收藏
下载资源

AD域管理员手册v

上传人:我*** 文档编号:135940378 上传时间:2020-06-20 格式:DOC 页数:64 大小:970KB
返回 下载 相关 举报
AD域管理员手册v_第1页
第1页 / 共64页
AD域管理员手册v_第2页
第2页 / 共64页
AD域管理员手册v_第3页
第3页 / 共64页
AD域管理员手册v_第4页
第4页 / 共64页
AD域管理员手册v_第5页
第5页 / 共64页
点击查看更多>>
资源描述

《AD域管理员手册v》由会员分享,可在线阅读,更多相关《AD域管理员手册v(64页珍藏版)》请在金锄头文库上搜索。

1、ADAD 域管理员手册域管理员手册 广州中软信息技术有限公司广州中软信息技术有限公司 20092009 年年 1212 月月 版本控制版本控制 版本号日期作者 修改者说明 1 02009 12黄伟炫初稿 目目录录 第一章第一章 AD 域概述域概述 4 1 1 AD 的逻辑结构 4 1 2 AD 的物理结构 5 1 3 WIN2003 AD 新特性 6 第二章第二章 AD 域的安装和卸载域的安装和卸载 8 2 1 安装 WIN2003 AD 8 2 2 确认 AD 的安装 15 2 2 1 默认容器 15 2 2 2 Active Directory 数据库 16 2 2 3 根域验证 16 2

2、 2 4 DNS 17 2 3 自动卸载 WIN2003 AD 17 2 4 手动卸载 WIN2003 AD 18 第三章第三章 基本配置基本配置 23 3 1 划分 OU 23 3 2 站点管理 26 3 3 建立域间信任 27 3 4 防病毒软件排除 28 3 5 客户端计算机加入域 30 第四章第四章 备份与恢复备份与恢复 32 4 1 备份 AD 32 4 2 AD 灾难恢复流程 35 4 2 1 灾难类型 35 4 2 2 恢复方法 35 4 2 3 恢复流程 35 4 3 非权威恢复与权威恢复 40 4 3 1 非权威恢复 40 4 3 2 权威恢复 41 4 4 非权威恢复具体操

3、作 41 4 5 权威恢复恢复具体操作 42 4 6 AD 操作主机转移 43 4 7 还原模式密码更改 47 4 8 恢复 ACTIVE DIRECTOR 48 4 8 1 环境分析 48 4 8 2 从 AD 中清除主域控制器对象 48 4 8 3 在额外域控制器上通过 ntdsutil exe 工具夺取五种 操作 50 4 8 4 设置额外控制 为 全局编录 52 4 8 5 重新安装并恢复损坏主域控制器 52 4 8 备份与恢复 DHCP 53 第五章第五章 组策略组策略 53 5 1 组策略概念 53 5 2 GPMC 54 5 3 常用组策略 55 5 3 1 禁止客户端退出域 5

4、5 5 3 2 修改软件安装的选项 56 5 3 3 修改硬件驱动安装的选项 57 5 3 4 开放 WINXP 防火墙端口 58 第六章第六章 常用脚本常用脚本 59 6 1 管理员密码修改脚本 59 6 2 用户导出脚本 60 6 3 用户自动加入域 61 6 4 将密码设置为从不过期 62 6 5 创建 1 000 个用户帐户 63 6 6 用户帐户属性 63 6 7 用户帐户添加模版 65 附录附录 66 附录一 实施环境准备参考表 66 第一章第一章 AD 域概述域概述 目录服务是一种分布式数据库 用于存储与网络资源有关的信息 以便于 查找和管理 Microsoft Active D

5、irectory 是用于 Windows 目录服务的实现 涉及目录服务的基本问题围绕着可以将哪些信息存储在数据库中 存储的方式 是什么 如何查询特定的信息 以及如何对结果进行处理 Active Directory 包 含目录服务本身 以及允许访问支持 X 500 命名规则的数据库的从属服务 活动目录服务提供了单一登录的能力并且为你的整个网络架构提供了一个 集中的信息知识库 它大大的简化了用户和计算机的管理并且提供了网络资源 的更好的访问方式 1 1 AD 的逻辑结构的逻辑结构 网络的逻辑结构是由无形的项目组成的 如对象 OU 域 目录树和目录林 Active Directory 的基本结构块是

