_创建windows域
创建Windows域
一、将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组
的逻辑环境叫做域。
域是组织与存储资源的核心管理单元。
二、活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法。
特点:1、集中管理
2、便捷的网络资源访问
3、可扩展性
三、域控制器(DC)的条件
安装者必须具有本地管理员权限
操作系统版本必须满足条件(Windows Server 2003除Web版外都满足)
本地磁盘至少有一个分区是NTFS文件系统
有TCP/IP设置(IP地址、子网掩码等)
有相应的DNS服务器支持
有足够的可用空间
一个域里至少需要一台DC(企业中一般至少2台DC,用来同步AD数据库,地位平等)
四、安装活动目录:2种方法:使用管理您的服务器向导;使用命令dcpromo
卸载活动目录:2种方法:使用管理您的服务器向导;使用命令dcpromo 把成员服务器升级为额外与控制器也可以用上面的2种方法。此时成员服务器上的本地账户全部消失。
五、活动目录的逻辑结构:林、树、域、OU
活动目录的物理结构:DC、站点
六、将计算机加入域
计算机IP地址正确,DNS指向DC(DNS安装在DC上)的IP地址。
加入域前检查网络的连通性。
七、DNS在域中的作用
1、域名的命名采用DNS标准
2、定位DC
客户端是如何通过DNS服务器查找到DC的呢?通过SRV记录,SRV记录将一种服务解析成提供该服务的计算机的DNS名称,而后由DNS映射到该服务提供的计算机相应的IP地址。
要补全SRV资源记录:
1、net stop netlogon和net start netlogon
2、删除DNS区域,重建DNS区域
八、域用户账户
本地用户帐户:存储在本地计算机SAM数据库
域用户帐户:存储在活动目录中DTDS.DIT
九、域用户账户
用户登录名:在域中必须惟一,最长20字符
登录时间:限制用户登录到域的时间
可以登录的计算机:定义了账户可以登录的计算机列表
十、用户配置文件
用户配置文件概念:
用户的桌面工作环境,包括桌面、开始菜单、我的文档、以及其他指定的设置。
一般存储在操作系统所在分区上的\Documents and Settings\username文件夹里。
用户配置文件类型:
本地用户配置文件
漫游用户配置文件
强制用户配置文件
临时用户配置文件
十一、用户主文件夹
用户主文件夹可以用于存放用户的私有文件。
配置用户主文件夹后,当域账户在客户机登录后,就会发现在本机多了一个分区(该分区不在本机)。增强了文件存储的安全可靠性。
十二、组的类型
安全组:用于设置用户权限,也可用于电子邮件通讯
通讯组:只用于电子邮件通讯
十三、组的作用域
1、本地域组
v使用范围是本域
v针对本域的资源创建本地域组
v本地域组的成员除了用户帐户、还可以是全局组、通用组等
2、全局组
v使用范围是整个林以及信任域
v以逻辑关系创建全局组
3、通用组
v使用范围是整个林以及信任域
通用组和全局组的差别:
v域功能级别是Windows 2000混合模式不能创建通用安全组;
v通用组的成员身份在全局编录中,多域环境下通用组成员登录或者查询速度较快。
十四、域功能级别
1、Windows 2000混合模式(NT Server、2000、2003)
2、Windows 2000本机模式(2000、2003)
3、Windows Server 2003模式(2003)
十五、组织单位(OU)
OU的设计方式:
v基于部门的OU
v基于地理位置的OU
v基于对象类型的OU
v OU 的设计也可以是混合的
十六、OU的委派
委派控制管理:
管理员可以为适当的用户和组指派一定范围的管理任务,从而减轻管理员的工作负担
实现步骤:
打开【Active Directory用户和计算机】,右击OU|【委派控制】
按向导提示,添加要委派任务的账户或者组
选择要委派的任务,按向导提示最终完成
Windows Server 2003 中域帐户的创建和配置方法。
1、学习 Windows Server 2003 中域帐户的创建和配置方法。
2、学习域网络的使用方法。
二、实验环境:
操作系统:Windows Server 2003;2~3 台计算机组成一个合作小组,可以通过网上邻居互相访问。在以下的实例中以3台计算机为例搭建一个域结构的 C/S 网络。(用2台计算机有些效果不易看出。)
三、实验内容:
1、搭建 C/S 域结构网络
域规划:建立一个单域的网络,其中有一台域控制器和两台客户机。
由于一个网络中域名不允许重复,建议使用“你的名字.local”的方式定义域名,本例中假设人名为张三(zhangsan)。IP 地址建议使用 172.16.***.***,要保证同一个网络的各计算机 IP 地址不冲突。
在第一台计算机上分别安装 Active Directory,将它升级为域控制器,域名按规划进行设置,在安装 Active Directory 的同时在该机上安装与之配套的 DNS 服务器。
将第二台计算机和第三台计算机都加入该域中,作为域中的客户机。
2、创建域共享资源
