微软活动目录的应用研究
AD域控基础知识概述
AD域控基础知识概述AD域控基础知识概述AD(Active Directory,活动目录)是微软公司开发的一种用于管理和组织网络中用户、计算机和其他资源的目录服务。
它是Windows 操作系统中的一个关键组件,并在企业网络环境中广泛应用。
AD域控(Domain Controller)是在服务器上部署和运行的AD服务的实例,负责管理目录数据、身份验证和访问控制等功能。
在本文中,我们将深入探讨AD域控的基础知识,包括其架构、功能和优势等方面。
一、AD域控的架构AD域控的架构是基于分布式目录服务(Distributed Directory Service)概念构建的,并采用了多主/多副本的复制机制,以提高系统的可靠性和可伸缩性。
1. 域(Domain)域是AD中最基本的逻辑单元,用于组织和管理一组对象,如用户、计算机和资源等。
域将相关对象组织在一起,并为其提供统一的身份验证和访问控制机制。
每个域都有一个唯一的名称,用于在网络中标识和访问。
2. 树(Tree)树是由一个或多个域构成的层次结构,形成了一个命名空间。
树形结构的每个节点都代表一个域,而域之间通过双向的信任关系进行连接。
域的层次结构使得系统的管理更加方便和灵活。
3. 林(Forest)林是多个树的集合,它们共享一个共同的目录架构、命名空间和安全策略。
林是AD中最高级别的逻辑组织单位,它提供了全局的目录服务和统一的身份认证机制。
4. 域控制器(Domain Controller)域控制器是在服务器上安装和配置的AD服务的实例。
它存储和管理域中的目录数据,并提供了身份验证、访问控制和其他相关功能。
一个域可以有一个或多个域控制器,通过复制机制来保持数据的一致性和可用性。
二、AD域控的功能AD域控作为一个目录服务系统,提供了以下重要功能:1. 目录服务(Directory Services)AD域控存储了网络中的对象信息,如用户、计算机、组织单位等。
它提供了高效的目录查找和数据检索机制,使得用户和应用程序可以快速访问和管理这些对象。
活动目录介绍
活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。
NT的"域(domain)"的概念是⽬录服务的⼀个基本单元。
"⼀次登录,Single Logon"在Windows NTServer 的环境下有了具体的应⽤,⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进⼀步发展了"活动⽬录(Active Directory)"。
活动⽬录充分体现了微软产品的"ICE",即集成性(Integration),深⼊性(Comprehensive),和易⽤性(Ease of Use)等优点。
活动⽬录是⼀个完全可扩展,可伸缩的⽬录服务,既能满⾜商业ISP的需要,⼜能满⾜企业内部⽹和外联⽹的需要。
活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。
它采⽤的是Exchange Server的数据存储,称为:Extens ible Storage Service (ESS)。
其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能⾮常优良。
这个数据存储之上已建⽴索引的,可以⽅便快速地搜索和定位。
活动⽬录的分区是"域(Domain)",⼀个域可以存储上百万的对象。
域之间还有层次关系,可以建⽴域树和域森林,⽆限地扩展。
在数据存储之上,微软建⽴了⼀个对象模型,以构成活动⽬录。
这⼀对象模型对LDAP有纯粹的⽀持,还可以管理和修改Schema。
Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义,其本⾝也是活动⽬录的内容之⼀,在整个域森林中是唯⼀的。
活动目录(Active Directory)系列
活动目录(Active Directory)系列之一:为什么我们需要域对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。
域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。
但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。
从今天开始,我们将推出 Active Directory系列博文,希望对广大学习AD的朋友有所帮助。
今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。
我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。
