实验背景:benet公司的网络中有100台计算机。公司需要集中管理计算机和用户账户以及网络资源,这就需要建立域环境来实现,域名为https://www.doczj.com/doc/3d15524238.html,。
公司网络拓扑:
DC1
服务器角色:域控服务器IP:192.168.100.1/24
DC2
服务器角色:域控服务器IP:192.168.100.2/24
Client1 192.168.100.10
Client2
192.168.100.11
Client3
192.168.100.13
Client4
192.168.100.14
Client5
192.168.100.15
Client6
192.168.100.16行政部门\人事部门工程部门\销售部门\财务部门
需求描述:
在服务器dc1上安装https://www.doczj.com/doc/3d15524238.html,域
将客户机cient1-----client6加入域中
实验步骤:
一.搭建实验环境
根据实验要求我们搭建实验所需要的环境
准备两台虚拟机,一台为全新的windows server 2008,一台为全新的windows2003虚拟机,其中windows server 2008作为dc1的域控,windows server 2003作为client1客户机
1.准备两台全新的虚拟机
Windows server 2008
Windows server 2003
2.修改计算机名称
修改windows 2008计算机名称为dc1,修改windows 2003计算机名称为client1,修改完成后重新启动计算机
(1)修改windows 2008计算机名称为dc1
右击计算机,选择属性---高级计算机属性---计算机名称
点击更改--修改计算机名称为dc1
完成后点击确定,并选择重新启动计算机(2)修改windows 2003计算机名称为client1
右击我的电脑,选择属性---计算机名称--点击更改
修改计算机名称为client1
点击确定并重新启动计算机
3.配置网络
(1)设置台计算机使用vmnet2虚拟交换机连接
(2)修改IP 地址(安装上面拓扑图设置) 修改域控服务器IP 地址为192.168.100.1/24 打开网络和共享中心(右击网络选择属性),点击管理网络连接,右击本地连接属性
修改tcp\ip v4地址,去掉tcp\ip v6前面的对勾
地址设置如下
点击确定完成设置
在运行---cmd,输入ipconfig查看是否设置正确
类似修改客户机的IP地址为192.168.100.10 配置步骤省略
使用cmd查看结果应该如下
4.测试网络连通性
在域控服务器上ping 客户机192.168.100.10
能够ping同表示上面的网络设置没有问题,不能ping同检查上面的网络配置二.部署活动目录
在域控服务器上安装活动目录完成域控服务器的部署
关键步骤如下:
(1)在开始---运行---输入dcpromo命令,打开“Active Directory域服务安装向导”
系统正在安装域服务二进制文件,等待一段时间
(2)勾选高级模式安装,点击下一步
(3)阅读操作系统兼容性说明,并点击下一步
(4)勾选在本计算机安装dns服务器(重要),并点击下一步
如果不选择客户端没有办法加入到域中
(5)选择新林中的新域(全新的域控),点击下一步
(6)输入域名https://www.doczj.com/doc/3d15524238.html,,点击下一步
(7)检查netbios名称一般默认即可,点击下一步
(8)选择林的功能级别这里选择windows 2003模式,点击下一步
(9)选择域的功能级别,这里也选择windows 2003模式,点击下一步
(10)其他域控选择,默认下一步,在弹出窗口中选择是,点击下一步
(11)制定活动目录数据库、日志和sysvol文件的位置,如果C盘是ntfs文件系统默认即可,点击下一步
(12)设置目录还原模式密码,输入复制的密码,完成后点击下一步目录还原模式密码是有来还原活动目录数据的时候使用的
(13)查看配置的摘要没有问题,点击下一步
(14)开始安装
在这里要插入windows 2008系统光盘,不然安装会失败
(15)等待安装完成
安装完成会提示重新启动计算机
点击重新启动,重完成后我们的2008服务器就是成为了域控服务器
三.验证域控服务器安装成功
1.登陆界面
服务器成为域控后,登陆时和以前工作环境不太相同,并且域中所有的账户都是存储在活动目录(Adctive Directory)中,在域控服务器上以前存储在sam中的账户都不存在
登陆使用benet\administrator登陆(说明:其中benet代表域的netbios名称)
2.查看计算机隶属于
在没有安装活动目录前,计算机是属于workgroup工作组,成为域控后计算机隶属于https://www.doczj.com/doc/3d15524238.html,域(域控服务器是域中的一个重要成员)
右击计算机,选择属性---高级系统设置
并且计算机名称也不在世dc1,而是https://www.doczj.com/doc/3d15524238.html,
3.验证是否域控
前面两项在任何一台域中的计算机中都能看到,计算机做为域控最重要的特性是什么????