说明:在域控制器上创建一个文件夹,里面随意放置一个文件,将该文件夹设置为共享,共享名设置为“考勤”;在“lisi”计算机上创建一个文件夹,里面随意放置一个文件,将该文件夹设置为共享,共享名设置为“工作表”;在“wangwu”计算机上安装一个本地打印机,将它设置为共享,共享名设置为“打印机”。
把上面的三个共享资源发布在域控制器上。
3、创建域账户
域使用人员:
对资源的使用要求:
请按上面的情况规划组账户和用户账户,规划结果按下表的格式填写。(如果不会,请看参考答案。)
组帐户规划:
用户账户规划:
按照帐户规划在域控制器上创建组帐户和用户账户。对共享资源设置相应访问权限。
4、访问域共享资源
在客户机上用域帐户登录到域,用“网上邻居”访问各个共享资源。注意用不同帐户登录在资源访问上有什么不同。
在客户机上用本地帐户登录到本机,用“网上邻居”访问各个共享资源,注意它与登录到域上访问有什么区别?
5、创建和使用漫游用户配置文件
在域控制器上为“赵网管”创建一个漫游用户配置文件,位置就在域控制器中。
分别在不同计算机上用“赵网管”的身份登录到域,修改配置(如:更改桌面背景、在我的文档中建立一个文本文件等),查看配置是否在跟着用户走。
6、结束实验
删除所有的域控制器和 DNS 服务器;
为本机设立两个 Administrators 组的账户 Administrator 和 001,Administrator 账户密码为空,001 账户密码为 abc,123。
域控制服务器教程
把一台成员服务器提升为域控制器(一)
目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:
本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。
首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统,
我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下:
机器名:Server
IP:192.168.5.1
子网掩码:255.255.255.0
DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)
由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面:
向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:
然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了
安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导”
在这里直接点击“下一步”:
这里是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”:
在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步
"
既然是第一台域控,那么当然也是选择“在新林中的域"
在这里我们要指定一个域名,我在这里指定的是https://www.360docs.net/doc/c213981501.html,,
这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但个人建议还是采用默认的好,省得以后麻烦。
在这里要指定AD数据库和日志的存放位置,如果不是C盘的空间有问题的话,建议采用默认。
这里是指定SYSVOL文件夹的位置,还是那句话,没有特殊情况,不建议修改:
第一次部署时总会出现上面那个DNS注册诊断出错的画面,主要是因为虽然安装了DNS,但由于并没有配置它,网络上还没有可用的DNS服务器,所以才会出现响应超时的现像,所以在这里要选择:“在这台计算机上安装并配置DNS,并将这台DNS服务器设为这台计算机的首选DNS服务器”。
“这是一个权限的选择项,在这里,我选择第二项:“只与Windows 2000或Window 2003操作系统兼容的权限”,因为在我做实验的整个环境里,并没有Windows 2000以前的操作系统存在”
这里是一个重点,还原密码,希望大家设置好以后一定要记住这个密码,千万别忘记了,因为在后面的关于活动目录恢复的文章上要用到这个密码的。
这是确认画面,请仔细检查刚刚输入的信息是否有误,尤其是域名书写是否正确,因为改域名可不是闹着玩的,如果有的话可以点上一步进入重输,如果确认无误的话,那么点“下一
步”就正式开安装了:
几分钟后,安装完成:
点完成:
点“立即重新启动”
密码策略设置导致不能添加域用户账户
核心提示:某公司局域网域控制器运行Windows Server 2003系统,在“Active Direct ory用户和计算机”窗口中添加用户时,总是提示所设置的密码不符合密码策略。
故障现象:某公司局域网域控制器运行Windows Server 2003系统,在“Active Directory用户和计算机”窗口中添加用户时,总是提示所设置的密码不符合密码策略。请问密码策略有哪些要求呢,能不能禁用密码策略?