我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。
假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。
服务器的职能大家都知道,无非是提供资源和分配资源。
服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。
现在服务器 Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。
基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。
首先,如下图所示,我们在服务器上为张建国创建了用户账号。
Windows活动目录权限管理服务电脑资料PPT
02
活动目录基础知识
活动目录结构
目录树
由组织单位、域、站点等 组成的层次结构,用于管 理和组织网络中的资源。
域
共享相同的安全策略、用 户账户和密码策略的逻辑 边界,包含一个或多个物 理位置。
组织单位
目录树中的容器,用于将 相关对象(如用户、组、 计算机)组合在一起,便 于管理。
04
活动目录权限管理服务实施
权限管理服务器部署
服务器硬件要求
活动目录安装与配置
确保服务器满足最低硬件要求,如处 理器、内存和存储空间。
安装活动目录服务,并配置域控制器 、站点和复制等。
服务器操作系统
安装支持的Windows Server操作系 统,并配置必要的角色和功能。
权限管理客户端配置
客户端操作系统
监控与审计结果分析
结果汇总与整理
将监控和审计结果进行汇总和整理,形成可视 化报告,便于理解和分析。
异常检测与定位
通过对比分析,检测目录权限的异常变动,定 位潜在的安全风险。
改进建议与措施
根据分析结果,提出针对性的改进建议和措施,优化目录权限管理策略。
06
活动目录权限管理优化建议
定期审查权限策略
确保客户端计算机运行支持的Windows操作系统 。
加入域
将客户端计算机加入到活动目录域中,以便集中 管理。
客户端软件安装
安装必要的客户端软件,如远程桌面服务客户端 等。
权限管理策略应用
用户和组管理
在活动目录中创建用户账户和组,并 分配相应的权限。
文件和文件夹权限设置
设置文件和文件夹的访问权限,包括 读取、写入和执行等。
WindowsServer2012活动目录企业应用项目1 构建活动目录实验实训环境
角色:虚拟机2,独立服务器 主机名:win2012-2 IP地址:192.168.10.2/24 操作系统:Windows Server 2012 R2
图3-1 安装与配置Hyper-V服务器拓扑图
1.3 项目实施
Windows Server 2012 R2安装完成后,默认没有安装 Hyper-V角色,需要单独安装Hyper-V角色。安装Hyper-V角色 可通过“添加角色向导”完成。 1.3.1 任务1 安装和卸载Hyper-V角色
1.2 项目设计及准备
角色:虚拟机1,独立服务服务器 主机名:win2012-1 IP地址:192.168.10.1/24 操作系统:Windows Server 2012 R2
角色:Hyper-V服务器 主机名:win2012-0 IP地址:192.168.10.100/24 操作系统:Windows Server 2012 R2
目前主流的服务器CPU均支持以上要求,只要 支持硬件虚拟化功能,其他两个要求基本都能够满 足。为了安全起见,在购置硬件设备之前,最好事 先到CPU厂商的网站上确认CPU的型号是否满足以上 要求。
1.2 项目设计及准备
① 安装好Windows Server 2012 R2,并利用“服务器 管理器”添加“Hyper-V”角色。 ② 对Hyper-V服务器进行配置。 ③ 利用“Hyper-V管理器”建立虚拟机。 本项目的参数配置及网络拓扑图如图1-1所示。
① 安装Windows Server 2012 R2 Hyper-V功能,基本 硬件需求如下。 CPU:最少1 GHz,建议2 GHz以及速度更快的CPU。 内存:最少512 MB,建议1 GB。 完整安装Windows Server 2012 R2建议2 GB内存。 安装64位标准版或者数据中心版,最多支持2 TB内 存。 磁盘:完整安装Windows Server 2012 R2建议40 GB 磁盘空间,安装Server Core建议10 GB磁盘空间。
利用微软的活动目录
利用微软的活动目录(AD)复制,你能够更好地控制网络流量,减轻站点的负担。
请认真阅读这套由两部分组成的教程,它们介绍了如何为你自己的域配置AD目录复制系统。
在Windows 2000 活动目录(AD)环境里,你可以使用站点(Site)把网络物理地划分开,从而优化AD复制。
