域控制器无法正常工作
查看本文应用于的产品
重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章:
256986Microsoft Windows 注册表说明
本页
?症状
?解决方案
o方法1:修复DNS 错误
o方法2:同步各计算机之间的时间
o方法3:检查“从网络访问此计算机”用户权限
o方法4:验证域控制器的userAccountControl 属性是否
为532480
o方法5:修复Kerberos 领域(确认PolAcDmN 注册表
项和PolPrDmN 注册表项相匹配)
o方法6:重设计算机帐户密码,然后获取一个新的
Kerberos 票证
展开全部| 关闭全部
症状
当您在基于Microsoft Windows 2000 Server 的域控制器或基于Windows Server 2003 的域控制器上运行Dcdiag 工具时,可能会收到以下错误信息:
DC Diagnosis
Performing initial setup:
[DC1] LDAP bind failed with error 31
当您在域控制器上以本地方式运行REPADMIN/SHOWREPS 实用工具时,可能会收到以下错误信息:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP error 82 (Local Error).
当您试图在受影响的域控制器的控制台上使用网络资源(包括“通用命名约定”(UNC) 资源或映射的网络驱动器)时,可能会收到以下错误信息:
No logon servers available (c000005e = "STATUS_NO_LOGON_SERVERS")
如果您在受影响的域控制器的控制台上启动任何Active Directory 管理工具(包括“Active Directory 站点和服务”以及“Active Directory 用户和计算机”),可能会收到以下错误信息之一:
Naming information cannot be located because:No authority could be contacted for authentication.Contact your system administrator to verify that your domain is properly configured and is currently online.
Naming information cannot be located because:Target account name is
incorrect.Contact your system administrator to verify that your domain is properly configured and is currently online.
如果Microsoft Outlook 客户端连接到使用受影响的域控制器进行身份验证的Microsoft Exchange Server 计算机,系统可能会提示该客户端提供登录凭据,即使来自其他域控制器的成功登录验证已经存在。
Netdiag 工具可能会显示以下错误信息:
DC list test .. . . . . . . . . . : Failed
[WARNING] Cannot call DsBind to address>).[ERROR_DOMAIN_CONTROLLER_NOT_FOUND] Kerberos test.. . . . . . . . . . : Failed [FATAL] Kerberos does not have a ticket for krbtgt/ [FATAL] Kerberos does not have a ticket for LDAP test.. . . . . . . . . . . . : Passed [WARNING] Failed to query SPN registration on DC 在受影响的域控制器上,系统事件日志中可能会记录以下事件: 类型: 错误 来源: 服务控制管理程序 事件ID: 7023 描述:“Kerberos 密钥分发中心”服务停止并显示以下错误:安全帐户管理器(SAM) 或本地安全机构(LSA) 服务器处于错误的状态,无法执行安全操作。 回到顶端 解决方案 有一些解决办法可以消除这些症状。下文列出了可供尝试的方法。接下来分别列出了执行每种方法的具体步骤。请逐一尝试每种方法,直到问题得到解决为止。后面的部分列出了一些Microsoft 知识库文章,它们也介绍了修复这些症状的方法,但是这些方法相对来说不太常用。 1.方法1:修复域名系统(DNS) 错误。 2.方法2:同步各计算机之间的时间。 3.方法3:检查“从网络访问此计算机”用户权限。 4.方法4:验证域控制器的userAccountControl 属性是否为532480。 5.方法5:修复Kerberos 领域(确认PolAcDmN 注册表项和PolPrDmN 注册表项 是相互匹配的)。 6.方法6:重设计算机帐户密码,然后获取一个新的Kerberos 票证。 回到顶端 方法1:修复DNS 错误 1.在命令提示符处,运行netdiag -v命令。此命令可在该命令运行时所在的文件夹 中创建一个Netdiag.log 文件。 2.在继续下面的步骤之前,解决Netdiag.log 文件中的所有DNS 错误。Netdiag 工具 可在Windows 2000 Server 安装光盘上的“Windows 2000 Server 支持工具”中找 到,也可通过下载获取。要下载“Windows 2000 Server 支持工具”,请访问下面的 Microsoft 网站: https://www.doczj.com/doc/cc245442.html,/windows2000/downloads/servicepacks/sp4/sup porttools.mspx 3.确保DNS 配置正确。最常见的一种DNS 错误就是使域控制器指向DNS 的 Internet 服务提供商(ISP),而不是指向DNS 自身或另一台支持动态更新和SRV 记录的DNS 服务器。