AD活动目录讲解
活动目录AD
确认AD是否正常
检查DNS服务器的日志:主机记录,SRV记录 排除注册失败的问题:ipconfig/registerdns,重启 Netlogon服务 检查AD数据库文件与SYSVOL文件夹: %systemroot%\ntds, %systemroot%\sysvol
Active Directory——活动目录
7,域控制器 使用AD安装向导安装的计算机,也是AD目录数据 存放的地点 8,轻型目录访问协议(LDAP) AD是利用LDAP来访问AD数据库里的对象的. DN:CN=李四,OU=业务部,DC=Contoso,DC=Com RDN: CN=李四
创建AD域
创建前工作: ①修改好计算机名 ②配置好IP ③DSN服务器 ④AD数据库存放地点 Dcpromo
组策略是一个能够让系统管理员充分管理用户工作 环境的技术 组策略是通过组策略对象(GPO)设置,可以针对 站点,域,OU设置组策略 组策略原则:相加原则,由下至上
导入用户
CSVDE -i -f c:\user.txt
导入用户
for /f "tokens=1,2,3,4,5 delims=," %a in (test.csv) do dsadd user "cn=%c,ou=test,dc=zhenergy,dc=com,dc=cn" -samid %d -upn %d@ -fn %b -ln %a -pwd %e -disabled no 将上述文件中五个帐户添加到域,名为Test的 OU中,且默认已启用用户. 其中:-samid为登录名 -upn为UPN登录名 -fn为 名 -ln为 姓 -pwd为 密码 简单解释一下for语句 /f 表示从文件中读取信息 tokens表示每行使用的记号,对应于后面的变量具体的值 delims表示每个字段之间的分隔符
微软AD活动目录介绍
ATL.
• 操作主机
森林范围内:
Schema Master Domain Naming Master
域范围内:
PDC Emulator RID Master Infrastructure Master
操作主机介绍
只有作为操作主机的域控制器才能对活动目录信息作相应改变 在操作主机上作的改变将会复制到其他的域控制器 任何域控制器可以作为操作主机 操作主机角色可以转移
一个域是一个复制单元
域控制器包含域中信息的完整集合,并且参 与域信息的复制
复制
Windows 2000 Domain
域的性能
能力
复制单元 大小 命名
NT 4.0 对象 Windows 2003 属性
40,000 对象
NetBIOS 建立新域
1,000,000+ 对象
DNS 在域内建立管理委派 到OU
活动目录的结构
活动目录逻辑结构 活动目录物理结构 Sites及活动目录的复制
活动目录逻辑结构
域 组织单元 树和森林 全局编录 Domains Organizational Units Trees and Forests Global Catalog
域 Domains
域是一个安全边界
域管理员只能在本域中执行管理操作,除非 他被明确地赋予其他域管理员身份
Server2
打印机 打印机
名称:Printer1 名称:Printer1 Type:HP4Si Type:HP4Si Color:No Color:No Duplex:Yes Duplex:Yes Location:3rd Floor Location:3rd Floor
AD域服务器活动目录经典图文教程
AD域服务器活动目录经典图文教程一(小型局域网搭建域环境)相关搜索:局域网, 服务器, 教程, 目录, 经典在小型域坏境中要做域环境,大家都知道域服务器垮掉可不是件好玩的事情,现在我用一台服务器做主域控,另一台做额外域控。
我使用两台虚拟机给大家做实验。
我的域名为域控IP为192.168.0.2,额外域控IP192.168.0.5.一。
设置IP二。
为安全起见,我们修改administrator用户,并设置强密码。
我新建了一帐户51ctoadmin,并把它加入到administrators组三。
切换到我们建的用户,放入系统光盘。
这里自动生成了netbios名,不要修改了。
这里是活动目录数据库和日志文件夹的位置。
因为我们是第一台域控制器,同时作为DNS服务器,选择第二项。
这里我们选择第二项输入目录服务还原用的管理员密码。
接下来是漫漫的等待。
完成重启计算机。
这样我们的主域控制器就做好了。
我们下面做额外域控。
首先我们设置下IP地址,DNS指向主域控制器。
前面的步骤一样,在这一步不同的是我们选择现有域的额外域控制器我们这里输入域管理员的用户名与密码这里我们选择要作为那个域的额外域控。
我们这里是后面的步骤差不多,重启计算机后就算是做好了。
客户端DNS都指向主DNS,这样我们怎样让局域网的客户机上网呢?我们设置DNS属性。
如图,将所选域的转发器的IP地址填写上公网的DNS地址即可。
