活动目录和用户管理
来源:作者:发布时间:2007-09-25
教学目标
了解Active Directory的基本概念
了解安装活动目录的基本方法
掌握用户/计算机帐户的设置和管理
掌握组帐户的设置和管理
了解组织单位的设置和管理
教学内容
Active Directory(活动目录)概述
Active Directory是用于Windows 2000 Server的目录服务,它存储有关网络对象的信息,使管理员和用户可以方便地查找和使用网络信息。
安装活动目录Active Directory
安装前必须对活动目录的结构进行规划:域命名、规划域结构、规划委派模式、规划组织单位结构等。
用户/计算机帐户的设置和管理
用户必须拥有帐户,才能登录到网络并使用网络资源。而计算机帐户是Windows 2000新增的功能,加入到域中且运行Windows 2000或Windows NT的每一台计算机都有计算
机帐户。
组帐户的设置和管理
组是Windows 2000从Windows NT系统继承下来的安全管理形式,它是同类型对象的集合,便于管理访问目的和权限相同的一系列用户和计算机帐户。
组织单位的设置和管理
组织单位(OU)表示单个域中的对象集合(可包括组对象),具有继承性,主要用于网络构建。
活动目录服务可以把域划分成组织单位,而且组织单位还可以再划分下级组织单位。可以创建组织单位、委派控制组织单元。
重点/难点
用户/计算机帐户的设置和管理
组帐户的设置和管理
Active Directory(活动目录)概述
Active Directory(简称AD)是用于Windows 2000 Server的目录服务,它存储有关网络对象的信息,例如,用户、组、计算机、共享资源、打印机和联系人等,并使管理员和用户可以方便地查找和使用网络信息。AD目录服务使用结构化的数据存储作为目录信息逻辑层次结构的基础。
Active Directory包括两个方面的内容:目录和目录服务。
目录是存储有关网络上对象信息的层次结构。
目录服务,例如,Active Directory提供了用于存储目录
数据并使该数据可由网络用户和管理员使用的方法。
Windows 2000 Server的活动目录是一个分布式的目录结构,不管用户从哪里访问分散在多台计算机中信息,对用户都提供统一的视图。
Active Directory是由组织(OU)、域(Domain)、域树(Tree)、域林(Forest)构成的层次结构。该层次结构使网络容易扩展、便于组织、管理和目录定位。
1. 域(domain )
域是Windows 2000目录服务的基本管理单位,是Active Directory的核心单元,是帐户和网络资源的集合。域的最大好处就是它的单一网络登录能力。它把一个域作为一个完整的目录,域之间能通过一种可传递的信任关系建立起树状连接,任何用户只要在域中有一个帐户,就可以漫游整个网络。
2. 域树和域林
一个域可以是其他域的子域或父域,多个域就构成一颗树,称为域树。如果创建的新域是已存在域的子域,即多个域有连续的DNS域名。Windows 2000的活动目录与域名系统(DNS)紧密集成,
即活动目录的名称空间采用DNS的名称空间结构。在DNS名字结构中,由“.”分开DNS名字的各个部分,每个部分代表DNS层次结构树中的一个结点,也代表Windows 2000域中的一个活动目录域名。域树中的第一个域称作根域(root),如图7-2-1所示。https://www.doczj.com/doc/f88713268.html,是根域,child是https://www.doczj.com/doc/f88713268.html,的子域,grandchild是https://www.doczj.com/doc/f88713268.html,的子域。域树中的每个域共享相同的配置、对象和全局目录,具有相同的DNS域名后缀,从而实现了连续的域名空间。
多个域树就构成域林,树林中的域树不形成连续的域名空间,每棵域树可以有自己独立的DNS名称。
3. 域信任关系
域信任关系是建立在两个域之间的关系,它使一个域中的用户由另一域中的域控制器验证。所有域信任关系在关系中只能有两个域:信任域和受信任域,如图7-2-2所示。
图7-2-2 域信任关系
在Windows2000中,所有信任关系都是可传递的而且是双向的。如果A域信任B域且B域信任C域,则域中的用户(授予适当权限时)可以访问A域中的资源。
在域树中创建域时,相邻域(父域和子域)之间自动建立信任关系。域树或域林中新创建的 Windows 2000 域可以立即与域树或域林中每个其他Windows 2000 域建立信任关系。因为这些信任关系是可传递的,所以可以在域树或树林中的任何域之间进行用户和计算机的身份验证。
4. 组织单位(Organizational Unit)
域可以划分成组织单位,组织单位是一个逻辑单位,它是域中一些用户和组、文件与打印机等资源对象的集合。组织单位中还可以再划分下级组织单位,下级组织单位能够继承父单位的访问许可权,并且可以有自己单独的管理员和权限,从而可以实现对资源和用户的分级管理。
组织单位可用于组织、管理一个域内的对象,可以包含用户帐号、用户组、计算机和其他组织单位,但不能包括来自其他域的对象。组织单位是可以指派组策略或委派管理的最小作用域。
安装活动目录
安装Windows 2000 时,系统没有安装活动目录。如果用户要将自己的服务器配置成域控制器,必须先安装活动目
录。用户可根据系统提供的活动目录安装向导,来配置自己的服务器。
1. 安装规划Active Directory
安装前必须对活动目录的结构进行规划:
(1) 规划DNS