建议您使域控制器指向自身,或指向另一台支持动态更新和SRV 记录的DNS 服务器。建议您创建到ISP 的转发器,以便在Internet 上进行名称解 析。 有关为Active Directory 目录服务配置DNS 的其他信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章: 291382有关Windows 2000 DNS 和Windows Server 2003 DNS 的常见问题 237675设置Active Directory 的域名系统 254680DNS 名称空间规划 255248如何在Active Directory 中创建一个子域并将DNS 名称空间委派到该子域 回到顶端 方法2:同步各计算机之间的时间 验证各个域控制器之间的时间是否正确同步。此外,还要验证客户机和域控制器之间的时间是否正确同步。 有关如何配置Windows 时间服务的其他信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章: 258059如何在Windows NT 4.0 域中同步基于Windows 2000 的计算机上的时间 216734如何在Windows 2000 中配置权威时间服务器 回到顶端 方法3:检查“从网络访问此计算机”用户权限 修改Gpttmpl.inf 文件,以确认相应的用户在域控制器上拥有“从网络访问此计算机”用户权限。为此,请按照下列步骤操作: 1.修改默认域控制器策略的Gpttmpl.inf 文件。默认情况下,默认域控制器策略是为一个 域控制器指定用户权限的地方。默认情况下,默认域控制器策略的Gpttmpl.inf 文件位 于以下文件夹中。 注意:Sysvol 可能位于不同的位置,但Gpttmpl.inf 文件的路径是相同的。 对于Windows Server 2003 域控制器: C:\WINDOWS\Sysvol\Sysvol\<域 名>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Micro soft\Windows NT\SecEdit\GptTmpl.inf 对于Windows 2000 Server 域控制器: C:\WINNT\Sysvol\Sysvol\<域 名>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Micro soft\Windows NT\SecEdit\GptTmpl.inf 2.在SeNetworkLogonRight 项的右侧,为Administrators、Authenticated Users 和Everyone 添加安全标识符。请参见以下示例。 对于Windows Server 2003 域控制器: SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0 对于Windows 2000 Server 域控制器: SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0 注意:Administrators (S-1-5-32-544)、Authenticated Users (S-1-5-11)、 Everyone (S-1-1-0) 和Enterprise Controllers (S-1-5-9) 都使用已知的安全标 识符,这些安全标识符在所有域中都相同。 3.删除“SeDenyNetworkLogonRight”项(拒绝从网络访问此计算机)右侧的所有项,结 果应符合以下示例。 SeDenyNetworkLogonRight = 注意:该示例对于Windows 2000 Server 和Windows Server 2003 同样适用。 默认情况下,Windows 2000 Server 的SeDenyNetworkLogonRight 项中没有任 何项。默认情况下,Windows Server 2003 的SeDenyNetworkLogonRight 项中 只有Support_random string帐户。(Support_random string帐户用于远程协 助。)由于Support_random string帐户在每个域中都使用不同的安全标识符 (SID),因此单凭查看SID 不容易将该帐户与普通的用户帐户区分开。您可能需要将 SID 复制到另一个文本文件中,然后从SeDenyNetworkLogonRight 项删除该 SID。这样,在排除故障之后可将其放回原来的位置。 SeNetworkLogonRight 和SeDenyNetworkLogonRight 可在任何策略中定义。如 果上述步骤无法解决问题,请在Sysvol 中检查其他策略的Gpttmpl.inf 文件,以确 认该处也没有定义用户权限。如果Gpttmpl.inf 文件中不包含对 SeNetworkLogonRight 或SeDenyNetworkLogonRight 的引用,则表明该策略中 没有定义这些设置,它并不是导致此问题的原因。如果这些项确实存在,则应确保它们 与前面列出的默认域控制器策略设置相符。 回到顶端 方法4:验证域控制器的userAccountControl 属性是否为532480 1.依次单击“开始”,“运行”,然后键入adsiedit.msc。 2.依次展开“Domain NC”、“DC=domain”,然后展开“OU=Domain Controllers”。 3.右键单击受影响的域控制器,然后单击“属性”。 4.在Windows Server 2003 中,单击以选中“属性编辑器”选项卡上的“显示必选属性” 复选框和“显示可选属性”复选框。在Windows 2000 Server 中,单击“选择要查看的 属性”框中的“两者”。 5.在Windows Server 2003 中,单击“属性”框中的“userAccountControl”。在 Windows 2000 Server 中,单击“选择要查看的属性”框中的“userAccountControl”。 6.如果该值不是532480,则在“编辑属性”框中键入532480,依次单击“设置”,“应用”, 然后单击“确定”。 7.退出“ADSI 编辑”。 