对时活动目录,我们能在一台服务器看到活动目录数据库,就表示这台服务器是域控服务器我们来查看活动目录数据库(回忆安装过程中把活动目录数据库放在那里了??)
其中上图中ntds.dit文件就是活动目录数据库文件,活动目录中所有的信息都是集中存放在
加入域工具常见问题 1、未知省份错误 工具出现如上图所示提示框的原因是由于用户没有归属省份,请与工程师联系修正此错误。 2、终端加入域问题及解决 01、终端加入域报2698错误 故障处理: 2698错误基础信息是:此版本的Windows不能加入到域。一般此错误是由于用户尝试在WinXP HOME版上执行加入域造成。目前无法加入域。 请重新安装商业版的操作系统,有关商业版的安装介质和使用许可请与系统管理员联系。 02、终端加入域报1231错误 故障处理: 1231错误基础信息是:无法访问网络。一般此错误是由某个必须启动的服务没有成功启动造成的。终端加入域前应检查TCP/IP NetBIOS Helper服务是否启动, TCP/IP NetBIOS Helper服务必须启动。 03、终端加入域后无法在桌面创建文件 故障处理: 由于终端的Profile权限没有被赋予完全控制权限。请重新配置用户Profile 的权限,将权限配置为完全控制权限。然后退出域,重新加入域。 04、终端加入域后,域帐号登录无法看到原用户桌面图标等用户配置文件项 故障处理: 由于终端的Profile权限没有被赋予完全控制权限。请浏览到C:\document and
settings\,右键点选当前本机用户profile的文件夹,选择“属性”,在文件夹属性对话框中选择“安全”标签页,将本机administrators组添加为完全控制权限。 05、终端加入域后,终端用户帐号被锁定,无法登录域 故障处理: 由于终端帐号被服务器锁定,所以无法登录到域请终端部署人员联系终端部署管理人员通过工具修改,或在服务器上解除相应帐号的被锁定状态。 06、终端加入域时报系统不支持加入商业网络 故障处理: 这是产品的本身功能限制问题,WindowsXP Home版与Windows Me这部分操作系统属于家庭版,目前无法加入商业网络。 重新安装商业版的操作系统,有关商业版的安装介质和使用许可请与系统管理员联系。 07、终端加入域时报不能定位域控制器,请更新DnsHostName和ServicePrincipalName 故障处理: 由于DNS解析有误,请检查计算机的DNS配置和WINS配置是否正确,如果是DHCP的客户端,请在控制台窗口(在运行栏中输入cmd命令)中运行ipconfig/all命令,查看结果是否正确: DNS: WINS:如果配置正确,但问题则可能因为暂时的网络条件恶化,请换时间重新尝试。 如果以上两个方法都无法排除问题,请联系信息员或IT支持人员。 08、终端加入域后,原先安装的一些软件无法正常运行 故障处理: 由于部分软件采用安装时绑定计算机名或Netbios更换计算机名称后需要重新安装该软件。否则无法正常运行如果重新安装有困难,则建议不要更改计算机名称,直接加入域。如果加入域对该应用软件有影响,则建议不要加入域,不将此终端包含在本次工程范围内。
前言 为何要加入域? 域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,加入域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员可以基于域的“目录服务数据库”来进行集中管理、共享资源。如用户、组、计算机帐号、权限设置、组策略设置等。目录服务为用户提供唯一的用户和密码,用户只需一次登录,即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行),而不需要多次提供用户和密码登录。在Windows 2000/XP/2003工作站加入到域后,更可以接受域控制器的补丁更新和安全防护。
1我的电脑如何加入域 1.1 加入域的步骤 以WindowsXP为例。 1、首先需要将“本地连接”中的DNS服务器地址指向具体的ip。 2、右键点击“我的电脑”,选择“属性”,在“系统属性”中选择“计算机 名”中的“更改”后: 3、在“隶属于”中点选“域”,并输入域名:*https://www.doczj.com/doc/3d15524238.html,,后点击确定,如果 之前的DNS没有配置刚才设定的ip时,这一步会提示错误。 4、点击“确定”后,会提示要求域管理员用户和密码验证; 5、成功的话出现欢迎对话框,随后系统会要求重启,按照要求操作才能将域 生效。 1.2 重新登录后的操作 重启动后在登录时,点击选项,出现“登录到”的选择栏,选择域名; 用户名输入各自拼音的全称;初始密码为先输入拼音的简拼即第一个字母。 系统登录后会出现全新的界面,桌面都和原来不一样了。不要着急,没关系,只是保存在另一个地方,等会考过来就复原了。 这个等下做,我们先进入“控制面板”,点击“用户帐户”,会提示您不是本
机管理员,要先输入本机之前的密码后,点击确定就可以进入查看“用户帐户” 点击“添加”,如下图 在上图中,输入域用户的帐号与密码 输入后,点下一步,选择“其他”中的Administrators后,点击完成。 成功后根据系统提示注销,再进入系统你的用户将会具有管理员权限。
AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限). 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任,部分用户资源互访。 配置双向信任关系:
目录 一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………
