业(一)管理活动目录域服务实训
任务一、创建域、dns服务器以及额外的域控制器1、修改第一台服务器的名称和地址参数信息Intermit 步iSJK壬 4 (TCP/IP^4)任住如岸网缩支括此功as , JW可以茯阪自IP iaa.吝例」歩EB从网洛産統w理舉处毂缶适当的IP i5S.。
es?r?43 IP teiiiCO) 处<S)任用"F面的IP Wlt(S):IP itaUkG):于网猝码(5默认网关g”DMS BBJSWtffitiL(B)旬伐用FDn的DIMS 8B® SStTBtlCE ):F2 DMS gKS-MrCP-):材用DNS股备鈴(A):确定取浩计算机名慮更改X 你可以更改该计算机的名称和成员身份。
更改可能会影啊对网帘资源的访问。
计苣睥〔C):serverl计算机全名:serverl琵届于。
域(D);③工作MW):WORKGROUP诡定取消2、在serverl ±创建域控制器3、在serverl 上创建新的域确认安装所选内容 CT 刼百劫靜启动旨若 …―•”".*.可B8会在比KU 二3^司此能刘我丄具,因无巳目检弃W 坚项S& Ml 果小望受此冬可汪?! 能.者堕壬•上T"以港聞复注恒Arrive Dirxlory XtES应E 语暗建二貝隹主*1具ADDSfn AD LDS 工MV/indoM Pa^erSholl 幻 Active Directory AD DS 工具Acbve Directory 言理中心 AD DS 骨耋里*企令拧工昌誕JEW 碍 国备用源軽石聲营跡貧荃:定券以匚気邑魚演另旳弟话車芳玄齒L开始之前安噩类型 肪男器洗择 眼劳色 为蚱<上TE下一地>ADDS4、将server 设置为dns 服务器以及全局编目服务器查看安敖我Q gW 若君更匿已在6g” WS 祁Active Directory BK^使1±辻算Fl 成力SESJZSSyi 行其比成。
《网络操作系统》教案2008版
第1章网络操作系统导论【教学目标】通过本章学习,使学生了解各种网络操作系统,并对Windows Server 2008有初步的了解,并进一步掌握网络操作系统规划。
【教学要求】(1)了解网络操作系统概述、发展简史、功能与特性、分类。
(2)了解网络操作系统的功能、特性及分类。
(3)掌握网络操作系统的选用原则及网络规划。
【教学重、难点】重点:网络操作系统的功能。
难点:网络操作系统的选用原则及网络规划。
【学时分配】4学时【授课方式】讲授、课堂讨论操作系统(Operating System,简称OS)是计算机系统中,负责支撑应用程序的运行环境以及用户操作环境的系统软件,同时也是计算机系统的核心与基石。
它的职责包括对硬件的直接监管、对各种计算资源(如内存、处理器时间等)的管理、以及提供诸如作业管理之类的面向应用程序的服务等。
网络操作系统(Network Operating System,简称NOS)除了实现单机操作系统的全部功能外,还具备管理网络中的共享资源,实现用户通信以及方便用户使用网络等功能,是网络的心脏和灵魂,所以,网络操作系统可以理解为网络用户与计算机网络之间的接口,是计算机网络中管理一台或多台主机的软硬件资源、支持网络通信、提供网络服务的程序集合。
操作系统的类型:操作系统(个人版)包括:Windows 98、Windows ME、Windows 2000 Professional、Windows xp、linux 个人版等(工作站)网络操作系统:Windows 2000 server 、Windonws server 2003 、Windows server 2008Unix 、Linux (自由软件和开放源代码)、NETW ARE(服务器)操作系统(个人版)与网络操作系统的区别:网络操作系统与运行在工作站上的单用户操作系统或多用户操作系统由于提供的服务类型不同而有差别。
一般情况下,网络操作系统是以实现网络相关特性、网络应用为目的,如控制用户对计算机资源的访问、共享数据文件、软件应用、网络服务(FTP、WEB、EMAIL、DNS等),以及共享硬盘、打印机、调制解调器、扫描仪和传真机等。
域和活动目录的设置
一、建立和设置活动目录
(12)开始安装活动目录。
一、建立和设置活动目录
(13)完成安装,重新启动计算机。
二、活动目录的管理
1.新建域用户
(1)启动“Active Directory用户和计算机”控制台。 (2)单击已创建的域名,然后打开目录。 (3)右键单击“用户”项,指向“新建”项,然后单击“用
户”项。 (4)输入新用户的名、姓和用户登录名,然后单击“下一步”
按钮。
二、活动目录的管理
(5)输入新密码,确认密码,单击“下一 步”按钮。
(6)在弹出的页面中,单击“完成”按钮。
二、活动目录的管理
2.配置域用户属性
三、将客户机加入到域
(1)首先设置客户机TCP/IP属性, DNS 服务器地址设为服务器的IP地址。
组网技术
组网技术
域和活动目录的设置
1.1 实训目的
(1)了解活动目录的相关概念。 (2)掌握活动目录的安装和使用方法。
1.2 实训流程
(1)建立和设置活动目录。 (2)活动目录的管理。 (3)将客户端加入到域。
1.3 实训操作(步骤)实践
一、建立和设置活动目录
(1)打开“管理您的服务器”页面,启动 配置向导。
三、将客户机加入到域
(2)右键单击“我的电脑”,选择“属性”, 单击“计算机名”选项卡,然后单击“更改”。
(3)在“计算机名更改”对话框中,单击 “隶属于”项下方的“域”单选框,然后填入 “域名”。单击“确定”按钮。
(4)在显示提示后,输入上面创建的账户名 和密码,然后单击“确定”按钮。
(5)重新启动计算机,在登录对话框中输入 用户帐号和密码及所属的域,然后单击“确定” 按钮,计算机就可以成功登录到域中了。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第3章管理活动目录域
教学要求:
理解:域的概念、特点;活动目录的架构;组织单位的概念、特点;域用户账户的概念、特点;域组账户的概念、特点;域组账户的使用原则;
掌握:创建域;将计算机加入或脱离域;将域控制器降级为独立服务器或成员服务器;管理组织单位;管理域用户账户的工作;管理域组账户的工作;
3.1活动目录的概述
活动目录(ActiveDirectory,AD)服务能把网络中的众多资源有效地组织在一起,实现集中管理与统一保护,最大限度地保证资源的可用性与安全性。
活动目录以数据库的形式存放在网络中的一些特定计算机上,这个数据库称为“活动目录数据库”。
1
2
1
2输入:
3
4-6User 3.2。
一个活动目录的完整逻辑结构称为“域森林”,一个域森林由若干“域树”组成,一个域树有若干“域”组成。
1、域的定义
在活动目录中,域是一种重要的逻辑管理单元,代表了一个独立的安全范围,能包含大量对象的一种容器。
2、域中计算机的角色
有域控制器、成员服务器、工作站。
域控制器是存放活动目录数据库的,是域中必须要有的。
其它两种则不是必须的。
所以最简单的域将只包含一台计算机,这台计算机是该域的域控制器。
3、计算机账户
每台计算机都有一个账户来标识自己,这个账户称为“计算机账户”。
在Computers容器内
4
5
创建组账户的主要目的是为用户账户分配资源访问权限,但是管理员不能直接对组账户指定管理策略,也就是不能直接控制组账户中各对象的更复杂的行为。
当删除一个组账户时,其包含的用户账户并不会被删除。
但删除一个组织单位时,其包含的所有活动目录对象都将随之删除。
(4)组织单位和其他活动目录容器的区别
图标有所不同
普通容器仅起到把一些活动目录对象组织在一起的作用,管理员不能对其设置组策略。
在组策略中只能看到组织单位而看不到普通容器,这说明只能对组织单位设置组策略而不能对普通容器设置组策略。
在上图中右击“DefaultDomainControllers Pllicy”组策略对象,然后在快捷菜单中选择编辑。
可以看到各种组策略。
1、域树的含义
若干域组成的集合称为“域树”。
2、信任关系
单向信任与双向信任
不可传递的信任与可传递的信任
3、域树的结构
域树中,各域之间利用双向的、可传递的信任关系联系在一起。
第一个域称为父域,各分部的域称为该域的子域。
4、域树的特点
若干个域树的组合称为“域森林”
3.3活动目录的物理结构
3.4
3.5
3.6
●
●
●
●
在
1
●DNS域名
●DNS服务器
●NTFS分区
2、安装第一台域控制器
以管理员的身份登陆,然后使用以下两种方式登陆。
单击屏幕左下角的服务器管理器图标,如下
图。
单击开始——运行,输入dcpromo.exe后,单击确定。
3、检查域的建立是否正常
●检查DNS服务器(检查域控制器是否已到DNS服务器那里注册了自己的IP地址和服务记录)
●检查活动目录数据库文件和SYSVOL文件夹。
●检查新添加的活动目录管理工具。
4、提升域与森林的功能级别
方法为:开始——管理工具——ActiveDirectory域和信任关系。
右击ActiveDirectory域和信任
关系,在快捷菜单中选中提升林功能级别。
5、添加额外的域控制器(图略)
多台域控制器具有容错、负载平衡的优点。
6、将Windows计算机加入域或脱离域
(1)将Windows计算机加入域
(2)在域中计算机上登陆
在域中计算机上登陆的方式有两种:“登陆到域”和“登陆到计算机”。
其中,用户在域控制器上只能选择“登陆到域”;在成员服务器和工作站上可以选择“登陆到域”或“登陆到计算机”。
(3)、脱离域
7
8
3.6.2
1
2
3.7
“域1
3
8.8
管理员可以再域的活动目录数据库中创建组账户。
由于这种组账户只存在于域中,所以称为“域组账户”。
与本地组账户不同,一个域组账户能够对域用户账户进行组织,而且能够为其分配访问域中任何计算机的资源访问权限和权利。
在WindowsServer2008R2域中,组账户分为两种类型:安全组和通信组。
安全组:管理员可以为安全组分配权限和权利。
通信组:管理员不能为安全组分配权限和权利
对于安全组而言,还可以根据使用范围的不同,将其分为三种:全局组、本地域组和通用组。
在全局中,只能够包含所在域中的域用户账户和全局组。
在本地域组中,能够包含森林中任何域的域用户账户、全局组和本域的本地域组。
开始——管理工具——ActiveDirectory用户和计算机
建议按照以下原则使用组,即“A-G-DL-P”,其中A代表用户账户,G代表全局组,DL代表本地域组,P代表权
限。
使用这种组的嵌套原则分配权限有以下好处:
由于给组而不是给每个用户账户分配权限,所以大大减少了权限的分配次数。
只要打开这个本地域组就能够根据全局组的名称判断这些用户所在的公司部门。
如果不希望某个部门的某个用户访问这个共享文件夹,只要从那个部门所对应的全局组中删掉这个用户账户即可。
如果不希望某个部门访问这个共享文件夹,则只要从本地域组中删掉这个部门所对应的全局组即可。