《Windows Server配置管理项目实训教程(第二版)-电子教案&习题答案-平寒 项目3 管理域和活动目录》由会员分享,可在线阅读,更多相关《Windows Server配置管理项目实训教程(第二版)-电子教案&习题答案-平寒 项目3 管理域和活动目录(112页珍藏版)》请在金锄头文库上搜索。
1、项目3 管理域和活动目录,3.1 相关知识 3.1.1 认识活动目录及意义 3.1.2 认识活动目录的逻辑结构 3.1.3 认识活动目录的物理结构 3.2 项目设计及准备 3.2.1 项目设计 3.2.2 项目准备,3.3 项目实施 3.3.1 任务1 创建第一个域(目录林根级域) 3.3.2 任务2 安装额外的域控制器 3.3.3 任务3 转换服务器角色 3.3.4 任务4 创建子域 3.3.5 任务5 创建双向可传递的林信任,项目3 管理域和活动目录,3.1 相关知识 3.1.1 认识活动目录及意义 3.1.2 认识活动目录的逻辑结构 3.1.3 认识活动目录的物理结构,项目3 管理域和活
2、动目录,活动目录 活动目录是一个分布式的目录服务,信息可分散在多台不同的计算机上,保证用户能够快速访问,既提高了管理效率,又使网络应用更加方便。 活动目录就是Windows 网络中的目录服务,有两方面内容:目录和与目录相关的服务。 Active Directory存储了有关网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等,并且让管理员和用户能够轻松地查找和使用这些信息。,3.1.1 认识活动目录及意义,什么是活动目录,3.1.1 认识活动目录及意义,活动目录对象,3.1.1 认识活动目录及意义,活动目录架构,对象类 举例,Printers,Computers,Users,用户的
3、属性 可以包括,accountExpires department distinguishedName middleName,属性列表,accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName ,属性 举例,活动目录架构: 定义了数据类型、语法规则、命名约定。,3.1.1 认识活动目录及意义,如果资源分布在多台服务器上,那就需要在每台服务器分别为每一员工建立一个用户(共M*N个),员工则需要在每台服务器上(共M台)登录。,3.1
4、.1 认识活动目录及意义,有了域,员工只需要在域中拥有一个域用户,因此管理员只须为员工创建一个域用户;员工只需要在域中登录一次就可以访问域中的资源了,实现了单一登录。,3.1.1 认识活动目录及意义,用户A,用户B,用户C,用户A,用户C,用户B,工作组,Active Directory 域环境,3.1.1 认识活动目录及意义,Active Directory,用户,用户账户,小组,组账户,计算机账户,3.1.1 认识活动目录及意义,AD DS 功能包括:,集中式目录,单一登录访问,集成安全性,可伸缩性,AD DS 提供了一个集中式的系统,用于管理网络上的用户、计算机和其他资源。,公共管理界面
5、,3.1.1 认识活动目录及意义,AD DS 由物理组件和逻辑组件组成。,3.1.2 认识活动目录的逻辑结构,域和域控制器,域(Domain)是在Windows NT/2000/2003网络环境中组建客户机/服务器网络的实现方式,是Windows Server 2003域中Active Directory数据库的基本管理单位。 域控制器中保存着整个网络的用户账号及目录数据库,即活动目录,并且可以被网络应用程序或者服务所访问。 一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。,3.1.2 认识活动目录的逻辑结构,安全边界 安全边界的作用就是保证域的管理者只能在
6、该域内有必要的管理权限,除非管理者得到其他域得明确授权。 复制单元 在域中,作为域控制器的计算机包含活动目录的副本。在一个特定的域中,所有域控制都能够得到活动目录得变化信息,并把变化 信息复制给该域中得其它域 控制器。,Windows 2008 Domain,User1 User2,Replication,域,3.1.2 认识活动目录的逻辑结构,组织单位,组织单位是包含在活动目录中的容器对象,是可以指派组策略设置或委派管理权限的最小作用单位。 组织单位可以将用户、组、计算机和其他单元放入活动目录的容器。 组织单位不能包括来自其他域的对象。,3.1.2 认识活动目录的逻辑结构,地理位置的组织结构
7、,Sales,Vancouver,Repair,Users,Sales,Computers,网络管理模型,利用OU可以把对象组织到一个逻辑结构中使其最适应你的组织需求。 可以把管理控制权委派给OU中的对象。要委派的管理控制权,必须把OU及OU包含的对象的具体的权限指给一个或几个用户和组。,组织单位,3.1.2 认识活动目录的逻辑结构,组织单位模型,3.1.2 认识活动目录的逻辑结构,组织单位,创建组织单位有如下优点: (1)可以分类组织对象,使所有对象结构更清晰。 (2)可以对某些对象配置组策略,实现对这些对象的管理和控制。 (3)可以委派管理控制权,如管理员可以给不同部门的网络主管授权,让他
8、们管理本部门的账号。,3.1.2 认识活动目录的逻辑结构,目录树,目录树:共用 连续名字空间 的域就组成一 个域目录树。,3.1.2 认识活动目录的逻辑结构,域目录林,目录林是一个或多个目录树的集合。 目录林中的目录树并不共用相同的连续的名字空间。,3.1.2 认识活动目录的逻辑结构,目录树和目录林,(root),树,双向可传递的信任,林,树,双向可传递的信任,Nwtraders.msft,Asia. Nwtraders.msft,Au. Nwtraders.msft,contoso.msft,asia. contoso.msft,au. contoso.msft,3.1.2 认识活动目录的逻