一、活动目录配置基本知识 1、活动目录的重要概念 (1)目录服务是一个什么东西 一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中,目录就储存了有关文件的信息。 在一个分布式计算系统中或是一个公共计算机网络(如Internet)中,就有许多用户感兴趣的对象,如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象,而管理人员则想管理对这些对象的使用。 在此文档中,术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于,它既是目录的信息源,而它的服务又可以使用户得到和利用信息。 (2)什么是活动目录 活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务,还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作,从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性,使得在大规模信息的管理及在其中漫游变得很简单,为管理者和终端用户都节省了时间。 (3)为什么需要目录服务 目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性,而且可以查询目录来得到符合属性的对象列表,例如:"查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。 目录服务可以: ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。 目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时,目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念 用来描述活动目录的概念和术语中有些是新的,而另外一些则不是。不幸的是,一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前,理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围
网络组建安装活动目录服务 活动目录(Active Directory)是用于Windows 2003的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。 1.DNS与活动目录 由于活动目录与DNS是集成的,并且共享相同的名称空间结构,因此注意两者之间的差异非常重要: ●DNS是一种名称解析服务 DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收名称查询,并且解析名称查询,或者进行名称解析。DNS不需要活动目录可以独立运行。 ●活动目录是一种目录服务 活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)”向活动目录服务器发送查询。然后要定位活动目录服务器,活动目录客户机将查询DNS。即活动目录用于组织资源,而DNS用于查找资源;只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。2.规划活动目录 为了让用户和管理员操作更为方便,在安装活动目录之前,我们首先要对活动目录的结构进行细致的规划设计。 ●规划DNS 如果用户准备使用活动目录,则需要首先规划名称空间。在Windows 2003中,用DNS 名称命名活动目录域。选择DNS名称用于活动目录域时,以保留在Internet上使用的已注册DNS域名后缀开始(如https://www.doczj.com/doc/3d15524238.html,),并将该名称和单位中使用的地理(部门)名称结合起来,组成活动目录域的全名。 ●规划用户的域结构 最容易管理的域结构就是单域。规划时,用户应从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域。单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。在一个域中,可以使用组织单元(OU,Organizational Units)来实现这个目标。然后,可以指定组策略设置并将用户、组和计算机放在组织单元中。 ●规划用户的委派模式 用户可以将权限下派给单位中最底层,方法是在每个域中创建组织单元树,并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限,用户不再需要那些定期登录到特定账户的人员,这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组,可以仍保留这些账户以备少数管理员使用。 3.安装活动目录服务 首先,用户必须有安装活动目录的管理员权限,否则无法安装。在安装活动目录之前,要确保系统盘为NTFS分区。同时,已做好了DNS服务器的解析,如https://www.doczj.com/doc/3d15524238.html,。 在安装活动目录前首先确定DNS服务正常工作,下面我们来安装根域为https://www.doczj.com/doc/3d15524238.html,的域控制器。其操作步骤如下: (1)执行【开始】|【控制面板】|【管理工具】|【配置您的服务器向导】命令,打开【配置您的服务器向导】对话框,如图6-13所示。
