活动目录服务的基本安装和配置
windows服务器_部署活动目录域
32
实验案例2:OU的管理
• 学员练习:
– 创建OU – 创建用户 – 委派权限 – 在客户机添加“Active Directory域服务工具” 功能 – 在客户机上使用被委派用户验证委派
40分钟完成
33
6
安装活动目录
• 推荐步骤
– 运行dcpromo命令 – 在新林中新建域 – 设置域名 – DNS服务器 – 目录服务还原模式的Administrator密码
7
域功能级别
域功能级别 支持的域控制器
Windows 2000 Window Server 2003 Window Server 2008 Window Server 2003 Window Server 2008
– 可扩展性
4
域和活动目录的概念3-3
• 域树
– 具有连续的域名空间的多个域
• 林
– 林由一个或多个域树组成
5
安装域控制器的条件
• 安装者必须具有本地管理员权限 • 操作系统版本必须满足条件(Windows Server 2003 除Web版外都满足) • 本地磁盘至少有一个分区是NTFS文件系统 • 有TCP/IP设置(IP地址、子网掩码等) • 有相应的DNS服务器支持 • 有足够的可用空间
• 可以按AGDLP规则来使用全局组
19
通用组
• 使用范围是整个林及信任域 • 全局组和通用组的区别
– 通用组的成员身份在全局编录中
• 多域环境下通用组成员登录或者查询速度较快
– 全局组的成员身份在每个域中
20
组织单位(OU)的管理
• 概念
– 容器:有效地组织活动目录对象 – 委派控制 – 组策略
16
Active Directory部署之完全手册
Active Directory部署之完全手册本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。
首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统,我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:AmericanIP:192.168.0.253子网掩码:255.255.255.0DNS: 192.168.0.253 (因为我要把这台机器配置成DNS服务器)点开始—运行输入dcpromo:待活动目录安装向导启动:点击下一步:这里是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。
然后点击“下一步”:在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”:既然是第一台域控,那么当然也是选择“在新林中的域”, 然后点“下一步”:我们把DNS Server与域控制器集成是有很多好处:1、基于Active Directory 功能的多主机更新和增强的安全性。
2、只要将新的区域添加到Active Directory 域,区域就会自动复制并同步至新的域控制器。
3、通过将DNS 区域数据库的存储集成到Active Directory 中,可以针对网络简化数据库复制规划。
4、与标准DNS 复制相比,目录复制更快捷、更有效。
5、该目录中只能存储主要区域。
DNS 服务器不能在目录中存储辅助区域。
因此,它必须在标准文本文件中存储这些数据。
如果将所有的区域都存储在Active Directory 中,Active Directory 的多主机复制模式将不再需要辅助区域。
OK,我们默认然后点“下一步”:在这里我们输入我们预先想好的域名:然后点“下一步”:这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但个人建议还是采用默认的好,省得以后麻烦。
Windows 2000 Server安装与配置
Windows 2000 Server安装与配置实验目的:Windows 2000 Server是目前应用最普遍的局域网操作系统,通过本实验使学生掌握Windows 2000 Server的安装、配置和使用方法。
主要掌握Windows 2000 Server作为域控制器时的活动目录的安装配置、文件系统的管理方法,熟练的使用活动目录进行域用户创建、组的创建、域的管理。
实验内容:(一)活动目录与文件系统:活动目录的安装与配置、文件系统的共享与安全性设置。
(二)用户和计算机账户管理:用户和组的建立管理和安全性配置。
实验步骤:Windows 2000 Server安装与配置(一):活动目录与文件系统(一)安装活动目录1、安装活动目录具体步骤:1.启动Windows 2000 Server系统自动打开“Windows 2000配置服务器”窗口,或者选择“开始”/“程序”/“管理工具”/“配置服务器”,打开如图所示配置服务器窗口。
2. 在左边的列表中单击“Active Directory”超级链接,并拖动右边的滚动条到窗口底部,如图所示。
3.单击“启动”链接,打开“Active Dir ectory安装向导”对话框,如图所示。
也可省去前面三步,直接通过“开始”/“运行”,打开“运行”对话框,输入dcpromo命令,单击“确定”按钮,打开如图所示的对话框。
4.单击“下一步”,打开如图所示的选择“域控制器类型”对话框。
若安装的服务器是域中的第一个域控制器,选择“新域的域控制器”。
如果网上已有域控制器,可选择“现有域的额外域控制器”。
5.单击“下一步”,打开如图所示的“创建目录树或子域”对话框,如果用户不想让新域成为现有域的子域,可选择“创建一个新的域目录树”。
如果用户希望新域成为现有域的子域,可选择“在现有域目录树中创建一个新的子域”。
这里,选择“创建一个新的域目录树”。
