Windows Server 2008 R2活动目录配置和管理
Windows Server 2008中Active Directory域的配置管理
Windows Server 2008中Active Directory域的配置管理摘要:随着计算机技术的发展,利用域管理网内计算机的新技术得到广泛应用,本文图例介绍了windows平台的active directory 域及配置管理方法关键词:windows server active directory域配置管理中图分类号:tp316 文献标识码:a 文章编号:1007-9416(2012)02-0155-02活动目录(active directory)是windows server 2008操作系统提供的一种新的目录服务。
所谓目录服务其实就是提供了一种按层次结构组织的信息,然后按名称关联检索信息的服务方式。
这种服务提供了一个存储在目录中的各种资源的统一管理视图,从而减轻了企业的管理负担。
另外,它还为用户和应用程序提供了对其所包含信息的安全访问。
活动目录作为用户、计算机和网络服务相关信息的中心,支持现有的行业标准ldap(lightweight directory access protocal,轻量目录访问协议)第8版,使任何兼容ldap 的客户端都能与之相互协作,可访问存储在活动目录中的信息,如linux、novell系统等。
创建域之前需验证windows server 2008系统具备以下条件:(1)在安装windows server 2008的计算机上至少有一个ntfs分区,至少有250m的空间。
(2)计算机上必须配置好ip地址和dns服务器地址。
(3)具须具备管理员权限。
dns服务可以在安装活动目录前安装,也可以在活动目录集成安装,即在安装活动目录过程中安装。
1、安装active directory域一般情况下,在新安装系统时,系统会提示是否选择安装【活动目录】选项,通常不安装活动目录,以便用户有时间来规划与活动目录有关的协议和系统结构。
活动目录服务一般需要在安装windows server 2008后进行安装,可以使用“dcpromo”命令,“dcpromo”是一个图形化的向导程序,它将引导用户一步一步地建立域控制器。
Windows Server 2008 R2之一活动目录服务部署
测试环境:服务器:计算机名Win2008R2CNDC,已安装Windows Server 2008 R2。
IPV4:192.168.1.13,255.255.255.0,网关地址192.168.1.1管理员:Bill.XU实验要求:安装第一个企业根据域控制器域名为。
部署过程:以下操作都是以管理员Bill.XU登录完成方法一:手动部署1、使用事件查看器(EventVWR.MSC),查看日志情况。
并要所查看情况,进行系统诊断,确保安装前系统的状态正常2、打开网络连接,设置网卡的IP4地址为一静态地址,同时将DNS服务器地址设置为127.0.0.13、运行DCPROMO,出现设置向导。
设置过程如下图检测系统是否安装AD域服务二进制文件,如果没有,系统会自动安装(也可以在运行命令之前,通过服务器管理器,添加活动目录域服务角色来安装)出现活动目录域服务安装向导,选择高级模式(如果不选择此项,安装过程中将无法对有些设置进行更改,如域Netbios名的更改等)由于这是森林中的第一台服务器,所以选择在新林中新建域。
功能级别,所提供的功能不同。
如要使用R2新增的活动目录回收站功能,必须将功能级别提升到2008 R2功能级别。
要使用棵粒化密码策略,须将功能级别提升到2008。
R2新增了一种功能级别即2008 R2级别。
注意功能级别的操作是单向,即当提升到一个高功能级别后,它不能再降为低功能级别。
除非得新安装AD 域服务具体见:Appendix of Functional Level Features此实验中,DC也是一台DNS服务器,所以要勾选DNS服务器。
同时,这是森林中的第一台DC,所以全局编录(GC),只读域控制器(RODC)不可操作。
森林中必须至少有一台GC,同时要安装RODC,域中必须首先有一台可写的DC。
指定活动目录数据库的存放位置。
在一个大型的网络中,为了提高活动活动工作效率,可以将数据在放在其它的磁盘控制器或RAID上。
Win2008 Server R2安装与配置主备AD域
Win2008 Server R2安装与配置主备AD域AD域简介活动目录(Active Directory),又俗称AD域,是面向服务器操作系统的目录服务。