回到顶端 方法5:修复Kerberos 领域(确认PolAcDmN 注册表项和PolPrDmN 注册表项相匹配) 注意:此方法只适用于Windows 2000 Server。 警告:注册表编辑器使用不当可能导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。 1.启动注册表编辑器。 2.在左侧窗格中,展开“安全”。 3.在“安全”菜单中,单击“权限”,授予Administrators 本地组对SECURITY 配置单元 及其子容器和对象的“完全控制”权限。 4.定位到HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN 项。 5.在注册表编辑器的右侧窗格中,单击“ 6.在“查看”菜单上,单击“显示二进位数据”。在该对话框的“格式”部分中,单击“字节”。 7.域名以字符串的形式显示在“二进制数据”对话框的右侧。该域名与Kerberos 领域相 同。 8.定位到HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN 注册表项。 9.在注册表编辑器的右侧窗格,双击“ 10.在“二进制编辑器”对话框中,粘贴来自PolPrDmN 的值。(来自PolPrDmN 的值将 是NetBIOS 域名)。 11.重新启动域控制器。 回到顶端 方法6:重设计算机帐户密码,然后获取一个新的Kerberos 票证 1.停止Kerberos 密钥分发中心服务,然后将启动值设为“手动”。 2.用“Windows 2000 Server 支持工具”或“Windows Server 2003 支持工具”中的 Netdom 工具,重设域控制器的计算机帐户密码: netdom resetpwd /server:another domain controller /userd:domain\administrator /passwordd:administrator password 确保成功完成时返回netdom 命令。如果没有,则表明该命令无效。对于域Contoso (其中受影响的域控制器为DC1,正常运行的域控制为DC2),请从DC1 的控制台 中运行以下netdom命令: netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:administrator password 3.重新启动受影响的域控制器。 4.启动Kerberos 密钥分发中心服务,然后将启动设置设为“自动”。 有关此问题的其他信息,请单击下面的文章编号,以查看Microsoft 知识库中相应的文章:325322当您试图打开Exchange 系统管理器时出现“The server is not operational”(该服务器不可操作)错误信息 284929无法启动Active Directory 管理单元;错误信息指出无法为进行身份验证而与安全机构取得联系 257623域控制器的域名系统后缀与域名不匹配 257346“从网络访问此计算机”用户权限导致有些工具无法工作 316710禁用Kerberos 密钥分发会阻止Exchange 服务启动 329642打开Active Directory 管理单元和Exchange 系统管理器时出现错误信息 272686打开Active Directory 用户和计算机管理单元时出现错误信息 323542“Active Directory 用户和计算机”工具因服务器不可操作而无法启动 329887无法与Active Directory MMC 管理单元进行交互 325465使用Windows Server 2003 管理工具时Windows 2000 域控制器需要SP3 或更高版本 322267从Microsoft 网络中删除客户端时也会删除其他服务 297234客户端和服务器之间存在时间差 247151下级域用户在启动MMC 管理单元时可能会收到错误信息 280833如果未能在代理客户端中指定所有DNS 区域,将导致难以跟踪的DNS 故障 322307安装Windows 2000 Service Pack 2 (SP2) 后,无法启动Exchange 服务或Active Directory 管理单元 AD域控服务器管理规范 一、基本规范 1.1、目的 为了加强域服务器、网络系统安全,保障系统、数据的安全运行特制定本制度。本制度适用于公司域服务器、网络系统的运行、维护和管理。 1.2、范围 1.本网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2.软件包括:服务器操作系统、数据库及应用软件、各部门工作相关的网络应用软件等。 3.域服务器网络系统配置包括在网络上的名称、IP地址分配,用户登录名称、用户密码、DNS地址设置及Internet的配置等。 4.软件是指操作系统(如Windows server2008等)系统软件。也包括病毒防范相关的应用软件。 1.3、职责 1.网络管理员为域服务器安全运行的工作人员,负责域服务器系统的日常维护和管理 2.负责系统软件的调研、采购、安装、升级、保管工作。 3.网络管理员负责域服务器的安全运行和数据备份;Ineternet对外接口安全以及计算机系统病毒防范管理;各种软件的用户密码及权限管理;协助其他职能部门进行数据备份和数据归档。 4.网络管理员和其他公司员工执行公司保密制度,严守企业商业机密; 5.服务器系统管理员密码及相关保密事项必须由网络管理相关人员掌握。1.4、管理 1.网络管理员每日定时对域服务器进行日常巡视,并填写《域服务器运行日志》。 2.对于系统和网络出现的异常现象,网络管理员应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在《服务器运行日志》。针对未能及时解决的异常现象应将异常现象描述、分析原因、处理方案、处理结果、预防措施等内容及时形成书面形式告知相关工作人员,并跟踪检查处理结果。 3.定时维护域服务器,及时组织清理磁盘(如:系统垃圾文件、各类文档临时储存文件等),保证服务器有充足空间,保障网络系统能够正常运行。 4.制定域服务器的病毒防范措施,及时下载、更新最新的病毒库,防止服务器受病毒的侵害。 1.5、使用 1.