6.单击“下一步”,打开如图所示的“创建或加入目录林”对话框,如果所创建的域为单位的第一个域,或者希望所创建的新域独立于现有目录林,可选择“创建新的域或目录树”。
计算机网络原理 安装活动目录服务
计算机网络原理安装活动目录服务活动目录(Active Directory)是用于Windows 2003的目录服务。
它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。
活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。
1.DNS与活动目录由于活动目录与DNS是集成的,并且共享相同的名称空间结构,因此注意两者之间的差异非常重要:●DNS是一种名称解析服务DNS客户机向配置的DNS服务器发送DNS名称查询。
DNS服务器接收名称查询,并且解析名称查询,或者进行名称解析。
DNS不需要活动目录可以独立运行。
●活动目录是一种目录服务活动目录提供信息存储库以及让用户和应用程序访问信息的服务。
活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)”向活动目录服务器发送查询。
然后要定位活动目录服务器,活动目录客户机将查询DNS。
即活动目录用于组织资源,而DNS用于查找资源;只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。
2.规划活动目录为了让用户和管理员操作更为方便,在安装活动目录之前,我们首先要对活动目录的结构进行细致的规划设计。
●规划DNS如果用户准备使用活动目录,则需要首先规划名称空间。
在Windows 2003中,用DNS 名称命名活动目录域。
选择DNS名称用于活动目录域时,以保留在Internet上使用的已注册DNS域名后缀开始(如),并将该名称和单位中使用的地理(部门)名称结合起来,组成活动目录域的全名。
●规划用户的域结构最容易管理的域结构就是单域。
规划时,用户应从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域。
单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。
安装活动目录的方法
安装活动目录的方法安装活动目录(Active Directory)的步骤如下:1. 确保服务器满足以下最低系统要求:64位操作系统(如Windows Server 2019、Windows Server 2016)、2个核心的64位处理器、4GB内存、40GB 可用硬盘空间。
2. 登录服务器并打开“服务器管理器”。
3. 在“服务器管理器”中,单击“角色和功能安装”以启动安装向导。
4. 在“角色和功能安装向导”的“开始之前”页面上,选择“角色基于的或特定用途的安装”并单击“下一步”。
5. 在“服务器选择”页面上,选择要安装活动目录的服务器,并单击“下一步”。
6. 在“服务器角色”页面上,选择“活动目录域服务”并单击“下一步”。
7. 在“角色服务”页面上,选择“活动目录域控制器”并单击“添加功能”。
8. 在“添加功能”对话框中,单击“添加功能”。
9. 在“活动目录域服务”页面上,选择所需的选项,如“域控制器”和“域名系统(DNS)服务器”,然后单击“下一步”。
10. 在“功能”页面上,单击“下一步”。
11. 在“确认安装选择”页面上,选择“安装”并单击“下一步”。
12. 安装过程将开始,等待安装完成。
13. 安装完成后,将提示重启服务器。
单击“关闭”。
14. 服务器重启后,登录并打开“服务器管理器”。
15. 在“服务器管理器”中,单击“工具”>“活动目录用户和计算机”。
16. 在“活动目录用户和计算机”中可以开始配置和管理活动目录。
注意:在安装活动目录之前,建议进行详细的规划和设计,包括域名、域组织结构、域控制器位置等,以确保活动目录的正确性和可扩展性。
安装和配置活动目录证书服务(AD CS)
君子工作室教程集
QQ:529779525
安装和配置活动目录证书服务(AD CS)PKI(公共密钥基础结构)
机密性:公钥加密私钥解密
完整性:私钥加密公钥解密(数字签名)
有效性:同上
不可否认性:同上
PKI解决方案的组件
CA(认证中心)
数字证书
证书模板
证书吊销列表和在线响应
启用公共密钥的应用程序和服务
证书和CA 管理工具
AIA和CRL分发点
证书包括:服务器公钥,CA公钥,客户信息
安装AD CS服务器角色CA
安装根CA
安装子CA
CAPolicy.inf
认证业务规范(CPS)
对象标识符(OID)
CRL发布间隔时间(正是吊线列表)
CA更新
密钥长度
证书有效期
CDP(CRL发布点)和AIA(颁发机构信息访问)路径
发布根证书CA和URL到:
Active Directory
Web服务器http://192.168.10.10/certsrv
FTP服务器
File服务器
Web申请。
活动目录的卸载与安装
最后一次放弃卸载行动的Hale Waihona Puke 会开始卸载…..waiting
卸载完成
重新启动
2、安装活动目录
配置服务器网络设置:IP:192.168.0.1;子网 掩码:255.255.255.0;DNS服务器地址可为“空”
DNS地址会被自动设置为“本地IP”
在“网络标识”属性中重设计算机名,并 在“其他”处删除原有域名后缀
选择自动安装配置 DNS
现选项为“纯 win2000网络”(另一个选 项为“混合网络”)
目录修复管理员密码:本例为“空”
摘要及“取消安装”的最后机会
安装开始…..waiting again
正在配置 DNS
完成活动目录安装
重启计算机
进入系统后检查设置是否正确及是否生效 (完整计算机名、域、属性不可改)
重新启动…..