解决方法:Windows Server 2003系统在安全性方面大大增强,默认域的安全策略要求域用户的密码必须符合复杂性要求,这些要求包括:在大写字母、小写字母、数字和符号4种中必须有3种;密码最小长度为6位;密码中不得包括全部或部分用户名。在设置域用户密码的时候必须满足上述要求方能成功创建域用户。
可以通过以下方法禁用密码复杂性要求:依次单击“开始/管理工具/域安全策略”,打开“默认域安全设置”窗口。在左窗格中依次展开“安全设置/账户策略”目录,并单击选中“密码策略”选项。然后在右窗格列表中双击“密码必须符合复杂性要求”选项,在打开的“密码必须符合复杂性要求属性”对话框中点选“已禁用”单选框,并单击“确定”按钮,如图4-34。
图4-34 设置密码策略
用户还可以将密码长度最小值由“7个字符”改为“0个字符”,另外为了使域策略设置马上生效,可使用“gpupdate”命令进行刷新,如图4-35。
图4-35 刷新组策略
windowsserver2012服务器建立域控详细过程_图文.
Active Directory概述: 使用 Active Directory(R 域服务 (AD DS 服务器角色,可以创建用于用户和资源管理的可伸缩、安全及可管理的基础机构,并可以提供对启用目录的应用程序(如 Microsoft(R Exchange Server)的支持。 AD DS 提供了一个分布式数据库,该数据库可以存储和管理有关网络资源的信息,以及启用了目录的应用程序中特定于应用程序的数据。运行 AD DS 的服务器称为域控制器。管理员可以使用 AD DS 将网络元素(如用户、计算机和其他设备)整理到层次内嵌结构。内嵌层次结构包括 Active Directory 林、林中的域以及每个域中的组织单位 (OU。 1、使用本地管理员登录。 2、修改计算机名为“DC” 3、更改计算机名后,需要重新启动服务器。
4、设置服务器固定IP。 5、通过服务器管理器中添加角色,进行域服务角色安装。(注windows server 2012中已不能使用dcpromo 进入域安装向导) 6、默认选择“下一步”。
7、选择“基于角色或基于功能的安装”。下一步。 8、选择本地服务器“DC”。下一步。 9、选择“Active Directory域服务。
10、默认选项。下一步。 11、默认选项。下一步。
12、选择“如果需要,自动重新启动目标服务器”。按“安装”。(备注:指定备用源路径,指向windows server 2012安装盘) 13、安装完成。按“关闭”。 14、选择服务器任务详细信息,选择“部署后配置”按:将此服务器提升为域控制器。
windowsserver2012服务器建立域控详细过程
使用 Active Directory(R) 域服务 (AD DS) 服务器角色,可以创建用于用户和资源管理的可伸缩、安全及可管理的基础机构,并可以提供对启用目录的应用程序(如Microsoft(R) Exchange Server)的支持。 AD DS 提供了一个分布式数据库,该数据库可以存储和管理有关网络资源的信息,以及启用了目录的应用程序中特定于应用程序的数据。运行 AD DS 的服务器称为域控制器。管理员可以使用 AD DS 将网络元素(如用户、计算机和其他设备)整理到层次内嵌结构。内嵌层次结构包括 Active Directory 林、林中的域以及每个域中的组织单位 (OU)。 1、使用本地管理员登录。 2、修改计算机名为“DC” 3、更改计算机名后,需要重新启动服务器。 4、设置服务器固定IP。 5、通过服务器管理器中添加角色,进行域服务角色安装。(注windows server 2012中已不能使用dcpromo进入域安装向导) 6、默认选择“下一步”。
7、选择“基于角色或基于功能的安装”。下一步。 8、选择本地服务器“DC”。下一步。 9、选择“Active Directory域服务。 10、默认选项。下一步。 11、默认选项。下一步。 12、选择“如果需要,自动重新启动目标服务器”。按“安装”。(备注:指定备用源路径,指向windows server 2012安装盘) 13、安装完成。按“关闭”。
14、选择服务器任务详细信息,选择“部署后配置”按:将此服务器提升为域控制器。 15、选择“添加新林”,填写根域名:。 16、选择林和域功能级别是windows server 2003,提供域控制器功能,选择“域名系统(DNS)服务器。默认是选“全局编录”。并设置活动目录还原密码。 17、默认选择下一步。 18、默认显示NetBIOS是MCITP。 19、默认选择下一步。 20、显示安装信息,下一步。 21、查看导出安装AD脚本。
Windows Server 2012 R2 创建AD域
