windows server 活动目录知识点汇总
Windows Server知识present
组策略的应用规则 1、 在默认情况下,下层容器会继承来自上层容器的 、 在默认情况下,下层容器会继承来自上层容器的GPO(组 ( 策略对象) 策略对象)
站点
域
OU
低层次从高层次继承GPO 低层次从高层次继承 的设置
域 GPO Domain Payroll Computers Users
2、 子容器可以阻止继承上级的组策略 、
组策略的作用 方便地管理AD中的计算机和用户 方便地管理 中的计算机和用户
用户桌面环境 计算机启动/关机与用户登录 关机与用户登录/注销时所执行的脚本文件 计算机启动 关机与用户登录 注销时所执行的脚本文件 软件分发 安全设置
组策略
活 动 目 录 域控制器
域
组策略实现 组策略是通过“GPO”来设定的 来设定的。 组策略是通过“GPO”来设定的。 组策略对象GPO GPO( Object) 组策略对象GPO(Group Policy Object) 组策略对象GPO主要有三种: GPO主要有三种 Site2、 3、 组策略对象GPO主要有三种:1、站点 Site2、域Domain 3、组 织单位OU 织单位OU GPO的内容被分为GPC(组策略容器) GPT(组策略模版)两部分: 的内容被分为GPC GPO的内容被分为GPC(组策略容器)与GPT(组策略模版)两部分: 是包含GPO属性和版本信息的活动目录对象 1、 GPC是包含 是包含 属性和版本信息的活动目录对象 在域控制器的共享系统卷( 2、 GPT在域控制器的共享系统卷(SYSVOL)中,是一种文件夹 在域控制器的共享系统卷 ) 层次结构 系统默认的两个GPO,分别是: 系统默认的两个GPO,分别是: GPO GPO已经被链接到域 已经被链接到域, 1、 Default Domain Policy 此GPO已经被链接到域,因此它的设置会 被应用到整个域内的所有用户与计算机。 被应用到整个域内的所有用户与计算机。 GPO已经被链接到 已经被链接到Domain 2、Default Domain Controller Policy 此GPO已经被链接到Domain OU,因此它的设定值会被应用到域控制器组织单位内的所 Controller OU,因此它的设定值会被应用到域控制器组织单位内的所 有用户与计算机。 有用户与计算机。
Windows Server 2019 域及其账户管理
活动目录的结构图
对象
• 对象(Object)是对某具体事物的命名,如用户、 打印机或应用程序等。属性是对象用来识别主题 的描述性数据。一个用户的属性可能包括用户的 Name、Email和Phone等
组织单元
• 组织单元(OU,Organizational Unit)是组织、 管理一个域内对象的容器,它能包容用户账户、用户 组、计算机、打印机和其他的组织单元。很明显,通 过组织单元的包容,组织单元具有很清楚的层次结构。 使用组织单位可帮助管理员将网络所需的域数量降到 最低,组织单位还可以创建缩放到任意规模的管理模 型。这种包容结构可以使管理者将组织单元切入到域 中来反映出企业的组织结构,同时管理者还可以委派 任务与授权。使用组织单位,可以在组织单位中代表 逻辑层次结构的域中创建容器,这样就可以根据实际 的组织模型管理账户和资源的配置和使用。
域
• 域(Domain)是Windows Server 2019活动 目录的核心单元,是共享同一活动目录的一组计 算机集合。域是安全的边界,在默认的情况下, 一个域的管理员只能管理自己的域,一个域的管 理员要管理其他的域需要专门的授权。域也是复 制单位,一个域可包含多个域控制器,当某个域 控制器的活动目录数据库修改以后,会将此修改 复制到其他所有域控制器。
9.2.2 站点
• 站点定义为由一个或多个 IP 子网组成的一组连 接良好的计算机集合。站点与域不同,站点代表 网络的物理结构,一般与地理位置相对应,而域 代表组织的逻辑结构。
WindowsServer2012活动目录企业应用项目1 构建活动目录实验实训环境
角色:虚拟机2,独立服务器 主机名:win2012-2 IP地址:192.168.10.2/24 操作系统:Windows Server 2012 R2
图3-1 安装与配置Hyper-V服务器拓扑图
1.3 项目实施
Windows Server 2012 R2安装完成后,默认没有安装 Hyper-V角色,需要单独安装Hyper-V角色。安装Hyper-V角色 可通过“添加角色向导”完成。 1.3.1 任务1 安装和卸载Hyper-V角色
1.2 项目设计及准备