重新启动……
重新启动后,检查一下设置是否正确
用 dcpromo 命令安装活动目录
安装向导
本机是“新域的域控制器”
由此建“新的域目录树”
由此建“新的域目录林”
新的域名“ ”
域 NetBIOS 名是向前兼容的域名形式
本例使用默认位置即可
默认
提醒:无 DNS 服务存在
重启计算机
重新进入系统后,可见网络标识以改变
服务器端:活动目录的用户和计算机组件的
Computers 文件夹内出现 ftp 计算机
服务器端:DNS中自动出现 ftp 计算机的域名纪 录,一切顺利完成!!!
“管理工具”里是否有活动目录的三个组件
这是“前任”DNS系统的痕迹,它影响了新 DNS系统的连接与显示
作如下操作:DNS---右键---连接到计算机
Active Directory 技术简介及Active Directory部署之完全手册
Active Directory 技术Active DirectoryActive Directory是指Windows 2000网络中的目录服务。
它有两个作用:1.目录服务功能。
Active Directory提供了一系列集中组织管理和访问网络资源的目录服务功能。
Active Directory使网络拓扑和协议对用户变得透明,从而使网络上的用户可以访问任何资源(例如打印机),而无需知道该资源的位置以及它是如何连接到网络的。
Active Directory被划分成区域进行管理,这使其可以存储大量的对象。
基于这种结构,Active Direct ory可以随着企业的成长而进行扩展。
从仅拥有一台存储几百个对象的服务器的小型企业,扩展为拥有上千台存储数百万个对象的服务器的大型企业。
2.集中式管理。
Active Directory还可以集中管理对网络资源的访问,并允许用户只登陆一次就能访问在Active Direct ory上的所有资源。
Active Directory 的优点在Windows 2000 操作系统中引入Active Directory 有以下优点:∙与DNS 集成。
Active Directory 使用域名系统(DNS)。
DNS 是一种Internet 标准服务,它将用户能够读取的计算机名称(例如)翻译成计算机能够读取的数字Internet 协议(IP) 地址(由英文句号分隔的四组数字)。
这样,在TCP/IP 网络计算机上运行的进程即可相互识别并进行连接。
∙灵活的查询。
用户和管理员如果要通过对象属性快速查找网络中的对象,可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是Active Directory 用户和计算机管理单元。
例如,您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。
而且,使用全局编录优化了查找信息的操作。
∙可扩展性。
Active Directory 是可扩展的;也就是说,管理员既可以在架构中添加新的对象类别,也可在原有的对象类别中添加新属性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
活动目录服务的基本安装和配置Active Directory 是用于Windows 2000 Server 的目录服务。
它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。
Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
Active Directory 是用于Windows 2000 Server 的目录服务。
它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。
Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
Active Directory 的优点:信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS 集成、与其他目录服务的互操作性、灵活的查询。
本章主要内容:1、活动目录的基本概念及其作用2、在安装活动目录前的目录规划3、活动目录工具6.1 活动目录的概念6.1.1 域域提供了多项优点:§组织对象。
§发布有关域对象的资源和信息。
§将组策略对象应用到域可加强资源和安全性管理。
§委派授权使用户不再需要大量的具有广泛管理权利的管理员。