域控制器管理--活动目录之用户配置文件 首先,什么是用户配置文件?根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和集合,它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位置呢?那么用户配置文件包括哪些内容呢?来给大家看一副截图: 用户配置文件的保存位置在:系统盘(一般是C盘)下的“Documents and Setting s”文件夹下,有一个和你的登陆用户名相同的文件夹,该用户配置文件就保存在这里,顺便提示一下,如果本机和域上有一个同名用户,并且都登陆过的话,那么就会出现在同名文件夹后面拖后缀的情况,举个例子:比如在一个域(https://www.doczj.com/doc/3d15524238.html,)里面有一台计算机(testxp),本地有一个swg的帐号,域上也有一个swg的帐号,并且都登陆过这台计算机,那么会发生如下情况: 本地帐号先登陆:那么本地的swg的用户配置文件夹为swg,而域用户的用户配置文件夹为swg.demo。 域帐号先登陆:那么域用户的用户配置文件夹为swg,本地用户的配置文件夹为swg.testxp。 通过上面的截图,我们可看出,用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为“All Users”的文件夹,如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话,你会发现所有用户在登陆时的桌面上都有这个文件,所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。
当网络变成域构架后,所有的域用户可以在任意一台域内的计算机登陆,当你在一台计算机上的用户配置文件修改后,你会发现到另一台计算机上登陆时,所有的设置还是原来的,并没有发生修改,这是因为用户的配置文件是保存在本地的,不管是域用户还是本地用户,都是保存在那台登陆的计算机上。我们可以在“我的电脑”上击“右键”,选“属性”,点“高级”,然后在“用户配置文件”里点“设置”: 请注意“类型”里用红框标出的部分,全部是“本地”,这就说明用户配置文件保存在本地,那么如何才能让用户的配置文件随着帐号走,也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢?为了解决这个问题,就要用到漫游用户配置文件,原理就是把用户配置文件保存在一个网络的公共位置,当用户在计算机上登陆里,会从网络公共位置把用户配置文件下载到本地并加以应用,然后当用户注销时,会把本地的用户配置文件同步到网络公共位置,以保证公共位置用户配置文件的有效性,以便下一次使用。那么如何来实现这个功能呢?现在就来实践一下: 首先,要在一个网络的公共位置开设一个共享文件夹,用来存放用户配置文件,在个实验里,就在域控制器上开设一个为share的共享文件夹,并开放权限:
3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境,使用计算机策略的“受限制的组”
2、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中“本地用户和组”,用在将重要的域组加入客户端本地管理员组的场合。
下面让我细细道来。 第1种方法的步骤很简单: .在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组,然后把一些元素添入选项,参照本文第1幅图.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图 第2种方法:
为了避免干扰,我创建了另一个2008R2的域来验证第2种方法,该域WINXP03客户机的初始本地管理员成员如下: 为了使GPO“首选项”能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为: https://www.doczj.com/doc/3d15524238.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML无需安装):
在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员,“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组
Windows Server 2008 R2之活动目录服务部署 测试环境: 服务器:计算机名Win2008R2CNDC,已安装Windows Server 2008 R2。 IPV4:192.168.1.13,255.255.255.0,网关地址192.168.1.1 管理员:Bill.XU 实验要求:安装第一个企业根据域控制器域名为https://www.doczj.com/doc/3d15524238.html,。 部署过程: 以下操作都是以管理员Bill.XU登录完成 方法一:手动部署 1、使用事件查看器(EventVWR.MSC),查看日志情况。并要所查看情况,进行系统诊断,确保安装前系统的状态正常 2、打开网络连接,设置网卡的IP4地址为一静态地址,同时将DNS服务器地址设置为127.0.0.1 3、运行DCPROMO,出现设置向导。设置过程如下图 检测系统是否安装AD域服务二进制文件,如果没有,系统会自动安装(也可以在运行命令之前,通过服务器管理器,添加活动目录域服务角色来安装) 出现活动目录域服务安装向导,选择高级模式(如果不选择此项,安装过程中将无法对有些设置进行更改,如域Netbios名的更改等)
由于这是森林中的第一台服务器,所以选择在新林中新建域。
功能级别,所提供的功能不同。如要使用R2新增的活动目录回收站功能,必须将功能级别提升到2008 R2功能级别。要使用棵粒化密码策略,须将功能级别提升到2008。R2新增了一种功能级别即2008 R2级别。注意功能级别的操作是单向,即当提升到一个高功能级别后,它不能再降为低功能级别。除非得新安装AD域服务 具体见: Appendix of Functional Level Features
活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日
目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误!未定义书签。
