活动目录服务与域模式帐户管理
WindowsServer2022R2域与活动目录
WindowsServer2022R2域与活动目录什么是域域(Domain)是Window网络中独立运行的单位,域之间相互访问则需要建立信任关系(TrutRelation)。
信任关系是连接在域与域之间的桥梁。
当一个域与其他域建立了信任关系后,两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。
为什么需要域如果资源分布在N台服务器上,那么用户需要资源时就要分别登陆这N台服务器,也就需要N个账号。
一个用户如此,那M个呢,管理员也就需要给他们创建N某M个账户,这样不仅负责而且难管理。
有了域,管理员只需要给每个用户创建一个域用户,用户只需在域中登陆一次就可以访问域中的资源,实现了单一登陆。
用户信息是存放在域中的域控制器(DC,DomainController)上,上图中,可以在服务器中选定一台或者几台服务器作为域控制器。
有多台域控制器时,各个域控制器是平等的,每个域控制器上都有所在域的全部用户的信息,域控制器之间需要同步这些信息。
而其它不适域控制器的服务器仅仅是提供资源。
什么是活动目录活动目录(ActiveDirectory)是Window2003Server平台提供的目录服务。
在中央数据库中存放信息,使用户在网络上只拥有一个用户账号。
目录是存储各种对象的一个物理上的容器,目录服务是使目录中所有信息和资源发挥作用的服务。
信息的安全性大大增强,引入基于策略的管理,使系统的管理更加明朗,具有很强的可扩展性、可伸缩性、智能的信息复制能力,与DNS集成紧密、与其他目录服务具有互操作性、具有灵活的查询。
活动目录逻辑结构:域、组织单元、树、林。
域控制器(DC,DomainController)上存放着域中所有用户、组、计算机等信息(实际上域控制器存放的信息还不止这些),域控制器把这些信息存放在活动目录中。
活动目录和DNS的关系在TCP/IP网络中,DNS(DomainNameSytem)是用来解决计算机名字和IP地址的映射关系的,活动目录和DNS是紧密不可分的,活动目录使用DNS服务器来登记域控制器的IP、各种资源的定位等,在一个域林中至少要有一个DNS服务器存在,所以安装活动目录时需要同时安装DNS。
AD活动目录账户管理
本地用户账户
(存储在本地计算机)
域用户账户
(存储在 Active Directory)
Windows Server 2003 域
用户账户命名约定的制定准则
创建用户账户时应该考虑: 雇员重名 不同类型的雇员,例如临时雇员或合同雇员
用户账户在 Active Directory 层次结构中的位置
意味着将组作为其他组的成员
组 组
组 组
组
嵌套组用来加强组管理
嵌套组选项取决于 Windows Server 2003 域的功 能级别设置为 Windows 2000 本机模式还是 Windows 2000 混合模式
组策略
用户账户
用户账 户
AAAAGAGDGUGLDLDPLPLPP
全局组
通用组
全局组
成员
可作为右边表格中 所示组的成员 作用域 权限
域本地组规则
• 混合模式:任何域中的用户账户和全局组 • 本机模式:森林中任何域的用户账户、全局组
和通用组,以及同一域中的域本地组
• 混合模式:无 • 本机模式:同一域中的域本地组
仅在自己所在的域中可见
域本地组所属的域
本地组
成员
本地组规则 计算机的本地用户账户
三种组作用域:全局、本地域、通用
组类型
描述
安全
常常用来分配用户权利和权限, 具有通讯组功能
分布
仅仅能够与 电子邮件应用程序配合 使用,不能用来分配权限
组的作用域
通用组的成员可包括域树或森林中任何域中的其 他组和账户,可在该域树或森林中的任何域中指 派权限 全局组的成员可包括只在其中定义该组的域中的 其他组和账户,可在森林中的任何域中指派权限 域本地组的成员可包括 Windows Server 2003 、Windows 2000 或 Windows NT 域中的其他组 和账户,而且只能在域内指派权限
域和活动目录的设置
一、建立和设置活动目录
(12)开始安装活动目录。
一、建立和设置活动目录
(13)完成安装,重新启动计算机。
二、活动目录的管理
1.新建域用户
(1)启动“Active Directory用户和计算机”控制台。 (2)单击已创建的域名,然后打开目录。 (3)右键单击“用户”项,指向“新建”项,然后单击“用
户”项。 (4)输入新用户的名、姓和用户登录名,然后单击“下一步”
按钮。
二、活动目录的管理
(5)输入新密码,确认密码,单击“下一 步”按钮。