使用Active Directory需要先规划名称空间。在Windows 2000中,用DNS名称命名Active Directory域。
选择DNS名称用于Active Directory时,可以利用在Internet上注册时使用的DNS域名(如“https://www.doczj.com/doc/f88713268.html,”)结合本部门名称(如“test”)组成。这种命名方法可确保每个Active Directory域名是全球唯一的。
(2) 规划域结构
最容易管理的域结构就是单域。规划时,应从单域开始,并且只有在单域模式不能满足要求时,才增加其他的域。如果只是反映某个公司的部门组织结构,可以不创建独立的域树,而通过在一个域中,使用组织单位的方法,指定组策略设置并将用户、组和计算机放在组织单位中。
(3) 规划委派模式
可以将权利下派给单位中最底层部门,在每个域中创建组织单位树,并将部分组织单位子树的权利委派给其他用户
或组。
(4) 规划组织单位结构
可以在域中创建组织单位的层次结构。组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单位简化了域中目录对象的视图以及这些对象的管理。可将每个组织单位的管理控制权委派给特定的管理员。
2. 安装Active Directory
(1) 启动“安装向导”
单击“开始”/“程序”/“管理工具”/“配置服务器”,即可启动“Windows 2000配置服务器”对话框。单击“Active Directory”项,并单击“启动”。
(2) 安装活动目录(点击观看)
(3) 安装完成后,在“管理工具”中将增加有关“Active Directory”的工具。
3. 验证活动目录是否安装成功
(1) 验证SRV资源
活动目录安装完成后,域控在启动时把SRV资源记录(SRV,Service Resource Record)注册到DNS数据库中。要让AD正常运行,DNS服务器就必须支持SRV资源记录。SRV
资源记录将网络中的服务名称映射为提供服务的服务器名称,AD客户和域控使用SRV记录来确定域控的IP地址。如果SRV资源已经成功注册,在“https://www.doczj.com/doc/f88713268.html,”会出现_msdcs、_sites、_tcp和_udp四个子文件夹,如图7-2-14所示:
图7-2-14 DNS窗口
(2) 验证SYSVOL
SYSVOL是存储域公共文件服务器副本的共享文件夹,它们在域中所有的域控制器之间复制。如果创建得不正确,则存储在SYSVOL文件夹的数据(如组策略)将不能在域控之间复制。
在“运行”框输入“%systemroot%\sysvol”命令,如果能打开如图7-2-15所示SYSVOL文件夹的窗口,其中包括“domain”、“staging”、“staging areas”、“sysvol”
子文件夹,则表明SYSVOL文件夹已正确创建。
图7-2-15 SYSVOL 文件夹
(3) 验证目录数据库和日志文件
在“运行”框输入“%systemroot%\ntds”,如果能打开如图7-2-16所示ntds文件夹的窗口,则表明目录数据库和日志文件安装正确。ntds文件夹包括下列文件:
◆ntds.dit:目录数据库文件
◆edb.*:事物日志和检查点文件
◆res*.log:保留日志文件
图7-2-16 ntds文件夹
4. 降级域控制器
删除活动目录,即降级域控制器,操作步骤如下:打开“开始”菜单,选择“运行”命令,打开“运行”对话框。在“运行”下拉列表框中输入“dcpromo”,单击“确定”按钮即可打开“Active Directory安装向导”对话框,按照向导的指示可删除域,这里不再细述。
用户/计算机帐户的设置和管理
用户登录到网络并使用网络资源的基础必须有用户帐户,在域控中网络上用户和计算机帐户的管理是通过“Active Directory用户和计算机”工具来实现的。
1. Active Directory 用户帐户
用户帐户为用户或计算机提供安全保障。在域控制器中,只有具有用户帐户的用户才能访问服务器,使用网络上的资源。帐户主要用于:验证用户或计算机的身份;授权对域资源的访问;审核使用用户或计算机帐户所执行的操作等。
Active Directory用户帐户允许用户登录到具有可验证,并授权访问域资源的计算机和域中。登录到网络的每个用户应有自己唯一的帐户和密码,用户帐号可以用“用户名@域名”来表示,二者都需要用户在登录时键入。
Windows 2000提供了可用于登录到Windows 2000计算机的预定义帐户。每个预定义帐户都有不同的权利和权限组合。这些预定义帐户包括:
◆Administrator:称为管理员帐户,具有最广泛的权利和权限。
◆Guest:称为客户帐户,只有有限的权利和权限,缺省时该帐户被禁用。
2. 计算机帐户
计算机帐户是Windows 2000新增的功能,加入到域中且运行Windows 2000或Windows NT的每一台计算机都有计算机帐户。
与用户帐户类似,计算机帐户提供了一种验证和审核计算机访问网络以及域资源的方法。注意,一个计算机系统要加入到域中,只能使用一个计算机帐户,而一个用户可拥有多个用户帐户,并且可在不同的计算机(指已经连接到域中的计算机)上使用各自的用户帐户进行网络登录。
3. 创建用户/计算机帐户
当有新的用户需使用网络上的资源时,必须在域控制器中为其添加一个相应的用户帐户。同样,当有新的客户计算机要加入到域中时,也必须在域控制器中为其创建一个计算机
帐户,以便它有资格成为域成员。
第一次创建帐户时,将被分配一个唯一的安全标识符SID。安全标识SID是标识用户、组和计算机帐户的唯一的号码,在域中决定用户的权限。
4. 删除用户/计算机帐户
