《windows域配置及管理》由会员分享,可在线阅读,更多相关《windows域配置及管理(66页珍藏版)》请在金锄头文库上搜索。
1、北京天和科瑞咨询有限公司北京天和科瑞咨询有限公司北京邮电大学移动互联网与信息化实验室北京邮电大学移动互联网与信息化实验室20112011年年6 6月月WindowsWindows域配置及管理域配置及管理域DNS的作用域的概念将计算机加入域DC的条件创建域域用户帐户安装AD组安全组/通讯组本地域组/全局组/通用组用户配置文件用户主文件夹创建域帐户域帐户属性OUOU的委派功能OU概念域的基本概念域的基本概念域将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域域是组织与存储资源的核心管理单元活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法域的基本概念域的基
2、本概念活动目录 活动目录(Active Directory)是Windows Server 2003平台提供的目录服务,在中央数据库中存放信息,使用户在网络上只拥有一个用户账号。活动目录是一个全面的目录服务管理方案,也是一个企业级的目录服务,具有很好的可伸缩性。活动目录采用了Internet的标准协议,它与操作系统紧密地集成在一起。活动目录可以管理诸如计算机对象、用户账户、打印机之类的网络资源。 域的基本概念域的基本概念活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在
3、多台不同的计算机上,保证用户能够快速访问(1) 信息的安全性大大增强 1 1、活动目录集中控制用户授权、活动目录集中控制用户授权 2 2、 提供存储和应用程序作用域的安全策提供存储和应用程序作用域的安全策略,提供安全策略的存储和应用范围。略,提供安全策略的存储和应用范围。(2) 引入基于策略的管理,使系统的管理更加明朗 作为目录,它存储着分配给特定环境的作为目录,它存储着分配给特定环境的策略,称为组策略对象策略,称为组策略对象(3) 具有很强的可扩展性 管理员可以在计划中增加新的对象类,或者管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。给现有的对象类增加新的属性。 计划包括
4、可以存储在目录中的每一个对象计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。类的定义和对象类的属性。活动目录作用活动目录作用(4)具有很强的可伸缩性 活动目录可包含在一个或多个域,每个域具活动目录可包含在一个或多个域,每个域具有一个或多个域控制器,以便调整目录的规模以有一个或多个域控制器,以便调整目录的规模以满足任何网络的需要满足任何网络的需要(5) 智能的信息复制能力 信息复制为目录提供了信息可用性、容错、信息复制为目录提供了信息可用性、容错、负载平衡和性能优势,活动目录使用多主机复制,负载平衡和性能优势,活动目录使用多主机复制,允许在任何域控制器上而不是单个主域控制器上允许在任
5、何域控制器上而不是单个主域控制器上同步更新目录同步更新目录(6)与DNS集成紧密 活动目录使用域名系统(活动目录使用域名系统(DNSDNS)来为服务器目录命名)来为服务器目录命名(7)与其他目录服务具有互操性 LDAPLDAP是用于在活动目录中查询和检索信息的目录访问是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议,所以可使用协议。因为它是一种工业标准服务协议,所以可使用LDAPLDAP开发程序,与同时支持开发程序,与同时支持LDAPLDAP的其他目录服务共享活动目录的其他目录服务共享活动目录信息。信息。(8)具有灵活的查询 任何用户可使用任何用户可使用【开始开始】
6、菜单、菜单、【网上邻居网上邻居】或或【活活动目录用户和计算机动目录用户和计算机】上的上的【搜索搜索】命令,通过对象属性命令,通过对象属性快速查找网络上的对象。快速查找网络上的对象。AD活动目录作用: 通过将企业网络中的各种资源,例如电脑,用户,共享的打印机,服务器等等组织起来形成活动目录域,在这个域中把这些信息进行分类形成目录树。这样,用户通过一定的形式,就可以很方便的访问活动目录域中的信息.这种便利的访问机制,也需要安全的保障机制!ad活动目录域正是基于这种信息共享基础上的安全管理规范。安装了活动目录的计算机称为“域控制器”,只要加入并接受域控制器的管理就可以在一次登录之后全网使用,方便地访
