项目6 Active Directory域服务的配置与管理
AD域服务器配置使用手册
AD域服务器配置使用手册目录•简介•安装AD域服务器•配置AD域服务器•使用AD域服务器•常见问题与解决方案简介Active Directory(简称AD)是由微软公司开发的一种目录服务,用于管理和组织网络中的用户、计算机、应用程序等资源。
AD域服务器是一个核心组件,用于集中管理和分发资源,提供统一的身份验证和访问控制。
本文档将指导您进行AD域服务器的安装、配置和使用,以便在企业网络中实现集中管理和统一认证。
在安装AD域服务器之前,您需要确保以下条件已满足:•一台运行Windows Server操作系统的服务器•具有管理员权限的帐户•确保网络连接正常按照以下步骤进行AD域服务器的安装:1.在服务器上运行Windows Server安装程序。
2.选择“自定义安装”选项,并选择“域控制器”角色。
3.指定域的名称,并设置管理员密码。
4.安装必要的依赖项和组件。
5.完成安装过程。
安装完成后,您需要进行AD域服务器的配置,以满足特定的网络需求。
以下是一些常见的AD域服务器配置任务:•添加组织单位(OU)和用户组:用于组织和管理用户和计算机资源。
•配置组策略:通过组策略设置实施安全和配置要求。
•创建用户账户和共享文件夹:用于授权和权限管理。
•配置安全认证和访问控制:用于保护网络资源免受未经授权的访问。
•配置域名服务器(DNS)和动态主机配置协议(DHCP):用于自动分配IP地址和解析域名。
您可以通过Windows Server管理工具如Active Directory用户和计算机、组策略管理等进行以上配置任务。
使用AD域服务器一旦AD域服务器配置完成,您可以开始使用其提供的功能:•用户身份验证和访问控制:用户可以使用域帐户登录到域中的任何计算机,并访问授权的资源。
•统一管理:通过AD域服务器,您可以集中管理用户、计算机和应用程序的配置和访问权限。
•自动化管理:通过组策略和脚本,可以自动化管理和配置群组策略、软件安装等。
Windows域环境的部署与管理-部署与管理Active Directory域服务环境
《Windows网络操作系统》电子初九年级数学教案
图一公司域环境示意图
要求如下:
一.创建域long.,域控制器地计算机名称为Win二零一六-一。
二.检查安装后地域控制器。
三.安装域long.地额外域控制器,域控制器地计算机名称为Win二零一六-二。
四.创建子域china.long.,其域控制器地计算机名称为Win二零一六-三,成员服务器地计算机名称为Win二零一六-四。
五.创建域smile.,域控制器地计算机名称为Server一。
六.创建long.与smile.双向可传递地林信任关系。
七.备份smile.域地活动目录,并利用备份行恢复。
八.建立组织单位sales,在其下建立用户testdomain,并委派对OU地管理。
Active Directory部署之完全手册
Active Directory部署之完全手册本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。
首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统,我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:AmericanIP:192.168.0.253子网掩码:255.255.255.0DNS: 192.168.0.253 (因为我要把这台机器配置成DNS服务器)点开始—运行输入dcpromo:待活动目录安装向导启动:点击下一步:这里是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。
然后点击“下一步”:在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”:既然是第一台域控,那么当然也是选择“在新林中的域”, 然后点“下一步”:我们把DNS Server与域控制器集成是有很多好处:1、基于Active Directory 功能的多主机更新和增强的安全性。
2、只要将新的区域添加到Active Directory 域,区域就会自动复制并同步至新的域控制器。
3、通过将DNS 区域数据库的存储集成到Active Directory 中,可以针对网络简化数据库复制规划。
4、与标准DNS 复制相比,目录复制更快捷、更有效。
5、该目录中只能存储主要区域。
DNS 服务器不能在目录中存储辅助区域。
因此,它必须在标准文本文件中存储这些数据。
如果将所有的区域都存储在Active Directory 中,Active Directory 的多主机复制模式将不再需要辅助区域。
OK,我们默认然后点“下一步”:在这里我们输入我们预先想好的域名:然后点“下一步”:这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但个人建议还是采用默认的好,省得以后麻烦。
一.手动安装ActiveDirectory:1.单击“开始”按钮,单击“运行”,键..