(6)在弹出的页面中,单击“完成”按钮。
二、活动目录的管理
2.配置域用户属性
三、将客户机加入到域
(1)首先设置客户机TCP/IP属性, DNS 服务器地址设为服务器的IP地址。
组网技术
组网技术
域和活动目录的设置
1.1 实训目的
(1)了解活动目录的相关概念。 (2)掌握活动目录的安装和使用方法。
1.2 实训流程
(1)建立和设置活动目录。 (2)活动目录的管理。 (3)将客户端加入到域。
1.3 实训操作(步骤)实践
一、建立和设置活动目录
(1)打开“管理您的服务器”页面,启动 配置向导。
三、将客户机加入到域
(2)右键单击“我的电脑”,选择“属性”, 单击“计算机名”选项卡,然后单击“更改”。
(3)在“计算机名更改”对话框中,单击 “隶属于”项下方的“域”单选框,然后填入 “域名”。单击“确定”按钮。
(4)在显示提示后,输入上面创建的账户名 和密码,然后单击“确定”按钮。
(5)重新启动计算机,在登录对话框中输入 用户帐号和密码及所属的域,然后单击“确定” 按钮,计算机就可以成功登录到域中了。
域与活动目录的管理
单元一:Windows Server 2008域与活动目录任务一:安装Windows Server 2008域控制器任务描述:企业网络采用域的组织结构,可以使得局域网的管理工作变得更集中、更容易、更方便。
虽然活动目录具有强大的功能,但是安装Windows Server 2008操作系统时并未自动生成活动目录。
因此,管理员必须通过安装活动目录来建立域控制器,并通过活动目录的管理来实现针对各种对象的动态管理与服务。
同时客户机登录域的操作也是组建域网络必不可少的部分,也是网络管理员应该熟练掌握的基本技能之一。
任务目标:作为网络管理员,只有明确安装域控制器的条件和准备工作,掌握域网络的组建流程和操作技术,才能在服务器上安装好Windows Server 2008操作系统。
为此,可以启用活动目录安装向导,成功安装活动目录后,将使得一个独立服务器升级为域控制器。
同时通过任务,还应能够区分登录窗口,例如是登录域不是登录本机的登录框。
任务实施:一、建立第一台域控制器:活动目录是Windows Server 2008非常关键的服务,它不是孤立的,与许多协议和服务有着非常紧密的关系,并涉及整个操作系统的结构和安全。
因此,活动目录的安装并非一般Windows组件那样简单,必须在安装前完成一系列的准备,注意事项如下:(1)文件系统和网络协议:Windows Server 2008所在的分区必须是NTFS文件系统,同样活动目录必须安装在NTFS分区,同时计算机上要正确安装了网卡驱动程序,并启用了TCP/IP协议。
(2)域结构规划:活动目录可包含多个域,只有合理地规划目录结构,才能充分发挥活动目录的优越性。
在组建一个全新的Windows Server 2008网络时,所安装的第一台域控制器将生成第一个域,这个域也被称为根域,选择根域最为关键。
根域名字的选择可以有以下几种方案:使用一个已经注册的DNS域名作为活动目的根域名,使得企业的公共网络和私有网络使用同样的DNS名字。
Windows Server 2008 R2活动目录配置和管理
Demonstration:配置 AD DS 组帐户
在此stration:配置其他 AD DS 对象
在此演示,您将看到如何配置其他 AD DS 对象
Lesson 2:使用组策略
•为将访问分配给资源的选项。 •使用帐户组来分配资源的访问。 •使用帐户组和资源组。 •讨论: 在单个域或多域环境中使用组。
Module 1:配置
Active Directory ® 域服务的域名称服务
模块概述
•Active Directory 域服务和 DNS 集成的概述。 •配置 AD DS 集成的区域。 •配置只读 DNS 区域。
Lesson 1: Active Directory 域服务和 DNS 集成的概述
Lesson 1:配置 Active Directory 对象
•AD DS 对象的类型。 •演示: 配置 AD DS 用户帐户。 •AD DS 组类型。 •AD DS 组范围。 •默认 AD DS 组。 •AD DS 特别标识。 •讨论: 使用默认组和特别的标识。 •演示: 配置 AD DS 组帐户。 •演示: 配置其他 AD DS 对象。
2008
Windows XP
3 客户端验证现有的注册
4
DNS 服务器响应的说明 注册并不存在
客户端将动态更新发送
5 到DNS 服务器
如何安全动态 DNS 更新工作
只有当客户端有正确的凭据要更新接受安全 的动态更新
Windows Vista DNS Client
Local DNS Server