活动目录服务的基本安装和配置 Active Directory 是用于Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 Active Directory 是用于Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。Active Directory 的优点:信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS 集成、与其他目录服务的互操作性、灵活的查询。 本章主要内容: 1、活动目录的基本概念及其作用 2、在安装活动目录前的目录规划 3、活动目录工具 6.1 活动目录的概念 6.1.1 域 域提供了多项优点: §组织对象。 §发布有关域对象的资源和信息。 §将组策略对象应用到域可加强资源和安全性管理。 §委派授权使用户不再需要大量的具有广泛管理权利的管理员。 要创建域,用户必须将一个或更多的运行Windows 2000 Server 的计算机升级为域控制器。域控制器为网络用户和计算机提供Active Directory 目录服务、存储目录数据并管理用户和域之间的交互作用,包括用户登录过程、验证和目录搜索。每个域至少必须包含一个域控制器。 域树和域林 活动目录中的每个域利用DNS 域名加以标识,并且需要一个或多个域控制器。如果用户的网络需要一个以上的域,则用户可以创建多个域。共享相同的公用架构和全局目录的一个或多个域称为域林。如图6.1 中所示,如果树林中的多个域有连续的DNS 域名,则该结构称为域树。
客户端不能加入域?解决资料整合 加入域出现以下错误,windows无法找到网络路径,请确认网络路径正确并且目标计算机不忙或已关闭?核心提示: 在输入管理账号和密码并点击“确定”按钮后,系统却提示“找不到网络路径”,该计算机无法加入域。 故障现象:单位有一台运行Windows XP系统的办公用计算机,由于工作需要准备将它加入到已经建立好的基于Windows Server 2003系统的域中。按照正常的操作步骤进行设置,在“系统属性”的“计算机名”选项卡中加入域的时候,系统要求输入有权限将计算机加入域的用户名和密码(这表示已经找到域控制器)。然而,在输入管理账号和密码并点击“确定”按钮后,系统却提示“找不到网络路径”,该计算机无法加入域。 解决方法: 由于客户端计算机能够找到域控制,因此可以确定网络的物理连接和各种协议没有问题。此外,由于可以在该计算机上找到域控制器,说明DNS解析方面也是正常的。那为什么能找到域控制器却又提示无法找到网络路径呢?这很可能是未安装“Microsoft网络客户端”造成的。在“本地连接属性”窗口的“常规”选项卡中,确保“Microsoft网络客户端”处于选中状态,然后重新执行加入域的操作即可。 “Microsoft网络客户端”是客户端计算机加入Windows 2000域时必须具备的组件之一,利用该组件可以使本地计算机访问Microsoft网络上的资源。如果不选中该项,则本地计算机没有访问Microsoft网络的可用工具,从而导致出现找不到网络路径的提示。本例故障的解决方法启示用户,为系统安装常用的组件和协议可以避免很多网络故障的发生, 计算机本地连接自带的防火墙也应该关闭.以避免应该防火墙的问题造成无法与域控制器通信. 服务端(域控制器):Microsoft网络文件和打印共享和网络负载平衡没选择上去, 一定要选择上Microsoft网络文件和打印共享和网络负载平衡。 客户端要加入域,相关的服务要开始:
金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日
Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件: (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤: (4) 1.首先是“开始>运行”打开运行窗口 (4) 2.运行当中输入“dcpromo”开始安装活动目录 (5) 3.进入安装界面 (5) 4.新建域控制器 (6) 5.设置域控制器的域名 (7) 6.设置林功能级别 (8) 7.安装DNS服务器和全局服务 (9) 8.设置保存数据库、日志文件和SYSVOL的位置 (10) 9.设置目录还原模式的Administrator密码 (11) 10.安装完成自动重启 (12) 11.安装完成后的登陆界面 (13) 12.查看安装AD后的相关的服务,AD活动目录安装完成 (14)
安装部署活动目录条件: 硬件需求 硬件 需求 处理器 最低:1.4 GHz(x64处理器) 注意:Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低:512 MB RAM 最大:8 GB(基础版)或32 GB(标准版)或2 TB(企业版、数据中心版及 Itanium-Based Systems 版) 可用磁盘空间 最低:32 GB或以上 基础版:10 GB或以上 注意:配备16 GB以上RAM的计算机将需要更多的磁盘空间,以进行分页处理、休眠及转储文件。 显示器 VGA(800 × 600)或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标(或兼容的指针设备) 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件(除web版以外) 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间