帐号管理:所有网络管理员在使用或维护完域控服务器后,应正常将帐号退出。 2.网络管理员不得随意使用其他工作人员的身份登录域控服务器或其他应用系统,确因工作需要需征得本人同意。 3.网络管理应保管好管理员密码,并定期更换密码,以保证密码安全。 4.其他拥有管理员权限用户不得随意更换域控服务器的名称、IP地址、DNS 等相关设置。因特殊原因确需更改时,应由网络管理员统一调整,并及时修改。 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。 9、安全性 域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。 10、可冗余性 每个域控制器保存和维护目录的一个副本。在域中,你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行。 三、公司域的详细规划 ?域和工作组 域和工作组是针对网络环境中的两种不同的网络资源管理模式。 在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows 9x/NT/2000就引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。 在对等网模式(PEER-TO-PEER)下,任何一台电脑只要接入网络,就可以访问共享资源,如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。 你也可以退出某个工作组,只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网络上计算机共享资源的浏览。 与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。 在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来 域管理实施方案 一、目的 ●加强公司IT系统及网络系统的有效管控 ●提升公司电脑系统技术支持的服务效率 ●为公司移动办公提供安全支撑平台 前期已经搭建模拟网络测试环境,对域管理的各项技术及有关方案进行了初步测试。在域服务器建立后,将对公司内部电脑系统,实施域管理。 二、域管理的好处 ●用户集中管理,在办公环境,用户需要验证和授权,才能进入公司内部网络 ●加入了域管理的电脑,未经授权,不能安装非办公需要的软件,有效预防由于 私自安装第三方的软件而引起的各种系统、网络和资源占用等方面的问题 ●提升公司电脑系统的维护效率。用户电脑系统补丁和升级(如Windows补丁 升级、杀毒软件升级、其他办公软件升级等),域服务器将统一自动分发、安 装到域内各桌面电脑。节省网络带宽资源,防止重要的系统补丁没有及时安装 引起的安全隐患 ●对公司用户分类管理,根据实际情况,可对不同用户组提供不同的服务(包括 下载、软件安装、系统升级、授权等) ●集中化资源管理,公司各部门的工作文档、软件工具等统一归档在服务器上, 各部门同事根据被授予了访问权限才能查阅 ●域服务器统一管理网络打印机等公共设备,每台桌面电脑不需要安装打印机就 可打印文件资料 ●每个同事登陆和退出公司网络都有详细的跟踪记录,可以监控非法用户的访问 ●根据需要,有效管理相关同事使用公司网络的时间范围 有效支持公司未来移动办公的需求 三、域管理的具体方法 (1)域规划 1、建立AD域,命名为https://www.doczj.com/doc/cc245442.html, 2、计划建立单域的方式建立域控服务器,活动目录的逻辑结构由域和组织单元(OU)组成。 3、组织单元(OU)是一个用来在域中创建分层管理单位的单元,在域控中将会按照部门划分,暂时分为:总经办,财务部,运营部,销售部,研发部等,以后如有调整,可以适时修改。 4、用户名命名规则,两个字采用全拼,如张三,用户名为zhangsan;三个字及以上采用首字全拼加后面拼音首字母,如冯志强,用户名为fengzq;另可以根据用户自己需要采用英文名命名。 5、为保证域控稳定安装实施,将采用分布式逐个部门进行推广。 (2)DNS的规划实施 1. 首先我们要在DNS服务器上创建出一个区域,区域的名称和域名相同,域内计算机 的DNS记录都创建在这个区域中。 2. 区域创建完成后,建立正向反向查找,确保PC能够加入域。 (3)域管理实施 1.只能域登陆 IT部门会为公司各成员依照命名规则,在服务器上建立用户,账号会在服务器搭建完成后以邮件的形式发送给各位。 需要注意的域控制器五种错误操作 一、不安装DNS 犯这种错误的大多数新手。因为一般在安装活动目录时,如果没有安装DNS,系统会给出相应的警告。只有新手才会直接忽略。也有朋友做过尝试,不装DNS,而用WINS是可以的,但是用户会发现登陆的时候速度相当慢。虽然还是可以用Netbios名访问网上邻居中的计算机,但其实是无法使用域资源的。这是因为在域环境网络中,DNS起到的不仅仅是一个域名解析的作用,更主要的是DNS服务器起到一个资源定位的作用,大家对于DNS的A记录应该有很深的了解,实际上,在A记录之外,还有很多其它的如SRV之类的记录。而这些资源没办法用IP直接访问,也不是WINS服务器能够做到的。所以部署活动目录请一定要安装DNS。 二、随意安装软件 由于域控制器在域构架网络中的作用是举足轻重的,所以一台域控制器的高可能性是必须的,但是太多的管理员朋友忽视了这一点。笔者曾见一个酒店网络的域控制器上装了不下三十个软件,甚至包括一些网络游戏之类的软件,如边锋、传奇等,还有一些MP3播放器,VCD播放器等。这样直接导致的结果就是软件冲突加重,而且即使是软件卸载,也会在注册表中存有大量无用信息,这些信息完全无法用手工方法卸载。于是,借助第三方软件,比如超级兔子、优化大师的,虽然这些软件都有清理注册表和提速的功能,但是域控制器毕竟不是个人PC,重装一次之后,很多网络的计算机名和域名都有可能更改,影响相当大。对于服务器而言,稳定大于一切。 三、操作方法不正确 网络管理员往往都是技术爱好者,所以对于自己机器的设置往往更加“个性化”。比如,有的网管一时兴起,增加一台额外域控制器,然后再增加一个子域,而哪天因为系统问题或者心情不爽,往往也不降级,直接把那些子域域控制器,额外域控制器等统统格式化,然后重装。