要删除一个用户或计算机帐户,可在控制台目录树中,右键单击要删除的用户或计算机帐号,在弹出的快捷菜单中选择“删除”命令,出现信息确认框后,单击“是”按钮。5. 修改用户帐户的属性
新建用户帐号后,可进一步对帐号的属性进行修改。方法如下:
(1) 右键单击要设置属性的用户帐号,在弹出的快捷菜单中选择“属性”命令,打开相应的对话框。
(2) 选中“帐户”选项卡,如图7-2-21所示,修改用户登录名、帐户选项和帐户的有效期限。
图7-2-21 “属性”对话框的“帐户”选项卡
(3) 在“帐户”选项卡中,单击“登录时间”按钮可在打开的“登录时段”对话框中限制用户的登录时间,如图7-2-22
所示。
图7-2-22 “登录时段”对话框
(4) 在“帐户”选项卡中,单击“登录到”按钮可在打开的“登录工作站”对话框中限制用户登录的工作站。
组帐户的设置和管理
组是Windows 2000 从Windows NT 系统继承下来的安全管理形式,它是指活动目录或本地计算机对象,包含用户、联系人、计算机和其他组等,是同类型对象的集合。在Windows 2000中,组可以用来管理用户和计算机对网络资源的访问,方便管理访问目的和权限相同的一系列用户和计算机帐户。
1. 组的两种类型
(1) 安全组(安全式)
安全组位于定义资源和对象权限的选择性访问控制表(DACL)中。安全组也可用作电子邮件实体。向组发送电子邮件的同时会将邮件发给组的所有成员。
(2) 通讯组(分布式)
通讯组不采用安全机制。只有在电子邮件应用程序中,才能使用通讯组将电子邮件发送给一组用户。
在本机模式下,上述两种组类型可以进行互换。
2. 组作用域
每个安全组和通讯组均具有作用域,该作用域标识组在域树或域林中所应用的范围。根据作用域的范围可分为通用、全局和本地域。在默认情况下,创建的新组配置为具有全局作用域的安全组。
通用:有通用作用域的组可将其成员作为来自域树或
树林中任何Windows 2000 域的组和帐户,并且在域树或树林的任何域中都可获得权限。
全局:有全局作用域的组可将其成员作为仅来自组所
定义的域的组和帐户,并且在树林的任何域中都可获得权限。
本地域:具有本地作用域的组可将其成员作为来自
Windows 2000或Windows NT域的组和帐户,并且可用于仅在域中授予权限。
3. 内置和预定义组
安装域控制器时,系统自动生成的内置组安装在“Active Directory 用户和计算机”控制台的“Builtin”(内置的域本地组)和“Users”(预定义的全局组)文件夹中。可将内置和预定义组移动到域中的其他组或组织单位文
件夹,但不能将它们移动至其他域。
4. 创建组
(1) 打开“Active Directory用户和计算机”工具,右键单击要添加组的文件夹,选择“新建”/“组”命令。
(2) 在“组名”文本框中键入新组的名字,在“组名(Windows 2000以前版本)”文本框中输入需要在Windows NT/98/95计算机上使用的组名,也可使用默认名称。
(3) 在“组作用域”和“组类型”区域中选择新组的作用域和类型,如图7-2-24所示。
图7-2-24 “新建对象-组”对话框
5. 组的属性设置
(1) 添加组的成员
右键单击要添加成员的组,选择“属性”命令。在“成
员”标签中单击“添加”按钮,在出现的“选择用户联系人或计算机”对话框选择要添加的成员。
(2) 删除组的成员
在组属性对话框中的“成员”列表框中选择要删除的组成员,单击“删除”按钮即可。
(3) 设置组权限
在“成员属于”选项卡中,单击“添加”按钮,打开“选择组”对话框,通过选择内置组来设置新组的权限。
(4) 设置管理人
在“管理人”选项卡中,选中要更改组管理人,单击“更改”按钮,打开“选择用户或联系人”对话框重新选择管理人;单击“查看”按钮进行查看可管理人的属性;单击“清除”按钮可清除管理人对组的管理。
组织单位的设置和管理
组织单位(Organizational Unit,简称OU)是可以将用户、组、计算机和其他组织单位放入其中的逻辑容器。组织单位是可以将“组策略”或委派授权机构应用的最小作用域。组织单位具有继承性,子单位能够继承父单位的访问许可权。
组织单位是域中包含的一类目录对象,它包括域中一些用户、计算机、组、文件和打印机等资源,不能包含其他域中的对象。活动目录服务可以把域划分成组织单位,并且组织单位还可以再划分下级组织单位,因此组织单位的分层结构可用来建立域的分层结构模型,可使用户把网络所需域的数量减到最小。
组和组织单位有很大的不同。组主要用于权限设置,可以包含单个域、域树或域林的用户、计算机等对象。而组织单位则主要用于网络构建,它只表示单个域中的对象集合,组织单位及其所包含对象的管理可委派给单独的管理员或组。
1. 创建组织单位
(1) 打开“Active Directory用户和计算机”工具,右键单击要添加组织单位的文件夹,选择“新建”/“组织单位”命令。
(2) 键入新组织单位的名字。
图7-2-27 “新建对象-组织单位”对话框
2. 控制委派
(1) 打开“Active Directory用户和计算机”工具,右键单击要委派控制的组织单位的文件夹,选择“委派控制”命令,启动“委派控制向导”。
(2) 单击“下一步”按钮,在出现的“组或用户选择”
对话框中单击“添加”按钮,打开“选择用户、计算机或组”对话框,选择一个或多个要委派的用户或组,如图7-2-28所示。
图7-2-28 “选择用户、计算机或组”对话框
(3) 单击“确定”按钮,打开“要委派的任务”对话框。选择“委派下列公用任务”单选按钮,然后通过复选框来设置委派的权限,如图7-2-29所示。
图7-2-29 控制委派向导—要委派的任务
