收藏
下载资源

ad概述及域中客户端

上传人:F****n 文档编号:96198306 上传时间:2019-08-24 格式:PPT 页数:82 大小:1.32MB
返回 下载 相关 举报
ad概述及域中客户端_第1页
第1页 / 共82页
ad概述及域中客户端_第2页
第2页 / 共82页
ad概述及域中客户端_第3页
第3页 / 共82页
ad概述及域中客户端_第4页
第4页 / 共82页
ad概述及域中客户端_第5页
第5页 / 共82页
点击查看更多>>
资源描述

《ad概述及域中客户端》由会员分享,可在线阅读,更多相关《ad概述及域中客户端(82页珍藏版)》请在金锄头文库上搜索。

1、AD概述及域中客户端,议 程,Windows2000/2003活动目录概述 Windows2000/XP客户端启动/登录过程 域中客户端常见问题 常用工具,活动目录概述,活动目录的基本概念 活动目录的结构 管理操作主机 DNS 与活动目录 管理用户和组 组策略 常用工具,什么是活动目录,Printer1,?,目录 服务器 名称:Server1 OS:Windows 2000 Type:File Server Location:1st Floor 名称:Server2 OS:Novell Netware 4.0 Type:File Server Location:2nd Floor 打印机 名称

2、:Printer1 Type:HP4Si Color:No Duplex:Yes Location:3rd Floor,活动目录服务基于 X.500 数据库结构,用于在一个层次结构中组织网络资源,目录 服务器 名称:Server1 OS:Windows 2000 Type:File Server Location:1st Floor 名称:Server2 OS:Novell Netware 4.0 Type:File Server Location:2nd Floor 打印机 名称:Printer1 Type:HP4Si Color:No Duplex:Yes Location:3rd Flo

3、or,活动目录的对象,对象代表网络资源 属性存储对象的信息,活动目录,打印机,Printer1,Printer2,Suzan Fine,用户,Don Hall,属性值,对象,打印机,用户,Printer3,活动目录的结构,活动目录逻辑结构 活动目录物理结构 Sites及活动目录的复制,活动目录逻辑结构,域 Domains 组织单元 Organizational Units 树和森林 Trees and Forests 全局编录 Global Catalog,域 Domains,域是一个安全边界 域管理员只能在本域中执行管理操作,除非他被明确地赋予其他域管理员身份 一个域是一个复制单元 域控制器

4、包含域中信息的完整集合,并且参与域信息的复制,Windows 2000 Domain,User1 User2,复制,能力 复制单元 大小 命名 管理委派,NT 4.0 对象 40,000 对象 NetBIOS 建立新域,Windows 2000 属性 1,000,000+ 对象 DNS 在域内建立管理委派到OU,域的性能,组织单元,用OU来个对象进行分组 管理委派到OU 用于结构化活动目录 公司的组织结构 公司的管理构架,组织结构,Sales,Vancouver,Repair,Users,Sales,Computers,网络管理型模型,组织单元的划分原则,基于部门 OUs 基于项目 OUs 基

5、于业务功能 OUs 基于管理 OUs 基于对象 OUs 地理位置,Domain,Paris,Sales,Repair,树和森林,全局编录Global Catalog,活动目录物理结构,域控制器 Sites 活动目录的复制,域控制器,Sites,Sites: 优化复制通信量 是用户可以通过可信赖的、高速的连接登录域控制器,相关概念,Site A,Site B,Site C,Site层次,域结构,物理网络,Site Model,活动目录的复制,多主机复制 所有域控制器参预复制,对等的 任何变化将从一台域控制器复制到所有域控制器 任何变化可从不同的域控制器上产生 Sites 允许预定的复制 Sche

6、dule Interval,Directory Partition 复制,Directory Partition 也称为命名上下文 Naming Context or NC,复制协议,Transport 拓扑结构 复制模型 压缩,RPC over IP Ring Notify/Pull None,RPC or SMTP* Spanning Tree Request/Pull Full,Intra-Site 复制,Inter-Site 复制,SMTP over IP is only supported for DC of different domains (i.e. Schema, Confi

7、guration and GC replication),操作主机,森林范围内: Schema Master Domain Naming Master 域范围内: PDC Emulator RID Master Infrastructure Master,操作主机介绍,只有作为操作主机的域控制器才能对活动目录信息作相应改变 在操作主机上作的改变将会复制到其他的域控制器 任何域控制器可以作为操作主机 操作主机角色可以转移,操作主机的默认位置,森林中的第一台域控制器,森林范围你的角色: Schema master Domain naming master,域范围内角色: RID master PD

8、C emulator Infrastructure master,转移操作主机角色,不丢失数据 方法: NTDSUtil.exe 图形界面,抓取操作主机角色,当且仅当某个操作主机无法再使用 可能丢失数据 方法: NTDSUtil,DNS 与活动目录,DNS在活动目录中的角色 DNS 和活动目录的命名空间 活动目录中的DNS名字解析 SRV记录,DNS在活动目录中的角色,名称解析 DNS 转换计算机名称到IP地址 计算机之间相互确定地址 Windows 2000/2003 域的名称 Windows 2000 /2003 使用 DNS 命名标准 DNS 域和活动目录的域使用共同的名称层析结构 定位

