《windows域配置及管理》由会员分享,可在线阅读,更多相关《windows域配置及管理(66页珍藏版)》请在金锄头文库上搜索。
1、北京天和科瑞咨询有限公司 北京邮电大学移动互联网与信息化实验室 2011年6月,Windows域配置及管理,域,DNS的作用,域的概念,将计算机加入域,DC的条件,创建域,域用户帐户,安装AD,组,安全组/通讯组,本地域组/全局组/通用组,用户配置文件,用户主文件夹,创建域帐户,域帐户属性,OU,OU的委派功能,OU概念,域的基本概念,域 将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域 域是组织与存储资源的核心管理单元 活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法,域的基本概念,活动目录 活动目录(Active Directory)是Wind
2、ows Server 2003平台提供的目录服务,在中央数据库中存放信息,使用户在网络上只拥有一个用户账号。 活动目录是一个全面的目录服务管理方案,也是一个企业级的目录服务,具有很好的可伸缩性。活动目录采用了Internet的标准协议,它与操作系统紧密地集成在一起。 活动目录可以管理诸如计算机对象、用户账户、打印机之类的网络资源。,域的基本概念,活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器 目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,(1) 信息的安全性大大增强 1
3、、活动目录集中控制用户授权 2、 提供存储和应用程序作用域的安全策略,提供安全策略的存储和应用范围。 (2) 引入基于策略的管理,使系统的管理更加明朗 作为目录,它存储着分配给特定环境的策略,称为组策略对象 (3) 具有很强的可扩展性 管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。 计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。,活动目录作用,(4)具有很强的可伸缩性 活动目录可包含在一个或多个域,每个域具有一个或多个域控制器,以便调整目录的规模以满足任何网络的需要 (5) 智能的信息复制能力 信息复制为目录提供了信息可用性、容错、负载平衡和性能优势,活动目录
4、使用多主机复制,允许在任何域控制器上而不是单个主域控制器上同步更新目录,(6)与DNS集成紧密 活动目录使用域名系统(DNS)来为服务器目录命名 (7)与其他目录服务具有互操性 LDAP是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议,所以可使用LDAP开发程序,与同时支持LDAP的其他目录服务共享活动目录信息。 (8)具有灵活的查询 任何用户可使用【开始】菜单、【网上邻居】或【活动目录用户和计算机】上的【搜索】命令,通过对象属性快速查找网络上的对象。,AD活动目录作用: 通过将企业网络中的各种资源,例如电脑,用户,共享的打印机,服务器等等组织起来形成活动目录域,在
5、这个域中把这些信息进行分类形成目录树。这样,用户通过一定的形式,就可以很方便的访问活动目录域中的信息. 这种便利的访问机制,也需要安全的保障机制!ad活动目录域正是基于这种信息共享基础上的安全管理规范。 安装了活动目录的计算机称为“域控制器”,只要加入并接受域控制器的管理就可以在一次登录之后全网使用,方便地访问活动目录提供的网络资源。对于管理员,则可以通过对活动目录的集中管理就能够管理全网的资源。,域是基本管理单位 域中可包含大量对象 计算机 用户 打印机 共享文件夹 域是活动目录的组成部分,Windows Server 2003 域概述,域及目录服务概述,活动目录是一个数据库 活动目录是一个
6、目录服务 可以定制活动目录 简化的管理 可扩展性 便捷的网络资源访问,域、域树、域森林,根域下面可以建立多层子域 域和子域构建成域树 多棵域树构建成森林 域之间自动建立双向信任关系,T,B,X,T,B,OU-组织单位,OU是活动目录中的一种对象 OU中可以建立子对象 利用OU可以模拟管理模型,域控制器,域控制器是存储活动目录数据库的计算机 一个域最少一台域控制器 多台域控制器需要同步数据库 域控制器存储着目录数据并管理用户域的交互,其中包括用户登录过程、身份验证和目录搜索。,站点,每个地理位置中的若干台域控制器可以划分为一个站点 站点内部优先同步活动目录数据库,同步后再和其他站点中的域控制器同
7、步,活动目录安装与卸载,安装者必须具有本地管理权限 操作系统必须满足条件(Windows Server 2003 Web版除外都满足) 本地磁盘至少有一个分区是NTFS文件系统 系统盘应该有最少300MB的剩余空间。 安装TCP/IP协议和相应的DNS服务器支持。 有相应的DNS服务器支持,活动目录安装与卸载,启动安装向导 使用管理您的服务器向导 使用命令DCPROMO,安装活动目录,主要步骤 是否创建新域 新域的DNS全名 新域的NetBIOS名 数据库和日志文件文件夹 共享的系统卷 DNS注册诊断 域兼容性 还原模式密码,DNS在域中的作用,DNS在域中有两个作用 域名的命名采用DNS标准
8、 办公网络与Internet集成 定位DC 1)客户机发送DNS查询请求给DNS服务器 2)DNS服务器查询匹配的SRV资源记录 3)DNS服务器返回相关DC的IP地址列表给客户机 4)客户机联系到DC 5)DC响应客户机的请求 域的DNS区域维护 SRV资源记录可以定位DC,活动目录安装与卸载,安装活动目录后操作系统的变化 (1)查看域控制器的计算机名 安装活动目录后DC(Domain Controller,即域控制器)的计算机名会发后变化,在DC上右键单击【我的电脑】,选择【属性】,在弹出的【系统属性】对话框中选择【计算机名】标签,可以查看当前域控制器的计算机名,查看管理工具 在DC上依次