实验背景:benet公司的网络中有100台计算机。公司需要集中管理计算机和用户账户以及网络资源,这就需要建立域环境来实现,域名为https://www.doczj.com/doc/3d15524238.html,。 公司网络拓扑: DC1 服务器角色:域控服务器IP:192.168.100.1/24 DC2 服务器角色:域控服务器IP:192.168.100.2/24 Client1 192.168.100.10 Client2 192.168.100.11 Client3 192.168.100.13 Client4 192.168.100.14 Client5 192.168.100.15 Client6 192.168.100.16行政部门\人事部门工程部门\销售部门\财务部门 需求描述: 在服务器dc1上安装https://www.doczj.com/doc/3d15524238.html,域 将客户机cient1-----client6加入域中 实验步骤: 一.搭建实验环境 根据实验要求我们搭建实验所需要的环境 准备两台虚拟机,一台为全新的windows server 2008,一台为全新的windows2003虚拟机,其中windows server 2008作为dc1的域控,windows server 2003作为client1客户机 1.准备两台全新的虚拟机 Windows server 2008
Windows server 2003 2.修改计算机名称 修改windows 2008计算机名称为dc1,修改windows 2003计算机名称为client1,修改完成后重新启动计算机 (1)修改windows 2008计算机名称为dc1 右击计算机,选择属性---高级计算机属性---计算机名称
计算机网络原理安装活动目录服务 活动目录(Active Directory)是用于Windows 2003的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。 1.DNS与活动目录 由于活动目录与DNS是集成的,并且共享相同的名称空间结构,因此注意两者之间的差异非常重要: ●DNS是一种名称解析服务 DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收名称查询,并且解析名称查询,或者进行名称解析。DNS不需要活动目录可以独立运行。 ●活动目录是一种目录服务 活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)”向活动目录服务器发送查询。然后要定位活动目录服务器,活动目录客户机将查询DNS。即活动目录用于组织资源,而DNS用于查找资源;只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。2.规划活动目录 为了让用户和管理员操作更为方便,在安装活动目录之前,我们首先要对活动目录的结构进行细致的规划设计。 ●规划DNS 如果用户准备使用活动目录,则需要首先规划名称空间。在Windows 2003中,用DNS 名称命名活动目录域。选择DNS名称用于活动目录域时,以保留在Internet上使用的已注册DNS域名后缀开始(如https://www.doczj.com/doc/3d15524238.html,),并将该名称和单位中使用的地理(部门)名称结合起来,组成活动目录域的全名。 ●规划用户的域结构 最容易管理的域结构就是单域。规划时,用户应从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域。单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。在一个域中,可以使用组织单元(OU,Organizational Units)来实现这个目标。然后,可以指定组策略设置并将用户、组和计算机放在组织单元中。 ●规划用户的委派模式 用户可以将权限下派给单位中最底层,方法是在每个域中创建组织单元树,并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限,用户不再需要那些定期登录到特定账户的人员,这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组,可以仍保留这些账户以备少数管理员使用。 3.安装活动目录服务 首先,用户必须有安装活动目录的管理员权限,否则无法安装。在安装活动目录之前,要确保系统盘为NTFS分区。同时,已做好了DNS服务器的解析,如https://www.doczj.com/doc/3d15524238.html,。 在安装活动目录前首先确定DNS服务正常工作,下面我们来安装根域为https://www.doczj.com/doc/3d15524238.html,的域控制器。其操作步骤如下: (1)执行【开始】|【控制面板】|【管理工具】|【配置您的服务器向导】命令,打开【配置您的服务器向导】对话框,如图11-13所示。
管理员不在客户端,如何把客户加入到域中 一、安装好系统和软件后,修改注册表,设置开机自动用本地系统管理员登录,编写加入域处理放在开机启动项中; 二、关机并备份系统; 三、自动加入域批处理,网上大把的资料,请自行查询有两种,一种BAT、一种VBS; 四、批处理的后面要加上删除启动项中的文件和删除注册表的自动登录; 以后碰上问题让用户直接开机时选择菜单恢复备份,重起后会用系统管理员登录并加入域并删除相对应的文件和注册表,再自动重启即可用原来的域用户登录机子。 下面是参考: 特殊说明,必须在集成系统时copy netdom.exe C:\WINDOWS\system32 此文件可以从系统安装光盘或在网上下载 将以上文件另存为bat文件即可 @echo off ::加入域,并在10秒后重启电脑 netdom join %computername% /domain:https://www.doczj.com/doc/3d15524238.html, /UserD:admin /PasswordD:abc /REBoot:10 ::生成注册表文件Sample.reg @echo Windows Registry Editor Version 5.00>>Sample.reg ::进入开机自动登录修改项 @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]>>Sample.reg ::取消自动登录 @echo "AutoAdminLogon"="0">>Sample.reg ::删除默认登录密码 @echo "DefaultPassword"=->>Sample.reg ::将Sample.reg导入注册表 @regedit /s Sample.reg