通过理解微软是如何在你的域里实现AD复制,你能够更有效地对把你的网络划分成AD站点,从而减少通过低速网络连接的网络流。
这篇文章是关于活动目录站点的两篇系列文章的第一部分,在这篇文章里,我们要研究缺省的AD站点内(intra-site)复制的配置,以及信息如何被复制。
在系列的第二部分,我们要研究如何对自己的站点进行安装设置,对通过网络进行的AD复制流进行优化。
活动目录复制在活动目录(AD) 域控制器(DC)安装到域里时,活动目录会建立缺省的复制模板,并且在活动目录之间自动建立起一个环形的复制拓扑,建立的依据是确保复制流量沿着最有效的路径进行。
你可以沿着环的任意方向把变化复制到AD。
因为在AD里所有的DC的地位都相等,都包含可以写入的AD数据库备份,因此在实现多主机复制系统时,有一些潜在的挑战面对着微软。
在你可能考虑到的问题里,有些是:DC如何把复制流量控制在最小?DC如何保持所有的数据库拷贝同步?如果DC从两个复制伙伴得到相同的修改,会怎么样?如果两个修改同时发生,会怎么样?那么就让我们按顺序来看看这些问题。
DC如何把复制流量控制在最小?为了把网络流保持在最小,AD的复制在每-属性(per-attribute )的基础上进行。
简单地说,这就是指如果一个属性发生了变化(比如,用户的电话号码),那么只有这个小小的变化被复制到你的域里的其它DC上。
你可以想象,AD 的每属性复制,和把整个数据库拷贝都通过网络传递比起来,更加有效率,需要网络带宽也更少。
DC如何保持所有的数据库拷贝同步?AD DC 使用一套更新顺序数字(USN)系统对彼此间流动的AD数据库的不同版本进行校验和同步。
微软活动目录服务在企业门户网站的应用
门户网站, 但随着信息化建设的不断深入 , 原有的
门户 网站 因功能 集 成性 差 、 用 上 的可 扩 展 性不 应
括邮件信箱和在公司中的职位关 系等 , 以在活 可 动 目录中右键点击用户对象发送 邮件等。其职位
关 系 可 以在 公 司 的 内部 网上有 We 织 结 构 图 b组 的方式 动态地 显示 出来 , 也可 以为 内部采 购 、 费用 报 销等 应用程 序利 用来实 施业 务逻 辑 。在活 动 目 录 中 , 持全 局性 的查找 , 支 比如 查找 在整 个 网络 中
维普资讯
江
・
西
石
油
化
工
第2 0卷第 3期
20 0 8年
1 ・ 8
微软活 录服 动目 务在企业门 站的应用 户网
黄 体 强
中石化 股份 有限公 司九 江分公 司信 息 中心 江 西九 江 320 304
摘 要 : 利用 Widw 2 0 no s00活动 目录的特 点, 通过对客户端 X ML和用户权 限控制 AD S以及后 台S QL数据 库的集成( PSre E evr门户 系统 ) 实现 了在九江分公 司内部 门户网站上的应用。 ,
第 3期
黄体 强 ・ 微软 活动 目录 服务在 企业 门户 网站 的应用
・l 9・
储 上亿 万 的对 象 。活动 目录通 过 为每个 域创建 一
有 什么样 的管 理权 限 。 比如说 企 业 内部技 术支持 的管理员 , 只有复位 用 户 的权 限 。这 种 更 细 致 的 管 理 方法 , 称为“ 颗粒化 ” 。
关键词 : 活动 目录 E e e 门户索统 PSr r v
应用
前 言
微软AD活动目录介绍文档
Global Group 嵌套到 Domain Local Group
Move Infrastructure Master
决定操作主机的位置
确认当前操作主机的位置
用“Active Directory 用户和计算机” 查找 RID master PDC emulator Infrastructure master 用“Active Directory 域和信任” 查找 Domain naming master 用 “Active Directory Schema”查找 Schema master
一个域是一个复制单元
域控制器包含域中信息的完整集合,并且参 与域信息的复制
复制
Windows 2000 Domain
域的性能
能力
复制单元 大小 命名
NT 4.0 对象 Windows 2003 属性
40,000 对象
NetBIOS 建立新域
1,000,000+ 对象
DNS 在域内建立管理委派 到OU
Server2
打印机 打印机
名称:Printer1 名称:Printer1 Type:HP4Si Type:HP4Si Color:No Color:No Duplex:Yes Duplex:Yes Location:3rd Floor Location:3rd Floor
为什么需要目录服务
目录服务的 功能性
Directory Partition 复制
NTDS.DIT
Schema Schema
Forest
Configuration Domain
