《WindowsServer2008域及账户管理》由会员分享,可在线阅读,更多相关《WindowsServer2008域及账户管理(52页珍藏版)》请在金锄头文库上搜索。
1、2010年9月16日第3章 Windows Server 2008 域及其账户管理3.1 活动目录的概述 3.1.1 目录服务的含义 3.1.2 需要目录服务的原因 3.1.3 活动目录与域 3.2 ACTIVE DIRECTORY的物理结构 3.2.1 域控制器 3.2.2 站点 3.3 域信任关系 3.4 ACTIVE DIRECTORY 的安装 3.4.1 域控制器的安装 3.4.2 将计算机加入到域 3.5 域账户管理 3.5.1 域用户账户 3.5.2 域用户组账户 3.5.3 组、用户账户的创建【内容提要】 活动目录的概述 活动目录的组成 活动目录的安装 活动目录(Active D
2、irectory)是Windows Server 2008系统中提供的目录服务,用于存储网 络上各种对象的相关信息,以便于管理员查找和使 用。活动目录是企业IT管理的重要组成部分,掌握 活动目录对提高Windows Server 2008的管理技能 具有非常重要的意义。本章讨论活动目录的基本概 念、结构元素和特性,并介绍有关活动目录服务的 基本操作。活动目录的概述 活动目录(Active Directory)是Windows Server 2008操作系统提供的一种新的目录服务。 所谓目录服务其实就是提供了一种按层次结构组织 的信息,然后按名称关联检索信息的服务方式。这 种服务提供了一个存储在
3、目录中的各种资源的统一 管理视图,从而减轻了企业的管理负担。另外,它 还为用户和应用程序提供了对其所包含信息的安全 访问。活动目录作为用户、计算机和网络服务相关 信息的中心,支持现有的行业标准LDAP( Lightweight Directory Access Protocal,轻量目 录访问协议)第8版,使任何兼容LDAP的客户端都 能与之相互协作,可访问存储在活动目录中的信息 ,如Linux、Novell系统等。3.1.1 目录服务的含义 目录是一个用于存储用户感兴趣的对象信息的信息 库。所谓目录服务就是结构化的网络资源信息库, 如计算机、用户、打印机、服务器等。 活动目录(Active
4、Directory)是用于Windows Server 2008 的目录服务。它存储着本网络上各种 对象的相关信息,并使用一种易于用户查找及使用 的结构化的数据存储方法来组织和保存数据。在整 个目录中,通过登录验证以及目录中对象的访问控 制,将安全性集成到 Active Directory中。3.1.2 需要目录服务的原因 目录服务可以实现如下的功能: (1)提高管理者定义的安全性来保证信息不受入 侵者的破坏; (2)将目录分布在一个网络中的多台计算机上, 提高了整个网络系统的可靠性; (3)复制目录可以使得更多用户获得它并且减少 使用和管理开销,提高效率; (4)分配一个目录于多个存储介质中
5、使其可以存 储规模非常大的对象。3.1.3 活动目录与域 Windows域(Domain)是基于NT技术构建的 Windows系统组成的计算机网络的独立安全范围, 是Windows的逻辑管理单位,也就是说一个域就是 一系列的用户账户、访问权限和其他的各种资源的 集合。活动目录的结构如图3.1所示。图3.1 活动目录的结构1对象 对象(Object)是对某具体事物的命名,如用户、 打印机或应用程序等。属性是对象用来识别主题的 描述性数据。一个用户的属性可能包括用户的 Name、Email和Phone等,如图3.2所示,是一个 用户对象和其属性的表示。图3.2 用户对象和它的属性2域 域(Doma
6、in)是Windows Server 2008活动目录 的核心单元,是共享同一活动目录的一组计算机集 合。域是安全的边界,在默认的情况下,一个域的 管理员只能管理自己的域,一个域的管理员要管理 其他的域需要专门的授权。域也是复制单位,一个 域可包含多个域控制器,当某个域控制器的活动目 录数据库修改以后,会将此修改复制到其他所有域 控制器。3组织单元 组织单元(OU,Organizational Unit)是组织、 管理一个域内对象的容器,它能包容用户账户、用 户组、计算机、打印机和其他的组织单元。4树 树(Tree),又称为域树,用来描述对象及容器的分层结构关 系。域树是由若干具有共同的模式、
7、配置的域构成的,形成了 一个临近的名字空间。在树中的域也是通过信任关系连接起来 的。活动目录是一个或更多树的集合。树可以通过两种途径表 示,一种是域之间的关系,另一种是域树的名字空间 一棵Windows Server 2008域树就是一个DNS名字空间。域 树名字空间具有以下特点: (1)一棵树只有一个名字,即位于树根处的域的DNS名字; (2)在根域下面创建的域(子域)的名字总是与根域的名字 邻接; (3)一棵树子域的DNS名字是反映该组织机构的。5树林 树林(Forest):树林是一棵或多棵Windows Server 2008活动目录树的集合。各树之间地位相 当,由双向传递的信任关系相关
8、联。单个域组成一 棵单域的树,单棵树组成单树的树林。树林与活动 目录是同一个概念,也就是说,一个特定的目录服 务实例(包括所有的域、所有的配置和模式信息) 中的全部目录分区集合组成一片树林。3.2 Active Directory的物理结构 3.2.1 域控制器 域控制器是运行Active Directory 的 Windows Server 2008服务器。由于在域控制器上,Active Directory 存储了所有的域范围内的账户和策略信 息,如系统的安全策略、用户身份验证数据和目录 搜索。账户信息可以属于用户、服务和计算机账户 。由于有Active Directory 的存在,域控制器
9、不需 要本地安全账户管理器(SAM)。在域中作为服务 器的系统可以充当以下两种角色中的任何一种:域 控制器或成员服务器。3.2.2 站点 Active Directory中的站点代表网络的物理结构或 拓扑。Active Directory 使用在目录中存储为站点 和站点连接对象建立起最有效的复制拓扑。可以将 站点定义为由一个或多个 IP 子网的一组连接良好 的计算机集合。站点与域不同,站点代表网络的物 理结构,而域代表组织的逻辑结构。 站点在概念上不同于Windows Server 2008 的域 ,因为一个站点可以跨越多个域,而一个域也可以 跨越多个站点。站点并不属于域名称空间的一部分 ,站
10、点控制域信息的复制,并可以帮助确定资源位 置的远近。站点反映网络的物理结构,而域通常反 映组织的逻辑结构。3.3 域信任关系 信任是域之间建立的关系,它可使一个域中的用户 由处在另一个域中的域控制器来进行验证。 Windows Server 2008域之间信任关系建立在 Kerberos安全协议上。Windows Server 2008树 林中的所有信任都是可传递的、双向信任的,因此 ,信任关系中的两个域都是相互受信任的。如图3.4 所示。图3.4 一个域树和它的信任关系表示8.4 Active Directory 的安装 Active Directory和DNS具有相同的层次结构。 DNS区
11、域可存储在Active Directory中。如果要使 用Windows Server 2008 DNS服务,主区域文件 可存储在Active Directory 中,用于复制到其他 Active Directory域控制器中。 Active Directory 客户使用DNS来定位域控制器。 将Windows Server 2008服务器的基本系统安装完 成之后,可以通过手动安装域名服务器(DNS)和 DCPromo(创建DNS和Active Directory的命令行 工具),也可以使用“Windows Server 2008管理 服务器”向导进行安装。下面介绍具体的安装方法 。8.4.1
12、 域控制器的安装 1Windows Server 2008 管理服务器安装 安装AD DS之前需验证Windows Server 2008系统 、配置TCP/IPv4属性、设置AD DS 的数据库、日志 文件以及SYSVOL文件夹。在计算机WIN上安装 Active Directory域服务和DNS服务,域名为 “”。Windows Server 2008 管理服务器安装 (1)单击“开始 | 运行”,在运行对话框中输入 “dcpromo”命令,出现如图3.5所示的界面,开始 安装Active Directory域服务二进制文件。图3.5安装Active Directory域服务二进制文件Wi
13、ndows Server 2008 管理服务器安装 (2)Active Directory域服务二进制文件安装完之 后,将打开如图3.6所示的”Active Directory域服务 安装向导”,通过该向导把当前计算机配置为域控 制器。图3.6 Active Directory域服务安装向导Windows Server 2008 管理服务器安装 (3)单击“下一步”按钮,出现“操作系统兼容性” 对话框。 (4)单击“下一步”按钮,在出现的“选择一部署配 置”对话框中选择“在新林中新建域”复选框,如图 图3.7所示。图3.7 在新林中新建域Windows Server 2008 管理服务器安装
14、(5)单击“下一步”按钮,出现“命名林根域”对话 框,在“目录林根级域的FQDN”文本框中输入新的 林根级完整的域名系统名称为“”如图 3.8所示。图3.8命名林根域Windows Server 2008 管理服务器安装 (6)单击“下一步”按钮,开始检查网络中是否已经存 在名为“”的林的名称,如果没有检查 到该林,则出现如图3.9所示的对话框。图3.9 设置林功能级别Windows Server 2008 管理服务器安装 (7)单击“下一步”按钮,出现如图所示的“设置域 功能级别”对话框。有Windows 2000纯模式、 Windows Server 2003和 Windows Serve
15、r 2008 三个域功能级别,默认域功能级别为Windows 2000纯模式。图3.10设置域功能级别Windows Server 2008 管理服务器安装 (8)单击“下一步”按钮,开始检查计算机上DNS 配置,检查完毕出现“其他域控制器选项”对话框, 选择“DNS服务器”复选框将该计算机配置为DNS服 务器,如图3.11所示。在该对话框中的选项说明如 下:图3.11选择其它域控制器Windows Server 2008 管理服务器安装 (9)单击“下一步”按钮,弹出如图3.12所示的界 面,该信息表示因为无法找到有权威的父区域或者 未运行DNS服务器,所以无法创建该DNS服务器的 委派。图
16、3.12无法创建DNS委派Windows Server 2008 管理服务器安装 (10)单击“是”按钮,出现“数据库、日志文件和 SYSVOL的位置”对话框,在该对话框中指定活动 目录数据库、日志文件以及SYSVOL文件夹的存储 位置,其中SYSVOL文件夹必须存在NTFS文件系 统的分区上,如图3.13所示。图3.13指定数据库、日志文件以及SYSVOL文件夹的位置Windows Server 2008 管理服务器安装 (11)单击“下一步”按钮,出现“目录服务还原模 式的Adminstrator密码”对话框,在该对话框中指 导定在目录服务还原模式下所需的密码,该密码必 须符合密码策略规定的复杂性要求,如图3.14所示 。图3.14设置目录服务还原模式的Adminstrator密码Windows Server 2008 管理服务