安装环境:Windows系统:Win2008 R2(2台)主域IP:192.168.179.11备域IP:192.168.179.12一、主域安装1.1、运行打开dcpromo命令回车1.2、操作系统兼容性1.3、选择在林中新建域选项1.4、出错运行下面一条命令dos界面输入net user administrator /passwordreq:yes命令回车1.5、填入域的名称1.6、设置林功能级别选择林的功能级别Windows Server 2008 R21.7、其它域控制器选项1.8、数据库、日志文件和SYSVOL的位置默认,下一步1.9、目录服务还原模式的Administrator密码输入2次相同的密码,下一步1.10、摘要1.11、正在安装组策略控制台1.12、完成Active Directory域服务安装向导1.13、立即重新启动1.14、完成域的安装二、备域安装2.1、配置首选DNS服务器的IP为主域的IP地址2.2、搜索dcpromo,使用管理员运行2.3、Active Directory 域服务安装向导2.4、操作系统兼容性2.5、选择某一部署配置选择现有林-->向现有域添加域控制器2.6、网络凭据填入域(参考主域填)2.7、网络凭据验证备用凭据-->设置,填入主域管理员帐号和密码2.8、填入主域的名称2.9、选择域2.10、请选择一个站点默认选择2.11、其它域控制器选项默认选择,下一步2.12、数据库、日志文件和SYSVOL的位置2.13、目录服务还原模式的Administrator密码输入不能与域管理员的密码,下一步2.14、摘要2.15、配置安装域中勾上完成后重新启动2.16、完成备域安装。
Windows-Server-2008-R2-之03-管理活动目录数据库
活动目录数据库包括数据库文件NTDS。
dit和日志文件。
考虑到最佳性能,在生产环境推荐将日志文件和数据库文件在单独的硬盘驱动器中或RAID中,同时要根据网络的规模,保证磁盘上有充足的剩余空间。
由于活动目录数据库是一个自我维护的系统,一般来说不需要日常维护(除备份外).然而有时出现下列情况,可能对其进行管理:磁盘空间低、当前硬件失败、在全局编辑大量删除或移除后需要恢复物理空间。
活动目录数据库的管理包括移动、压缩(碎片整理)等.本实验以Windows Server 2008 R2之一活动目录部署的环境为操作环境。
实验要求:压缩活动目录数据库,将活动目录数据库移动到c:\ntds实验步骤:1、系统备份。
为了防止实验失败,在实验前强烈推荐对系统进行备份(略)2、查看活动目录数据库的相关信息(如下图)3、停止活动目录服务(可以在服务管理控制台services。
msc或在命令行状态运行net stop ntds停止)4、输入ntdsutil回车.然后依次键入activate instance ntds、files命令. 以是命令的使用帮助.可以使用integrity数据库的逻辑完整性等操作5、输入compact to c:\,压缩活动目录数据库,将压缩后的文件放在c:\。
压缩完成后,需将c:\ntds.dit文件复制到原来文件夹,并删除文件夹的*。
log日志文件。
以下是进行移动操作6、键入move db to c:\ntds.这个命令将完成将数据库文件复制到c:\ntds。
系统会自动检测这个文件夹是否存在(如果不存在,会自动建立这个文件夹),同时,在计算机重新启动后,会自动设置这个文件夹的安全性。
7、键入move logs to c:\ntds移动日志文件。
8、按两次quit退出ntdsutil命令。
9、重新启动计算机。
通过事件查看器查看相关日志和c:\ntds的相关信息(安全性,文件),看系统是否工作正常。
windows_2008域管理-配置与管理活动目录域
项目任务
• 任务1 认知活动目录 • 任务2 创建和管理域控制器 • 任务3 域的应用
任务一 认识活动目录
2016
任务一 实训目标
理解域的概念 会安装域控制器 会管理本地域组和全局组 会管理OU (组织单位)
5
相关概念
创建Windows域 安装条件 安装活动目录 DNS的作用 部署活动目录域 域用户管理 域组管理 域资源管理 OU的管理 发布共享文件夹
域目录林
林由一个或多个域树组成 组成域目录林的两个域目录树的树根之间会自动创建相互的、可传递的信任 关系。
9
域和活动目录的概念
组织单位
组织单位是包含在活动目录中组织、管理一个域内对 象的容器。是为对活动目录对象进行分类而创建的。 它能包容用户账户、用户组、计算机、打印机和其他 的组织单元(如按公司不同部门创建不同的组织单位)
12
安装活动目录
推荐步骤
设定好IP、子网掩码、网关、DNS与计算机名 添加AD域服务角色 运行dcpromo命令启动安装向导 在新林中新建域 设置域名 DNS服务器 目录服务还原模式的Administrator密码 验证AD域服务的安装 P115 查看计算机属性 查看管理工具 查看活动目录对象 查看AD数据库 查看DNS记录
18
任务三 管理域中的组账户
2016
域用户账户
• 域用户账户用来使用户能够登录到域或其他计算机中,
从而获得对网络资源的访问权。
• 当在一个域控制器上创建新的用户账户时,这个域控制
器会把信息复制到其他域控制器,从而确保该用户可以 登录并访问任何一个域控制器
创建域用户账户2-1
域用户账户存储在活动目录数据库中 创建域用户ቤተ መጻሕፍቲ ባይዱ方法
