《局域网组建、管理与维护 教学课件 ppt 作者 马立新 杨云 第7章 活动目录与用户管理》由会员分享,可在线阅读,更多相关《局域网组建、管理与维护 教学课件 ppt 作者 马立新 杨云 第7章 活动目录与用户管理(82页珍藏版)》请在金锄头文库上搜索。
1、,1.域与活动目录,2.活动目录的创建与配置,3.管理域用户和组,4.管理组织单元(补充),5.总结,第7章 活动目录与用户管理,活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,既提高了管理效率,又使网络应用更加方便。 活动目录就是Windows 网络中的目录服务,有两方面内容:目录和与目录相关的服务。 Active Directory存储了有关网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等,并且让管理员和用户能够轻松地查找和使用这些信息。,7.1 域与活动目录,域(Domain)是在Windows NT/2000/2003网络环境中组
2、建客户机/服务器网络的实现方式,是Windows Server 2003域中Active Directory数据库的基本管理单位。 域控制器中保存着整个网络的用户账号及目录数据库,即活动目录,并且可以被网络应用程序或者服务所访问。 一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。,7.1 域与活动目录,目录树:共用 连续名字空间 的域就组成一 个域目录树。,7.1 域与活动目录,目录林是一个或多个目录树的集合。 目录林中的目录树并不共用相同的连续的名字空间。,域目录林,7.1 域与活动目录,信任关系是网络中不同域之间的一种内在联系。只有在两个域之间创建了信任
3、关系,这两个域才可以相互访问。 在通过Windows Server 2003系统创建域目录树和域目录林时,域目录树的根域和子域之间,域目录林的不同树根之间都会自动创建双向的、传递的信任关系,有了信任关系,使根域与子域之间、域目录林中的不同树之间可以互相访问,并可以从其他域登录到本域。 如果希望两个无关域之间可以相互访问或从对方域登录到自己所在的域,也可以手工创建域之间的信任关系。,信任关系,7.1 域与活动目录,组织单元是包含在活动目录中的容器对象,是可以指派组策略设置或委派管理权限的最小作用单位。 组织单元可以将用户、组、计算机和其他单元放入活动目录的容器。 组织单元不能包括来自其他域的对象
4、。 创建组织单元有如下好处: (1)可以分类组织对象,使所有对象结构更清晰。 (2)可以对某些对象配置组策略,实现对这些对象的管理和控制。 (3)可以委派管理控制权,如管理员可以给不同部门的网络主管授权,让他们管理本部门的账号。,组织单元,7.1 域与活动目录,网络规划拓扑图,7.2 活动目录的创建与配置,(1)首先确认“本地连接”属性TCP/IP 中首选 DNS 指向了自己。,创建第一个域,7.2 活动目录的创建与配置,启动Windows Server 2003系统,以Administrator权限登录 。,创建第一个域,7.2 活动目录的创建与配置,Active Directory 安装向
5、导,7.2 活动目录的创建与配置,提示操作系统兼容性,7.2 活动目录的创建与配置,选择域控制器类型,7.2 活动目录的创建与配置,选择创建的域的类型,7.2 活动目录的创建与配置,指定域名,7.2 活动目录的创建与配置,指定域的NetBIOS名称,7.2 活动目录的创建与配置,指定放置Active Directory数据库和日志文件的文件夹,7.2 活动目录的创建与配置,指定系统卷共享的文件夹,7.2 活动目录的创建与配置,DNS注册诊断,7.2 活动目录的创建与配置,选择兼容模式,7.2 活动目录的创建与配置,设定还原模式管理员密码,7.2 活动目录的创建与配置,安装选项摘要,7.2 活动