7、问活动目录提供的网络资源。对于管理员,则可以通过对活动目录的集中管理就能够管理全网的资源。域域控制器域是基本管理单位域中可包含大量对象计算机用户打印机共享文件夹域是活动目录的组成部分OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2Windows Server 2003 Windows Server 2003 域概述域概述OU2OU1User1Computer1Printer1User2域域域DomainDomainDomainOUOUOU域树域森林OU-组织单位对象 域及目录服务概述域及目录服务概述活动目录是一
8、个数据库 活动目录是一个目录服务 可以定制活动目录 简化的管理 可扩展性 便捷的网络资源访问 域、域树、域森林域、域树、域森林域、域树、域森林域、域树、域森林n根域下面可以建立多层子域n域和子域构建成域树n多棵域树构建成森林n域之间自动建立双向信任关系A根TB树双向信任关系双向信任关系X双向信任关系双向信任关系TB树OU-OU-组织单位组织单位OU是活动目录中的一种对象OU中可以建立子对象利用OU可以模拟管理模型OUOUOU对象域控制器域控制器域控制器是存储活动目录数据库的计算机一个域最少一台域控制器多台域控制器需要同步数据库域控制器存储着目录数据并管理用户域的交互,其中包括用户登录过程、身份
9、验证和目录搜索。域控制器域控制器域复制复制User1User2User1User2User3User4User3User4站点站点每个地理位置中的若干台域控制器可以划分为一个站点站点内部优先同步活动目录数据库,同步后再和其他站点中的域控制器同步站点1域控制器远程线路站点2 活动目录安装与卸载活动目录安装与卸载安装者必须具有本地管理权限操作系统必须满足条件(Windows Server 2003 Web版除外都满足)本地磁盘至少有一个分区是NTFS文件系统系统盘应该有最少300MB的剩余空间。安装TCP/IP协议和相应的DNS服务器支持。有相应的DNS服务器支持活动目录安装与卸载活动目录安装与卸
10、载启动安装向导使用管理您的服务器向导使用命令DCPROMO安装活动目录安装活动目录主要步骤是否创建新域 新域的DNS全名 新域的NetBIOS名 数据库和日志文件文件夹 共享的系统卷 DNS注册诊断域兼容性 还原模式密码 DNSDNS在域中的作用在域中的作用DNS在域中有两个作用域名的命名采用DNS标准办公网络与Internet集成 定位DC 1)客户机发送DNS查询请求给DNS服务器2)DNS服务器查询匹配的SRV资源记录3)DNS服务器返回相关DC的IP地址列表给客户机4)客户机联系到DC5)DC响应客户机的请求域的DNS区域维护SRV资源记录可以定位DC活动目录安装与卸载活动目录安装与卸
11、载安装活动目录后操作系统的变化 (1)查看域控制器的计算机名 安装活动目录后DC(Domain Controller,即域控制器)的计算机名会发后变化,在DC上右键单击【我的电脑】,选择【属性】,在弹出的【系统属性】对话框中选择【计算机名】标签,可以查看当前域控制器的计算机名查看管理工具 在DC上依次打开【开始】【程序】【管理工具】,可以看到新增加5个与活动目录相关的工具与活动目录相关的五个工具 Active Directory用户和计算机:该工具用于管理域中的用户、组、计算机账号及OU等Active Directory域和信任关系:该工具用于管理活动目录域之间的信任关系Active Dire
12、ctory站点和服务:该工具用于管理与活动目录复制相关的站点信息域安全策略:该工具用于创建和管理域的安全策略域控制器安全策略:该工具用于创建和管理域控制器的安全策略查看用户和组账号的位置活动目录安装成功后,计算机上的用户和组账号的位置会发生变化。在DC上打开【计算机管理】控制台,发现已经看不到【本地用户和组】工具。计算机管理控制台工具 在DC上使用【Active Directory用户和计算机】工具来管理用户和组账号。在DC上依次打开【开始】【程序】【管理工具】【Active Directory用户和计算机】,在控制台下打开Users容器qiufen【Active Directory用户和计算