要创建域,用户必须将一个或更多的运行Windows 2000 Server 的计算机升级为域控制器。
域控制器为网络用户和计算机提供Active Directory 目录服务、存储目录数据并管理用户和域之间的交互作用,包括用户登录过程、验证和目录搜索。
每个域至少必须包含一个域控制器。
域树和域林活动目录中的每个域利用DNS 域名加以标识,并且需要一个或多个域控制器。
如果用户的网络需要一个以上的域,则用户可以创建多个域。
共享相同的公用架构和全局目录的一个或多个域称为域林。
如图6.1 中所示,如果树林中的多个域有连续的DNS 域名,则该结构称为域树。
如图6.2所示如果相关域树共享相同的Active Directory 架构以及目录配置和复制信息,但不共享连续的DNS 名称空间,则称之为域林。
域树和域林的组合为用户提供了灵活的域命名选项。
连续和非连续的DNS 名称空间都可加入到用户的目录中。
6.1.2. 域和帐户命名Active Directory 域名通常是该域的完整DNS 名称。
但是,为确保向下兼容,每个域还有一个Windows 2000 以前版本的名称,以便在运行Windows 2000 以前版本的操作系统的计算机上使用。
用户帐户在Active Directory 中,每个用户帐户都有一个用户登录名、一个Windows 2000 以前版本的用户登录名(安全帐户管理器的帐户名)和一个用户主要名称后缀。
在创建用户帐户时,管理员输入其登录名并选择用户主要名称。
Active Directory 建议Windows 2000 以前版本的用户登录名使用此用户登录名的前20 个字节。
所谓用户主要名称是指由用户账户名称和表示用户账户所在的域的域名组成。
这是登录到Windows 2000 域的标准用法。
表准格式为:***************(类似个人的电子邮件地址)。
但不要在用户登录名或用户主要名称中加入@ 号。
Active Directory 在创建用户主要名称时自动添加此符号。
包含多个@ 号的用户主要名称是无效的。
在Active Directory 中,默认的用户主要名称后缀是域树中根域的DNS 名。
如果用户的单位使用由部门和区域组成的多层域树,则对于底层用户的域名可能很长。
对于该域中的用户,默认的用户主要名称可能是。
该域中用户默认的登录名可能是*********************。
创建主要名称后缀- "root" 使同一用户使用更简单的登录名*************就可以登录。
6.1.3 域间信任关系对于Windows 2000 计算机,通过基于Kerberos V5 安全协议的双向、可传递信任关系启用域之间的帐户验证。
在域树中创建域时,相邻域(父域和子域)之间自动建立信任关系。
如图6.2 中的 和 之间自动建立信任关系。
在域林中,在树林根域和添加到树林的每个域树的根域之间自动建立信任关系。
因为这些信任关系是可传递的,所以可以在域树或域林中的任何域之间进行用户和计算机的身份验证。
如果将Windows 2000 以前版本的Windows 域升级为Windows 2000 域时,Windows 2000 域将保留域和任何其他域之间现有的单向信任关系。
包括Windows 2000 以前版本的Windows 域的所有信任关系。
如果用户要安装新的Windows 2000 域并且希望与任何Windows 2000 以前版本的域建立信任关系,则必须创建与那些域的外部信任关系。
所有域信任关系都只能有两个域:信任域和受信任域。
域信任关系按以下特征进行描述:§单向单向信任是域A 信任域 B 的单一信任关系。
所有的单向关系都是不可传递的,并且所有的不可传递信任都是单向的。
身份验证请求只能从信任域传到受信任域。
Windows 2000 的域可与以下域建立单向信任:不同树林中的Windows 2000 域、Windows NT 4.0 域、MIT Kerberos V5 领域。
§双向Windows 2000 树林中的所有域信任都是双向可传递信任。
建立新的子域时,双向可传递信任在新的子域和父域之间自动建立。
§可传递Windows 2000 树林中的所有域信任都是可传递的。
可传递信任始终为双向:此关系中的两个域相互信任。
可传递信任不受信任关系中的两个域的约束。
每次当用户建立新的子域时,在父域和新子域之间就隐含地(自动)建立起双向可传递信任关系。
这样,可传递信任关系在域树中按其形成的方式向上流动,并在域树中的所有域之间建立起可传递信任。
如图6.3中因为域1 和域2 有可传递信任关系,域 2 和域3 有可传递信任关系,所以域3 中的用户(在获得相应权限时)可访问域1 中的资源。