Configuration
Domain X
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
微软活动目录的应用研究Active Directory(活动目录)是微软Windows server操作系统平台的核心组件,在网络的环境中,Active Directory 提供组织、管理与控制网络资源的各种功能,Active存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。
文章阐述了在大规模局域网中,在Windows server 2008环境下,Activer Directory的部署与应用。
标签:Active Directory(活动目录);域;OU(组织单位)引言在Active Directory(活动目录)部署实施与日常应用管理中经常需要做大量的重复工作,尤其是在用户数量庞大的网络中,给管理人员带来了巨大的工作负担。
Active Directory(活动目录)部署实施与日常应用管理工作中结合Windows 批处理命令的使用,可以极大减轻管理人员的工作负担,提高工作效率。
文中举出的例子均是实际环境中应用使用过的,故障解决办法也是长期工作中总结出来的经验,可供借鉴与参考。
1 Active Directory(活动目录)服务器部署Active Directory(活动目录)部署时需要理解许多相关概念,如:用户、OU、域、域树、林等等概念。
本文描述的环境是一个单位内的局域网络,所以文中所有示例均为一个域内的管理,不涉及域树、林等概念。
部署过程简单描述如下:1.1 安装Window2008 server操作系统Active Directory(活动目录)是Windows serve 2008的组件,必须先安装Windows serve 2008操作系统,关于安装操作系统,可以参考微软手册与相关书籍,此处不再详述。
安装好两台服务器。
1.2 安装配置域控制器单击开始菜单选择“运行”执行“dcpromo”命令,将普通服务器提升为Active Directory Domain Services(AD DS),根据安装提示进行安装,依次选择:“高级模式”-“在新林中新建域”,然后输入域名“”,在设置林功能级别时选择“Window server 2008”,设置域功能级别时选择“Window server 2008”,在其他域控制选项时勾选“DNS服务器”,直到完成安装。
完成第一台服务器后,再按上述过程安装另一台服务器,第一台作为主域控制器,另一台作为额外域控制器,防止单点故障。
2 计算机终端加入域2.1 添加域用户部署完服务器,需要将所有用户和计算机终端加入到域中,如果使用手动添加用户信息,对于用户数量大的网络是一件费时费力的事情,所以用批处理程序去自动添加是非常有必要的。
步骤1:在域中添加各单位和部门的OU(组织单位)。
在 域中添加名为“hm公司”的OU,在“hm公司”下添加部门的OU。
步骤2:编写如下的批处理程序并保存为adduser1.bat文件。
for /f “tokens=1,2,3,4,5,6,7 delims=,” %a in (c:\user1.txt)do @dsadd user “cn=%c,ou=%f,ou=%g,dc=hmtest,dc=com” -samid %d -upn %d@ -ln %a -fn %b -pwd %e -display %c -disabled no 2>>c:\erroruser1.txt步驟3:在excel表格中按照如下格式编辑单位所有人员信息,编辑好以后另存为user1.csv文件,使用记事本打开此文件将文件另存为user1.txt。
步骤4:将上述两个文件放到域控制器c盘根目录下,双击运行adduser1.bat,程序会将user1中所有的用户自动创建的域中,并且可以在erroruser1.txt文件中查看错误信息。
2.2 计算机加入域编写加域的批处理程序,且在加入时提示用户更改正确的计算机名称。
例如本单位要求计算机名称必须和单位资产编号一直,加域时提示用户输入资产编号进行校验,如果和计算机名称不符则提示更改计算机名称。
步骤一:在域控制器上创建一个用户用于加域程序使用,本用户拥有计算机加入域的权限。
创建用户auser,密码为123456。
步骤二:编写如下批处理程序,保存为jiayu.bat,為了防止用户名和密码的泄露,可以使用工具软件将jiayu.bat转换为jiayu.exe。
如果将来不想让用户加域使用了,将创建的auser用户删除即可。
步骤三:将jiayu.exe程序发布在园区网,用户只需要下载到本地,双击即可执行。
加域程序可以方便用户加入域中,但如果在加域过程中出现故障和问题,系统将不会给出提示信息,那么就需要我们使用普通的方式加域了。