13、机】工具管理用户和组 查看SYSVOL(系统卷)文件夹对DC来说SYSVOL文件夹非常重要,如果SYSVOL文件夹创建的不正确,那么存储在此文件夹下的组策略、脚本等就不能正确的分发给域中的计算机,也无法在DC之间进行复制。SYSVOL文件夹位于%systemroot%下,其中包含以下几个文件夹,如后图所示。nDomain(域)nStaging(分级)nStagingareas(分级区域)nSysvol(系统卷)验证SYSVOL文件夹 (5)查看活动目录数据库和日志文件 缺省情况下活动目录数据库和日志文件存放在%systemroot%NTDS文件夹下,其中ntds.dit是活动目录数据库文件,还
14、有检查点文件edb.chk、日志文件edb.log和保留日志文件res*.log等。验证活动目录数据库和日志文件 活动目录域与DNS服务是紧密结合的,如果要使一个活动目录域正常工作,必须要有相应的DNS区域来支持它,而且还要有服务资源记录(SRV记录)。如下图所示为在DNS服务器上打开DNS控制台查看活动目录域的区域情况。在DNS服务器中查看活动目录域的SRV记录 查看查看DNSDNS数据库数据库查看事件日志 安装活动目录后打开事件查看器可以看到增加了一个日志“目录服务”,在此会记录有关活动目录的信息。查看事件查看器 五五 将计算机加入到域将计算机加入到域 1、哪些计算机能成为Windows
15、Server 2003域的成员下面的操作系统主机可以成为域的成员:nWindowsNTnWindows2000nWindowsXPnWindowsServer2003系统属性对话框中“计算机名”标签 把计算机加入到域为了更好地管理网络中的资源,充分利用活动目录的特点,应该把网络中的客户端计算机加入到域,这样管理员就可以对域中的计算机进行集中的配置和管理步骤1、配置客户机的首选DNS服务器2、将计算机加入域指定该计算机要加入的域的名称 xhce输入有加入该域权限的用户名和密码 加入域成功对话框 OUOU的创建的创建功能型SCMSSalesCConsultantsM-Marketing混合型例子功
16、能组织位置功能组织位置组织型MERMManufacturingEEngineeringR-Research位置型NFINNorwayFFranceIIndonesia可以根据各种因素创建OU域模式域模式lWindows2000混合模式域控制器(Windows2000/Server2003)域控制器(WindowsNT4.0)lWindowsServer2003模式域控制器全部都是(WindowsServer2003)lWindows2000本机模式域控制器(Windows2000)域控制器(WindowsServer2003)域模式是用来为了兼容老版本操作系统的域控制器,而限制某些新的功能。A
17、ctive DirectoryActive Directory对象类别如下对象类别如下1、 用户(User):作为安全主体,被授予安全权限,可登录到域中。作为安全主体,被授予安全权限,可登录到域中。 2、计算机(Computer):表示网络中的计算机实体,加入到域的表示网络中的计算机实体,加入到域的Windows NT/2000/XP/2003Windows NT/2000/XP/2003计算机都可创建相应的计算机账户。计算机都可创建相应的计算机账户。3、联系人(Contact):一种个人信息记录。联系人没有任何安全权一种个人信息记录。联系人没有任何安全权限,不能登录网络,主要用于通过电子邮件
18、联系的外部用户。限,不能登录网络,主要用于通过电子邮件联系的外部用户。 4、组(Group):某些用户、联系人、计算机的分组,用于简化大量某些用户、联系人、计算机的分组,用于简化大量对象的管理。对象的管理。5、 组织单位(Organization Unit):将域细分的将域细分的Active Active DirectoryDirectory容器。容器。 6、 打印机(Printer):在在Active DirectoryActive Directory中发布的打印机。中发布的打印机。 7、 共享文件夹(Shared Folder):在在Active DirectoryActive Direc
19、tory中发布的中发布的共享文件夹。共享文件夹。8、 InterOrgPersion:标准的用户对象类,对于标准的用户对象类,对于Windows Server Windows Server 20032003域功能级别来说,可以作为安全主体。域功能级别来说,可以作为安全主体。管理容器管理容器1、 Builtin:用来存放默认内置组(如用来存放默认内置组(如Account Account OperatorsOperators或或AdministratorsAdministrators)对象。)对象。 2、Computers:包含包含Windows 2000Windows 2000、Windows