Windows Server 2008 R2 网络配置与管理第1章 安装windows server 2008 R2
1.1 Windows Server 2008 R2 的功能 • 1.1.2 版本介绍 • 1.1.3 系统需求 • 1.1.4 角色与功能 • 1.1.5 服务器管理器
1.1.1 Windows Server 2008 R2 的功能
• Windows Server 2008 R2中提供的添加角色向导简化了在服 务器上安装角色的方式,允许用户一次安装多个角色。
• 服务器管理器取代了“添加或删除 Windows 组件”,添加 角色向导的可以在一个会话过程中完成对服务器所有角色 的配置。
• 操作: • 【开始】→【管理工具】→【服务器管理器】
启动安装程序
现在安装
选择版本
接受许可条款
选择安装方式
选择安装位置
创建磁盘分区
输入分区大小
选择安装系统的分区
开始安装
安装过程
后续安装配置
登录界面
• 1.强大的硬件与伸缩功能 • 2.降低功耗 • 3.Windows Server 2008 R2中的Hyper-V • 4.使用VDI降低桌面成本 • 5.更容易和更高效的服务器管理 • 6.无所不在的远程访问 • 7.改善分支机构的性能与管理 • 8.简化管理 • 9.迄今最强大的Web和应用程序服务器 • 10.管理数据并不仅仅是管理存储
1.1.2 版本介绍
• Windows Server 2008 R2 Foundation(基础版) • Windows Server 2008 R2 standard(标准版) • Windows Server 2008 R2 Enterprise(企业版) • Windows Server 2008 R2 Datacenter(数据中心版) • Windows Web Server 2008 R2(web版) • Windows HPC Server 2008(HPC版) • Windows Server 2008 R2 for Itanium-Based Systems(安腾版)
WindowsServer2008R2配置、管理与应用
4.7 配置 SNMP
4.8 激活 Windows Server 2008
R2
4.9 本章小 结
4 Windows Server 2008 R2基 本系统配置
4.1 系统个性化配置
https:///
4.1.1 配 置组策略
4.1.2 配 置桌面和
任务栏
4.1.4 新 建管理员
用户
3.1.1 选择服务器操 作系统的版本
A
3.1.2 准备安装系统 需要的工具
B
3.1.3 其他准备工作
C
3.1 安装前的准备工作
3 安装 Window s Server 2008 R2
3.2 Windows PE简介
https:///
01
3.2.1 Windows PE的优点
03
2.3 应用管理软件VMware vSphere Client
2 搭建虚 拟机测试 平台
2.4 搭建安全FTP
https:///
01
2.4.1 SSH概 述
03
2.4.3 配置应 用FTP
02
2.4.2 配置 SSH
03
3 安装Windows Server 2008 R2
3 安装Windows Server 2008 R2
Client
2.4 搭建安 全FTP
2.5 本章小 结
2 搭建虚拟机测试平台
2.1.1 什么是虚拟化
A
2.1.2 虚拟化的优势
B
2.1.3 采用虚拟化软 件的理由
C
2.1 虚拟化简介
2 搭建虚 拟机测试 平台
2.2 安装VMware ESXi 5.0.0
https:///
windows Server 2008 r2配置详解
Win2008 Server R2个人PC化设置1、安装驱动安装完系统后首先是安装硬件驱动,可能你的电脑的提供商并没有提供针对windows server 2008的驱动,但一般来讲针对vista或WIN 7的驱动是很容易找到的。
驱动的安装顺序通常是:芯片组、显卡、声卡、网卡或其他设备,有些驱动如网卡等,可能系统已经安装好,就不用另行安装了。
2、安装主题及启用AERO效果首先要安装显卡驱动,才能启用AERO界面特效。
<开始> - <管理工具> - <服务器管理>在左边一栏找到<功能>,然后点击<添加功能>,到<桌面体验>并安装。
之后在服务中开启<THEME>服务。
3、关闭IE增强的安全体验这是微软针对服务器系统安全性要求,对IE浏览器提供的安全限制,但对于桌面使用则影响了我们进行正常的网页浏览,所以我们可以在<服务器管理器>界面中,打开<配置IE SEC>对话框,将针对管理员组和普通用户组的配置都设置成<关闭>状态。
当然,如果你使用的是firefox等非IE内核浏览器,那么这个设置就无关紧要了。
4、去掉登陆密码复杂性限制打开<开始> - <运行>,键入<secpol.msc>,打开<本地安全策略>。