(4) 单击“下一步”按钮,打开“Active Directory对象类型选择”对话框。如果要委派的对象为整个文件夹,可选择“这个文件夹…”单选按钮,如果要委派的对象只是文件夹中的对象,可选择“只是在这个文件夹中的下列对象”单选按钮,并在“对象类型”列表框中通过复选框来选择对象,如图7-2-30所示。
目录 一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………
一、活动目录配置基本知识 1、活动目录的重要概念 (1)目录服务是一个什么东西 一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中,目录就储存了有关文件的信息。 在一个分布式计算系统中或是一个公共计算机网络(如Internet)中,就有许多用户感兴趣的对象,如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象,而管理人员则想管理对这些对象的使用。 在此文档中,术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于,它既是目录的信息源,而它的服务又可以使用户得到和利用信息。 (2)什么是活动目录 活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务,还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作,从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性,使得在大规模信息的管理及在其中漫游变得很简单,为管理者和终端用户都节省了时间。 (3)为什么需要目录服务 目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性,而且可以查询目录来得到符合属性的对象列表,例如:"查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。 目录服务可以: ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。 目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时,目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念 用来描述活动目录的概念和术语中有些是新的,而另外一些则不是。不幸的是,一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前,理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围
活动目录(Active Directory)系列之一:为什么我们需要域 对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。从今天开始,我们将推出 Active Directory系列博文,希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。 假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器 Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。 首先,如下图所示,我们在服务器上为张建国创建了用户账号。
实验二Windows Server 2003活动目录与域控制器 [注意事项]: 1、在虚拟机软件里自己安装的网络操作系统中做实验。 2、有两种方式打开安装或删除活动目录的界面: (1)用命令“开始——管理工具——配置您的服务器向导”(Server 2003才有)。 (2)用命令“开始——运行——输入‘dcpromo’”。 3、密码可以设置与5.1管理员相同的密码或设置另外的密码,并且一定要书面记住密码。 4、安装结束后出现配置DNS服务器的选项,选择让系统自动配置。 5、安装活动目录成功后的标志见下图5.19。 6、安装好活动目录后,请不要再次运行“dcpromo”命令,否则会删除已安装的活动目录。 一、实验目的 学习活动目录的安装和删除(实验只要求安装)。 二、实验内容 1.活动目录的安装(升级) 2.活动目录的删除(降级)——理论上掌握,具体实验不要做 三、实验理论基础 活动目录是Windows Server 2003网络中提供的目录服务。目录服务也是一种网络服务,它把网络中的资源信息集中存储起来,并将其提供给用户和应用程序使用。它提供了一种一致化的命名、描述、定位、管理和设置相应安全的方法。通过提供通用的网络资源接口和直观的网络资源访问界面,使用户能够以一致的方式管理自己的整个网络。 由于活动目录中网络资源信息集中存放和管理,使得网络的物理结构和网络所使用的传输协议对用户来讲变得透明起来。当用户访问网络时,无需了解资源的物理位置和连接方法,就可以访问资源。这对于多数缺乏网络专业知识的网络普通用户来说,显得格外有意义。使管理员和一般用户可以方便地查找和使用网络信息,同时也更便于网络管理员有效的管理网络。 活动目录是由组织单位(OU)、域(Domain)、域树(Domain Tree)和森林(Domain Forest)组成的层次结构,它存储有关计算机网络对象的信息。例如,用户、组、计算机、组织、帐户、共享资源和打印机等等。 域是网络对象的分组,如用户、组和计算机。它是最基本的管理单元,同时也是最基层的容器,它可对用户、计算机等基本数据进行存储,域中的对象均为该域的成员。在一个AD中可以根据需要建立多个域。 在域中作为服务器的计算机可以充当成员服务器或域控制器中的任何一个角色,而不在域中的服务器则为独立服务器。 成员服务器是属于某个域,并安装了Windows 2000Server家族或Windows Server 2003家族的操作系统的计算机。该计算机不是域控制器,不处理帐户登录、不参与活动目录的复制,也不存储域安全策略信息。成员服务器通常用作以下几种类型的服务器:文件服务器、应用程序服务器、数据库服务器、Web服务器、证书服务器、防火墙和远程访问服务器。