6、目录的创建与配置,安装完成后,需要重启计算机,提示重启计算机使改动有效,7.2 活动目录的创建与配置,计算机名,7.2 活动目录的创建与配置,2. 管理工具中会添加包括“Active Directory 用户和计算机”、“Active Directory站点和服务”、“Active Directory域和信任关系”等管理工具。 3. 活动目录对象,安装后检查,7.2 活动目录的创建与配置,安装后检查,7.2 活动目录的创建与配置,4. Active Directory 数据库 Active Directory数据库文件保存在 %SystemRoot%Ntds 文件夹中,主要的文件有: Ntds
7、.dit:数据库文件。 Edb.log:日志文件。 Edb.chk:检查点文件。 Res1.log、Res2.log:保留的日志文件。 Temp.edb:临时文件。,安装后检查,7.2 活动目录的创建与配置,5. DNS记录,安装后检查,7.2 活动目录的创建与配置,(1)首先要在 服务器上检查“本地连接”属性,确认能否正常通信。,(2)运行“Active Directory”安装向导。 (3)将该计算机设置为现有域的额外域控制器。,(4)输入拥有将该计算机升级为域控制器权力的用户名和密码。,(5)安装向导从原有的域控制器上开始复制活动目录。,安装额外域控制器,7.2 活动目录的创建与配置,在
8、一个域中可以有多台域控制器。 在安装额外的DC时,需要将活动目录数据库由现有的域控制器复制到这台新的DC上。,安装额外域控制器,7.2 活动目录的创建与配置,(1)在要升级为域控制器的独立服务器上,设置“本地连接”属性。,(2)运行活动目录安装向导。,(3)选择“新域的域控制器”单选按钮,单击“下一步”按钮;选择“在现有域树中的子域”单选按钮,单击“下一步”按钮。,创建子域,7.2 活动目录的创建与配置,(4)输入父域的域名以及管理员的账户、密码等。,创建子域,7.2 活动目录的创建与配置,(5)接着输入子域的NetBIOS名。 (6)重新启动计算机,用管理员登录到域中。,创建子域,7.2 活
9、动目录的创建与配置,1. 创建DNS域,(1)展开DNS管理窗口左部的列表,右击“正向查找区域”,选择“新建区域”命令。,创建域林中的第二棵域树,7.2 活动目录的创建与配置,1. 创建DNS域,(3)选择如何复制DNS区域数据。,创建域林中的第二棵域树,7.2 活动目录的创建与配置,1. 创建DNS域,(4)输入DNS区域名称,选择“只允许安全的动态更新”或者“允许非安全和安全动态更新”单选按钮。,(5)单击“完成”按钮。,创建域林中的第二棵域树,7.2 活动目录的创建与配置,2. 安装域树的域控制器 (1)确认服务器上“本地连接”属性中的TCP/IP的首选DNS指向。 (2)运行活动目录安
10、装向导。 (3)选择“新域的域控制器” 。,创建域林中的第二棵域树,7.2 活动目录的创建与配置,2. 安装域树的域控制器 下一步选择“在现有的林中的域树” 。,创建域林中的第二棵域树,7.2 活动目录的创建与配置,2. 安装域树的域控制器,(4)输入已有域树的根域的域名和管理员的账户、密码。 (5)接着输入新域的NetBIOS名,按照原步骤继续设置,直到完成。,创建域林中的第二棵域树,7.2 活动目录的创建与配置,2. 安装域树的域控制器 (6)重新启动计算机,用管理员账户登录,单击“开始”“管理工具”“Active Directory域和信任关系”菜单项,可以看到域已经存在了。,创建域林中
11、的第二棵域树,7.2 活动目录的创建与配置,成员服务器和独立服务器,7.2 活动目录的创建与配置,1域控制器降级为成员服务器。 具体步骤: 1)删除活动目录注意要点,2)删除活动目录,2独立服务器提升为成员服务器,3成员服务器降级为独立服务器,成员服务器和独立服务器,7.2 活动目录的创建与配置,1域控制器降级为成员服务器。 具体步骤: 1)删除活动目录注意要点,2)删除活动目录,2独立服务器提升为成员服务器,3成员服务器降级为独立服务器,成员服务器和独立服务器,7.2 活动目录的创建与配置,删除时要注意以下三点: (1)如果该域内还有其他域控制器,则该域会被降级为该域的成员服务器。 (2)如