9、辑结构,全局编录服务器,全局编录:,包含林中所有 AD DS 对象的副本,但是该副本仅包含林中每个对象的部分属性,提高搜索对象的效率,因为它避免了不必要地引用域控制器,是用户登录到域中所必需的,全局编录服务器是存储了全局编录的副本的域控制器。,信任关系,信任关系是网络中不同域之间的一种内在联系。只有在两个域之间创建了信任关系,这两个域才可以相互访问。 在通过Windows Server 2003系统创建域目录树和域目录林时,域目录树的根域和子域之间,域目录林的不同树根之间都会自动创建双向的、传递的信任关系,有了信任关系,使根域与子域之间、域目录林中的不同树之间可以互相访问,并可以从其他域登录到
10、本域。,3.1.2 认识活动目录的逻辑结构,信任关系,如果希望两个无关域之间可以相互访问或从对方域登录到自己所在的域,也可以手工创建域之间的信任关系。,3.1.2 认识活动目录的逻辑结构,站点,Sites: 优化复制流量 使用户能够使用可靠、高速的连接登录到域控制器上,3.1.3 认识活动目录的物理结构,站点,Sites Domain controllers WAN links,3.1.3 认识活动目录的物理结构,3.1.3 认识活动目录的物理结构- AD DS 域控制器,域控制器:,承载 AD DS 目录存储的副本,提供身份验证和授权服务,将更新复制到域和林中的其他域控制器,域控制器是安装了
11、 AD DS 服务器角色的服务器。,允许在服务器上管理用户账户和网络资源,Windows Server 2008 AD DS 支持 RODC,域控制器,Domain Controller,Domain Controller,Domain,Replication,= A Writeable Copy of the Active Directory Database,Domain Controllers: 参与活动目录的复制 单主控操作,3.1.3 认识活动目录的物理结构,1. 项目设计,3.2 项目设计及准备,1. 项目设计,3.2 项目设计及准备,1. 项目准备,3.2 项目设计及准备,3.3
12、 项目实施 3.3.1 任务1 创建第一个域(目录林根级域) 3.3.2 任务2 安装额外的域控制器 3.3.3 任务3 转换服务器角色 3.3.4 任务4 创建子域 3.3.5 任务5 创建双向可传递的林信任,项目3 管理域与活动目录,任务1 创建第一个域(目录林根级域),任务1 创建第一个域(目录林根级域),使用“服务器管理器”安装 Active Directory 域服务角色,1,选择部署配置,3,配置附加域控制器功能,4,运行 Active Directory 域服务安装向导,2,选择数据库、日志文件和 SYSVOL 文件夹的位置,5,配置目录服务还原模式管理员密码,6,安装Activ
13、e Directory域服务,任务1 创建第一个域(目录林根级域),安装Active Directory域服务,任务1 创建第一个域(目录林根级域),安装Active Directory域服务,任务1 创建第一个域(目录林根级域),安装Active Directory域服务,任务1 创建第一个域(目录林根级域),安装Active Directory域服务,任务1 创建第一个域(目录林根级域),安装活动目录,任务1 创建第一个域(目录林根级域),安装活动目录,任务1 创建第一个域(目录林根级域),安装活动目录,任务1 创建第一个域(目录林根级域),DNS 和 AD DS 概述,AD DS 域控制
14、器记录必须在 DNS 中注册才能使其他域控制器和客户端计算机能找到该域控制器,任务1 创建第一个域(目录林根级域),安装活动目录,任务1 创建第一个域(目录林根级域),安装活动目录,任务1 创建第一个域(目录林根级域),安装活动目录,任务1 创建第一个域(目录林根级域),安装活动目录,任务1 创建第一个域(目录林根级域),安装活动目录,任务1 创建第一个域(目录林根级域),安装活动目录,任务1 创建第一个域(目录林根级域),验证Active Directory域服务的安装,(1)查看计算机名 (2)查看管理工具 (3)查看活动目录对象 (4)查看Active Directory数据库 (5)查
15、看DNS记录,任务1 创建第一个域(目录林根级域),(1)计算机名,验证Active Directory域服务的安装,任务1 创建第一个域(目录林根级域),(2)管理工具中会添加包括“Active Directory 用户和计算机”、“Active Directory站点和服务”、“Active Directory域和信任关系”等管理工具。 (3)活动目录对象,验证Active Directory域服务的安装,任务1 创建第一个域(目录林根级域),(4) Active Directory 数据库 Active Directory数据库文件保存在 %SystemRoot%Ntds 文件夹中,主要
16、的文件有: Ntds.dit:数据库文件。 Edb.chk:检查点文件。 Temp.edb:临时文件。,验证Active Directory域服务的安装,任务1 创建第一个域(目录林根级域),(5)DNS记录,验证Active Directory域服务的安装,任务1 创建第一个域(目录林根级域),Verifying the Active Directory Installation,验证SRV资源记录 验证SYSVOL已成功创建并已正常共享 验证活动目录数据库和日志文件已成功创建 检查日志文件看安装过程中有没有出现错误,验证Active Directory域服务的安装,任务1 创建第一个域(目录林根级域),将客户端计算机加入到域,任务1 创建第一个域(目录林根级域),任务2 安装额外的域控制器,任务2 安装额外的域控制器,任务2 安装额外的域控制器,任务2 安装额外的域控制器,三种角色:域控制器、成员服务器和独立服务器。