Domain Controller with Active Directory
•在域分区或应用程序分区中,可以存储一个 DNS 区域。 •管理员可以定义自定义复制的范围 应用程序分区。 •DomainDNSzones forestDNSzones 并存储 DNS
实验五 活动目录服务(AD的安装、加入和退出域、域用户的管理和配置)
实验五活动目录服务(AD的安装、加入和退出域、域用户的管理和配置)【实验目的】1、理解域的概念,掌握AD的安装方法。
2、掌握加入和退出域的方法。
3、掌握域用户的管理和配置,组的规划和建立。
4、了解Windows Server 2003域用户和本地用户的区别。
5、理解组的概念和作用,认识组的类型。
【实验内容】1、练习AD的安装方法,2、练习加入和退出域的方法。
3、练习域用户的管理和配置,组的规划和建立【实验步骤】一、安装活动目录1)新建DC的角色。
在开始菜单中点击“管理您的服务器”,在打开的画面中点击“添加或删除角色”。
2)在“预备步骤”对话框中,单击[下一步]按钮,出现“服务器角色”对话框后,选择“域控制器”,按[下一步]继续。
3)在“选择总结”对话框中,单击[下一步]按钮,随后会进入AD安装向导过程,(如果直接执行“dcpromo”命令也可以启动AD安装向导,则可以省略前三个步骤),单击[下一步]按钮。
4)出现“操作系统兼容性”对话框,单击[下一步]按钮,在“域控制器类型”对话框中,我们将在这个向导中建立一个新域的DC和林,所以我们选择“新域的域控制器”,按[下一步]按钮继续。
5)选择“在新林中的域”,按[下一步]按钮继续,。
6)出现如下图所示,在“新域的DNS全名”文本框中输入新建域的DNS全名,例如: 或者或者之类的DNS全名。
按[下一步]按钮继续。
7)在“NetBIOS域名”对话框中,在“域NetBIOS名”文本框中输入NetBIOS域名,或者接受显示的名称。
NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。
8)在出现“数据库和日志文件夹”的对话框中(如下图),这些文件夹必须放在NTFS分区上,注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上。
按[下一步]按钮继续。
9)在出现“共享的系统卷”对话框中,该文件夹必须放在NTFS分区上,在Windows Server 2003中,Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。
windows server 2019服务器操作系统-第14章 域帐户的管理
规】、【环境】、【会话】、【远程控制】、【终
端服务配置文件】、【拨入】、【地址】、【帐
户】、【配置文件】、【电话】、【单位】和【隶
属于】等属性标签。
用户属性对话框
(1)【常规】标签包含建立新用户帐户时提供的 信 息。可以在【描述】和【办公室】文本框中增 加信息,也可以输入用户联系信息,包括电话 号码、E-mail地址和Web页面URL,如下图 所 示。
第9章 域帐户的管理
主要知识点:
一、创建和管理域用帐户 二、活动目录物理结构 三、组的类型和作用范围 四、用户配置文件
(了解) (了解) (掌握) (掌握)
一 域用户和计算机帐户
1、用户帐户和计算机帐户概述
(1) 活动目录用户帐户
用户帐户是用来记录用户的用户名和密码、
【选择组】对话框
(3)单击【禁用帐户】选项,当前用户将被禁止 使 用,此时在窗口中显示的用户名左侧小图标上 将显示一个红色的“X”符号,表明当前此用户 不可登录到服务器。再次打开快捷菜单时,原 来的【禁用帐户】选项变为【启用帐户】,单 击此选项,用户名被启用,可以进行登录操 作。
(4)单击【重设密码】选项显示对话框,管理员 可 以修改用户的密码,并设置用户是否在下次登 录时更改密码。
account对象中。
(2)通讯组
该组不是安全主体,只被用作分配列表。
可以在通讯组中存储联系和用户帐户。由于联系不
包括用户帐户的系统开销,所以只把联系放入组中
才更有意义。通讯组还和Microsoft Exchange兼
容,所以被广泛用于电话技术和传递信息应用软件
中。当升级Exchange用以支持Active Directory
域组建,域管理,活动目录管理,OU管理
一:建域1.开始>>运行>>dcpromo2.进入AD安装向导3.关于系统兼容性的说明4.创建域控制器的类型,我们这里因为是第一台域控制器,所以选第一项。
第二项为创建备份域控制器做冗余的时候用的,这留到以后关于迁移域控制器的时候再跟大家说。
5.创建一个新域。