一.手动安装Active Directory:1.单击“开始”按钮,单击“运行”,键入“DCPROMO”,然后单击“确定”。
2.在出现“Active Directory 安装向导”时,单击“下一步”开始安装。
3.阅读“操作系统兼容性”信息后,单击“下一步”。
4.选择“新域的域控制器”(默认),然后单击“下一步”。
5.选择“在新林中的域”(默认),然后单击“下一步”。
6.对于“DNS 全名”,键入“”,然后单击“下一步”。
(这表示一个完全限定的名称。
)7.单击“下一步”,接受将“test”作为默认“域NetBIOS 名”。
(NetBIOS 名称提供向下兼容性。
)8.在“数据库和日志文件文件夹”屏幕上,将Active Directory“日志文件文件夹”指向“L:\Windows\NTDS”,然后单击“下一步”继续。
9.保留“共享的系统卷”的默认文件夹位置,然后单击“下一步”。
10.在“DNS 注册诊断”屏幕上,单击“在这台计算机上安装并配置DNS 服务器”。
单击“下一步”继续。
11.选择“只与Windows 2000 或 Windows Server 2003 操作系统兼容的权限”(默认),然后单击“下一步”。
12.在“还原模式密码”和“确认密码”中,键入密码,然后单击“下一步”继续。
13.单击“下一步”开始安装Active Directory。
14.在“Active Directory 安装向导”完成后,单击“完成”。
15.单击“立即重新启动”以重新启动计算机。
二.创建组织单位和组,创建OU 和安全组1.单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。
2.单击“”旁边的“+”号将其展开。
单击“”本身,显示其在右窗格中的内容。
3.在左窗格中,右键单击“”,指向“新建”,然后单击“组织单位”。
4.在名称框中键入“testou1”,然后单击“确定”。
Active Directory管理之六共11页word资料
Active Directory管理之六:活动目录数据库维护维护活动目录数据库是一个很重要的管理任务,它需要定期帮助覆盖丢失和出错的数据,修正活动目录数据库。
活动目录数据库存储包含有 AD 中所有数据,所以活动目录数据库维护是一项非常重要的工作。
一般情况下,管理员很少会直接管理活动目录数据库,因为有规律维护活动目录数据库是一个很重要的管理任务,它需要定期帮助覆盖丢失和出错的数据,修正活动目录数据库。
活动目录数据库存储包含有 AD 中所有数据,所以活动目录数据库维护是一项非常重要的工作。
一般情况下,管理员很少会直接管理活动目录数据库,因为有规律的自动化数据库管理可以维护数据库健康。
这些自动进程包括活动目录数据库联机碎片整理和清除已删除的垃圾收集。
对于需要直接管理活动目录数据库,可以使用ntdsutil工具进行管理。
一、活动目录数据文件介绍活动目录数据文件默认存储在C:\Windows\NTDS目录下:1.edb.chk:这是检查点文件。
edb.chk文件存储数据库的检查点,这些检查点标识数据库引擎需要重复播放日志的点,通常在恢复或初始化时。
2.edbxxxxx.log:事务日志文件。
edb.log是日志文件,对数据库进行更改后,将该更改写入到edb.log文件中。
当edb.log文件充满事务之后,会被重新命名为 edbxxxxx.log,日志文件从edb00001开始,并使用十六进制数累加。
由于ActiveDirectory使用循环记录,所以在旧日志文件写入数据库之后,这些旧日志文件会及时删除。
在任何时刻都可以找到edb.log文件,而且还可能有一个或多个Edbxxxxx.log文件。
3.edbresxxxx.jrs:这些文件是保留的日志文件仅当含有日志文件的磁盘空间不足时使用。
如果当前的日志文件填满了且由于磁盘剩余空间不足服务器不能创建新的日志文件,服务器会将当前记忆体中的活动目录处理记录到两个保留日志文件中然后关闭活动目录。
活动目录Active Directory的安装与配置
4、选择[创建一个新域的域目录林],单击[下一步]。
5、在[新域DNS全名]中输入要创建的域名,单击[下一步]。
6、安装向导自动将域名控制器的NetBIOS名设置为“jiji”,单击[下一步]。
7、显示数据库、目录文件及Sysvol文件的保存位置,一般不必做做修改,单击[下一步]。
活动目录的应用起源于Windows NT 4.0,在Windows 2003 Server中得到进一步的应用和发展,具有可扩展性和可调整性,并将结构化数据存储作为目录信息逻辑和分层组织的基础。
活动目录的优点在于:1.基于策略的管理;2.扩展性;3.可调整性;4.信息复制;5.与DNS的集成;6.灵活的查询;7.信息安全性。
实验的分析与思考:
Active Directory的优点有与DNS集成,灵活的查询,可扩展性,基于策略的管理,可伸缩性,信息复制,信息安全,互操作性。
实验结论及体会:
通过Active Directory的安装实验,体会到了Active Directory的强大功能,与DNS集成,可以不用单独配置DNS服务了,灵活的查询,可扩展性,基于策略的管理,可伸缩性,信息复制,信息安全,互操作性。尤其是其信息复制,配置成功一个域后可以复制该域,不用重新多次的建立。
13、重新启动计算机是,由于活动目录的存在,启东时间会变长。启动后,用管理员账户登录,选择“开始”“管理工具”“Active Directory用户和计算机”选项,弹出“Active Directory用户和计算机”窗口。确认活动目录是否已经正常。
14、添加用户帐户:
①首先启动Active Directory用户和计算机管理器,单击User容器会看到在安装Active Directory时自动建立的用户帐户;