12、果这个域控制器是该域的最后一个域控制器,则被降级后,该域内将不存在任何域控制器了。因此,该域控制器被删除,而该计算机被降级为独立服务器。 (3)如果这台域控制器是“全局编录”,则将其降级后,它将不再担当“全局编录”的角色,因此请先确定网络上是否还有其他的“全局编录”域控制器。,删除活动目录,7.2 活动目录的创建与配置,7.2 活动目录的创建与配置,全局编目确认,7.2 活动目录的创建与配置,删除域控制器,7.2 活动目录的创建与配置,应用程序目录分区,7.2 活动目录的创建与配置,确认删除,7.2 活动目录的创建与配置,管理员密码,7.2 活动目录的创建与配置,2独立服务器提升为成员服务器,
13、成员服务器和独立服务器,7.2 活动目录的创建与配置,3成员服务器降级为独立服务器,成员服务器和独立服务器,7.2 活动目录的创建与配置,(1)Windows备份,活动目录备份(补充),7.2 活动目录的创建与配置,(1)Windows备份,活动目录备份(补充),7.2 活动目录的创建与配置,(2)命令行备份,若要将活动目录以“backup.bkf”为文件名备份到 “D:backup.bkf”文件夹下,可以在命令提示符下输入: ntbackup backup systemstate /J “Backup Job 1” /F “D:backup.bkf”,活动目录备份(补充),7.2 活动目录的
14、创建与配置,活动目录的恢复应用在下面的三种情况。 (1)网络中只有一台域控制器,在重新安装系统后,必须恢复活动目录。 (2)如果服务器发生故障,借助于备份文件恢复。 (3)利用备份的数据,快速安装新的额外的域外控制器。,活动目录恢复(补充),7.2 活动目录的创建与配置,活动目录恢复(补充),7.2 活动目录的创建与配置,用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。定期使用网络的每个人都应有一个惟一的用户账号。 Windows Server 2003提供两种主要类型的用户账号:本地用户账号和域用户账号。除此之外,Windows Server 2003系统中还有
15、内置的用户账号。,7.3 管理域用户和组,域用户账户用来使用户能够登录到域或其他计算机中,从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络惟一的用户账户。如果网络中有多个域控制器,可以在任何域控制器上创建新的用户账户,因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时,这个域控制器会把信息复制到其他域控制器,从而确保该用户可以登录并访问任何一个域控制器。,域用户账户,7.3 管理域用户和组,Windows Server 2003自动创建若干个用户账号,并且赋予了相应的权限,称为内置账号。内置用户账号不允许被删除。 最常用的两个内置账号是Administrator和Gue
16、st。 使用内置Administrator(管理员)账号管理计算机和域配置 。 Guest(来客)账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。,内置用户账户,7.3 管理域用户和组,“管理工具”“Active Directory用户和计算机”,管理域用户账户,7.3 管理域用户和组,新建对象-用户,7.3 管理域用户和组,输入密码,7.3 管理域用户和组,长度至少有7个字符。 不包含用户名、真实姓名或公司名称。 不包含完整的字典词汇。 包含全部下列4组字符类型:大写字母(A、B、C)、小写字母(a、b、c)、数字(0、l、2、3、4、5、6、7、8、9)、键盘上的符号(键盘上所有未定义为字母和数字的字符,如!#$%,.)。 账户已禁用。防止用户使用选定的账户登录,当用户暂时离开企业时,可以使用该选项,以便日后迅速启用。也可以禁用一个可能有威胁的账户,当排除问题之后,再重新启用该账户。许多管理员将禁用的账户用做公用用户账户的模板。