各项的说明图中已经给出,我们这里选第一项"在新林中的域",因为本文的环境为安装第一个域。
6.创建的域的名称。
我个人来说习惯在企业内部用。
local的后缀表示本地的。
BIOS域名,一般不用改直接下一步!8.数据库及日志文件存放的位置,可以改也可以不改。
如果你习惯把日志类文件放到一齐的话,可以进行修改。
因为我只有一个盘就不改了。
9.共享的系统卷,这里要注意了!此文件必须要放在NTFS卷上!而且sysvol文件是被用于以后的域信息同步的。
所以在安装完后会自动的共享出来。
10.这里一般的话集成安装DNS比较好,如果是分离安装的话,对新手比较麻烦。
因为AD 会在DNS下创建许多SRV记录。
11.设置权限,其实就是为了与旧的系统AD迹象联系用的。
一般来说默认就可以了!2000以前的已经没见过有人用了。
12.AD在进入目录服务还原模式时使用的管理员密码。
注意与现在的管理员密码概念区分。
此密码只适用于目录服务还原模式。
此模式在大家平时选择进入安全模式的菜单下可以找到。
13.你所创建的域环境摘要,说穿就是你前面的设置信息。
14.在上面的图示中点击下一步就开始部署AD了!需要一点时间,大概5分钟就可以了。
休息一下眼睛。
在这里之前如果大家没有填写TCP/IP的信息,会在安装过程中叫你填写TCP/IP信息。
15.会出现提示要选择映像文件的位置--如选择取消,DNS服务就会手动配置(有点麻烦),点击确定-----浏览---选择文件的位置16.看到这里就表示安装完毕了。
17.最后就重启--------立即重启才会生效二,加入域1.加入域前的准备a.开始---程序---管理工具---ActiveDirectory用户和计算机---选择---新建域名下的Computers---在右侧窗口,右击---新建---计算机---输入计算机名(是你要加入这个域的计算机名,)---下一步---下一步---完成。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3
1.2 任务二 了解活动目录的特性
活动目录服务是一个完全可扩展、可伸缩的目 录服务,系统管理员可在统一的系统环境下管理整 个网络中的各种资源,较以往的应用中Windows Server 2003有了更加突出的新特性,现介绍如下 1.服务的集成性 2.信息的安全性 3.管理的简易性 4.应用的灵活性
18
3.4.4 任务四 提升域功能级别
在Windows Server 2003域控制器中,影响整个 域管理功能的与功能级别有4个:Windows 2000 混合(默认)、Windows 2000纯模式、Windows Server 2003临时和Windows Server 2003。默认 情况下,Windows Server 2003域控制器是以 Windows Server 2000混合功能级进行工作的。
4
2 技能二 认识活动目录与域
Windows域(Domain)是基于Windows NT技 术构建组成的计算机网络独立安全范围,是 Windows的逻辑管理单位,一个域就是由一系列 的用户帐户、访问权限和其他的各种资源的集合, 也就是包括各种对象属性信息的目录数据库。活动 目录由一个或多个域构成,一个域可以跨越不止一 个物理地点。每一个域都有它自己的安全策略,和 本域与其他域之间的信任关系。当多个域通过信任 关系连接起来并且拥有共同的模式、配置和全局目 录时,它们就构成了一个域树。
23
3.5.2 任务二 掌握域模式的组帐户么要使用组这个技术呢?究竟使用组技术有 哪些系统管理上的优点呢? 2. 按组的作用域划分组 (1) 全局组 (2) 本地域组 (3)通用组 3. 域模式的组帐户管理
24
19
3.4.5 任务五 管理不同的域
系统管理员除了可以管理本地域外,还可以在本 地域控制器上来管理域林中的其它不同域,那就需 要在管理实施之前,先建立当前域和要管理域之间 的连接。
20
3.4.6 任务六 站点管理
站点可以是具有不同IP网络地址的子网进行更好 的工作,并确保域内目录信息的有效交换,通过站 点可以简化Active Directory内的站点之问的复制 、身份验证等活动,这样可以提高工作效率。 1. 创建站点 2.创建子网 3.将子网与站点关联
16
3.4.2 任务二 设置域控制器的属性
为了加强对域控制器的管理,使域控制器安全稳 定的运行,系统管理员必须设置域控制器的属性。 通过设置域控制器的属性,不但可以确定域控制器 的位置、操作系统和常规属性,而且还可以为域控 制器制定权限组和管理用户。
17
3.4.3 任务三 创建域的信任关系