Active Directory 技术简介及Active Directory部署之完全手册
Active Directory 技术Active DirectoryActive Directory是指Windows 2000网络中的目录服务。
它有两个作用:1.目录服务功能。
Active Directory提供了一系列集中组织管理和访问网络资源的目录服务功能。
Active Directory使网络拓扑和协议对用户变得透明,从而使网络上的用户可以访问任何资源(例如打印机),而无需知道该资源的位置以及它是如何连接到网络的。
Active Directory被划分成区域进行管理,这使其可以存储大量的对象。
基于这种结构,Active Direct ory可以随着企业的成长而进行扩展。
从仅拥有一台存储几百个对象的服务器的小型企业,扩展为拥有上千台存储数百万个对象的服务器的大型企业。
2.集中式管理。
Active Directory还可以集中管理对网络资源的访问,并允许用户只登陆一次就能访问在Active Direct ory上的所有资源。
Active Directory 的优点在Windows 2000 操作系统中引入Active Directory 有以下优点:∙与DNS 集成。
Active Directory 使用域名系统(DNS)。
DNS 是一种Internet 标准服务,它将用户能够读取的计算机名称(例如)翻译成计算机能够读取的数字Internet 协议(IP) 地址(由英文句号分隔的四组数字)。
这样,在TCP/IP 网络计算机上运行的进程即可相互识别并进行连接。
∙灵活的查询。
用户和管理员如果要通过对象属性快速查找网络中的对象,可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是Active Directory 用户和计算机管理单元。
例如,您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。
而且,使用全局编录优化了查找信息的操作。
∙可扩展性。
Active Directory 是可扩展的;也就是说,管理员既可以在架构中添加新的对象类别,也可在原有的对象类别中添加新属性。
Active Directory 的操作与部署 热点话题共45页文档
账号锁定的已知问题
客户端
➢ 建立网络盘 ➢ 一个错误密码被记录三次 ➢ DS Client
➢ 解决方案: 安装 补丁程序
服务器端
➢ 解锁的账号立即被锁 ➢ BadPasswordCounter 未设置为零 ➢ 解决方案: 安装 Service Pack 3
账号被锁 – 最佳解决方案
安装补订程序 其他方法取代账号停用策略
•
29、在一切能够接受法律支配的人类 的状态 中,哪 里没有 法律, 那里就 没有自 由。— —洛克
•
30、风俗可以造就法律,也可以废除 法律。 ——塞·约翰逊
话题
热点
Active Directory 的操作和 部署 : 热点话题
产生原因及处理方法
产生孤立对象的原因
➢ 目录复制出错 ➢ 服务器离线时间 > 墓碑生存周期 ➢ 域控制器时钟被更改
➢ 激活 netlogon 日志 ➢ 激活 Kerberos 日志
常用工具
➢ EVENTCOMB ➢ AL.EXE ➢ NETMON.EXE
EVENTCOMB
AL.EXE
为什么账号会被锁定
恶意攻击, 配置不当或已知问题 一般情况
➢ 账号类型: 用户, 计算机账号 或 服务账号 ➢ 登录,建立网络盘,更改密码
▪ 如果有很多错误,重新提升该服务器 ▪ 如果只有少数对象,删除他们
墓碑生存周期大于 60 天 观察
账号频繁被锁定
背景知识 如何寻找被锁定的账号 账号频繁被锁定的已知问题 解决方法
域账号锁定的背景知识
防止用户的密码被猜测 当错误密码次数达到一定限制,该账号被锁定
➢ 暂时锁定 ➢ 永久锁定
如何处理孤立对象--- 删除!
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第6章 Active Directory域服务的配置与管理
Hale Waihona Puke 项目6 Active Directory域服务的配置与管理
本章要点
Active Directory与域。 创建Active Directory域。 将Windows计算机加入域。 管理Active Directory内的组织单位和用户账户。 管理Active Directory中的组账户。 理解域和工作组的区别,熟悉活动目录的相关概念。 掌握Active Directory域的创建条件、安装与配置方法。 掌握将Windows计算机加入和登录域的方法,能够使用活动目录 中资源。 掌握Active Directory内的组织单位创建和管理方法,用户账户创 建和管理方法。 理解域内组账户的类型和作用域,掌握Active Directory内的组账 户的创建和管理方法。
6.2.6 域中的计算机分类
(1)域控制器 (2)成员服务器 (3)独立服务器 (4)域中的客户端
6.3 任务1-安装Windows Server 2008域控制器
6.3.1 建立第一台域控制器 6.3.2 在域中创建新用户
6.3.3 客户机登录到域
6.3.1 建立第一台域控制器
工作场景
引导问题
(1) 如何创建Active Directory?创建时对服务器有什么要求? 创建完成后如何管理? (2) 一台Windows客户机如何添加到域中?如何使用Active Directory中的资源? (3) 组织单位是什么?如何创建和管理? (4) 域用户账户和本地用户账户有何区别?如何创建和管理 域用户账户? (5) 域组账户和本地组账户有何区别?如何创建和管理域组 账户?