在窗口的左边部分,选择<账户策略> - <密码策略>,在右边窗口双击<密码符合复杂性要求>,在弹出的对话框中选择<已禁用>,然后点<确定>保存后退出。
5、免除登录时按Ctrl+Alt+Del的限制打开<开始> - <运行>,键入<secpol.msc>,打开<本地安全策略>。
在窗口的左边部分,选择<本地策略> - <安全选项>,在右边窗口双击<交互式登录>,不需要按<Ctrl+Alt+Del>在弹出的对话框中选择<已启用>,然后点<确定>保存后退出。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Demonstration:配置 AD DS 组帐户
在此stration:配置其他 AD DS 对象
在此演示,您将看到如何配置其他 AD DS 对象
Lesson 2:使用组策略
•为将访问分配给资源的选项。 •使用帐户组来分配资源的访问。 •使用帐户组和资源组。 •讨论: 在单个域或多域环境中使用组。
Module 1:配置
Active Directory ® 域服务的域名称服务
模块概述
•Active Directory 域服务和 DNS 集成的概述。 •配置 AD DS 集成的区域。 •配置只读 DNS 区域。
Lesson 1: Active Directory 域服务和 DNS 集成的概述
Lesson 1:配置 Active Directory 对象
•AD DS 对象的类型。 •演示: 配置 AD DS 用户帐户。 •AD DS 组类型。 •AD DS 组范围。 •默认 AD DS 组。 •AD DS 特别标识。 •讨论: 使用默认组和特别的标识。 •演示: 配置 AD DS 组帐户。 •演示: 配置其他 AD DS 对象。
2008
Windows XP
3 客户端验证现有的注册
4
DNS 服务器响应的说明 注册并不存在
客户端将动态更新发送
5 到DNS 服务器
如何安全动态 DNS 更新工作
只有当客户端有正确的凭据要更新接受安全 的动态更新
Windows Vista DNS Client
Local DNS Server
Domain Controller with Active Directory
•在域分区或应用程序分区中,可以存储一个 DNS 区域。 •管理员可以定义自定义复制的范围 应用程序分区。 •DomainDNSzones forestDNSzones 并存储 DNS
特定的数据的默认应用程序分区。
Domain Config Schema App1
Domain Config Schema
Lesson 3:配置只读 DNS 区域
•只读 DNS 区域是什么? •如何只读 DNS 工程 •讨论: 比较 DNS 选项的分支机构
只读 DNS 区域是什么?
• 支持只读域控制器上的一个功能
• 包含 DNS 信息的所有应用程序分区被复制到该 RODC
优点:
• 所需的 AD DS 名称解析 DNS 信息用于 RODC 的 相同站点中客户端 • 在只读 DNS 区域,增加了安全上的更改不允许使用
将访问分配给资源的选项
将分配给资源的访问:
• 最低权限级别的计划。 • 这项计划保持尽可能简单。 • 文档这项计划。
选项包括:
• 将用户帐户添加到资源上的 ACL。 • 将用户帐户添加到组,并将组添加到资源上的 ACL。 • 将用户帐户添加到帐户组,到资源的组中添加
该帐户的组,并将资源组添加到资源上的 ACL。
PowerShell。
自动化 AD DS 工具对象管理
Active Directory 用户 和计算机
目录服务工具
• Dsadd • Dsmod • Dsrm
Csvde 和 Ldifde 工具
Windows PowerShell
配置 AD DS 对象使用命令行工具
命令行工具:
• Dsadd • Dsmod • Dsrm • Dsget • net user • Net group • Net computer
Windows PowerShell 是一种脚本和命令行的技术, 您可以使用管理 AD DS 和其他 Windows 组件
Windows PowerShell 功能包括:
• 强大的一行 cmdlet。 • 别名。 • 变量。
Example of an SRV record
_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 den-dc1.contoso.msft
Demonstration: AD DS 域控制器 SRV 资源 记录注册
在此演示,您将看到如何查看和管理域控制器注 册的 SRV 资源记录
管理 LDIFDE 的用户对象
• LDIFDE.exe import
filename.ldf
export
Active Directory
管理 CSVDE 与用户对象
• CSVDE.exe import
filename.csv
export
Active Directory
Windows PowerShell 是什么?
Integrated DNS Zone
Demonstration:配置 AD DS 集成的区域
在此演示,您将看到如何配置:
•AD DS 作为一个 DNS 区域集成。 •对 DNS 区域的动态更新。 • 网络连接上的动态更新设置。 • 安全动态更新。
如何背景区加载工程
当域控制器与 ActiveDirectory 集成 DNS 区域启动,它: •枚举要加载的所有区域 • 负荷根提示从文件或 AD DS 服务器 • 加载存储在文件中而不是在 AD DS 中的所有区域 • 开始对查询和 RPC 的响应 • 启动一个或多个线程来加载存储在 AD DS 中的区域
•AD DS 与 DNS 命名空间整合。 •服务资源定位记录是什么? •演示: SRV 定位器记录由注册 AD DS 域控制 器。
•如何使用服务资源定位记录。 •集成服务资源定位记录和 AD DS 网站。
AD DS 和 DNS 命名空间集成
AD DS 域名必须使用 DNS 名称
通过使用,可以 • 相同的命名空间。
Domain Config Schema App1 App2
为 DNS 配置应用程序分区选项
DNS 信息可以存储在各种应用程序分区中
Domain Config Schema DomainDNSZone ForestDNSZones CustomApp
到 AD DS 域中的所有域控制器
到所有是 AD DS 域中的 DNS 服务器的域控制器
•域控制器需要复制更改
• 客户端计算机登录到 AD DS
• 一个用户尝试更改他或她的密码
• Exchange 2003 服务器会执行目录查找
• 管理员修改 AD DS
SRV record syntax:
TTL class type priority weight port target
到所有是在 AD DS 林中的 DNS 服务器的域控制器
到应用程序分区复制范围中的所 有域控制器
如何动态更新工作
DNS Server
Resource Records
1 客户端发送 SOA 查询
DNS 服务器发送区域
2 名称和服务器 IP 地址
123 45
Windows Windows
Server
Vista
AD DS 集成区域是什么?
AD DS 集成区域在 AD DS 数据库中存储 DNS 区域数据
使用 AD DS 的优点集成区域: •复制使用 AD DS 复制的 DNS 区域信息 • 支持多个主 DNS 服务器 • 增强了安全性 • 支持记录老化和清除
在 AD DS 中的应用程序分区是什么?
AD DS 数据库分为包含每个复制到特定域控制器 的目录分区的目录分区
如何只读 DNS 工程
只读 DNS 上装有 RODC AD DS 安装了和选择 了 DNS 选项时
•只读 DNS 区域数据可以查看,但不能被更新
• 使用 RODC 的动态更新的 DNS 客户端所提的区域的 可写副本的 DNS 服务器
• 记录不能将手动添加到只读区域
2
1
3
Discussion:比较分支机构的 DNS 选项
任何受信任的 域中 任何受信任的 域中
在本地计算机 上
默认 AD DS 组
默认组旨在管理共享的资源和委派特定的全 域管理角色
营办商帐户。 管理员。 备份的操作员。 传入的林信任生成器。 网络营办商配置。 性能日志用户。
性能监视器用户。 以前版本 2000年兼容 的访问。 打印营办商。 远程桌面用户。 复制。 服务器操作员。 用户。
•哪些以外只读 DNS 的选项可在分支机构中实施 DNS?
•优势和每个选项的缺点是什么?
Module 2:配置 Active Directory
对象和信任
模块概述
•配置 Active Directory 对象。 •使用组策略。 •自动化 AD DS 对象管理。 •委派到 AD DS 对象的管理权限。 •配置 AD DS 和信任。
将一个 AD DS • 外部名称空间的一个子域。
域名集成与外部 名称空间:
• 在域和本地哪里不同的名称的不同的 名称空间。
服务定位记录是什么?
SRV 资源记录允许 DNS 客户端找到基于 TCP 服务。 SRV 资源记录用于时:
AD DS 对象的类型
用户帐户 •使一个单 Sign-on 为用户。 • 提供对资源的访问。
计算机帐户 •启用身份验证和审计的对 资源的计算机访问
InetOrgPerson
•类似于一个用户帐户 • 用于与其他目录服务的兼容性
组织单元
•用于组的管理类似对象
组帐户 •有助于简化管理
打印机
•用于简化定位和连接到打印机 的过程
共享的文件夹
•用于简化的定位与连接到共享 文件夹过程
Demonstration:配置 AD DS 用户帐户
在此演示,您将看到如何配置 AD DS 用户帐户
AD DS 组类型
通讯组:
只能与电子邮件应用程序一起使用 未启用安全