20、Windows XPXP和和Windows Server 2003Windows Server 2003计算机对象计算机对象。3、 Domain Controllers:运行运行Windows 2000Windows 2000或或Windows Server 2003Windows Server 2003的域控制器的计算机对象。的域控制器的计算机对象。4、 ForeignSecurityPrincipals:存储有信任存储有信任关系的域的对象。关系的域的对象。5、 Users:包含域内用户账户和组。包含域内用户账户和组。域用户和计算机帐户域用户和计算机帐户活动目录用户帐户 用户帐户是用来记录用
21、户的用户名和密码、隶属的组、可以访问的网络资源,以及用户的个人文件和设置。 每个用户都应在域控制器中有一个用每个用户都应在域控制器中有一个用户帐户,才能访问服务器,使用网络上的资源户帐户,才能访问服务器,使用网络上的资源 域用户账户域用户账户本地用户帐号(存储在本地计算机)域用户帐号(存储在活动目录中)WindowsServer2003域 域用户账户的创建域用户账户的创建输入用户的基本信息和登录名称用户密码用户属性对话框 用户登录名用户登录名(Windows 2000以前版本)在域中必须惟一最长20字符 登录时间限制用户登录到域的时间 可以登录的计算机定义了账户可以登录的计算机列表 配置域用户
22、账户的属性配置域用户账户的属性配置域用户账户的属性配置域用户账户的属性基于位置的设计UsersNorthAmericaUsersSouthAmerica基于业务的设计UsersAccountingUsersSales域用户账户的创建域用户账户的创建用户的存放地点帐号选项说明Usermustchangepasswordatnextlogon用户在下次登录时必须修改用户在下次登录时必须修改密码密码Usercannotchangepassword用户无权修改自己的密码用户无权修改自己的密码Passwordneverexpires用户密码永不过期用户密码永不过期Accountisdisabled用户不
23、能使用此帐号登录用户不能使用此帐号登录域用户账户的创建域用户账户的创建管理域用户和计算机帐户 就活动目录的管理而言,【Active Directory用户和计算机】是使用最为频繁的工具。该工具可以用来建立、编辑或删除网络中的用户、计算机、组、组织单位、域、域控制器,以及发布网络共享资源 域用户账户的删除和移动域用户账户的删除和移动组织单元1组织单元2域删除用户移动用户直接鼠标拖动配置域用户账户的属性配置域用户账户的属性登录名登录时间可以登录的计算机配置文件/主文件夹组的实现与管理组的实现与管理n n组也可以加入组组也可以加入组n n一个用户可以加入多个组一个用户可以加入多个组GroupGrou
24、pn n一个用户账户加入组,就会继承该组所有的权限一个用户账户加入组,就会继承该组所有的权限GroupGroupGroupGroupGroupGroup 组的分类组的分类组的类型说明安全组用于设置用户权限和权利,用于设置用户权限和权利,也可用于邮件分布列表也可用于邮件分布列表通讯组只用于邮件分布列表只用于邮件分布列表 组的作用域与成员资格组的作用域与成员资格支持的域控制器Windows NT Server 4.0, Windows 2000, Windows Server 2003Windows 2000, Windows Server 2003Windows Server 2003支持的组的
25、范围全局全局, 域本地域本地全局全局, 域本地域本地, 通用通用全局全局, 域本地域本地, 通用通用Windows2000mixed(default)Windows2000nativeWindowsServer2003域本地组域本地组成员Mixedmode: 任何域中的用户帐号和全任何域中的用户帐号和全局组局组Nativemode: 任何域中的用户帐号、全任何域中的用户帐号、全局组和通用组,以及同一个域中的域本局组和通用组,以及同一个域中的域本地组地组 可成为成员Mixedmode: 无无Nativemode: 同一个域的域本地组同一个域的域本地组范围域本地组所属的域域本地组所属的域权限域本地