6、对象 这是一个代表网络资源的已命名 特定属性集 对象属性是目录中对象的特征 对象也可以按类进行分组 类是 对象的逻辑分组 用户 组和计算机是不同对象类的例子 在最低一层 某些对象代表网络上的单个实体 如用户或计算机 这些实 体称为叶对象 它们不能包含其它对象 但是 为了简化目录的管理和组织 可以将叶对象放在其它对象 称为容器对象 内部 容器对象也可以采用嵌套 或层次 形式包含其它容器 容器对象最常用的类型是组织单元 OU 可以使用 OU 将对象进行分类 并将域变成某种类型的逻辑管理分组 尤其要注意的是 域中 OU 的结构和层 次与任何其它域的结构无关 所有网络对象只能在一个域中存在 无论是叶对

7、象还是容器对象 为反映 组织网络的特点 可以使用域将相关对象分成一组 每个创建的域仅存储所包 含对象的信息 而不存储其它对象的信息 每个域表示一个安全边界 对每个 域中对象的访问是由访问控制项 ACE 控制的 后者包含在访问控制列表 ACL 中 这些安全设置并不跨越域边界 在 Active Directory 中 域也可 以称为 分区 因为域是 Active Directory 数据库的物理分区 所以您既可 以按照业务功能 人力资源 销售或财务 也可以按照位置 地理或相对 建 立其结构 当将相关域分成一组以便共享全局资源时 您就创建了 目录树 尽管目 录树可以只包含一个域 但是您可以将层次结构

8、中相同名称空间的多个域合并 在一起 可以使用基于 Kerberos 的安全功能 通过双向信任关系将目录树中 的域透明地连接在一起 这些信任关系可以是永久性的 也可以是暂时的 目录树中的所有域共享所有对象类型的正式定义 称为 架构 此外 任何给定目录树中的所有域还共享全局编录 GC 是目录树中对象的中央储存 库 在最高一级 可以将单独的目录树分成一组形成 目录林 可使用目录林 将组织中的不同部门 甚至不同组织组合到一起 这些部门不必共享相同的命 名架构并且独立运作 但彼此之间可以进行通信 目录林中的所有目录树共享 相同的架构 全局编录和配置容器 再者 基于 Kerberos 的安全功能在目录 树

9、之间提供了信任关系 1 2 AD 的物理结构的物理结构 AD 域的物理结构主要由两大部分组成 域控制器以及站点 域控制器就是存储活动目录的地方 一个域可以有一个或几个域控制器 在域中 各域控制器相互复制活动目录的改变 在目录林中 各域控制器相互 之间也把信息自动复制给对方 站点 Site 是由一个或多个 IP 子网中的一组计算机 确保目录信息的有效交 换 站点中的计算机需要很好地连接 尤其是子网内的计算机 站点和域名称 空间之间没有必要的连接 站点反映网络的物理结构 而域通常反映用户单位 的逻辑结构 逻辑结构和物理结构相互独立 所以网络的物理结构及其域结构 之间没有必要的相关性 活动目录允许单

10、个站点中有多个域 单个域中有多个 站点 如果配置方案未组织成站点 则域和客户之间的信息交换可能非常混乱 站点能提高网络使用的效率 1 3 WIN2003 AD 新特性新特性 Windows Server 2003 对于活动目录进行了许多的改善 使得它功能更强 大 更可靠也更经济 Windows Server 2003 中的活动目录提供了如下特性 更易于部署和管理更易于部署和管理 Windows Server 2003 增强了管理员的能力以使其即使在包含多个森林 域及站点的大企业中也能有效的配置和管理活动目录 改进的迁移和管理工具 连同重命名域的功能 使得部署活动目录任务明显简化 工具也提供了更

11、加人 性化的拖曳 多对象的选择以及保存和重用查询的功能 另外对组策略进行了 改进以使其能够被更加简单和有效地在活动目录环境中对大量用户和计算机进 行管理 ADMT 2 0 版本版本 重命名域重命名域 架构 架构 Schema 重定义 重定义 活动目录应用模式活动目录应用模式 AD AM 组策略的改进组策略的改进 增强的用户界面增强的用户界面 更加安全更加安全 额外的安全特性使得管理多森林和跨域信任关系更加容易 跨森林的信任 关系是有别于现有 Windows 信任关系的新类型 它可以管理两个森林间的安全 关系 大大简化了跨森林的安全管理以及验证 用户可以在不用牺牲单一登 录功能的情况下 访问其他