9、活动目录的物理组件 DNS根据域控制器提供的服务来确定它们 域中计算机使用DNS来定位域控制器何全局编录,DNS 和活动目录的命名空间,活动目录中的DNS名字解析,SRV (Service) 资源纪录 SRV Records 由域控制器注册 域中计算机用DNS 来定位域控制器,由域控制器注册的SRV 记录,Netlogon 服务负责注册域控制器的所有DNS纪录,建立一个新域,运行 dcpromo.exe 建立 root domain 建立 sub-domain 建立额外的 domain controller,管理用户和组,用户帐户和组的介绍 Active Directory 用户和计算机 建立

10、大量用户帐户 管理用户帐户 使用组,用户帐户和组的介绍,使用 CSVDE 使用LDIFDE 使用脚本(VBScript),建立大量用户帐户,使用组,活动目录的组 使用 Global Groups 使用 Domain Local Groups 使用Universal Groups Distributed Groups,组策略,组策略介绍 组策略设置的类型 组策略对象和组策略容器 组策略应用的顺序,组策略介绍,组策略作用: 设置集中或分散的策略 确保用户有他们需要的环境 通过控制用户和计算机环境来降低TCO 强制全体策略,组策略设置的类型,针对计算机和用户的组策略,Group Policy Set

11、tings for Computers: Group Policy Settings for Users:,组策略对象和组策略容器,GPO 设置应用于连接在在一个Site、域、和OU中的用户和计算机 一个GPO可以连接在多个Site、域、和OU 上 一个Site、域、和OU 上可以连接多个GPO,一个组策略应用的顺序,Computer - Scripts - Startup Computer - Software Installation User - Software Installation User Profile Logon Scripts User - Scripts - Logon

12、 User - Scripts - Logoff Computer - Scripts - Shutdown,常用工具,常用管理工具 AD用户和计算机 站点和服务 AD域信任 DNS管理器 Resource Kit/Support Tools 工具 排错工具 事件察看器 MPS Report Network Monitor,Windows2000/XP客户端 启动/登录过程,启动过程 登录过程,启动过程,连接到网络 确定Site和域控制器 建立和域控制器的安全通道 Kerberos认证 加载组策略 客户端证书 时间同步 动态DNS注册 登录画面(GINA),连接到网络,连接到网络并加载TCP/

13、IP协议 启动过程的开始 静态TCP/IP设置或者DHCP获得 DHCP 网络基础架构,不是AD必须的 不使用DHCP,而使用静态TCP/IP设置,AD依旧可以正常工作,确定Site和域控制器,客户端定位服务确定最近的一个Site,并存贮在注册表: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParametersDynamicSiteName 向DNS服务器发出查询请求,查找当前Site的DC 客户端: _ldap._tcp.dc._msdcs.Domain.Name 服务器端:_ldap._tcp.dc._msdcs.ma

14、in.local 随机挑选DC(如果DNS返回记录大于1),建立和域控制器的安全通道,安全通道 客户端和DC之间建立的 获得域的特定信息 更新客户端计算机特定信息 Eg: 计算机密码,检查域成员信息 SMB,Kerberos认证,获取所有的必须的Tickets来建立IPC$的对话,加载组策略,RPC call,转换名称到DistinguishedName LDAP查询组策略 使用SMB加载各项组策略,客户端证书,每次加载组策略时进行 检查计算机证书状态 下载企业CA证书 下载有关SMART Card证书,时间同步,TCP 123端口 域中时间同步机制 客户端和登录DC同步 DC和域中PDC同步

15、 其他域PDC和根域PDC同步 根域PDC和外部时间源同步 时间服务(w32time)类型 NTP NT5DS,动态DNS注册,更新DNS记录,用户登录过程,按Ctrl+Alt+Del Kerberos认证 加载组策略 完成 显示桌面,按Ctrl+Alt+Del,登录名(Sam account name)+选择域 UPN() 用户FQDN,Kerberos认证,获得对话Ticket Kerberos: Server Name = $ Kerberos: Server Name = $ Kerberos: Server Name = krbtgt. Kerberos: Server Name =

16、 ldap,加载组策略,RPC call,转换名称到DistinguishedName LDAP查询组策略 使用SMB加载各项组策略,完成,断开和DC的连接(SMB) 显示桌面,客户端常见问题,无法加入域 登录慢 组策略应用不成功 Internet Explorer 的一般除错步骤 共享不能访问其他的机器,无法加入域,网络配置(TCP/IP) DNS 客户端防火墙 使用NetBIOS域名,但是没有NetBIOS over TCP/IP 已经建立了和域控制器的连接 File and Print Sharing/Client for Microsoft Networks,无法加入域-续,SMB Signing 拒绝访问 计算机账户已存在 权限修改

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号