这样反复操作,往往会导致活动目录出错,直到无法添加为止。笔者曾帮助一个网管修复域控制器,在检查中发现里面莫明其妙的有很多的域控制器,但是网络上却又没有这些域控制器,而且活动目录经常出错。查过日志却发现全是报错信息,都是一些无法复制,找不到相应的域控制器等。最终,笔者用Ntdsutil把这些垃圾信息全部清除才解决问题。不过这种情况是比较轻微的,如果用Ntdsutil清除活动目录还是不正常时,那基本没有什么解决方法,无论多么费时,都只能“重建”。 四、FSMO角色的任意分配 一般来说,FSMO一般是不需要去管理的。正常情况下如果需要对FSMO的角色进行转移的话,那么无非就是两种情况:一是服务器的正常维护;二是原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机。 但是目前很多网管碰到上述两种情况,会采取很极端的作法,就是只要原来的FSMO角色所在的域控制器一旦离线,就一定要把FSMO角色转移到其它的域控制器上,能传送就传送,不能传送就夺取。但是笔者在这儿要建议大家一个字:等!除了PDC仿真器这个角色以外,其它角 域服务器概念及作用 域(Domain)是相对工作组(Workgroup)的概念,形象的说,域就像中央集权,由一台或数台域控制器(Domain Controller)管理域内的其他计算机;工作组就像各自为政,组内每一台计算机自己管理自己,他人无法干涉。 域是一个计算机群体的组合,是一个相对严格的组织,而域控制器则是这个域内的管理核心。 域控制器的作用相当一个门卫,它包含了由这个域的账户密码、管理策略等信息构成的数据库。当一台计算机登录域时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号和密码是否正确。如果正确则允许计算机登入这个域,使用该域内其有权限访问的任何资源,像文件服务器,打印服务器(也就是说域控制器仅起到一个验证作用,访问其他资源并不需要再跟域控制器扯上关系);如果不正确则不允许计算机登入,这时计算机将无法访问域内任何资源,这在一定程度上保护了企业网络资源。 另外,域控制器可以对域内计算机进行集中管理,比如在域控制器上可以定义所有用户不能更改桌面,或者所有用户的密码长度必须8位以上,而工作组环境的计算机则无法做到这些。 一般情况下,域控制器集成了DNS服务,可以解析域内的计算机名称(基于TCP/IP),解决了工作组环境不同网段计算机不能使用计算机名互访的问题。 域控制器自身所需配置非常低,对网络带宽的占用也几乎微不足道,另外正常情况下域控制器是不可能发布到外网使用的,因为它的安全关系到整个域组织的安全,如果用户希望他在外网也能够登入企业域使用内部资源,最常用的解决方式是在网关处开通VPN功能,这样既能保证账号密码传输的安全性,又能像在局域网一样便捷地访问网络资源。 活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理,加强了安全性,扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后,企业信息化建设者和网络管理员可以从中获得如下好处: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展 管好域控制器对于一个网络管理员来说,是专业性的技术体现。笔者通过多年经验,以及论坛上朋友们的种种方案,总结了域控制器的常见五种错误操作,希望能够与广大技术爱好者共享。 一、不安装DNS 犯这种错误的大多数新手。因为一般在安装活动目录时,如果没有安装DNS,系统会给出相应的警告。只有新手才会直接忽略。也有朋友做过尝试,不装DNS,而用WINS是可以的,但是用户会发现登陆的时候速度相当慢。虽然还是可以用Netbios名访问网上邻居中的计算机,但其实是无法使用域资源的。这是因为在域环境网络中,DNS起到的不仅仅是一个域名解析的作用,更主要的是DNS服务器起到一个资源定位的作用,大家对于DNS的A记录应该有很深的了解,实际上,在A记录之外,还有很多其它的如SRV之类的记录。而这些资源没办法用IP直接访问,也不是WINS服务器能够做到的。所以部署活动目录请一定要安装DNS。 二、随意安装软件 由于域控制器在域构架网络中的作用是举足轻重的,所以一台域控制器的高可能性是必须的,但是太多的管理员朋友忽视了这一点。笔者曾见一个酒店网络的域控制器上装了不下三十个软件,甚至包括一些网络游戏之类的软件,如边锋、传奇等,还有一些MP3播放器,VCD播放器等。这样直接导致的结果就是软件冲突加重,而且即使是软件卸载,也会在注册表中存有大量无用信息,这些信息完全无法用手工方法卸载。于是,借助第三方软件,比如超级兔子、优化大师的,虽然这些软件都有清理注册表和提速的功能,但是域控制器毕竟不是个人PC,重装一次之后,很多网络的计算机名和域名都有可能更改,影响相当大。所以,笔者认为“预防永远大于急救”。笔者的域控制器上除了活动目录和DNS,只安装了一个SUS服务器,运行已经有一年半了,没有发生过任何软件问题。毕竟,对于服务器而言,稳定大于一切。 三、操作方法不正确 网络管理员往往都是技术爱好者,所以对于自己机器的设置往往更加“个性化”。比如,有的网管一时兴起,增加一台额外域控制器,然后再增加一个子域,而哪天因为系统问题或者心情不爽,往往也不降级,直接把那些子域域控制器,额外域控制器等统统格式化,然后重装。这样反复操作,往往会导致活动目录出错,直到无法添加为止。笔者曾帮助一个网管修复域控制器,在检查中发现里面莫明其妙的有很多的域控制器,但是网络上却又没有这些域控制器,而且活动目录经常出错。查过日志却发现全是报错信息,都是一些无法复制,找不到相应的域控制器等。最终,笔者用Ntdsutil把这些垃圾信息全部清除才解决问题。不过这种情况是比较轻微的,如果用Ntdsutil清除活动目录还是不正常时,那基本没有什么解决方法,无论多么费时,都只能“重建”。 四、FSMO角色的任意分配 一般来说,FSMO一般是不需要去管理的。正常情况下如果需要对FSMO的角色进行转移的话,那么无非就是两种情况:一是服务器的正常维护;二是原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机。 