角色:虚拟机1,独立服务服务器 主机名:win2012-1 IP地址:192.168.10.1/24 操作系统:Windows Server 2012 R2
角色:Hyper-V服务器 主机名:win2012-0 IP地址:192.168.10.100/24 操作系统:Windows Server 2012 R2
目前主流的服务器CPU均支持以上要求,只要 支持硬件虚拟化功能,其他两个要求基本都能够满 足。为了安全起见,在购置硬件设备之前,最好事 先到CPU厂商的网站上确认CPU的型号是否满足以上 要求。
1.2 项目设计及准备
① 安装好Windows Server 2012 R2,并利用“服务器 管理器”添加“Hyper-V”角色。 ② 对Hyper-V服务器进行配置。 ③ 利用“Hyper-V管理器”建立虚拟机。 本项目的参数配置及网络拓扑图如图1-1所示。
① 安装Windows Server 2012 R2 Hyper-V功能,基本 硬件需求如下。 CPU:最少1 GHz,建议2 GHz以及速度更快的CPU。 内存:最少512 MB,建议1 GB。 完整安装Windows Server 2012 R2建议2 GB内存。 安装64位标准版或者数据中心版,最多支持2 TB内 存。 磁盘:完整安装Windows Server 2012 R2建议40 GB 磁盘空间,安装Server Core建议10 GB磁盘空间。
《Windows Server 2012活动目录企业应用 微课》读书笔记思维导图
内容提要
第一部分 构建AD DS环境
第2章 建立域树 和林
第1章 部署与管 理AD DS
第3章 管理域用 户账户和组
1
1.1 理论基础
1.2 实践项目 2
设计与准备
3 1.3 实践项目
实施
4
1.4 习题
5 1.5 实训项目
部署与管理活 动目录
1
2.1 理论基础
2.2 实践项目 2
设计与准备
10.1 理论基 1
础
10.2 实践项 2
目设计与准备
3 10.3 实践项
目实施
4
10.4 习题
5 10.5 实训项
目维护AD DS
参考文献
谢谢观看
读书笔记
最 新
版
本
6.2 实践项目设 计与准备
6.3 实践项目实 施
6.4 习题
第三部分 管理与维护AD DS
第7章 配置2活动 目录的对象和信 任
第8章 配置 2Active Direct...
第9章 管理操作 主机
第10章 维护AD DS
1
7.1 理论基础
7.2 实践项目 2
设计与准备
3 7.3 实践项目
实施
04
第三部分 管理与维护 AD DS
05 参考文献
本书以目前被广泛应用的WindowsServer2012R2为例,采用教、学、做相结合的模式,着眼实践应用,以 企业真实案例为基础,全面、系统地介绍活动目录在企业中的应用。全书共分3部分:构建ADDS环境、配置与管 理组策略和管理与维护ADDS。本书结构合理,知识全面且实例丰富,语言通俗易懂。本书采用“任务驱动、项 目导向”的方式,注重知识的实用性和可操作性,强调职业技能训练。本书所有项目的知识点、技能点和项目实 训操作都已录制成微课,并以二维码形式嵌入相应位置,读者可通过扫码看微课。本书适合高等院校、高等职业 院校计算机网络相关专业学生,以及WindowsServer2012R2初、中级用户、网络系统管理工程师、网络系统运 维工程师和社会培训人员等学习,是网络工程师bi备的学习宝典。
活动目录概念 网络操作系统
• • • • • • • • • • 7.1 概述 7.2 活动目录介绍 7.3 活动目录逻辑结构 7.4 活动目录物理结构 7.5 管理windows 2003网络的方法 7.6 活动目录中的DNS角色介绍 7.7 安装活动目录 7.8 验证活动目录安装 7.9 域控制器管理 7.10 活动目录管理工具
7.7 安装活动目录 7.7.2 安装活动目录前的准备
活动目录(AD)是Windows Server 2003非常关键的服务,它不是 孤立的,而是与许多协议和服务有着非常紧密的关系,并涉及到整个操 作系统的结构和安全。因为安装AD前必须完成一系列的策划和准备。 1.文件系统与网络协议:计算机必须安装Windows Server 2003操 作系统;必须有NTFS磁盘分区或卷用于保存SYSVOL文件夹,最小250M的 可用磁盘空间;计算机须安装网卡并连入网络,运行TCP/IP协议和DNS 服务(可在安装活动目录的同时安装DNS),并有一个静态的IP地址。 建议DNS服务先安装并配臵好,区域设臵成允许动态更新。 2.规划域结构:活动目录可包含一个或多个域,只有合理地规划目 录结构,才能充分发挥活动目录的优越性。选择根域最为关键,推荐使用 一个已经注册的DNS域名的子域名作为活动目录的根域名。 3.域名策划:目录域名通常是该域的完整DNS名称,同时为了确保 向下兼容,每个域还应有一个与以前版本兼容的名字(NetBIOS名字)。 4. 记录相关参数:在将Windows Server 2003的计算机升级到活动 目录服务器时,应当先记录计算机的相关参数。