第3章管理活动目录域 教学要求: 理解:域的概念、特点;活动目录的架构;组织单位的概念、特点;域用户账户的概念、特点;域组账户的概念、特点;域组账户的使用原则; 掌握:创建域;将计算机加入或脱离域;将域控制器降级为独立服务器或成员服务器;管理组织单位;管理域用户账户的工作;管理域组账户的工作; 3.1活动目录的概述 活动目录(ActiveDirectory,AD)服务能把网络中的众多资源有效地组织在一起,实现集中管理与统一保护,最大限度地保证资源的可用性与安全性。 活动目录以数据库的形式存放在网络中的一些特定计算机上,这个数据库称为“活动目录数据库”。 1 2 1 2输入: 3 4-6User 3.2 。 一个活动目录的完整逻辑结构称为“域森林”,一个域森林由若干“域树”组成,一个域树有若干“域”组成。 1、域的定义 在活动目录中,域是一种重要的逻辑管理单元,代表了一个独立的安全范围,能包含大量对象的一种容器。 2、域中计算机的角色 有域控制器、成员服务器、工作站。 域控制器是存放活动目录数据库的,是域中必须要有的。其它两种则不是必须的。 所以最简单的域将只包含一台计算机,这台计算机是该域的域控制器。 3、计算机账户 每台计算机都有一个账户来标识自己,这个账户称为“计算机账户”。在Computers容器内
4 5 创建组账户的主要目的是为用户账户分配资源访问权限,但是管理员不能直接对组账户指定管理策略,也就是不能直接控制组账户中各对象的更复杂的行为。 当删除一个组账户时,其包含的用户账户并不会被删除。但删除一个组织单位时,其包含的所有活动目录对象都将随之删除。 (4)组织单位和其他活动目录容器的区别 图标有所不同 普通容器仅起到把一些活动目录对象组织在一起的作用,管理员不能对其设置组策略。 在组策略中只能看到组织单位而看不到普通容器,这说明只能对组织单位设置组策略而不能对普通容器设置组策略。 在上图中右击“DefaultDomainControllers Pllicy”组策略对象,然后在快捷菜单中选择编辑。可以看到各种组策略。
连云港职业技术学院 信息工程学院 《Windows服务器配置与管理》 大作业文档 题目:活动目录与用户管理 组别:无 姓名:张昭辉 学号: 12号 专业:计算机网络 091 导师:孙前 连云港职业技术学院信息工程学院 2010 年 12 月
摘要 本文档摘要: Active Directory又称为Windows2000server和Windows Server2003系统中非常重要的目录服务。Active Directory用于存储网络上各种对象的有关信息,包括用户账户、组、打印机、共享文件等,并把这些数据存储在目录服务数据库中,便于管理员和用户查询及使用。活动目录具有安全性、可扩展性、可伸缩性的特点,与DNS集成在一起,可基于策略进行管理。本文档主要是介绍活动目录的设置及通过活动目录进行用户管理的方法。 [关键词] 活动目录的概念、 活动目录与域、 域控制器(即Active Directory)的配置、 管理域用户和组、 新建组织单元、 管理组织单元、
目录 摘要 (2) 第一章引言 (4) 第二章域控制器(即Active Directory)的配置 (5) 2.1 活动目录配置前的准备工作 (5) 2.2 配置DNS服务器 (7) 2.3 配置域控制器(即Active Directory) (20) 第三章新建域用户和组 (30) 3.1 新建域用户 (30) 3.2 新建域组 (34) 第四章新建并管理组织单元 (38) 4.1 新建组织单元(OU) (38) 4.2 管理组织单元(OU) (39) 第五章总结 (44) 第六章参考资料与文献 (45)
绿色活动目录 XXXX幼儿园美美年级组 202X.2—202X.6
社会活动(绿色):垃圾分类从我做起 XXXX实验幼儿园美美年级组 2019年3月 活动目标: 1.认识垃圾分类标志,分辨回收的垃圾。 2.了解垃圾分类的意义,懂得保护环境,节约资源。 活动准备: 1.请幼儿制作一张家里垃圾记录表,认真填写。 2.搜集并了解有关于垃圾分类的知识。 3.可回收垃圾箱和不可回收垃圾箱各2个、幼儿分类用的生活垃圾、幼儿分类用的小垃圾箱。活动过程: 1.开始部分 (1)交流分享,说说生活中的垃圾。 师:孩子们,老师给大家布置了任务,请大家记录这几天家里产生的垃圾,你们完成了吗?(完成了)快把记录结果和旁边的小伙伴说说吧! 小结:每天我们的家里会产生许多垃圾,主要有废纸类、塑料类、金属类、玻璃类、织物类、厨余类、有毒有害类垃圾。这么多垃圾你们平时是怎么处理的? 2.基本部分 (1)问题思考,商讨垃圾处理方法。 认识垃圾分类标志。 师:老师这儿就有两个垃圾箱,我们快来看看! (2)提问:仔细观察,你们发现了什么?(颜色、标志) 小结:回收以后经过特殊处理能再为我们服务的就是可回收垃圾,这样的垃圾应该扔到可回收垃圾箱中;除了这些,剩下的就是不可回收垃圾,应该扔进不可回收垃圾箱中。(3)讨论垃圾分类方法。 师:记录的垃圾要跑进哪个垃圾箱?把可回收垃圾圈出来,然后和旁边的小伙伴说说。 小结:哦,原来废纸类、塑料类、金属类、玻璃类、织物类是可回收垃圾;厨余类、有毒有害类是不可回收垃圾。 3.结束部分 师:咱们刚才分的特别好,老师特别佩服你们!