集团AD域服务器管理规范 一、基本规范 1.1、目的 为了加强域服务器、网络系统安全,保障系统、数据的安全运行特制定本制度。本制度适用于对公司域服务器、网络系统的运行维护和管理。 1.2 、范围 1.本网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2.软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3.域控服务器网络系统配置包括在网络上的名称,IP地址分配,用户登录名称、用户密码、DNS地址设 置及Internet的配置等。 4.软件是指操作系统(如 Windows server 2008等)系统软件。也包括防病毒这样的应用软件。 1.3. 职责 1.信息管理部门为域服务器安全运行的部门,负责域服务器系统的日常维护和管理。 2.负责系统软件的调研、采购、安装、升级、保管工作; 3.负责操作系统软件有效版本的管理。 4.信息管理人员负责域控制服务器的安全运行和数据备份;internet对外接口安全以及计算机系统防病 毒管理;各种软件的用户密码及权限管理;协助其他职能部门进行数据备份和数据归档。 5.信息管理人员执行企业保密制度,严守企业商业机密; 6.其他员工执行服务器安装管理制度,遵守企业保密制度。 7.服务器系统管理员的密码必须由信息管理部门相关人员掌握。 1.4.管理 1.系统管理员每日定时对域控服务器进行日常巡视,并填写《网络运行日志》。 2.对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极 措施,并如实将异常现象记录在《网络运行日志》。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》上。部门负责人要跟踪检查处理结果。 3.定时维护域控服务器,及时组织清理磁盘,保证服务器有充足空间,网络系统能够正常运行。 4.制定域控服务器的防病毒措施,及时下载最新的防病毒补丁,防止服务器受病毒的侵害。 5.公司新IT员工(或外包人员)需使用域控服务器须向部门主管提出申请,经批准后由信息部门负责分 配帐号。 1.5、使用 1.帐号注销:所有IT员工(或外包人员)在使用或维护完域控服务器后,应正常将帐号注销退出。 2.IT人员不得盗用其他人的身份登陆服务器或进入应用系统,确因工作需要需征得本人的同意。 3.系统管理员应保管好自己的密码,并三个月更换一次密码,以保证安全。 4.有权限网络用户不得随意更改域控服务器的名称、IP地址、DNS设置。因特殊原因的确需更改时,应 由计算机管理人员统一调整,并及时修改。 5.对于网络用户传播、复制、制造计算机病毒或采用黑客技术而致使域控服务器瘫痪造成重大损失的情 况,将给予严肃处理。 1.6 域控服务器软件的管理 1.信息管理人员负责软件的安装。 2.信息管理部门保存和使用软件的复制盘片,也可根据需要从档案借出原始盘片,复制相关资料留存使 用。 3.信息管理人员应及时检查系统更新平台的相关补丁程序的下载,并与原系统进行配套管理和使用。 4.信息管理员负责将软件商信息记录在《软件信息表》,就软件技术问题与软件商联系,并负责软件的 升级,升级程序执行。 1.7、系统保密制度 对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。从今天开始,我们将推出Active Directory系列博文,希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。 假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。 首先,如下图所示,我们在服务器上为张建国创建了用户账号。 公司局域网中的电脑有工作组管理与域管理,其主要区别在于: 工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。 域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。 我们公司实行域管理,电脑需要加入域TRZZ,并申请个人域账号,登陆电脑时用域账号登陆, 公司采用域管理的直接好处: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业保密资料的管理,比如一个文件只能让某一个人看,或者指定人的一员可以看,但不可以删/改/移等。 3、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 4、方便用户使用各种共享资源,访问同一个域中的共享就无需再进行账号密码验证。 5、安全性 域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。 如何区分电脑是否加域? 1.右击“我的电脑”,点“属性”,如下图1.1 图1.1 2.在“系统属性”对话框中,选“计算机名”标签页,如果显示“域:TRZZ”,说明已经加域,如下图1.2;如果显示“工作组:workgroup”,说明未加域,还在工作组模式,如图1.3。如何加域,请参照“二、如何修改计算机名及加域”文件。 一工作组与域的区别 现公司所有电脑采用工作组的管理模式,域管理与工作组管理的主要区别在于: 1、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。 而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 二公司采用域管理的好处 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 域控制器建立完整教程 Company number:【0089WT-8898YT-W8CCB-BUUT-202108】 [上海360宽带网] [制作人:360宽带网] [] [360宽带网口号:为人民服务] 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC 数目低于10台,则建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统,我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添 加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中: 默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在 这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位 了。 