Windows Server 2012 R2 创建AD域 前言 我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台Windows服务器,然后将其升级为域控制器。然后创建第二台域控制器,一台成员服务器与一台加入域的Win8计算机。 环境 网络192.168.100.1子网掩码255.255.255.0 网关192.168.100.2 域名https://www.360docs.net/doc/c213981501.html, DC1 192.168.100.11/24 DC2 192.168.100.12/24 Server 192.168.100.13/24 PC1 192.168.100.14/24
创建域的必备条件 ●DNS域名:先要想好一个符合dns格式的域名,如https://www.360docs.net/doc/c213981501.html, ●DNS服务器:域中需要将自己注册到DNS服务器内,瓤其他计算机通过DNS服务 器来找到这台机器,因此需要一台可支持AD的DNS服务器,并且支持动态更新(如果现在没有DNS服务器,则可以在创建域的过程中,选择这台域控上安装DNS服务器) 注:AD需要一个SYSVOL文件夹来存储域共享文件(例如域组策略有关的文件),该文件夹必须位于NTFS磁盘,系统默认创建在系统盘,为了性能建议按照到其他分区。 创建网络中的第一台域控制器 修改机器名和ip 先修改ip地址,并且将dns指向自己,并且修改计算机名为DC1,升级成域控后,机器名称会自动变成https://www.360docs.net/doc/c213981501.html,
安装域功能 选择服务器 选择域服务
提升为域控制器 添加新林
此林根域名不要与对外服务器的DNS名称相同,如对外服务的DNS URL为 https://www.360docs.net/doc/c213981501.html,,则内部的林根域名就不能是https://www.360docs.net/doc/c213981501.html,,否则未来可能会有兼容问题。
windows_server域环境搭建
目录 第一章虚拟场景 (2) 1、公司简介 (2) 2、公司现有IT状况 (2) 第二章实验设计 (3) 1、域规划 (3) 2、计算机规划 (3) 第三章具体实施 (4) 1、建立根域 (4) 1.1准备 (4) 1.2 安装 (4) 2、建立子域 (10) 3、额外域控制器建立 (13) 4、站点的建立与连接 (19) 4.1 创建站点 (19) 4.2 定义站点子网 (20) 4.3 定位服务器 (20) 4.4 配置站点连接器 (21) 5角色迁移 (22) 第四章实验中的问题 (26)
第一章虚拟场景 1、公司简介 某公司通过合理的运营和管理,发展迅速,员工人数已有200人左右,现在该公司总部设在长春,两个子公司分部在大连和沈阳,为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业网络。公司决定部署一个由200台计算机组成的局域网。用于完成企业数据通信和资源共享。 公司内部有:人力资源部、行政部、财务部、工程部、销售部、总经理办公室 2、公司现有IT状况 公司已有一个局域网,运行200台计算机,服务器操作系统是windows server 2008,客户机的操作系统是windows xp,工作在工作组模式下,员工一人一机办公。公司从ISP申请2M专线用于与各个子公司相连,实现各公司间资源交换与共享。由于计算机比较多,管理上缺乏层次,公司希望能够利用windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用。
第二章实验设计 1、域规划 一改以往的工作组模式,组建域,使管理更方便,工作的环境更安全,用户可以在任意一台域内的计算机登录,共享网络资源。 在总公司长春建立根域https://www.360docs.net/doc/c213981501.html,内部子网172.16.18.0/24 大连分部建立子域https://www.360docs.net/doc/c213981501.html,内部子网10.10.10.0/24 沈阳分部建立子域https://www.360docs.net/doc/c213981501.html,内部子网192.168.80.0/24 2、计算机规划 DC情况如下表: 地区DC计算机名IP 子网掩码DNS 长春Mywingc 172.16.18.51 255.255.255.0 172.16.18.51 Mywinsu 172.16.18.216 255.255.255.0 172.16.18.51 大连Hanwin01 10.10.10.1 255.255.255.0 172.16.18.51 Hanwin02 10.10..10.216 255.255.255.0 172.16.18.51 沈阳Tbwin01 192.168.80.173 255.255.255.0 172.16.18.51 Shiwin02 192.168.80.215 255.255.255.0 172.16.18.51 2M
