项目6ActiveDirectory域服务的配置与管理

《项目6ActiveDirectory域服务的配置与管理》由会员分享，可在线阅读，更多相关《项目6ActiveDirectory域服务的配置与管理（46页珍藏版）》请在金锄头文库上搜索。

1、Windows server 2008 服务 器配置与管理第6章 Active Directory域服务的配置与管理项目6 Active Directory域服务的配置与管理n本章要点 Active Directory与域。创建Active Directory域。 将Windows计算机加入域。 管理Active Directory内的组织单位和用户账户。管理Active Directory中的组账户。n技能目标理解域和工作组的区别，熟悉活动目录的相关概念。 掌握Active Directory域的创建条件、安装与配置方法。 掌握将Windows计算机加入和登录域的方法，能够使用活动目录 中资

2、源。 掌握Active Directory内的组织单位创建和管理方法，用户账户创 建和管理方法。 理解域内组账户的类型和作用域，掌握Active Directory内的组账 户的创建和管理方法。 项目6 Active Directory域服务的配置与管理 n6.1 真实情景导入 n6.2 Active Directory与域 n6.3 任务1-安装Windows Server 2008域控制器 n6.4 任务2-Windows Server 2008活动目录的管理 n6.5 回到工作情景n6.6 项目实训-活动目录的安装与管理 6.1 真实情景导入 工作场景Contoso是一家IT公司，随着该

3、公司规模的不断壮大，不 仅部门增多，个人计算机和服务器的数量也越来越多。 作为网管员的小明面对各种各样的管理问题，比如因为 几百台计算机要上千人公用，还要能保证安全，就要给 每个人在每台机器上都设置用户名密码，来了新同事， 要在每台机器上给他开新账号，他离职了，还要每台机 器删除该账号，这无疑是一个令人疯狂的工作，但是， 小明想到了域控制器和活动目录。假设该公司的域名是 。 引导问题n(1) 如何创建Active Directory？创建时对服务器有什么要求 ？创建完成后如何管理？n(2) 一台Windows客户机如何添加到域中？如何使用Active Directory中的资源？n(3) 组织

4、单位是什么？如何创建和管理？n(4) 域用户账户和本地用户账户有何区别？如何创建和管理 域用户账户？n(5) 域组账户和本地组账户有何区别？如何创建和管理域组 账户？ 6.2.1 工作组n1工作组的概念n2如何加入和退出工作组6.2.2 域 n1域名例子 n2域（Domain）是一个比工作组更严格的单位，但它可以包含若干个工作组。 n3. 域控制器 在“域”模式下，至少有一台计算机负责每一台联入网络的电脑和用户的验 证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller， 简写为DC） n4.活动目录 域控制器中包含了由这个域的账户、密码甚至该域其他计算机的软硬件

5、 信息等构成的数据库，该数据库也称为活动目录（Active Directory，简写为 AD） 6.2.3 域和工作组的区别 n 工作组可以说是“自由市场”， 有几个工作组 就有几个“自由市场”， 你可以随时自由出入而没 什么限制，从网上邻居最先看到的往往是自己机 器所在的工作组的机器们。而域是严格控制权限 的“私人会所”， 没有正确的域用户是根本无法登 录到域上的，也就无法访问域所控制的资源。 6.2.4 域树和域林 域 域树 域林 6.2.5 活动目录及其结构 n活动目录（Active Directory）是Windows Server 2008系统中提供的目录服务，用于存储网络上各种对

6、象的相关信息，以便于管理员查找和使用。 n目录是一个用于存储用户感兴趣的对象信息的信息库 。所谓目录服务就是结构化的网络资源信息库，如计 算机、用户、打印机、服务器等。 6.2.6 域中的计算机分类 n（1）域控制器 n（2）成员服务器 n（3）独立服务器n（4）域中的客户端 6.3 任务1-安装Windows Server 2008域控制器 n6.3.1 建立第一台域控制器 n6.3.2 在域中创建新用户 n6.3.3 客户机登录到域 6.3.1 建立第一台域控制器 n1域控制器的安装 （1） 在安装好windows server 2008之后，启动后会弹出“初始任务配置窗口”，如图6.9所

7、示。 图6.9 初始配置任务 n（2）选择“自定义此服务器”中的“添加角色”，弹出“添加角色向导”，如图6.10 所示，在开始之前首先，要求验证管理员是否具有强密码，是否已配置静态 IP地址，是否已安装最新的安全更新，如果上面的部分没有完成，再后续的 步骤中会出现警告信息或者错误，严重的会导致域控制器无法安装。 1域控制器的安装图6.10添加角色向导 1域控制器的安装n（3）选择“自定义此服务器”中的“添加角色”，在“添加角色向导”对话 框中的左边选择“服务器角色”，右边选择“Active Directory域服务”，如图6-11所示。 图6.11 选择服务器角色 1域控制器的安装n（4）需要

8、注意的是由于AD在某些版本的windows server 2008上必 须有“.NET Framework”功能的支持，所以在这一步后有时要求安装 “.NET Framework 3.5.1功能”，此时只需按照向导多执行一步即可。 演示用的版本不需安装。点击【下一步】即可。 图6.12 Active Directory域服务 1域控制器的安装n（5）在“Active Directory域服务”对话框中，向导会给出四点注意事项 ，如图6.12所示，根据这些注意事项可以了解到安装AD前后操作应 该执行的任务和AD需要的服务。点击【下一步】继续。点击【安装】继续，最终达到如图6.14安装结果。 图6