9、打开【开始】【程序】【管理工具】,可以看到新增加5个与活动目录相关的工具,与活动目录相关的五个工具,Active Directory用户和计算机:该工具用于管理域中的用户、组、计算机账号及OU等 Active Directory域和信任关系:该工具用于管理活动目录域之间的信任关系 Active Directory站点和服务:该工具用于管理与活动目录复制相关的站点信息 域安全策略:该工具用于创建和管理域的安全策略 域控制器安全策略:该工具用于创建和管理域控制器的安全策略,查看用户和组账号的位置 活动目录安装成功后,计算机上的用户和组账号的位置会发生变化。在DC上打开【计算机管理】控制台,发现已经
10、看不到【本地用户和组】工具。,计算机管理控制台工具,在DC上使用【Active Directory用户和计算机】工具来管理用户和组账号。在DC上依次打开【开始】【程序】【管理工具】【Active Directory用户和计算机】,在控制台下打开Users容器,【Active Directory用户和计算机】工具管理用户和组,查看SYSVOL(系统卷)文件夹 对DC来说SYSVOL文件夹非常重要,如果SYSVOL文件夹创建的不正确,那么存储在此文件夹下的组策略、脚本等就不能正确的分发给域中的计算机,也无法在DC之间进行复制。 SYSVOL文件夹位于%systemroot%下,其中包含以下几个文件
11、夹,如后图所示。,Domain(域) Staging(分级) Staging areas(分级区域) Sysvol(系统卷),验证SYSVOL文件夹,(5)查看活动目录数据库和日志文件 缺省情况下活动目录数据库和日志文件存放在%systemroot%NTDS文件夹下,其中ntds.dit是活动目录数据库文件,还有检查点文件edb.chk、日志文件edb.log和保留日志文件res*.log等。,验证活动目录数据库和日志文件,活动目录域与DNS服务是紧密结合的,如果要使一个活动目录域正常工作,必须要有相应的DNS区域来支持它,而且还要有服务资源记录(SRV记录)。如下图所示为在DNS服务器上打开
12、DNS控制台查看活动目录域的区域情况。,在DNS服务器中查看活动目录域的SRV记录,查看DNS数据库,查看事件日志 安装活动目录后打开事件查看器可以看到增加了一个日志“目录服务”,在此会记录有关活动目录的信息。,查看事件查看器,五 将计算机加入到域,1、哪些计算机能成为Windows Server 2003域的成员 下面的操作系统主机可以成为域的成员:,Windows NT Windows 2000 Windows XP Windows Server 2003,系统属性对话框中“计算机名”标签,把计算机加入到域 为了更好地管理网络中的资源,充分利用活动目录的特点,应该把网络中的客户端计算机加入
13、到域,这样管理员就可以对域中的计算机进行集中的配置和管理,步骤 1、配置客户机的首选DNS服务器 2、将计算机加入域,指定该计算机要加入的域的名称,输入有加入该域权限的用户名和密码,加入域成功对话框,OU的创建,可以根据各种因素创建OU,域模式,域模式是用来为了兼容老版本操作系统的域控制器,而限制某些新的功能。,Active Directory对象类别如下,1、 用户(User):作为安全主体,被授予安全权限,可登录到域中。 2、计算机(Computer):表示网络中的计算机实体,加入到域的Windows NT/2000/XP/2003计算机都可创建相应的计算机账户。 3、联系人(Contac
14、t):一种个人信息记录。联系人没有任何安全权限,不能登录网络,主要用于通过电子邮件联系的外部用户。 4、组(Group):某些用户、联系人、计算机的分组,用于简化大量对象的管理。 5、 组织单位(Organization Unit):将域细分的Active Directory容器。 6、 打印机(Printer):在Active Directory中发布的打印机。 7、 共享文件夹(Shared Folder):在Active Directory中发布的共享文件夹。 8、 InterOrgPersion:标准的用户对象类,对于Windows Server 2003域功能级别来说,可以作为安全主
15、体。,管理容器,1、 Builtin:用来存放默认内置组(如Account Operators或Administrators)对象。 2、Computers:包含Windows 2000、Windows XP和Windows Server 2003计算机对象。 3、 Domain Controllers:运行Windows 2000或Windows Server 2003的域控制器的计算机对象。 4、 ForeignSecurityPrincipals:存储有信任关系的域的对象。 5、 Users:包含域内用户账户和组。,域用户和计算机帐户,活动目录用户帐户 用户帐户是用来记录用户的用户名和密
16、码、隶属的组、可以访问的网络资源,以及用户的个人文件和设置。 每个用户都应在域控制器中有一个用户帐户,才能访问服务器,使用网络上的资源,域用户账户,域用户账户的创建,输入用户的基本信息和登录名称 用户密码,用户属性对话框,用户登录名 用户登录名(Windows 2000以前版本)在域中必须惟一 最长20字符 登录时间 限制用户登录到域的时间 可以登录的计算机 定义了账户可以登录的计算机列表,配置域用户账户的属性,域用户账户的创建,用户的存放地点,域用户账户的创建,管理域用户和计算机帐户 就活动目录的管理而言,【Active Directory用户和计算机】是使用最为频繁的工具。该工具可以用来建立、编辑或删除网络中的用户、计算机、组、组织单位、域、域控制器,以及发布网络共享资源,域用户账户的删除和移动,删除用户 移动用户 直接鼠标拖动,配置域用户账户的属性,登录名 登录时间 可以登录的计算机 配