windows_server2008域环境搭建
windows_server_2008_域环境搭建 目录 第一章虚拟场景 (2) 1、公司简介 (2) 2、公司现有IT状况 (2) 第二章实验设计 (2) 1、域规划 (2) 2、计算机规划 (3) 第三章具体实施 (3) 1、建立根域 (3) 1.1准备 (3) 1.2 安装 (3) 2、建立子域 (12) 3、额外域控制器建立 (17) 4、站点的建立与连接 (24) 4.1 创建站点 (24) 4.2 定义站点子网 (25) 4.3 定位服务器 (26) 4.4 配置站点连接器 (27) 5角色迁移 (28) 第四章实验中的问题 (32)
第一章虚拟场景 1、公司简介 某公司通过合理的运营和管理,发展迅速,员工人数已有200人左右,现在该公司总部设在长春,两个子公司分部在大连和沈阳,为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业网络。公司决定部署一个由200台计算机组成的局域网。用于完成企业数据通信和资源共享。 公司内部有:人力资源部、行政部、财务部、工程部、销售部、总经理办公室 2、公司现有IT状况 公司已有一个局域网,运行200台计算机,服务器操作系统是windows server 2008,客户机的操作系统是windows xp,工作在工作组模式下,员工一人一机办公。公司从ISP申请2M专线用于与各个子公司相连,实现各公司间资源交换与共享。由于计算机比较多,管理上缺乏层次,公司希望能够利用windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用. 第二章实验设计 1、域规划 一改以往的工作组模式,组建域,使管理更方便,工作的环境更安全,用户可以在任意一台域内的计算机登录,共享网络资源。 在总公司长春建立根域https://www.360docs.net/doc/c213981501.html,内部子网172.16.18.0/24 大连分部建立子域https://www.360docs.net/doc/c213981501.html,内部子网10.10.10.0/24 沈阳分部建立子域https://www.360docs.net/doc/c213981501.html, 内部子网192.168.80.0/24 2M
windows域控制器建立教程
把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
windows server 2008 r2创建AD域
部署企业中第一台Windows Server 2008 R2域控制器 已经完成了企业中Windows网络域森林的建立。但是,在企业中对于AD来讲,为了保证安全稳定运行,至少需要两台以上的物理域控制器。 在早期的Windows中可以部署备份域控制器(BDC);到WIN2K后,AD使用额外域控制器和操作主机角色来解决域控制器备份的问题;到了WIN08后,为了增加在分支机构的应用,引入了只读域控制器(RODC)概念,其和读写域控制器同时一同部署从而提高Windows AD的可用性。在此,主要讨论关于部署当前域的额外域控制器,即读写额外域控制器。 额外域控制器由于不是企业中的第一台域控制器,所以在其部署之前,亦即在创建域森林的时候就应该将其规划妥当。由此,虽然其没有首台DC部署那样需要注意的事项多,但是对于WIN08R2来讲还是有很多地方值得提及,也与早期的版本不同。 一、DC网络属性的基本配置 其配置情况主要应该参考当前网络规划和首台DC的配置而定,在此就延续前一篇文章所述内容来描述。由于首台DC被规划为同时充当DNS服务器,因此该台额外域控制器首选DNS 服务器配置项中的值应该指向首台DC的IP地址(如图1)。但是,在规划时这台额外域控制器同时还要作为域中的DNS服务器,并已经安装配置好DNS服务了,而且还从首台DC同步的DNS区域数据,那么可以将首选的DNS服务器选项设置为其自身IP地址。
图1 注意:如果企业中有专门的DNS服务器存在,则需要指向这些服务器,而不能指向首台DC。此外,同样需要将“网络和共享中心”窗口中的“公用网络”更改为“专用网络”。这样才能保证额外域控制在配置和运行中能够正常与其他服务器和客户通信。 二、准备安装AD服务 WIN08R2安装额外域控制器,依然是通过“服务器管理器”的角色添加来完成初始化的准备工作的。在角色选择过程中勾选“Active Directory域服务”(如图2),并根据向导完成初始化操作。