26、组所属的域域本地组所属的域全局组全局组成员Mixedmode: 同一个域的用户帐号同一个域的用户帐号Nativemode: 同一个域的用户帐号和全局组同一个域的用户帐号和全局组可成为成员Mixedmode: 任何域的域本地组任何域的域本地组Nativemode: 任何域的域本地组和通用组,以任何域的域本地组和通用组,以及同一个域的全局组及同一个域的全局组范围本域和所有被信任的域本域和所有被信任的域权限森林中所有的域森林中所有的域通用组通用组成员Nativemode: 森林中任何域中的用户帐号、全森林中任何域中的用户帐号、全局组、和其他通用组局组、和其他通用组Mixedmode: 不可用不可用可
27、成为成员Mixedmode: 不可用不可用Nativemode: 任何域中的域本地组和通用组任何域中的域本地组和通用组范围森林中的所有域森林中的所有域权限森林中的所有域森林中的所有域管理域中的组管理域中的组创建组创建组设置组信息设置组信息添加组成员添加组成员设置组管理者设置组管理者AGDLP域用户A加入到域全局安全组G,然后在“本地用户和计算机”中创建一个本地组DL,把G加入到DL中,最后为DL分配权限。 组的成员和隶属于属性组的成员和隶属于属性团队或组全局组域本地组成员隶属于N/ADenver AdminsTom,Jo,andKim成员MemberOfN/AVancouver AdminsS
28、am,Scott,andAmy成员隶属于Tom, Jo, KimDenver OU AdminsDenverAdmins成员隶属于Tom, Jo, KimDenver OU AdminsDenverAdmins成员隶属于Sam, Scott, AmyVancouver OU AdminsVancouverAdminsDenverOUAdmins成员隶属于Denver Admins,Vancouver AdminsN/A用户配置文件概念 用户的桌面工作环境,包括桌面、开始菜单、我的文档、以及其他指定的设置一般存储在操作系统所在分区上的Documents and Settingsusername文
29、件夹里用户配置文件类型 本地用户配置文件 漫游用户配置文件 强制用户配置文件 临时用户配置文件 实现漫游用户配置文件 1)为漫游用户创建一个测试配置文件 2)准备一个存放漫游用户配置文件的网络存储路径 3)将测试配置文件复制到网络存储路径 4)设置域用户属性的【配置文件】选项卡 用户主文件夹可以用于存放用户的私有文件 配置用户主文件夹后当域账户在客户机登录后,就会发现在本机多了一个分区(该分区不在本机)增强了文件存储的安全可靠性 总结总结在Windows Server 2003 网络环境中,域是最重要的核心管理单元,是活动目录的主干。活动目录由域、子域、域树、域森林、组织单位构成。每个域最少由
30、一台域控制器组成,可以建立若干个而外的域控制器用力实现容错和提高性能。总结总结安装活动目录需要使用Windows 2000 Server和Windows Server 2003(web版除外),并需要管理员权限、DNS服务、NTFS文件系统。可以将各种客户端操作系统和服务器操作系统加入到域,如Windows 2000/XP/NT/Windows Server 2003,Windows 98只能登录到域,不能算真正意义上的加入域。总结总结域的模式分别是Windows 2000混合模式、Windows 2000纯模式和Windows Server 2003 模式。不同的域模式,会影响到域中新功能的
31、使用。利用OU组织单位可以根据公司结构、地理位置、部门等建立相对应的逻辑关系。域用户账户的登录名在域中是惟一的,而显示名在当前容器中必须是惟一的。总结总结每一个域用户账户在有权限的条件下可以在域中的任何一台计算机上登录,并可以访问任何资源。通过用户账户的属性,可以使设置用户账户的登录时间、允许登录的计算机、账户的过期时间等等。Windows Server 2003 域中分为两大类组,安全组和通信组,其中通信组不能被授予权限。总结总结安全组中又分为三种组:域本地组、域全局组和通用组。OU是比域更小一级别的逻辑管理单位,可以在OU中建立各种对象,并可以将OU的管理权限委派给用户或组。 66Thank You!联系我们:北京天和科瑞咨询有限公司电话: +86-10-6232 3893 13701378667传真: +86-10-6232 3893E-mail: 网址:
