《Windows Server 2003组网技术与实训 第2版 第二届山东省高等学校优秀教材一等奖 教学课件 ppt 作者 杨云 平寒 薛立强 第4章 活动目录与用户管理(人邮第2版教材)》由会员分享,可在线阅读,更多相关《Windows Server 2003组网技术与实训 第2版 第二届山东省高等学校优秀教材一等奖 教学课件 ppt 作者 杨云 平寒 薛立强 第4章 活动目录与用户管理(人邮第2版教材)(139页珍藏版)》请在金锄头文库上搜索。
1、本章要点,域与活动目录的概念 活动目录的创建与配置 活动目录的备份与恢复 管理域用户和组 管理组织单元,第4章 活动目录与用户管理,4.1 域与活动目录 4.2 活动目录项目设计及准备 4.3 活动目录的创建与配置 4.4 活动目录的备份与恢复 4.5 管理域用户和组 4.6 管理组织单元(OU),4.1 域与活动目录,4.1.1 活动目录 活动目录是一个分布式的目录服务,信息可分散在多台不同的计算机上,保证用户能够快速访问,既提高了管理效率,又使网络应用更加方便。 活动目录就是Windows 网络中的目录服务,有两方面内容:目录和与目录相关的服务。 Active Directory存储了有关
2、网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等,并且让管理员和用户能够轻松地查找和使用这些信息。,什么是活动目录,Setup,London,Glasgow,nwtraders.msft,corp.nwtraders.msft,Vancouver,Santiago,Lima,Bonn,Lisbon,Brisbane,Perth,Denver,Stockholm,Nairobi,Khartoum,Tokyo,Manila,Montevideo,Caracas,Moscow,Bangalore,Suva,Auckland,Miami,Acapulco,Tunis,Casablanc
3、a,Singapore,成员服务器,活动目录对象,活动目录架构,对象类 举例,Printers,Computers,Users,用户的属性 可以包括,accountExpires department distinguishedName middleName,属性列表,accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName ,属性 举例,活动目录架构: 定义了数据类型、语法规则、命名约定。,4.1.2 域和域控制器,域(Dom
4、ain)是在Windows NT/2000/2003网络环境中组建客户机/服务器网络的实现方式,是Windows Server 2003域中Active Directory数据库的基本管理单位。 域控制器中保存着整个网络的用户账号及目录数据库,即活动目录,并且可以被网络应用程序或者服务所访问。 一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。,安全边界 安全边界的作用就是保证域的管理者只能在该域内有必要的管理权限,除非管理者得到其他域得明确授权。 复制单元 在域中,作为域控制器的计算机包含活动目录的副本。在一个特定的域中,所有域控制都能够得到活动目录得变化信
5、息,并把变化 信息复制给该域中得其它域 控制器。,Windows 2003 Domain,User1 User2,Replication,4.1.2 域和域控制器,域控制器,Domain Controller,Domain Controller,Domain,Replication,= A Writeable Copy of the Active Directory Database,Domain Controllers: 参与活动目录的复制 单主控操作,站点,Sites: 优化复制流量 使用户能够使用可靠、高速的连接登录到域控制器上,站点,Sites Domain controllers W
6、AN links,4.1.3 目录树,目录树:共用 连续名字空间 的域就组成一 个域目录树。,4.1.4 域目录林,目录林是一个或多个目录树的集合。 目录林中的目录树并不共用相同的连续的名字空间。,目录树和目录林,(root),树,双向可传递的信任,林,树,双向可传递的信任,Nwtraders.msft,Asia. Nwtraders.msft,Au. Nwtraders.msft,contoso.msft,asia. contoso.msft,au. contoso.msft,4.1.5 信任关系,信任关系是网络中不同域之间的一种内在联系。只有在两个域之间创建了信任关系,这两个域才可以相互访
7、问。 在通过Windows Server 2003系统创建域目录树和域目录林时,域目录树的根域和子域之间,域目录林的不同树根之间都会自动创建双向的、传递的信任关系,有了信任关系,使根域与子域之间、域目录林中的不同树之间可以互相访问,并可以从其他域登录到本域。,4.1.5 信任关系,如果希望两个无关域之间可以相互访问或从对方域登录到自己所在的域,也可以手工创建域之间的信任关系。,4.1.6 组织单元,组织单元是包含在活动目录中的容器对象,是可以指派组策略设置或委派管理权限的最小作用单位。 组织单元可以将用户、组、计算机和其他单元放入活动目录的容器。 组织单元不能包括来自其他域的对象。,地理位置的
8、组织结构,Sales,Vancouver,Repair,Users,Sales,Computers,网络管理模型,利用OU可以把对象组织到一个逻辑结构中使其最适应你的组织 需求。 可以把管理控制权委派给OU中的对象。要委派的管理控制权, 必须把OU及OU包含的对象的具体的权限指给一个或几个用户和组。,4.1.6 组织单元,轻型目录访问协议,LDAP(轻型目录访问协议)是用于查询和更新活动目录地目录服务协议。一个活动目录对象可以由一系列的域组件,OU它组成了活动目录中的命名路径。 LDAP 名包括: 可分辨名称(DN) 相对可分辨名称(RDN),可分辨名称(DN)和相对可分辨名称(RDN),CN