安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车 就可以看到“Active Directory安装向导” 富盛伟公司域管理设计方案 随着公司的发展,办公网络扩大,办公计算机不断的增加,对于规范员工上网和正确的使用计算机,集中管理网络资源,以及网络安全就显的尤为重要,针对公司网络的现状提出了域管理方案。 域控服务器概念:将网络中多台计算机逻辑上组织到一起,进行集中管理的逻辑环境就叫做域, 域管理特点: 1集中管理 域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源,域采用的是活动目录的技术,目录是存储有关网络上对象信息的层次结构,就好比一个图书管的图书目录,通过它可以方便管理各种网络资源。 2便捷的网络资源访问 活动目录允许用户一次登录网络可以访问网络中所有该用户有权限访问的资源,并且用户访问资源时不用知道资源所在的物理位置,活动目录允许快速,方便地查询网络资源。 3可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境 4安全性 域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。 域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性 公司域控具体实施方案 域控的规划https://www.doczj.com/doc/cc245442.html,域 1.域控制器兼做DNS服务器 2.给每个员工创建一个用户帐户 3.给每个部门创建一个全局组 4.建立文件备份服务 域的组织架构 按部门划分OU 创建用户账户和组 在各部门的OU中分别为该部门员工创建用户账户,账户名为员工姓名的拼音为每个部门创建全局组 将同部门的员工账户分别加入各部门的全局组 域控搭建,需要设备普通计算机一台,配置不能太低,要稳定 系统:windows server 2003企业版。 域控搭建步骤: 1. 安装windows server 2003 操作系统. 2. 安装相应软件体及建立域控制器.并安装需要的网络服务. 3. 测试域服务器的使用性能及安全服务. 4. 建立单位,分配用户名及密码. 5. 各部门电脑加入到域控制器,开始使用域管理. 后期维护: 1.每月更新用户,检测域服务器的网络安全. 2.每三个月更新一次公司所有电脑密码. 3.每月定期备份数据库文件. 4.待域管理进入稳定期,再设置文件服务器.所有重要性文件备份存放于服务器 内,或刻录光盘.以免个人电脑硬盘损坏而丢失. 5.不定期的检查用户电脑使用状况.公司电脑尽可能少存放与工作无关之文件. 文有明 2010年6月4日 局域网中域和工作组的差别介绍 局域网中域和工作组是局域网环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢?下面由小编给你做出详细的局域网中域和工作组的差别介绍!希望对你有帮助! 局域网中域和工作组的差别介绍: 局域网中域和工作组的差别:“自由”的工作组 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题,Windows 9x/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。 那么怎么样才能加入到工作组中呢?其实方法很简单,只需要右击Windows桌面上的“网上邻居”,在弹出的菜单出选择“属性”,点击“标识”,在“计算机名”一栏中添入你想好的名字,在“工作组”一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。“计算机说明”是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如“数学系主机”等。单击“确定”按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入“网上邻居”,就可以看到你所在工作组的成员了。 相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。 除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。“工作组”就 K3在工作组和域环境下用户的权限分配参考<上一篇 | 下一篇> K3在工作组和域环境下用户的权限分配参考 近来很多朋友和网友都问我,关于K3在工作组和域环境中,到底要给我们客户端用户在服务器上什么样子的权限呢. 下面帮大家总结下: 工作组: USERS权限并有修改注册表读写权限建议使用POWERUSER权限 域:USERS权限并有修改注册读写表权限建议使用USERS权限加上backup组权限 注册表修改权限如下: 开始----运行----regedit----设置权限---设置用户的读写权限 下面是对2000系统的用户权限细则参考,同时也可以应用与2003系统的用户分配 对默认 Windows 2000 操作系统安装中内置组的默认组成员的必需更改和建议更改。这些内置组具有用户权限和特权以及组成员的预定义集合。五个内置组类型定义如下: ? 全局组 当建立 Windows 2000 域时,在 Active Directory 存储区中创建内置全局组。全局组用来对整个域中使用的通用类型用户和组帐户进行分组。全局组可以包含本机模式域中的其他组。 ? 域本地组 域本地组向用户提供特权和权限,以便在域控制器和 Active Directory 存储区中执行任务。域本地组只在域中使用,不能导出到 Active Directory 树中的其他域。 ? 通用组 只可以在本机 Windows 2000 域中使用通用组。