单元一:Windows Server 2008域与活动目录 任务一:安装Windows Server 2008域控制器 任务描述: 企业网络采用域的组织结构,可以使得局域网的管理工作变得更集中、更容易、更方便。虽然活动目录具有强大的功能,但是安装Windows Server 2008操作系统时并未自动生成活动目录。因此,管理员必须通过安装活动目录来建立域控制器,并通过活动目录的管理来实现针对各种对象的动态管理与服务。同时客户机登录域的操作也是组建域网络必不可少的部分,也是网络管理员应该熟练掌握的基本技能之一。 任务目标: 作为网络管理员,只有明确安装域控制器的条件和准备工作,掌握域网络的组建流程和操作技术,才能在服务器上安装好Windows Server 2008操作系统。为此,可以启用活动目录安装向导,成功安装活动目录后,将使得一个独立服务器升级为域控制器。同时通过任务,还应能够区分登录窗口,例如是登录域不是登录本机的登录框。 任务实施: 一、建立第一台域控制器: 活动目录是Windows Server 2008非常关键的服务,它不是孤立的,与许多协议和服务有着非常紧密的关系,并涉及整个操作系统的结构和安全。因此,活动目录的安装并非一般Windows组件那样简单,必须在安装前完成一系列的准备,注意事项如下: (1)文件系统和网络协议:Windows Server 2008所在的分区必须是NTFS文件系统,同样活动目录必须安装在NTFS分区,同时计算机上要正确安装了网卡驱动程序,并启用了TCP/IP协议。 (2)域结构规划:活动目录可包含多个域,只有合理地规划目录结构,才能充分发挥活动目录的优越性。在组建一个全新的Windows Server 2008网络时,所安装的第一台域控制器将生成第一个域,这个域也被称为根域,选择根域最为关键。根域名字的选择可以有以下几种方案: 使用一个已经注册的DNS域名作为活动目的根域名,使得企业的公共网络
实验二:活动目录域服务的安装与配置 实训课时:2 实训目的: 1、理解域环境中计算机4种不同的类型。 2、熟悉Windows Server 2008域控制器、额外域控制器以及子域的安装。 3、掌握确认域控制器安装成功的方法。 实训要求: 这个项目需要分组来完成完成。 1、安装5 台独立服务器win2008-1、win2008- 2、win2008- 3、win2008-4 和win2008-5 要求: 把win2008-1 提升为域树https://www.doczj.com/doc/3d15524238.html, 的第一台域控制器; 把win2008-2 提升为https://www.doczj.com/doc/3d15524238.html, 的额外域控制器; 把win2008-4 提升为域树https://www.doczj.com/doc/3d15524238.html, 的第一台域控制器; https://www.doczj.com/doc/3d15524238.html, 和https://www.doczj.com/doc/3d15524238.html, 在同一域林中; 把win2008-3 提升为https://www.doczj.com/doc/3d15524238.html, 的域控制器, 把win2008-5 加入到https://www.doczj.com/doc/3d15524238.html,中,成为成员服务器。 各服务器的IP 地址自行分配。实训前一定要分配好IP 地址,组与组间不要冲突。 2、请读者上机实训前,一定做好分组方案。分组IP 方案举例(以第10 组为例,每 组 3 人):5 台计算机的IP 地址依次为:192.168.10.1/24、192.168.10.2/24、 192.168.10.3/24、192.168.10.4/24、192.168.10.5/24。 3、在上面项目完成的基础上建立https://www.doczj.com/doc/3d15524238.html,和https://www.doczj.com/doc/3d15524238.html,域的双向的快捷信任关系。 4、在任一域控制器中建立组织单元outest,建立本地域组Group_test,域账户User1 和 User2,把User1和User2加入到Group_test;控制用户User1 下次登录时要修改密码,用户User2可以登录的时间设置为周六、周日8:00~12:00,其他日期为全天。 实验设备和环境 安装虚拟机和WindowsServer2008系统的计算机5台 实训内容: 1.创建第一个域https://www.doczj.com/doc/3d15524238.html, ①在win2008-1上设置TCP/IP 协议,并且确认DNS 指向了自己。 ②在win2008-1上安装AD 域服务。 ③在win2008-1上安装活动目录(dcpromo.exe)。注意将DNS服务器一同安装。 2.安装后检查 ①查看计算机名。 ②查看管理工具。 ③查看活动目录对象。 ④查看Active Directory 数据库。 ⑤查看DNS 记录。 3.安装额外的域控制器win2008-2 ①首先要在win2008-2 服务器上检查“本地连接”属性,确认win2008-2 服务器和现在 的域控制器win2008-1 能否正常通信;更为关键的是要确认“本地连接”属性中TCP/IP