7.2.3 轻型目录访问协议(LDAP)
• Lightweight Directory Access Protocol • LDAP是用于查询和更新活动目录的目录服务协议。 一个活动目录对象可以由一系列域组件、OU和普 通名字来代表,它们组成了活动目录中命名路径。 LDAP命名路径是用来访问活动目录对象的。它包 括标识名和相对标识名。 • 如标识名: CN=suzan,ou=scales,dc=contoso,dc=msft 其中:CN 、OU表示相对标识名。 标识名代表访问对象的路径。
Windows Server 2008 R2活动目录配置和管理
Demonstration:配置 AD DS 组帐户
在此stration:配置其他 AD DS 对象
在此演示,您将看到如何配置其他 AD DS 对象
Lesson 2:使用组策略
•为将访问分配给资源的选项。 •使用帐户组来分配资源的访问。 •使用帐户组和资源组。 •讨论: 在单个域或多域环境中使用组。
Module 1:配置
Active Directory ® 域服务的域名称服务
模块概述
•Active Directory 域服务和 DNS 集成的概述。 •配置 AD DS 集成的区域。 •配置只读 DNS 区域。
Lesson 1: Active Directory 域服务和 DNS 集成的概述
Lesson 1:配置 Active Directory 对象
•AD DS 对象的类型。 •演示: 配置 AD DS 用户帐户。 •AD DS 组类型。 •AD DS 组范围。 •默认 AD DS 组。 •AD DS 特别标识。 •讨论: 使用默认组和特别的标识。 •演示: 配置 AD DS 组帐户。 •演示: 配置其他 AD DS 对象。
2008
Windows XP
3 客户端验证现有的注册
4
DNS 服务器响应的说明 注册并不存在
客户端将动态更新发送
5 到DNS 服务器
如何安全动态 DNS 更新工作
只有当客户端有正确的凭据要更新接受安全 的动态更新
Windows Vista DNS Client
Local DNS Server
Domain Controller with Active Directory
•在域分区或应用程序分区中,可以存储一个 DNS 区域。 •管理员可以定义自定义复制的范围 应用程序分区。 •DomainDNSzones forestDNSzones 并存储 DNS
漫谈WinServer活动目录的维护和管理
对于Windows的网络环境来说,活动目录的作用是极为重要的,在活动目录数据库中存储了和网络管理相关的重要信息。
Windows网络环境中,可能存在一台或者多台域控,活动目录数据库信息会在其中自动进行复制。
在域控上打开“%systemroot%\ntds”目录,即可显示和AD数据库相关的文件(图1),包括名为“ntds.dit”是活动目录数据库文件,以及与之相关的日志文件等。
1.快速整理AD数据库活动目录数据库使用时间久了,在其中会产生碎片信息,这会影响其效能。
为此以域控管理员身份打开命令提示符窗口,执行“net stop ntds”命令,停止AD域服务(图2)。
执行“ntdsutil”命令,显示“ntdsutil:”命令提示符,执行“activate instance ntds”命令,激活名为“ntds”的实例。
执行“files”命令,并切换到文件维护模式。
在“file maintenance:”提示符下执行“compact to e:\clsp ”命令,对AD数据库进行压缩整理操作(图3)。
完成后连续执行“quit”命令,返回正常的命令窗口。
执行“copy "e:\clsp \ntds.dit" "c:\windows\ntds"”命令,替换原有的AD数据库文件。
之后删除“c:\windows\ntds”目录中的所有以“.log”为后缀的日志文件,执行“net start ntds”命令,重启AD DS域服务。
2.备份活动目录数据库当域控制器正常运作时,对其系统状态参数进行备份,这样当其出现问题时,可以进行快速还原。
这里使用Windows Server Backup这一系统工具来执行备份操作。
在服务管理器中打开添加功能向导界面(图4),选择“Windows Server Backup”项,点击下一步按钮,完成该程序的安装操作。
图1图2图3运行Windows Server Backup程序(图5),在其右侧点击“一次性备份”项,在向导界面中选择“其他选项”项(图6),在下一步窗口中选择“自定义”项(图7),来自由定义备份内容。
windows server 2019服务器操作系统-第14章 域帐户的管理
规】、【环境】、【会话】、【远程控制】、【终
端服务配置文件】、【拨入】、【地址】、【帐
户】、【配置文件】、【电话】、【单位】和【隶
属于】等属性标签。
用户属性对话框
(1)【常规】标签包含建立新用户帐户时提供的 信 息。可以在【描述】和【办公室】文本框中增 加信息,也可以输入用户联系信息,包括电话 号码、E-mail地址和Web页面URL,如下图 所 示。
第9章 域帐户的管理
主要知识点:
一、创建和管理域用帐户 二、活动目录物理结构 三、组的类型和作用范围 四、用户配置文件
(了解) (了解) (掌握) (掌握)
一 域用户和计算机帐户
1、用户帐户和计算机帐户概述
(1) 活动目录用户帐户
用户帐户是用来记录用户的用户名和密码、
【选择组】对话框
(3)单击【禁用帐户】选项,当前用户将被禁止 使 用,此时在窗口中显示的用户名左侧小图标上 将显示一个红色的“X”符号,表明当前此用户 不可登录到服务器。再次打开快捷菜单时,原 来的【禁用帐户】选项变为【启用帐户】,单 击此选项,用户名被启用,可以进行登录操 作。
(4)单击【重设密码】选项显示对话框,管理员 可 以修改用户的密码,并设置用户是否在下次登 录时更改密码。
account对象中。
(2)通讯组
该组不是安全主体,只被用作分配列表。
可以在通讯组中存储联系和用户帐户。由于联系不
包括用户帐户的系统开销,所以只把联系放入组中
才更有意义。通讯组还和Microsoft Exchange兼
容,所以被广泛用于电话技术和传递信息应用软件
中。当升级Exchange用以支持Active Directory
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第一章部署WINDOWS域
什么是域?
将网络中的计算机逻辑上组织在一起,将其视为一个整体,进行集中管理,叫做域
什么是活动目录?
活动目录是一种目录是一种服务
什么是域控制器?
是安装了活动目录服务的一台计算机
什么是单域?
网络中只建立了一个域,我们将其称之为单域
什么是域树?
域树是具有连续的名称空间的多个域
什么是域林?
域林是由一个或者多个没有形成连续名称孔明关键的域树组成
安装域控制器的准备条件?(5个条件)
1、安装者必须具有本地管理员权限
2、操作系统版本必须满足条件
Windows NT Server
Windows 2000 Server
Windows Server 2003(除WEB版)
Windows Server 2008(除WEB版)
不能是客户端的操作系统
3、本地磁盘至少有一个分区是NTFS文件系统
4、配置静态的ip地址和子网掩码
5、有足够的可用磁盘空间
安装域控制器的命令?
dcprmo
域功能级别有哪几个?(3个)
Windows 2000 Server
Windows Server 2003
Windows Server 2008
客户机加入域的条件?(2个条件)
确保该计算机和域控制器互相联通
配置正确的DNS地址
组的类型有哪两个?有何区别?
安全组和通讯组
安全组:管理员通过赋予安全组访问资源的权限,而使得安全组所包含的用户也具有相应的权限,使用安全组而不是单独的用户可监护网络维护和管理工作
通讯组:没有安全方面的功能,只能用作电子邮件的通信
组的作用域有哪三个?有什么区别?
什么是OU?
本地域、全局、和通用
本地域组成员来自于全局用用范围为本域或者是当前域
全局组成员来自本地,作用范围为全局或任意域
通用组成员来自于任意域,作用范围为任意域
OU是Active Directory中的容器,可用在其中防止用户、组、计算机和其他OU
第二章域控管理
安装额外域控制器的准备条件?(4个条件)
1、操作系统版本必须受当前域功能级别支持
2、安装者必须具有域管理员权限
3、计算机IP地址和DNS服务器地址配置正确(DNS服务器地址通常为第一台域控制器的
IP地址)
4、确保计算机和地一台域控制器的联通
额外域控制器的好处?(3个条件
1、提供容错功能
2、提供负载均衡
3、更易于用户的连接和访问
各个域功能级别支持的域控制器有哪些?
Windows 2000纯模式windows 2000 server 、windows server 2003 、windows server 2008 windows server 2003 windows server 2003 、windows server 2008
windows server 2008 windows server 2008
1卸载域控制器的注意事项有哪几点?(4点)
1、如果该域内还有其他域控制器,则该域控制器会被降级为成员服务器
2、如果该域控制器是域内最后一个域控制器,则该域控制器会被降级为独立服务器
3、如果该域控制器担任了“全局编录”角色。
则实施卸载操作之前,请先确认网络中还有
其他域控制器承担着“全局编录”角色,否则将影响用户的登录操作
4、域内的所有域控制器都要联机
第三章组策略应用
什么是组策略?
组策略是管理员为计算机和用户定义的,用来控制应用程序,系统设置和管理模版的一种机制
使用组策略的好处?(3条)
1、减小管理成本,因为只需要设置一次,相应的用户或者计算机即可全部应用规定的设置
2、减少用户单独配置错误的可能性
3、可以针对特定对象(用户或者计算机)实施特定策略
默认的GPO有哪两个?
一个是Default domainpolicy
另一个是Default domain controller policy
组策略中的计算机配置和用户配置有什么区别?
计算机配置对容器中的计算机起作用
用户配置则对容器中的用户起作用
组策略的应用规则有哪些?
1、组策略的继承与阻止
2、组策略的累加与冲突
3、组策略的强制生效
4、筛选
利用组策略分发软件时,发布和分配有什么区别?
分配可以将程序分派到用户或计算机,分配的程序在客户机的“开始”菜单中,是强制性的
安装给客户端的
发布:可以将一个程序发布给用户,当用户登录到计算机上时,发布的程序显示在“控制面板的”添加和删除程序“中
第四章WINDOWS备份和灾难恢复
Windows server backup提供了哪两种选择来执行备份工具?
1、手动备份(一次性备份)
2、自动备份(计划备份)
哪几个组的成员可以使用windows server backup工具?
必须是Administrator组成Backup Operators组的成员才能使用windows server backup工具使用什么命令可以实现对数据进行备份?
wbadmin
完整备份与增量备份的区别?
完整备份:每次备份时,所选磁盘内的所有文件都会备份,这中备份会话费较多的时间,但不会影响整体系统的性能
增量备份:所有磁盘内,只有新添加的文件或者有改动的文件才会被备份,以前备份过但没改动过的文件都不备份
第五章活动目录备份和灾难恢复
对系统状态进行备份需要注意什么?
1、系统状态备份只能通过命令行工具进行,不能在windows server Backup管理控制台进行
2、在windows server Backup中,无法通过配置计划备份来自动备份系统状态
3、系统状态只能保存在本地磁盘上,不能将其保存在DVD或远程共享位置上
4、只有系统状态和系统应用程序可以从系统状态备份中恢复,卷和文件无法从备份恢复授权还原与非授权还原的区别?
1、如果系统中只有一台域制器,需要在独立域控制器上还原AD数据,则需执行非授权还
原
2、如果系统中有多台域控制器,被修改的AD数据已经复制到其他域控制器,卸载需要将
AD数据还原到一台域控制器,如果需要将这些数据复制到所有域控制器,必须使用授权还原
第六章操作主机
在活动目录中哪几个是林范围操作主机角色?哪几个是域范围操作主机角色?
林范围操作主机角色包括架构主机和域命名主机
域范围内的操作主机角色包括主域控制器(PDC)仿真主机,相对ID(RID)主机和基础结构主机
操作主机角色的分类有那几个?分别用来做什么的?
1、架构主机:用于控制AD整个林中所有对象和属性的定义
2、域命名主机:控制林中域的添加或者删除,可用防止林的的域名重复
3、仿真主机:负责域内的时间同步,最小密码变化的复制等待时间,对windows 2000之
前的操作系统提供支持
4、RID主机:将相对ID(RID)序列分配给域中每个域控制器
5、基础结构主机负责更新从它所在域中的对象到其他域中对象的应用
6、
转移操作主机和占用操作主机角色的区别?
当一台承担着操作主机角色的域控制器需要停机维护时,为了保证域环境的正常运行,需要将其主机角色转移到令一台运行的域控制器上
当承担这操作主机角色的域控制器突然崩溃,或者无法正常运行时,我们就需要使用强制手段占用操作主机角色
主域控、额外域控、SERVER-U、动态磁盘、FTP上传以及下载访问权限、组策略设置(统一桌面、隐藏盘符、分发软件)、磁盘配额、备份文件。