图6.12 Active Directory域服务
1.域控制器的安装
(5)在“Active Directory域服务”对话框中,向导会给出四点注意 事项,如图6.12所示,根据这些注意事项可以了解到安装AD前后操 作应该执行的任务和AD需要的服务。点击【下一步】继续。点击 【安装】继续,最终达到如图6.14安装结果。
图6.10添加角色向导
1.域控制器的安装
(3)选择“自定义此服务器”中的“添加角色”,在“添加角色向 导”对话框中的左边选择“服务器角色”,右边选择“Active Directory域服务”,如图6-11所示。
图6.11 选择服务器角色
1.域控制器的安装
(4)需要注意的是由于AD在某些版本的windows server 2008上必 须有“.NET Framework”功能的支持,所以在这一步后有时要求安装 “.NET Framework 3.5.1功能”,此时只需按照向导多执行一步即可。 演示用的版本不需安装。点击【下一步】即可。
图6-14 安装结果
1.域控制器的安装
6)当出现“安装结果”对话框时,如果没有错误,只有如图6.14所示的没有 开启更新的警告信息,则可以直接忽略,此时AD的安装准备已经完成,但是 由于该台计算机还不能完全正常运行DC,所以提示需要启用AD安装向导 (dcpromo.exe)来完成安装安装结束,选择“关闭该向导并启动Active Directory域服务器安装向导(dcpromo.exe)”或者直接点下面的【关闭】 按钮,然后在运行对话框中输入“dcpromo“,如图6.15所示。
1.域控制器的安装
置窗口”,如图6.9所示。
(1) 在安装好windows server 2008之后,启动后会弹出“初始任务配
图6.9 初始配置任务
1.域控制器的安装
(2)选择“自定义此服务器”中的“添加角色”,弹出“添加角色向导”, 如图6.10所示,在开始之前首先,要求验证管理员是否具有强密码,是否已 配置静态IP地址,是否已安装最新的安全更新,如果上面的部分没有完成, 再后续的步骤中会出现警告信息或者错误,严重的会导致域控制器无法安装。
6.6 项目实训-活动目录的安装与管理
6.1
真实情景导入
Contoso是一家IT公司,随着该公司规模的不断壮大,不 仅部门增多,个人计算机和服务器的数量也越来越多。 作为网管员的小明面对各种各样的管理问题,比如因为 几百台计算机要上千人公用,还要能保证安全,就要给 每个人在每台机器上都设置用户名密码,来了新同事, 要在每台机器上给他开新账号,他离职了,还要每台机 器删除该账号,这无疑是一个令人疯狂的工作,但是, 小明想到了域控制器和活动目录。假设该公司的域名是 。
6.2.4 域树和域林
域 域树
域林
6.2.5 活动目录及其结构
活动目录(Active Directory)是Windows Server 2008系统中提供的目录服务,用于存储网络上各种对 象的相关信息,以便于管理员查找和使用。 目录是一个用于存储用户感兴趣的对象信息的信息库。 所谓目录服务就是结构化的网络资源信息库,如计算 机、用户、打印机、服务器等。
6.2.3 域和工作组的区别
工作组可以说是“自由市场”, 有几个工作 组就有几个“自由市场”, 你可以随时自由出入 而没什么限制,从网上邻居最先看到的往往是自 己机器所在的工作组的机器们。而域是严格控制 权限的“私人会所”, 没有正确的域用户是根本 无法登录到域上的,也就无法访问域所控制的资 源。
技能目标
项目6 Active Directory域服务的配置与管理
6.1 真实情景导入 6.2 Active Directory与域 6.3 任务1-安装Windows Server 2008域控制器 6.4 任务2-Windows Server 2008活动目录的管理 6.5 回到工作情景
6.2.1 工作组
1.工作组的概念
2.如何加入和退出工作组
6.2.2
域
1.域名例子
2.域(Domain) 是一个比工作组更严格的单位,但它可以包含若干个工作组。 3. 域控制器 在“域”模式下,至少有一台计算机负责每一台联入网络的电脑和用户的 验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC) 4.活动目录 域控制器中包含了由这个域的账户、密码甚至该域其他计算机的软硬件 信息等构成的数据库,该数据库也称为活动目录(Active Directory,简写为 AD)