_创建windows域
创建Windows域 一、将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组 的逻辑环境叫做域。 域是组织与存储资源的核心管理单元。 二、活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法。 特点:1、集中管理 2、便捷的网络资源访问 3、可扩展性 三、域控制器(DC)的条件 安装者必须具有本地管理员权限 操作系统版本必须满足条件(Windows Server 2003除Web版外都满足) 本地磁盘至少有一个分区是NTFS文件系统 有TCP/IP设置(IP地址、子网掩码等) 有相应的DNS服务器支持 有足够的可用空间 一个域里至少需要一台DC(企业中一般至少2台DC,用来同步AD数据库,地位平等) 四、安装活动目录:2种方法:使用管理您的服务器向导;使用命令dcpromo 卸载活动目录:2种方法:使用管理您的服务器向导;使用命令dcpromo 把成员服务器升级为额外与控制器也可以用上面的2种方法。此时成员服务器上的本地账户全部消失。 五、活动目录的逻辑结构:林、树、域、OU 活动目录的物理结构:DC、站点 六、将计算机加入域 计算机IP地址正确,DNS指向DC(DNS安装在DC上)的IP地址。 加入域前检查网络的连通性。 七、DNS在域中的作用 1、域名的命名采用DNS标准 2、定位DC 客户端是如何通过DNS服务器查找到DC的呢?通过SRV记录,SRV记录将一种服务解析成提供该服务的计算机的DNS名称,而后由DNS映射到该服务提供的计算机相应的IP地址。 要补全SRV资源记录: 1、net stop netlogon和net start netlogon 2、删除DNS区域,重建DNS区域 八、域用户账户 本地用户帐户:存储在本地计算机SAM数据库 域用户帐户:存储在活动目录中DTDS.DIT 九、域用户账户 用户登录名:在域中必须惟一,最长20字符 登录时间:限制用户登录到域的时间
Windows域与802.1X协议统一认证解决方案
Windows域与802.1X协议统一认证解决方案--1 2010-08-21 10:45 Windows域与802.1X协议统一认证解决方案 【课程星级】★★★★★ 【实验名称】Windows域与802.1X协议统一认证解决方案 【实验目的】使管理人员了解Windows域与802.1X协议结合进行统一认证的配置方法。 【背景描述】 随着局域网的迅速发展,办公用户的网络安全问题日益突出。目前,各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。在许多企业的IT 管理过程中,往往注重对来自因特网的外部威胁防御,忽略了来自内部 的非法访问威胁。 这种威胁在大中型企业的IT 环境中影响尤其明显。因此,建立内部网络接入防御体系势在必行。很多企事业单位已经建立了基于Windows域的信息管理系统,通过Windows域管理用户访问权限和应用执行权限。然而,基于Windows的权限控制只能作用到应用层,而无法实现对用户的物理访问权限的控制,比如对网络接入权限的控制,非法用户可随意接入用户网络,这就给企业网的网络和应用安全带来很多隐患。为了更加有效地控制和管理网络资源,提高网络接入的安全性,很多政府和企业网络的管理者希望通过802.1x认证实现对接入用户的身份识别和权限控制。 通过802.1x 协议和活动目录技术相结合的方案,来实现设备接入的合法验证和管理。只有通过了内部域用户验证的计算机才能正常进行网络通讯,否则其接入端口数据将被阻隔。 下面我们就来看一下Windows域与802.1X协议统一认证解决方案的实现过程。【实验拓扑】 实验环境说明:本实验需要用到Windows 2003 Server,并且在Windows 2003 Server安装DNS、AD、DHCP、CA、IAS等组件,并且要求交换机支持802.1X协议与Guest VLAN功能。 本文详细地记录了配置Windows 2003 Server和交换机每一个步骤的实现过程,并力求层次清晰。但还是希望没有接触过Windows 2003 Server的读者了解Windows 2003 ServerDNS、 AD、DHCP、CA和IAS的相关知识,请参考相关书籍和网站。
windows域控制器配置教程
域控制服务器教程 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。