社会活动(绿色):各种各样的包装袋 南站中心幼儿园景渎分园美美年级组 2019年4月 活动目标: 1.了解包装袋的特点及其作用。 2.学习分辨环保包装与非环保包装,树立初步的保护环境的观念。 活动准备: 1.与幼儿共同收集各种包装袋,在活动前布置成“包装袋展览会”。 2.请家长将收集的包装袋向幼儿作简单介绍。 活动过程: 1.开始部分 组织幼儿参观“包装袋展览会”,欣赏各种各样的包装袋,激发活动兴趣。 教师:这里有各种各样的包装袋,它们是装什么的,你知道吗? 2.基本部分 (1)教师介绍包装带上的文字、图案。 教师:你们知道包装袋上的这些文字和图案有什么作用吗? (2)幼儿自由讨论。 教师小结:包装袋上的文字有的是说明产品的用途、用法、成分的,有的是广告语;图案有的是起装饰作用的,有的是商标;包装袋上还有条形码,条形码是商品的编码,是商品独有的世界通用的“身份证”,有了条形码,方便商品储运、销售,在识别伪劣产品、防假打假中也有重要作用。 (3)游戏“猜一猜”。 由一名幼儿说出包装袋的特点,其他幼儿猜是什么包装袋。 (4)教师出示纸制包装袋和塑料包装袋,引导幼儿学习分辨环保包装与非环保包装。 做小实验。纸制包装袋袋长时间泡在水里会烂掉,用火烧会被烧成灰,而塑料包装袋在水里没有变化,用火烧会发出刺鼻的气味,还会留下不能分解的残留物。 通过介绍让幼儿知道环保包装袋会腐烂分解,不会造成环境污染,非环保包装袋不会腐烂分解,会污染环境,就是平常所说的白色污染。 教师:在倡导节能减排、保护环境的今天,生活中我们应该多使用环保包装袋。 3.结束部分 幼儿设计、制作环保包装袋。
域和活动目录 win2003支持的网络结构 1、工作组结构图的网络(对等式网络) 网络上没有专门的服务器,没有集中的数据库所有的资源分散在不同的 网络上的计算机都由本机的本地用户安全数据库审核。 2、域结构的网络 域是管理员定义的一组对象的集合(计算机、用户和组),域是一个安全边界,是由网络上的计算机组成,域中的资源存放在集中数据库内,便于用户的查找和使用,便于管理员的管理。 ●域中计算机的角色 域控制器 在win2000域内,只有win2000 server 才可做域控制器;win2003内只有WEB版不可以做DC; DC内存储了该域的AD数据库,它负责审核域用户的登录、域中资源的管理等; 域内可以有多台域控制器,它们的地位是平等的; 多台DC之间按照一定的频率相互复制数据库保持同步(即保持地位平等); NT域内也有多台域控制器,但只能有一台PDC管理域,其余为BDC 注:额外域控制器的辅助功能: )容错功能; )相互减轻负担; )提高用户的访问效率。 成员服务器 1)具有服务器版本的操作系统; 2)属于某个域中; 3)没有存储AD数据库的称为成员服务器。 注:服务器级的操作系统: windows NT服务器操作系统 win2000server以上版本 win2003所有版本 其它成员 )本身加入某个域中 )是非服务器版本的操作系统 例如:win2000 pro、win99、winNT workstation 等 注:独立服务器 1)本身是服务器版本操作系统; 2)不属于任何域的计算机。 活动目录地相关概念(一) 活动目录是微软目录服务的一种机制,它是用来存储网络上的用户账户、计算机、打印机等资源信息,方便用户的查找和使用。活动目录指的是用户在使用资源时不需要了解该资源存放在哪台计算机上和哪台计算机上有哪些资源! 、名称空间 所谓的名称空间,实际是划分好的区域,在该区域可以通过名称查找到与该名称相关的信息。
活动目录系列之一:基本概念 目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。使用LDAP(端口389)轻量级目录访问协议工作,在域环境下所有用户及计算机等帐户信息均保存在一个数据库中,这个数据库位置%systemroot%\ntds\ntds.dit。 AD(活动目录)的逻辑结构包含如下组件:域/子域/树/森林/OU等。主要侧重于对网络资源的组织。 AD的物理结构包含如下组件:DC(域控制器)/site(站点)/OM(操作主机)。主要侧重于对网络资源的配置和优化。下面介绍有关几个重要的概念: 1.DN:(可辨别名称)--用来表示一个对象在AD中具体存储位置,类似于文件的绝对路径。 如:cn=user1,ou=sails, dc=blog,dc=com 该用户存在https://www.doczj.com/doc/f88713268.html,域的sails OU下,用户名为user1. cn=users (默认的容器users也以cn表示) dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。 2.UPN(用户主名)用户名@域名,即用户登录时可以采用,如jack@https://www.doczj.com/doc/f88713268.html,,也可以更改此后缀。 修改:domain.msc后,在根右击--属性--更改UPN后缀,
然后在用户属性-帐号中选择其后缀。用户登录可以使用此UPN.但必须在用户属性里进行相应的更改(即启用此Upn 后缀) 3.SID (安全标识符)用户/组都有唯一 whoami /user 当前用户的SID whoami /all 当前用户的详细信息(包含所属组的SID)getsid \\dc1 test \\dc1 test (安装suptools) psgetsid \\dc1 test 下载工具包。 4.AD数据库的目录分区:(AD数据库虽然是一个文件,但却是以目录分区的形式组成的) schema 架构分区---森林的对象类和属性,在森林级别复制。 configuration 配置分区--所有DC的位置、site,在森林级别复制。 domain 域分区--每个域的各种对象等信息,在域级别复制。application 应用程序分区—DNS,可以自定义。 通过adsiedit.msc来查看前三个目录(事先装支持工具)5.site:在物理位置上区分,一组高速可靠的一个子网或多个子网。(管理AD复制) 优点:
域结构简介 1、域的含义: 域是由一群以网络连接在一起的计算机所组成的,它们将计算机内的资源共享给其他人使用。 2、与工作组结构网络区别: 域内所有的计算机共享一个集中式的目录数据库,它包括整个域内的用户与安全数据。而工作组结构的网络,每台计算机的位置平等。可以相互的共享。 3、域中的计算机类型: A、域控制器:只有WIN2000SERVER才可以做域控制器,域控制器在一个网络中可以有多个。一台的目录数据库可以自动复制到别一个域服务器的目录数据库中,域可以审核登录用户的用户名和密码。多台域服务器共同审核用户的登录可以提高效率 B、成员服务器:域内的WIN2000服务器如果不是域控制器,就是成员服务器,如果不加入域就独立服务器,成员服务器没有活动目录,不能审核域用户的登录,但它们都自己的本地安全数据库。以审核本地用户。 C、其他计算机:其他计算机可以用来访问这些计算机的资源。 活动目录定义 一个电话本:其中有姓名、电话号、地址等,这些就是目录,我可以很容易从找到所需的数据。目录服务:就让用户很容易在目录中查找所要的数据。而在WIN2000中,存储用户、组、打印机等对象相关数据的位置称为目录数据库,负责提供目录服务的组件称为活动目录。 1、适用范围 应用范围很广,可以在一台计算机、一个计算机网络,大至数据广域网的组合。 2、名称空间 A、名称空间的含义:就是一块划好的区域。在这个区域内,可以利用某个名字来找到与这个名字有关的信息。 B、WIN2000中的活动目录就是“名称空间”,可以利用对象名称找到相关的数据。 C、WIN2000的名称结构采用了DNS的结构。 3、对象与属性 WIN2000中的资源都是以对象的形式存在,而一个对象通过属性来描述其特征。如用户就是一个对象类别。用户的姓、名、电话,就是用户的属性。 4、容量与组织单位 A、容量与对象相似,也有自己的名称,也有自己的属性,但它不是一个实体,而可以一组对象和其它容量。 B、组织单位,就是一个容量,可以包括其他对象和组织单位。 5、域目录树 A、域目录树:对一个包含多个域的网络,则可以将网络设置成域目录树的结构,也就是说这些域以树状的形式存在。 B、域目录树中的子域名包含着父域的域名 C、域目录树中的所有的域共享一个活动目录。但活动目录中的数据分散地存储在各个域内。将各个域内的数据合并为一个活动目录。 6、信任 两个域之间,必须建立信任关系,才可以访问对方域内的资源,一个域加入到一个域目录树中后,这个域会自动信任其上一层域,并且这些信任关系具备双传递性。
AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介 1、工作组与域的区别........................................ 2、公司采用域管理的好处.................................... 3、Active Directory(AD)活动目录的功能...................... 二、AD域控(DC)基本操作.................................... 1、登陆AD域控............................................. 2、新建组织单位(OU)...................................... 3、新建用户................................................ 4、调整用户................................................ 5、调整计算机.............................................. 三、AD域控常用命令.......................................... 1、创建组织单位:(dsadd)................................... 2、创建域用户帐户(dsadd)................................... 3、创建计算机帐户(dsadd)................................... 4、创建联系人(dsadd)....................................... 5、修改活动目录对象(dsmod)............................... 6、其他命令(dsquery、dsmove、dsrm)....................... 四、组策略管理 .............................................. 1、打开组策略管理器........................................ 2、受信任的根证书办法机构组策略设置........................ 3、IE安全及隐私组策略设置 .................................