9、-14 安装结果 1域控制器的安装n6）当出现“安装结果”对话框时，如果没有错误，只有如图6.14所示的没有开 启更新的警告信息，则可以直接忽略，此时AD的安装准备已经完成，但是由 于该台计算机还不能完全正常运行DC，所以提示需要启用AD安装向导（ dcpromo.exe）来完成安装安装结束，选择“关闭该向导并启动Active Directory域服务器安装向导（dcpromo.exe）”或者直接点下面的【关闭】按 钮，然后在运行对话框中输入“dcpromo“，如图6.15所示。 图6.15 运行dcpromo命令 1域控制器的安装n（7）确定后经过系统自动检测，将出现AD安装向导的欢迎界面，

10、如图6.15 所示。在该对话框中可以选择使用标准或高级模式来进行安装。对于高级模 式是提供给有经验的用户，该模式对安装过程有更多的控制。此外，还可直 接在命令提示符下运行带有/adv开关的dcpromo命令（dcpromo /adv）来启 动高级向导。这里我们暂不选择高级模式。直接【下一步】按钮继续安装，如图6.16所示和图6.17所示。 图6.16 域服务安装向导 图6.17 操作系统兼容性 1域控制器的安装n（8）由于目的是部属企业中的第一个DC，所以在此应选择“在新林中新建域” 。因为，创建新林需要管理员权限，所以必须是正在其上安装AD的服务器本地管理员组的成员。继续【下一步】按钮，如入

11、6.18所示。 图6.18 选择部署配置 1域控制器的安装n（9）在“域服务安装向导”中选择“在新林中新建域”，下一步，对域林 的根域进行命名，如图6.19所示。需要在之前对DNS基础结构有一个 完整的计划。必须了解该林的完整DNS名称。可以在安装AD之前先 安装DNS服务器服务，或者在下面安装过程中直接选择让AD安装向 导安装DNS服务器服务。图6.19 设置域名 2.设置林功能级别 n（1）建议选择“windows server 2008”，但此时只能向该林中添加运 行Windows Server 2008或更高版本的域控制器。由于选择2000时， 某些高级功能在该域控上不可用，如图6.2

12、0所示。 图6.20 选择林功能级别 2.设置林功能级别n（2）单击【下一步】按钮，安装DNS服务器。如图6.21所示。 图6.21 为域控制器选择其他选项 2.设置林功能级别n（3）单击【下一步】按钮会弹出如图6.22的警告对话框，选择“是”。 这个对话框的出现是由于配置其它服务器时，选择了“DNS服务器”选 项，而当前计算机又未找到指定域的权威父域Windows DNS服务器 ，从而无法确定是否对指定域进行了委派导致的。图6.22 警告信息 2.设置林功能级别n（4）接下来确定AD数据库、日志文件和SYSVOL放置的位置，如图 6.23所示。对于数据库来讲主要存储有关用户、计算机和网络中其

13、它 对象的信息；日志文件记录与AD有关的活动；SYSVOL存储组策略 对象和脚本，其默认是位于C:windows目录中的操作系统文件的一部分。 图6.23 设置存储位置 2.设置林功能级别n（5）点击【下一步】按钮，向导要求输入“目录还原模式的 Administrator密码。如图6.24所示。图6.24 输入目录还原模式的Administrator密码2.设置林功能级别n（6）点击【下一步】按钮，显示安装摘要如图6.25所示，并且可以 单击“导出设置”将在此向导中指定的设置保存到一个应答文件。然后 ，可以使用应答文件自动执行AD的后续安装。图6.25 安装摘要2.设置林功能级别n（7）点击【

14、下一步】按钮，安装向导执行安装操作（如图6.26）。 如果没有勾选“完成后重新启动”复选框，则执行完毕后，AD安装向导 将出现完成安装页，如图6.27所示。图6.26 安装操作图6.27 完成安装2.设置林功能级别（8）点击【完成】按钮。系统会提示需要重新启动计算机配置才 能生效如图6.28所示。点击“立即重新启动”完成DC安装操作。图6.28 重启提示2.设置林功能级别n（9）重启后我们来验证下域控制器是否安装成功，首先看一下AD数 据文件是否产生，打开“计算机本地磁盘C:windowsNTDS文件夹， 如果有ntsd.dit文件，说明AD数据文件正常，如图6.29所示。图6.29 ntds

15、文件存在2.设置林功能级别n（10）再者是看DNS服务是否工作正常，与域相关的资源记录，特别 是SRV记录是否正确写入。如图6.30所示。图6.30 DNS服务正常6.3.2 在域中创建新用户n（1）点击“开始” “管理工具”“Active Directory用户和计算机”，打 开Users文件夹，如图6.31 所示，在右面，我们最常用到的3个用户 是Administrator、Domain Admins和Domain users。图6.31 域用户n（2）要新建域账户的话，直接在左侧Users文件夹上右击，选择“新 建”“用户”，建立名为zhangming的账户，如图6.32所示。6.3.2

16、 在域中创建新用户图6.32 新建用户n（3）点击【下一步】按钮，输入并确认密码，如图6.33所示。6.3.2 在域中创建新用户图6.33 设置密码和密码策略n（4）单击【下一步】按钮完成。如此时弹出错误提示，一般是因为 用户密码的复杂度不够，参照项目3更改密码复杂度即可。如图6.34所示。6.3.2 在域中创建新用户图6.34 用户创建完成n（5）用户创建完成后，出现zhangming账户，如图6.35所示。6.3.2 在域中创建新用户图6.35 新账户出现6.3.3 客户机登录到域n（1）客户机要登录到域，首先需要跟域控制器联通，比如我们以 windowsXP为例，设置客户机的地址如图6.40所示，设置后可在 命令行界面使用ping命令测试两台计算机是否能通信。图6.40 填写IP6.3.3 客户机登录到域n（2）如果能够联通，右击“我的电脑”，选择“属性”，在打开的“系 统属性”中