12、森林的资源 并且由于只需在用户所在的森林中维 护它的用户 ID 和口令 因此管理也被大大的简化了 这对于一些需要在某些分 公司或区域拥有自己森林的场景提供了更好的灵活性 同时也有利于对活动目 录的维护 此外 Windows Server 2003 提供了一个新的凭证管理器来放置用 户的凭证以及 X 509 证书 软件控制策略使得管理员可以阻止用户在网络中安 装不被允许的程序 跨森林验证跨森林验证 跨森林授权跨森林授权 交叉认证的增强 交叉认证的增强 Cross Certification IAS 和跨森林验证和跨森林验证 凭证管理器 凭证管理器 Credential Manager 软件限制策

13、略软件限制策略 改进的性能与可靠性改进的性能与可靠性 Windows Server 2003 能够更加有效的管理活动目录的复制与同步 不管 是在域内还是在域间管理员都可以更好地控制需要在域控制器间进行同步的信 息类型 此外 活动目录提供了许多技术可以智能地选择只将那些发生了更改 的信息进行复制 而不是机械地复制整个目录数据库 在远程办公室更容易登录在远程办公室更容易登录 组成员列表复制的增强组成员列表复制的增强 应用程序目录分区应用程序目录分区 利用媒介安装副本利用媒介安装副本 可靠性的改善可靠性的改善 第二章第二章 AD 域的安装和卸载域的安装和卸载 2 1 安装安装 WIN2003 AD

14、所有的新安装都是安装成为 Member Server 如果您在新安装 WIN2003 SERVER 时选择安装了 活动目录 选项 则系统就会出现类似于 如果您此时安 装活动目录则系统中的所有域名就不能再次改变 之类的提示 一般情况下 我们在新安装系统时不选择安装活动目录 以便我们有时间来具体规划与活动 目录有关的协议和系统结构 目录服务都需要事后用 Dcpromo 的命令特别安装 Dcpromo 是一个图形化的向导程序 引导用户一步一步地建立域控制器 可以 新建一个域森林 一棵域树 或者仅仅是域控制器的另一个备份 非常方便 很多其他的网络服务 比如 DNS Server DHCP Server

15、 和 Certificate Server 等 都可以在以后与活动目录集成安装 便于实施策略管理等 这个图形化界面向 导程序也没有什么特别之处 只要我们在前面理解好了活动目录的含义 并进 行了安装前的一系列规划 则可以很容易完成所有的安装任务 活动目录还充分地考虑到了备份和恢复目录服务的需要 WIN2K 备份工具 中有专门备份活动目录的选项 在出现意外事故的时候 可以在机器启动时按 F8 进入安全恢复模式 保证减少灾难的恶性影响 1 在 运行 菜单内键入 Dcpromo 系统自动出现如下菜单 2 单击 下一步 按钮 打开 域控制器类型 对话框 选择 新域的域控制器 单选按钮 使服务器成为新域中

16、的第一个域控制器 如果网上已有域控制器 可选择 现有域的额外域控制器 单选按钮 3 单击 下一步 按钮 打开 创建目录树或子域 对话框 如果用户不想让新域 成为现有域的子域 可选择 创建一个新的域目录树 单选按钮 如果用户希望 新域成为现有域的子域 可选择 在现有域目录树中创建一个新的子域 单选按 钮 这里 选择 创建一个新的域目录树 单选按钮 4 单击 下一步 按钮 打开 创建或加入目录林 对话框 如果所创建的域为 单位的第一个域 或者希望所创建的新域独立于现有目录林 可选择 创建新的 域或目录树 单选按钮 如果希望新的域目录树中的用户可访问现有域目录树中 的资源 或希望现有域目录树中的用户访问新域目录树中的资源 可选择 将这 个新的域目录树放入现有的目录林中 单选按钮 这里 选择 创建新的域目录 树 单选按钮 5 单击 下一步 按钮 打开 新的域名 对话框 在 新域的 DNS 全名 文本框 中输入新建域的 DNS 全名 例如 6 单击 下一步 按钮 打开所示的 NetBIOS 域名 对话框 在 域 NetBIOS 名 文本框中输入 NetBIOS 域名 或者接受显示的名称 NetB

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 事务文书

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号