因为域 1 和域A 具有可传递信任关系,并且域A 的域树中的其他域和域A 具有可传递信任关系,所以域B 中的用户(当授与适当权限时)可访问域3 中的资源。
§不可传递不可传递信任受信任关系中的两个域的约束,并不流向树林中的任何其他域。
在大多数情况下,用户必须明确建立不可传递信任。
在Windows 2000 域和Windows NT 域之间的所有信任关系都是不可传递的。
从Windows NT 升级至Windows 2000 时,目前所有的Windows NT 信任都保持不动。
在混和模式环境中,所有的Windows NT 信任都是不可传递的。
不可传递信任默认为单向信任关系。
§外部信任外部信任创建了与树林外部的域的信任关系。
创建外部信任的优点在于使用户可以通过树林的信任路径不包含的域进行身份验证。
所有的外部验证都是单向非转移的信任§快捷信任快捷信任是双向可传递的信任,使用户可以缩短复杂树林中的路径。
Windows 2000 同一树林中域之间的快捷信任是明确创建的。
快捷信任具有优化的性能,能缩短与Windows 2000 安全机制有关的信任路径以便进行身份验证。
在树林中的两个域树之间使用快捷信任是最有效的。
6.1.4 站点站点是由一个或多个IP 子网中的一组计算机,确保目录信息的有效交换,站点中的计算机需要很好地连接,尤其是子网内的计算机。
站点和域名称空间之间没有必要的连接。
站点反映网络的物理结构,而域通常反映用户单位的逻辑结构。
逻辑结构和物理结构相互独立,所以网络的物理结构及其域结构之间没有必要的相关性,Active Directory 允许单个站点中有多个域,单个域中有多个站点。
如果配置方案未组织成站点,则域和客户之间的信息交换可能非常混乱。
站点能提高网络使用的效率。
站点服务在以下两方面令网络操作更为有效:§服务请求当客户从域控制器请求服务时,只要相同域中的域控制器有一个可用,此请求就将会发给这个域控制器。
选择与发出请求的客户连接良好的域控制器将使该请求的处理效率更高。
§复制站点使目录信息以流水线的方式复制。
目录架构和配置信息分布在整个树林中,而且域数据分布在域中的所有域控制器之间。
通过有策略地减少复制,用户的网络拥塞也会同样减少。
Active Directory 在一个站点内比在站点之间更频繁地复制目录信息。
这样,连接最好的域控制器中,最可能需要特定目录信息的域控制器首先接收复制的内容。
其他站点中的域控制器接收对目录所进行的更改,但不频繁,以降低网络带宽的消耗。
6.1.5 Active Directory 用户和计算机帐户Active Directory 用户和计算机帐户代表物理实体,诸如计算机或人。
用户帐户和计算机帐户(以及组)称为安全主体。
安全主体是自动分配安全标识符的目录对象。
带安全标识符的对象可登录到网络并访问域资源。
用户或计算机帐户用于:§验证用户或计算机的身份。
§授权或拒绝访问域资源。
§管理其他安全主体。
§审计使用用户或计算机帐户执行的操作。
Windows 2000 提供了可用于登录到运行Windows 2000 的计算机的预定义用户帐户。
这些预定义帐户为:§管理员帐户§来宾帐户预定义帐户就是允许用户登录到本地计算机并访问本地计算机上资源的默认用户帐户。
设计这些帐户的主要目的是本地计算机的初始登录和配置。
每个预定义帐户均有不同的权利和权限组合。
管理员帐户有最广泛的权利和权限,同时来宾帐户有受限制的权利和权限。
6.1.6组策略组策略设置影响计算机或用户帐户并且可应用于站点、域或组织单位。
它可用于配置安全选项、管理应用程序、管理桌面外观、指派脚本并将文件夹从本地计算机重新定向到网络位置。
6.1.7集成DNS由于Active Directory 与DNS 集成而且共享相同的名称空间结构,因此注意两者之间的差异非常重要:§DNS 是一种名称解析服务。
<创建Active Director yQQread_mid_big> 在独立服务器上安装了Windows Server 2003 之后,运行“Active Directory 向导”以创建新的Active Directory 目录林或域,然后将Windows Server 2003 计算机转换为目录林中的第一个域控制器。
若要将Windows Server 2003 计算机转换为目录林中的第一个域控制器,请按照下列步骤操作:1.在计算机的CD-ROM 或DVD-ROM 驱动器中插入Windows Server 2003 光盘。