什么时候需要管理员来创建域信任关系呢?主要 是以下情景:当管理员需要将域林中的某个域与域 林外的某个域建立信任关系时,就应当建立外部明 确的信任关系;当管理员在域林中的两个域之间直 接建立信任关系以减少信任路径身份验证时,应建 立内部快捷信任关系。
8
3.2.2 任务二 了解域的信任关系
域与域之间的通信是通过信任关系进行的,信任 可使一个域中的用户由处在另一个域中的域控制器 来进行验证。 域的信任关系一般分为单向、双向、可传递和不 可传递4种。 1. 单向信任 2. 双向信任 3. 可传递信任 4. 不可传递信任
9
3.2.3 任务三 理解活动目录的物理结构
活动目录的物理结构是指在规划Windows Server 2003域模式的网络环境中,具体部署各种 角色计算机的组织状况。 在域中作为服务器的系统可以充当以下两种角色 中的任何一种:域控制器或成员服务器。那么其它 的机器亦就是非成员服务器和工作站。 (1)域控制器 (2)成员服务器 (3)站点
10
站点在概念上不同于Windows Server 2003的域 ,站点代表网络的物理结构,域代表组织的逻辑结 构。一个站点可以跨越多个域,而一个域也可以跨 越多个站点。站点并不属予域名称空间的一部分, 站点是体现的最大特色就是在控制域信息的复制方 面上,它可以帮助确定资源位置的远近,选定有利 于网络流量的最佳方式来进行活动目录数据库的复 制。站点反映网络的物理结构,而域通常反映组织 的逻辑结构。
21
3.5 技能五 域模式的帐户管理
3.5.1 任务一 掌握域的登录用户帐户管理技术 1. 域的登录用户帐户简介
域的登录用户帐户是建立在域控制器上,存储于 活动目录中的使用者帐户,这里主要讲述域模式下 的用户帐户(即人的帐户)。
22
2. 域的登录用户帐户管理 (1)新建域用户帐户 (2)修改域用户帐户属性 (3)用户帐户的复制和修改 (4)删除用户帐户
11
3.3 技能三 活动目录服务的安装
在安装活动目录服务之前,应当明确一些必备的 安装条件:在Windows Server 2003系统的计算机 上,安装的系统分区必须是NTFS格式;指定配置 TCP/IP协议属性中的DNS信息,并且保证网络接口 的正常连接运行。
12
3.3.1 任务一 安装活动目录服务
14
3.4 技能四 活动目录服务的管理
为了保证安装好的活动目录服务运行稳定,并提 供我们所期望的功能,还要进行各种活动目录服务 的管理操作,例如:管理域中的用户和计算机、创 建本地域与其它域的信任关系,创建物理站点来管 理活动目录的信息复制等。
15
3.4.1 任务一 熟悉活动目录服务管理工具
活动目录管理工具的使用只能在可访问 Windows Server 2003域服务器中,主要的活动目 录管理工具在域控制器的“管理工具”菜单组中获 得: Active Directory的用户和计算机 Active Directory的域和信任关系 Active Directory站点和服务
活动目录服务与域模式帐户管理
1
学习目标
理解活动目录及域的概念
熟悉活动目录的逻辑、物理结构 熟悉活动目录服务的安装 掌握活动目录服务的管理 熟练域用户帐户的管理
2
1 技能一 掌握活动目录服务
1.1 任务一 理解活动目录服务的概念
活动目录服务(Active Directory)是Windows Server 2003操作系统提供的一种新的目录服务。 目录服务其实就是提供了按层次结构方式进行信息 的组织,然后按名称关联检索信息的一种服务方式。 这种服务提供了一个存储在目录中的各种资源的统 一管理视图,从而减轻了企业的管理负担。另外, 它还为用户和应用程序提供了对其所包含信息的安 全访问。
1.使用“Windows Server2003管理服务器”安装 2.使用命令安装
13
3.3.2 任务二 客户计算机加入到域
域控制器在域中承担着整个网络的核心作用,但 不是域中的唯一角色,根据域中的计算机的功能不 同,还有成员服务器和工作站。另外,在网络中有 些计算机并不属于任何域,即以工作组模式运行, 可将它们分为独立服务器和一般客户端计算机。
5
6
3.2.1 任务一 理解活动目录的逻辑结构
活动目录采用域、域树、域林的多重层次化的目 录结构。在讲述活动目录的结构之前,先介绍一些 有关活动目录(或域)的相关术语概念,即对象、 容器、组织单元。
7
1.域 域(Domain)是Windows Server 2003活动目 录的核心逻辑单元,是共享同一活动目录的一组计 算机集合。 2.域树 域树是由若干具有共同的模式、配置的域构成的 ,形成了一个临近的名字空间。 3.域林 域林是由一棵或多棵Windows Server 2003域树 构成的,各树之间地位相当,由双向传递的信任关 系相关联。