2.3 完成绑定关系经过上面两个过程,计算机和用户已经加入域中,可以使用域用户登录计算机了,但用户和计算机之间未建立绑定关系,可以在任何计算机上使用任何用户名登录,无法满足我们的安全要求。
手动绑定工作量巨大,我们可以通过下述方法完成此项工作。
步骤一:在域控中建立一个共享空间,如:D:\clientinfo,给everyone读写、执行、修改权限。
(本例域控IP地址为192.168.1.1)步骤二:编写如下批处理程序,保存为user-computer.bat。
echo net user %username% /domain workstations:%computername% >\\192.168.1.1\clientinfo\%username%-%computername%.bat步骤三:将此批处理文件作为登录脚本,通过组策略下发给所有计算机(此处不再详述)。
则所有用户登录计算机时将会在域控的共享目录中产生一条批处理命令。
步骤四:登录域控制器,只要在域控中双击执行上一步产生的批处理命令就可以将用户绑定到计算机上了。
3 活动目录日常管理及应用实例3.1 为用户添加管理员权限因为管理的需要,本单位给所有用户的权限均为user权限。
用户需要安装软件、调整计算机设置时需要申请开放管理员权限。
如果在域控中手动给用户添加权限,容易忘记回收权限,且比较麻烦,最好使用批处理命令完成。
步骤三:当需要将某个用户添加为管理员时,只需要双击运行批处理,输入该用户的登录名称并回车,程序会自动将用户加入Localadmin组中获得管理员权限。
同时,在该文件夹下会生成一个批处理文件,可以很方便地查看给哪个用户开放了管理员权限,以及开放的时间等信息。
当需要取消用户的管理员权限时,只需要双击该批处理文件即可。
该批处理執行完毕后会将自己删除,非常便于日常管理。
3.2 批量更改用户登录名称因为某些特殊原因,需要更改全公司的5000多用户的登录名称,如果使用手动依次更改,工作量大,且容易出现手误,使用批处理命令来完成此项工作既快速又不容易出错。
步骤一:将原用户登录名与现需要使用的用户登录名整理成以下示例的格式,保存为username.txt(中间的逗号必须使用英文符号,否则会出错)。
示例:Olduser1,newuser1Olduser2,newuser2Olduser3,newuser3步骤二:编写如下的批处理命令,保存为changename.bat。
for /f “tokens=1,2 delims=,” %%a in (username.txt)do dsquery user -upn %%a@ | dsmod user -upn %%b@ >>err.txt步骤三:将username.txt与changename.bat放到同一个目录下面,双击运行changename.bat,将自动更改用户登录名称。
执行时发生的错误可以在err.txt中查看。
在域中用户存在两个登录名称,UPN与SAMID。
本程序更改的是用户的UPN名称,微软没有提供更改SAMID的命令,如果需要更改用户SAMID,可以使用第三方的程序,例如:adfind和admod,这两个程序可以很方便地在网上找到,使用时可以参考本节所讲内容。
4 活动目录常见故障处理4.1 加域时,弹出窗口提示“拒绝访问域控制器”遇到此问题,多数情况为计算机已经加入过域,只需要在域控制器中删除该主机即可。
4.2 加域时域选项为灰色不可选系统中workstation服务没有启用,在系统服务中启动该服务即可。
如果系统中没有workstation服务,需要在“网络配置”中安装“Microsoft 网络客户端”。
4.3 加域时提示“找不到网络路径”出现此问题的原因有如下几種:(1)网卡的设置上没有选择“Microsoft网络客户端”。
(2)克隆安装的操作系统SID重复,可以使用软件来修改操作系统的SID。
修改操作系统SID的软件在互联网上可以下载到。
(3)缺少相关的系统服务,查看并启动下列相关服务。
tcp/ip netbios helpRemote registryWindows Time4.4 登录域时提示“域控制器不可用”出现此问题的原因及解决办法有如下几种:(1)Windows防火墙或相关防火墙软件影响。
关闭相关软件进行尝试。
(2)计算机时钟出现错误,与正常时间相差过大。
正确设置系统时钟即可。
(3)计算机与域控连接异常,例如:计算机长时间未登录域就会造成连接异常。
此时需要将计算机退域,并重新加域。
5 结束语Active Directory(活动目录)是微软的Windows操作系统最核心的组件,便于网络管理员对整改网络资源的管理。
本文中所有的对Active Directory(活动目录)管理的例子均在实际应用中发挥了重要的作用,极大地减轻了管理人员的工作量,具有很强的实用价值。