9、=,相对可分辨名称(RDN),组织单位模型,4.1.6 组织单元,创建组织单元有如下好处: (1)可以分类组织对象,使所有对象结构更清晰。 (2)可以对某些对象配置组策略,实现对这些对象的管理和控制。 (3)可以委派管理控制权,如管理员可以给不同部门的网络主管授权,让他们管理本部门的账号。,4.2 项目设计 及准备,项目设计,项目准备,4.2 活动目录项目设计及准备,1. 项目设计,域林有两个域树:和,其中域树下有子域,在域中有两个域控制器win2003-1与win2003-2;在域中除了有一个域控制器win2003-3外,还有一个成员服务器win2003-5。,网络规划拓扑图,1. 项目设计
10、,为了搭建上图的网络环境,需要如下设备: 安装Windows Server 2003的PC计算机5台; Windows XP计算机1台; Windows Server 2003安装光盘。 或者在虚拟机中实现,1. 项目准备,4.3 活动目录的创建与配置,Active Directory Installation Requirements,计算机是运行 Windows 2003 standerd Server, Windows 2003 Enterprise Server, or Windows 2003 Datacenter Server 活动目录的分区要求磁盘空间 200 MB ,日志文件要
11、求50 MB 用NTFS格式化分区或卷,这是(SYSVOL) 文件夹必须的。 配置DNS 和TCP/IP 如果在已存在的网络上创建域,必须有相应的权限,如何创建Windows 2003 域,服务器安装向导 运行dcpromo,1. 创建第一个域,启动Windows Server 2003系统,以Administrator权限登录 。,Active Directory安装向导,提示操作系统兼容性,选择域控制器类型,选择创建的域的类型,指定域名,指定域的NetBIOS名称,指定放置Active Directory 数据库和日志文件的文件夹,数据库日志和系统卷设置,DNS注册诊断,选择兼容模式,设定
12、还原模式管理员密码,安装选项摘要,提示重启计算机以使更改生效,安装完成后,需要重启计算机。,2. 安装后检查,(1)计算机名,2. 安装后检查,(2)管理工具中会添加包括“Active Directory 用户和计算机”、“Active Directory站点和服务”、“Active Directory域和信任关系”等管理工具。 (3)活动目录对象,(4)检查活动目录默认结构,(4) Active Directory 数据库 Active Directory数据库文件保存在 %SystemRoot%Ntds 文件夹中,主要的文件有: Ntds.dit:数据库文件。 Edb.log:日志文件。
13、Edb.chk:检查点文件。 Res1.log、Res2.log:保留的日志文件。 Temp.edb:临时文件。,(5)DNS记录,(6)验证活动目录的安装,Verifying the Active Directory Installation,验证SRV资源记录 验证SYSVOL已成功创建并已正常共享 验证活动目录数据库和日志文件已成功创建 检查日志文件看安装过程中有没有出现错误,3. 安装额外的域控制器,在一个域中可以有多台域控制器。 在安装额外的DC时,需要将活动目录数据库由现有的域控制器复制到这台新的DC上。,练习:添加辅助DC,方法1: 在辅助上运行DCpromo升级 方法2: 通过
14、备份主DC 的活动目录数据库,在辅助DC 上运行dcpromo /adv (方法2参考人民邮电网站上的资料或与作者联系。),4. 创建子域,在要升级为域控制器的独立服务器上,设置“本地连接”属性。 运行活动目录安装向导。,5. 创建林中的第二棵域树,什么是目录树 什么是目录林 多域的特征,什么是目录树,共用的连续名字空间的多层域形成目录树,什么是目录林,什么是目录林根域,目录林的相关信息,目录林根域中的第一个域控制器配置成用来存储全局目录信息 目录林根域还包含目录林的配置信息和架构信息。 包含两个预定义的组:Enterprise admin和Schema admin,多域的特征,1 . 减少复
15、制通信,2 . 保持不同域之间独立清晰的安全策略,3 . 分散的管理控制,演示:创建目录树和目录林,在安装活的目录并创建单个域以后,用户可以再利用活动目录向导dcpromo.exe,通过创建目录树和目录林完成添加附加域的整个过程。 创建活动目录时必须提供的信息依赖于是否在现存目录林中创建子域或创建新树。,(1)创建DNS域 (2)安装域树的域控制器,5. 创建林中的第二棵域树,(1)创建DNS域 (2)安装域树的域控制器,6. 创建林中的第二棵域树,6.域控制器降级为成员服务器,删除活动目录,删除时要注意以下三点: (1)如果该域内还有其他域控制器,则该域会被降级为该域的成员服务器。 (2)如果这个域控制器是该域的最后一个域控制器,则被降级后,该域内将不存在任何域控制器了。因此,该域控制器被删除,而该计算机被降级为独立服务器。 (3)如果这台域控制器是“全局编录”,则将其降级后,它将不再担当“全局编录”的角色,因此请先确定网络上是否还有其他的“全局编录”域控制器。,删除活动目录,删除活动目录 1.利用安装向导 2.提供有效的管理员身份,Active Directory安装向导,全局编录确认,删除域控制器,应用程序目录分区,确认删除,管理员密码,7.独立服务器提升为成员服务器,登录域,用户