可以跨整个目录林使用通用组。 ? 本地组 独立 Windows 2000 服务器、成员服务器和工作站都有内置本地组。这些内置本地组向成员提供了只在此组所属的特定计算机上执行任务的能力。 ? 系统组 系统组没有可以修改的特定成员。每个系统组用来代表特定用户类别或代表操作系统本身。这些组是在 Windows 2000 操作系统中自动创建的,但在组管理 GUI 中不显示。这些组只用于控制资源的访问权。 检查/修改域的组帐户成员身份 ? 访问域中的组帐户 1. 在域控制器中以管理帐户登录。 2. 从“开始”菜单,指向“程序”,指向“管理工具”,然后单击“Active Directory 用户和组”。 3. 在控制台树中,双击域节点。在“内置”和“用户”容器中可以找到组帐户。 公司域控实施方案一、服务器、磁盘柜、操作系统采购 二、域控服务器搭建(一个星期左右) 1、硬件安装及连接,如下图: 服务器与磁盘柜之间通过SAS连接线连接。 2、Windows server 2008操作系统安装 服务器上硬盘仅用来安装操作系统,AD数据及安装目录均存入磁盘柜中硬盘。 (1)、操作系统安装:通过光驱安装windows server 2008 标准版操作系统,两台服务器安装完操作系统后,安装系统补丁,更改计算机名,配置完整的网络配置参数(静态IP地址,备份域控的DNS地址设置为主域控IP地址);通过windows server backup对系统进行一次完整备份,再设置每天的增量备份。 (2)、安装域控制器:在主域控上安装DNS,域名设置为https://www.doczj.com/doc/cc245442.html,;安装备份DC时,选择“现有域的额外域控制器”,其它配置相同。 设置目录还原密码,该密码用于还原活动目录,必须保证其复杂性。 3、域控服务器设置 (1)、用户账户管理: ●域管理员账号设置: 域管理员账号可以登录域内任何一台计算机或者成员服务器,且具有最大管理 权限,只为运维管理人员设置;域账号三次密码输入不正确会被锁定,需通过 另外的域管理员账号解除锁定。 ●为现有员工添加域账号: 用户名为名字的全拼,设置初始密码,第一次登陆时,提示修改密码,密码必 须符合复杂性要求(9位,包括字母、数字、特殊字符),三个月之内更换一次 密码。密码三次输入错误,账号会被锁定,需通知管理员解锁,同时不得将自 己的账号和密码擅自泄露给他人。 ●用户登录设置: 一般情况下,用户的域账号只能登录至自己的计算机,特殊情况下,单个账号 可以登录多台计算机;同时可以设置登录时间段,如:白天上午9点至下午6 点可以正常登录,除此时间段之外,无法登录至计算机。 ●新员工和离职人员账户操作: 为新加入的员工,设置新的域账号,离职员工在离职的最后一天停用其域账号。 集团域服务器部署方案 一、网络对办公环境造成的危害 随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给公司带来更高的网络使用危险性、复杂性和混乱,内部员工的不当操作等使信息维护人员疲于奔命。网络对办公环境造成的危害主要表现为: 1. 为给用户电脑提供正常的标准的办公环境,安装操作系统和应用软件已经耗费了信息管理中心人员一定的精力和时间,同时又难以限制用户安装软件,导致管理人员必须花费其50%以上的精力用于维护用户的PC系统,无法集中精力去开发信息系统的深层次功能,提升信息系统价值。 2. 由于使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞,使得木马、病毒传播迅速,影响规模大,导致网络长时间处于带毒运行,反复发作而维护人员。 3. 部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等,增加了办公电脑大量的资源消耗,导致计算机反应缓慢; 4. 个别员工私自安装从网络下载安装的软件,这些从网络上下载的软件安装包多数附带各种插件、木马和病毒,并在安装过程中用户不知情的情况下强行安装在办公电脑上,增加了办公电脑大量的资源消耗,导致计算机反应缓慢,甚至被远程控制; 5. 局域网共享,包括默认共享(无意),文件共享(有意),一些病毒比如 ARP通过广播四处泛滥,影响到整个片区办公电脑的正常工作; 6. 部分员工使用公司计算机上网聊天、听歌、看电影、打游戏,部分员工全天24小时启用P2P软件下载音乐和影视文件,由于flashget、迅雷和BT等软件并发线程多,导致大量带宽被部分员工占用,网络速度缓慢,导致应用软件系统无法正常开展业务,即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身,PC的业务专注性、管控能力不强。 二、网络管理和维护策略 针对以上这些因素,我们可以通过域服务器来统一定义客户端机器的安全策略,规范,引导用户安全使用办公电脑。 域服务器的作用 1.安全集中管理统一安全策略 2.软件集中管理按照公司要求限定所有机器只能运行必需的办公软件。 3.环境集中管理利用AD可以统一客户端桌面,IE,TCP/IP等设置 4.活动目录是企业基础架构的根本,为公司整体统一管理做基础其它OA服务器,防病毒服务器,补丁分发服务器,文件服务器等服务依赖于域服务器。建立域管理 1,建立域控制器,并规定所有办公电脑必须加入域,接受域控制器的管理,同时严格控制用户的权限。集团的员工帐号只有标准user权限。不允许信息系统管理员泄露域管理员密码和本地管理员密码。 在如今各种流氓插件、广告插件、木马和病毒霸道横行的网络环境中,普通员工只具备标准的power user权限,实际上是对公环境有效的保护。 办公PC必须严格遵守OU命名规则,同时实现实名负责制。指定员工对该AD域服务器管理规范(修正版)
使用域管理的优点
(整理)《域管理》教程一些基础知识.
公司域管理实施方案
需要注意的域控制器五种错误操作
域服务器概念及作用
AD域控规划方案
网络管理员需注意的域控制器五种错误操作
AD域服务器管理制度
为什么我们需要域讲解
一、局域网中工作组和域的区分
域的功能作用
域控制器建立完整教程
公司域服务管理设计方案
局域网中域和工作组的差别介绍
K3在工作组和域环境下用户的权限分配参考
公司域控实施方案10.29
集团公司建立域服务器方案设计设计
相关主题
文本预览