1. 加域后如何退出域? 解释: 退域步骤:右键我的电脑→属性→计算机名→更改→在隶属于区域选择”工作组”→输入 WORKGROUP→点击确定→在弹出验证对话框里输入”域账户和密码”→点击确定。以给出的文档里有退 域的操作步骤。 2. 提醒:在加域过程中如遇到PC装有SQL,加域后不能正常使用。 解决办法:在加域后需要重新设定SQLSERVER服务的身份验证,步骤:开始→运行→services.msc→右键 SQL server→属性→登录→点击此账号输入域用账号和密码→应用。 3. 加域后的客户端操作系统由XP更换WIN7怎么操作? 解决办法:建议先退域,更换操作系统后重新加域,退域步骤:右键我的电脑→属性→计算机名→更改→ 在隶属于区域选择”工作组”→输入WORKGROUP→点击确定→在弹出验证对话框里输入”域账户和密码” →点击确定。 4. 新员工需要用到离职人员的计算机,该怎么处理? 解决方法:根据新员工的工号,更改相应的计算机名称,把新员工的AD账号加入到本地管理员组中。 5. 文件服务器还存在原来的域环境中,怎么办? 解决办法:客户端加入到新的域后,通过IP地址进行访问文件服务器,会弹出相应的对话框并提示输入 账号密码,需输入原有域的相应访问账号和密。 6. 公用PC机更改计算机名称失败。 解决办法: 经过排查,网络管理员做了限制,打开限制后更改计算机名称完成。 7. 如果用户更换新计算机旧计算机给新用户使用该怎么处理? 解决办法:更改计算机名(按照总部命名规则更改)在administrators组中添加对应用户名或重新安 装操作系统重新加域。 8. 多人使用同一台计算机应该怎么做? 解决办法:将使用同一台计算机的域用账号加入到本地Administrators组里,步骤:选中我的电脑点击 鼠标右键→管理→本地用户和组→组→双击administrators→添加→输入使用同一台计算机的域用账号 →点击检查名称→确定。 9. 加域后不能正常打印。 解决办法:重新添加打印机.操作步骤:控制面板→双击打印机→点击添加打印机→点击下一步→选择网 络打印机或连接到其他计算机的打印机→点击下一步→选择连接到这台打印机→输入”\\IP地址\打印 机名称→点击下一步→选择打印机→点击下一步→确定”。 1. 实践加域时出现RPC服务器不可用。 解决办法:端口关闭导致,建议开启端口。AD服务器之间无法通信(135、137、42)。管理人员表示,两 台服务器并未做端口限制,初步判断是由于AD组件损坏相关服务无法启动导致相关端口无法正常通信。 , 1. 已有DNS服务器,该怎么做? 解决办法: 在已有的DNS服务器上做转发。 1. newsid工具在加域之前是否都得使用? 解释:如果操作系统是XP并且是ghost则需要运行newsid工具,OEM版则不需要,手动更改计算机名即可。 如果操作系统是win7并且是ghost,数量较少则不建议运行newsid,如果是大批量ghost,首先要备份C 盘数据,之后在运行newsid工具,因为newsid只支持到XP操作系统,win7则不保证运行newsid后不会 出现各种问题。
实验五活动目录服务(AD的安装、加入和退出域、域用户的管理和配置) 【实验目的】 1、理解域的概念,掌握AD的安装方法。 2、掌握加入和退出域的方法。 3、掌握域用户的管理和配置,组的规划和建立。 4、了解Windows Server 2003域用户和本地用户的区别。 5、理解组的概念和作用,认识组的类型。 【实验内容】 1、练习AD的安装方法, 2、练习加入和退出域的方法。 3、练习域用户的管理和配置,组的规划和建立 【实验步骤】 一、安装活动目录 1)新建DC的角色。在开始菜单中点击“管理您的服务器”,在打开的画面中点击“添加或删除角色”。 2)在“预备步骤”对话框中,单击[下一步]按钮,出现“服务器角色”对话框后,选择“域控制器”,按[下一步]继续。 3)在“选择总结”对话框中,单击[下一步]按钮,随后会进入AD安装向导过程,(如果直接执行“dcpromo”命令也可以启动AD安装向导,则可以省略前三个步骤),单击[下一步]按钮。 4)出现“操作系统兼容性”对话框,单击[下一步]按钮,在“域控制器类型”对话框中,我们将在这个向导中建立一个新域的DC和林,所以我们选择“新域的域控制器”,按[下一步]按钮继续。 5)选择“在新林中的域”,按[下一步]按钮继续,。 6)出现如下图所示,在“新域的DNS全名”文本框中输入新建域的DNS全名,例如:https://www.doczj.com/doc/3d15524238.html, 或者https://www.doczj.com/doc/3d15524238.html,或者https://www.doczj.com/doc/3d15524238.html,之类的DNS全名。按[下一步]按钮继续。 7)在“NetBIOS域名”对话框中,在“域NetBIOS名”文本框中输入NetBIOS域名,或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。 8)在出现“数据库和日志文件夹”的对话框中(如下图),这些文件夹必须放在NTFS分区上,注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上。按[下一步]按钮继续。 9)在出现“共享的系统卷”对话框中,该文件夹必须放在NTFS分区上,在Windows Server 2003中,Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。按[下一步]按钮继续。 10)在出现“DNS注册诊断”对话框中,这里我们选择为新域安装和配置D N S服务器,选择“在这台计算机上安装并配置D N S……”单选按钮(推荐),按[下一步]按钮继续。 11)在出现“权限”对话框中,选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”,按[下一步]按钮继续。 12)在出现“目录服务还原模式的管理员密码”对话框中(修复目录服务都必须在DC的“目录服务还原模式”下来完成,因为当目录服务正在工作的情况下是不能对它修改的)。这里我们不用填写密码,按[下一步]按钮继续。 13)在出现“摘要”对话框中,详细记录着AD安装信息,按[下一步]按钮继续。