我们考虑到如果主域控制服务器无法启动后,DNS也无法使用,所以我们还要做辅助DNS 首先我们要允许主DNS可以允许辅助DNS复制我们在额外域控制器上安装DNS组件,下载 (23.61 KB)2009-8-5 13:10这样我们同步一下就可以了。
我们在客户端设置两个DNS地址,主与辅的,当主域控出现问题,我们可以提升额外域控为主域控即可。
提升域控制器我们系列二说。
AD域服务器活动目录经典图文教程二(主域控无法正常启动)相关搜索:服务器, 教程, 目录, 经典, 活动今天一大早过来,发现WIN98客户端无法登陆,一检查主域控DOWN机了,没法启动。
ad活动目录解决方案ppt
ad活动目录,解决方案,ppt 篇一:活动目录AD解决方案客户现状:现在客户在各地共有4个办公点。
每个点采用的是独立的域环境。
现在客户希望将分散在各地的办公点连接起来,能够实现各地间的访问与共享。
一、客户方案:通过VPN技术实现网络的互联,并通过林间的信任来实现各地间的互相信任,以达到共享与访问。
客户的方案如下:拓扑图如下:由于客户各地点域已经建立,现在需要做的如下: 1、DNS的转发:作用:处理本地没有应答的DNS查询。
方法:每个域内的DNS服务器都需要做到其他域的DNS 转发,以便于DNS的解析。
2、信任关系的建立作用:为了使不同域可以互相访问。
方法:在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。
在这里建立A,B的相互信任,B,C的相互信任,C,D的相互信任,A,D的相互信任(一但前三个相互信任形成,则第四个A,D的相互信任自动形成。
) 3、 WINS服务器的安装作用:信任域间可以通过主机名称进行访问。
方法:每个域建立独立的WINS服务器,并与其他域内的WINS服务器建立“推/拉”伙伴关系,实现域间WINS服务器的同步。
各域客户端WINS服务器指向本地服务器。
说明:每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。
二、单域多站点结构方案拓扑图:方案描述如下:所有站点处于同一个域下,每个站点的子网不相同。
在A站点建立主DC服务器,其他站点分别建立额外DC,如, , 实现方法:1. 子网划分:分配各个站点的子网,要求子网不能够相同,比如A站点/24B站点 /24; C站点/24; D站点/242. 主DC的建立:A站点域控制器集成AD与DNS服务,并且在DNS上做转发,实现对外网的访问。
在A站点建立域内主DC,DNS地址指向本地地址。
3. 额外DC的建立:首先DC的DNS指向主DC的DNS地址。
在新建DC的时候选择创建“额外域控制器”。
活动目录常(AD)实用手册
Active Directory(AD)实用手册Active Directory(AD)实用手册活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。
Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。
在本期专题里,我们提供了活动目录的使用技巧,如解决在Active Directory环境里Windows 登录性能问题与使用Active Directory标识和追踪虚拟机等,涵盖了虚拟化、灾难恢复等方面。
AD介绍在本系列第一篇文章中,我们将介绍如何使用Active Directory跟踪虚拟化资源。
第二篇文章讨论如何使用脚本进行Active Directory计算机对象Description查询;第三部分在Active Directory范式的基础上做了进一步扩展,其中包括用一个自定义属性来标识计算机是物理平台还是虚拟平台。
使用Active Directory标识和追踪虚拟机查询Active Directory的方法介绍如何自定义Active Directory模式?AD与灾难恢复对于活动目录,什么因素会产生一个良好的灾难恢复计划?在多域林中如何恢复活动目录根域?我们以两个分别为和的域作为例子……如何在多域林中恢复活动目录根域?活动目录林的灾难预防策略活动目录林的灾难预防最佳方式AD与lingering object对于任何活动目录管理员来说,最让其烦恼的,是一些被称为延迟对象的奇怪小东西。
本系列文章详细介绍如何查找、删除与恢复lingering object的操作步骤。
如何查找活动目录中的lingering object?如何删除活动目录里的lingering object?修复活动目录林中的lingering object问题AD技巧集Active Directory环境里Windows登录性能问题如何解决?在Windows Server 2008 R2版本里,AD有哪些新的改动?快照功能如何使用?在虚拟化平台vSpere里,AD能做什么事情……本部分介绍AD的一些实用技巧。
AD活动目录介绍
Domain OU1 Computers Computer1 Users User1 OU2 Users User2 Printers Printer1
KimYoshida Attributes Name Building Floor Values
Kim Yoshida 117 1
大家可以以书的目录为例来进行思考
站点
IP子网
优化复制流量 使用户登录到DC,使用一个可靠的、高速的链接
总 结
活动目录的逻辑结构
林、树、域、OU 站点、DC、WAN链路
活动目录的物理结构
第三课
活动目录的概述(三)
本课概述
• • • •
活动目录的复制模式 LDAP协议 全局编录服务器 活动目录数据库的目录分区
单操作主机和多操作主机
DNS
SYSVOL Database and Log Files
检查 Active Directory默认结 构
Active Directory Users and Computers Console Window Help
Active View
Tree contoso.msft 8 objects Active Directory Users and Co.. Name contoso.msft Builtin Builtin Computers Computers Domain Controllers Domain Controllers ForeignSecurityPrincipals LostAndFound ForeignSecurityPrincipals System LostAndFound Users
Additional Domain Controller (Replica)
AD 名词解析
目录服务:网络上,特别是互联网中有各型各类的主机,有各种各样的资源, 这些东西杂散在网络中, 需要有一定的机制来访问这些资源, 得到相关的服务, 于是就有了目录服务.早期的目录服务主要是提供文件检索, NOVELL就是广为使用的目录服务器系统; 随着互联网的发展, 网站的定位又成了难题, 于是有了DNS服务,它也是典型的目录服务,即帮你做域名与IP地址之间的转换. 楼上说的NETMEETING, 也是目录服务器的服务内容之一, 对NetMetting来说,其目录服务器主要是帮助定位用户状态信息的.活动目录:活动目录包括两个方面:目录和与目录相关的服务。
目录是存储各种对象的一个物理上的容器,从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别,仅仅是一个对象,是一实体;而目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,因为多台机上有相同的信息,所以在信息容氏方面具有很强的控制能力,正因如此,不管用户从何处访问或信息处在何处,都对用户提供统一的视图。
域:网络中的域是一个应用的范围,在这个范围内的用户有一定的访问权限而不在域中的用户会受到域权限的控制而不能访问一些东西OU:OU(Organizational Unit,组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。
通俗一点说,如果把AD比作一个公司的话,那么每个OU就是一个相对独立的部门。
用户配置文件:用户配置文件就是在用户登录时定义系统加载所需环境的设置和文件的集合。
它包括所有用户专用的配置设置,如程序项目、屏幕颜色、网络连接、打印机连接、鼠标设置及窗口的大小和位置。
本地域组:具有本地域作用的组的使用范围是本域。
通常是针对本域的资源创建本地域组。
本地域组具有所属域的访问权限,以便访问本域的资源。
微软AD活动目录介绍文档
Global Group 嵌套到 Domain Local Group
Move Infrastructure Master
决定操作主机的位置
确认当前操作主机的位置
用“Active Directory 用户和计算机” 查找 RID master PDC emulator Infrastructure master 用“Active Directory 域和信任” 查找 Domain naming master 用 “Active Directory Schema”查找 Schema master
一个域是一个复制单元
域控制器包含域中信息的完整集合,并且参 与域信息的复制
复制
Windows 2000 Domain
域的性能
能力
复制单元 大小 命名
NT 4.0 对象 Windows 2003 属性
40,000 对象
NetBIOS 建立新域
1,000,000+ 对象
DNS 在域内建立管理委派 到OU
Server2
打印机 打印机
名称:Printer1 名称:Printer1 Type:HP4Si Type:HP4Si Color:No Color:No Duplex:Yes Duplex:Yes Location:3rd Floor Location:3rd Floor
为什么需要目录服务
目录服务的 功能性
Directory Partition 复制
NTDS.DIT
Schema Schema
Forest
Configuration Domain
Configuration
Domain X
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
13
服务科技 驾驭未来
1、What 什么是AD
AD中常用的名词 组策略(Group Policy)--指将策略应用到活动目录容器中的计 算机组和/或用户。所包括的策略类型不仅是出现在Windows NT服务器4.0中的基于注册的策略,还可以是目录服务所允 许的用来存储策略数据的多种类型,例如:文件配置、应用 程序配置、登录和注销脚本、启动和关机脚本、域安全、 Internet协议安全(Internet Protocol security,简称IPSec)等 等。策略的集合称为组策略对象(Group Policy object,简称 GPO)。
……
18
服务科技 驾驭未来
2、Why 为什么要用AD
网络安全。可以基于 AD,集中设置和统一管理 用户、组、资源的操作权限, 方便维护管理。
19
服务科技 驾驭未来
2、Why 为什么要用AD
集中管理和委派授权。 基于Windows 2003活动目 录OU实施委派授权管理, 未来向下属企业推广时, 分级维护,集团各部门、 下属公司可以对所辖范围 内的部分参数进行维护, 如增加用户、设置权限、 增加栏目、自定义流程等。
12
服务科技 驾驭未来
1、What 什么是AD
AD中常用的名词 容器(container)--一种特殊的活动目录对象类型。容器与其 他的活动目录对象一样具有属性,并且它是活动目录名字空 间中的一部分。但是,与其他对象不同的是,它没有具体的 表现形式。容器中可以包括一组对象和其他容器。参见"对象 "。 组织单元(organizational unit,简称OU)--一个容器对象, 它是活动目录可管理的划分。OU可以包含用户、小组、资源 和其他OU。组织单元可以管理权限委托给目录中的子树。
微软认为,当一个计算机网络中的计算机数量超过20台 式时,就应该使用AD来管理这个网络了。 一般情况下,我们通常会遇到以下的情况才会考虑使用 AD。
30
服务科技 驾驭未来
4、When 什么时候适合部署AD
网络中的计算机数量过于庞大,在针对桌面型维护如软 件安装、系统补丁升级、关键应用的实施时,IT维护人员的 工作量剧增,以致影响企业正常运转。 这时需要AD来做程序的下发工作。
********AD
目录
1、What 什么是AD 2、Why 为什么要使用AD 3、Who 谁来使用AD 4、When 什么时候适合部署AD 5、Where AD部署在什么地方 6、How 怎么部署AD
7、How much 部署AD的费用情况
2
服务科技 驾驭未来
1、What 什么是AD
1、AD和工作组 2、AD中常用的名词
15
服务科技 驾驭未来
目录
1、What 什么是AD 2、Why 为什么要使用AD 3、Who 谁来使用AD 4、When 什么时候适合部署AD 5、Where AD部署在什么地方 6、How 怎么部署AD
7、How much 部署AD的费用情况
16
服务科技 驾驭未来
2、Why 为什么要用AD
一个稳定、可靠和扩展 性良好的AD架构对一个企 业网络的管理及安全具有重 大意义,并对部署微软的相 关产品如Exchange 等具有举 足轻重和决定性的重要意义, 它是微软各种应用软件运行 的必要和基础的条件。
3、Who 谁来使用AD
员工 作为AD中IT资源的使用者,他们在AD的框架 中最大化的获取工作上的便利性,使企业的IT资源能够充分 的发挥其作用。
27
服务科技 驾驭未来
3、Who 谁来使用AD
可以看到,作为现代企业“神经系统”IT涉及了企业所 有的员工。 因此,一个良好运转的IT系统便成为了企业日常运作的 基础,而其中AD系统的建设更是为企业IT的发展奠定了坚 实的基础。
20
服务科技 驾驭未来
2、Why 为什么要用AD
用户桌面管理。通过规划部署Windows 2003 OU和组策略 ,可以统一规划用户桌面和用户操作环境,实现对客户计算机 的集中控制管理,加强信息管理的安全可靠性。
21
服务科技 驾驭未来
2、Why 为什么要用AD
软件自动分发。通过规划部署Windows 2003 OU和组策略 ,还可以实现应用程序的自动分发、升级和删除,不但可以实 现客户机软件的统一安装管理,而且大大减轻了软件安装配置 的工作量。
28
服务科技 驾驭未来
目录
1、What 什么是AD 2、Why 为什么要使用AD 3、Who 谁来使用AD 4、When 什么时候适合部署AD 5、Where AD部署在什么地方 6、How 怎么部署AD
7、How much 部署AD的费用情况
29
服务科技 驾驭未来
4、When 什么时候适合部署AD
7
服务科技 驾驭未来
1、What 什么是AD
1、AD和工作组 2、AD中常用的名词
8
服务科技 驾驭未来
1、What 什么是AD
AD中常用的名词 域(domain)--计算机网络的安全边界。AD由一个或多个域 组成。在一个独立的工作站上,域就是计算机自身。域可以 跨越多个物理区域。每一个域都有自己的安全策略和与其他 域的安全关系。当多个域通过信任关系连接起来,并且共享 一个模式、配置和全局目录的时候,它们组成一个域树。多 个域树可以组成一个森林。 树(tree)--通过可传递、双向信任关系连接在一起的 Windows NT域的集合,它们共享相同的模式、配置和全局目 录。域必须组成层次式的名字空间,例如,是树根, 是的孩子,是的孩子等等。
10
服务科技 驾驭未来
1、What 什么是AD
AD中常用的名词 主域控制器(primary domain controller,简称PDC)--运行 Windows Server 的计算机,这个计算机授权域登录并且维护 域的目录数据库。PDC跟踪域中所有计算机帐户所做的改变。 它是唯一可以直接接受变化的计算机。一个域只有一个主域 控制器。 备份域控制器(backup domain controller,简称BDC) --运行 Windows Server的计算机接受包括域中所有帐户和安全策略 信息的目录的拷贝。这份拷贝信息周期性并且自动的与主域 控制器中的主备份进行同步。备份域控制器也可以确认用户 并且配置成为象PDC类似的功能。一个域上可以有多个备用 域控制器。
4
服务科技 驾驭未来
1、What 什么是AD
工作组 工作组是一个由许多在同一物理地点,而且被相同的局 域网连接起来的用户组成的小组。相应地,一个工作组也可 以是遍布一个机构的,但却被同一网络连接的用户构成的逻 辑小组。 AD AD( Active Directory )是面向Windows Server的目录服务。 AD存储了有关网络对象(包括计算机、用户以及其它的IT资 源等)的信息,并且让管理员和用户能够轻松地查找和使用 这些信息。Active Directory使用了一种结构化的数据存储方 式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
5
服务科技 驾驭未来
1、What 什么是AD
工作组与AD的区别
工作组看起来应该像 一个菜市场,无论提供资 源的还是获取资源的都几 乎没有准入资格。 任何一个计算机或者 用户都可以自由的接入和 离开。资源的获取和交流 完全由网络对象自行对接 完成。
6
服务科技 驾驭未来
1、What 什么是AD
工作组与AD的区别 而AD更像一家企业的 办公室,每一个人都有自 己的确切岗位和职责,并 且有明显的管理者和用于 管理的各类规章制度。 在AD中,所有的资源和网络对象均统一分配管理, 涉及的资源交流必须在AD的授权下进行。
14
服务科技 驾驭未来
1、What 什么是AD
AD中常用的名词 组策略对象(Group Policy object,简称GPO)--策略的虚拟 集合。它有一个唯一的名称,例如一个全局唯一标识符( globally unique identifier,简称GUID)。GPO在两个位置存 储组策略设置:组策略容器(Group Policy container,简称 GPC)(首选的)和组策略模板(Group Policy templet,简称 GPT)。GPC是一个活动目录对象,存储版本信息、状态信 息和其他策略信息(例如应用程序对象)。GPT用于基于文 件的数据并且存储软件策略、脚本和配置信息。GPT位于域 控制器的系统卷文件夹上。
7、How much 部署AD的费用情况
24
服务科技 驾驭未来
3、Who 谁来使用AD
经过前面的介绍,已经了解了什么是AD以及AD的一些 优点,那么AD究竟是由哪些人来使用,这些人在AD的使用 中又扮演了什么样的角色? CIO 作为公司信息化建设的 领导者,CIO拥有对AD控制的所 有权限,包括用户、信息、设备 等;他们是DOMANI ADMINISTRATORS组用户的拥 有者,同时作为公司的员工,他 们也有DOMANI USERS组的账 号用于日常的办公
11
服务科技 驾驭未来
1、What 什么是AD
AD中常用的名词 属性(attribute)--对象的单一属性。对象通过它们的属性值 进行描述。例如,可以用属性这样来定义一辆车:制造商、 模型、颜色等等。属性这个术语和特性这个词可以相互使用, 它们使完全一样的。属性也是用来描述对象的数据项,这些 对象通过模式中定义的类来表现的。在模式中,属性和类使 分开定义的;这样使得一个属性可以在多个类中使用。 对象(object)--由一组属性组成的集合,它代表的是具体的事 物,例如用户、打印机或一个应用程序。属性就是用来描述 目录对象可以标识的数据。一个用户的属性可能是用户姓、 教名和电子邮件地址。
待办事宜 1、**部门杀毒软件更新 2、**办公室系统更新 3、**领导OFFICE不能用 4、**员工私自安装程序 5、**部门需要安装软件 6、…… 待办事宜 1、……