第十一章活动目录的维护 内容摘要 本章重点介绍Windows2000活动目录数据的存储过程和维护方法。重点包括: ? 活动目录数据的备份和恢复 ? 活动目录数据的优化 ? 活动目录的维护程序 考点提示 ? 活动目录的授权恢复和非授权恢复 ? 管理活动目录对象移动的程序:Movetree ? Ntdsutil.exe的应用 11.1 活动目录维护简介 造成Windows2000活动目录故障的原因很多,后果也不完全相同,如系统不能启动,不能登录,网络访问和网络验证出现故障等。当活动目录出现故障时,首先应查找可能引起故障的原因,然后根据掌握的资源情况,制定修复策略,对活动目录进行修复。 11.2 活动目录数据的维护 Windows2000活动目录将数据存储在一个事物数据库和日志文件中,对活动目录数据进行维护可以在系统出现故障时,如硬盘损坏或者软件系统崩溃而导致数据丢失时,对数据进行有效的恢复。活动目录数据维护的关键在于对活动目录数据库和日志文件进行有效的维护。 Windows2000服务器对活动目录数据提供如下的维护方法: ? 备份和恢复。使用Windows2000自带的备份工具可以对活动目录数据库进行备份和恢复。活动目录数据库在Windows2000中是整个系统数据的一部分。 ? 移动。Windows2000服务器支持将活动目录数据库从一个地方移动到另一个地方,注意移动一个活动目录数据库文件后,原文件并不会自动删除,而是继续存在,这儿的移动和复制有一些相似。 ? 碎片整理。频繁的数据库访问会造成磁盘空间利用率下降。碎片整理可以重新排列数据库中的数据,回收可以利用的磁盘空间。 11.2.1 活动目录数据的存储过程 Windows2000活动目录使用可扩展的存储引擎(ESE)对数据进行存储。ESE应用事务和日志的概念将数据存储在数据库和事务日志文件中。所谓事务(Transaction),是指系统作为一个不可分割的整体进行处理的更改、添加、删除等操作的集合。 活动目录数据存储的基本过程如下: 1、为数据库更改创建一个事务 2、向日志文件中写入事务 3、将事务写入内存缓冲区 4、将更改在系统空闲的时候写入数据库 5、更改指向日志中未写入数据库的数据项的指针。
活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日
目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误!未定义书签。
使用活动目录服务的好处是什么? 完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力,这样可以: ●简化管理任务 ●加强网络安全性 ●通过互操作使用现存网络 简化管理 分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。例如,活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。基于下列原因,活动目录可以从以下方面帮助公司简化管理: ●消除冗余管理任务提供对Windows用户账号、客户、服务器和应 用程序以及现存目录同步能力进行单一点管理。 ●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分 发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。 ●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的 所有层次上。 ●降低总体拥有成本(TCO)通过使网络资源容易被定位、配置和 使用来简化对文件和打印服务的管理和使用。 活动目录如何简化管理 以层次化组织用户和网络资源,活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。这就减少了冗余的管理任务,同时,通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。 图4:活动目录简化了网络资源的管理 活动目录允许管理员分派特定的管理权限和任务给单独的用户和组,以便更好地使用系统管理资源。如上图所示,特定的管理任务,例如重新设置用户密码,可以被分派给市场机构的办公室管理员。更多的特权功能,如"创建用户",可以为IT管理员保留。 活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分 发给他们。例如,一个公司可以指定职员容器中的所有用户(无论是从哪里登录到网络上的)均可使用人力资源管理应用程序。活动目录集中存储这些信息,同时,应用智能镜像管理技术自动安装所分配的应用程序,并给予用户访问其桌面系统的能力而无论用户正在使用网络中的哪个工作站。
实训目标: 理解域的特点,掌握创建域、管理域以及管理组织单位的方法与步骤;理解域用户账户与组账户的特点、用途,掌握管理域用户账户与组账户的方法与步骤。 实训环境: 6台Windows Server 2008 R2企业版计算机。 实训内容: 假设你是一家公司的网络管理员,负责管理公司的网络。公司希望创建域来管理网络。为此,需要你执行以下工作: ①按照下图1,创建域森林。 图1 具有两棵域树的森林 ②在域https://www.doczj.com/doc/f88713268.html,中有三个部门:销售部、培训部和技术支持部,现在需要为这 三个部门分别建立组织单位,并把每个部门的10台计算机加入到各自的组织单位 中。 ③在域https://www.doczj.com/doc/f88713268.html,中,为公司员工创建域用户账户,并设置域用户账户的个人信息。 ④对某些用户(例如:临时工),设置这些域用户账户的登录时间以及限制登录地点。 ⑤如果一个用户(如:john)由于生病而在一段时间内无法上班,请禁用他的域用户账户。 ⑥如果一个用户忘记了自己的账户密码,为其重设账户密码。 ⑦一个用户辞职后离开了公司,请删除该用户的用户账户。 ⑧创建组账户,并把一系列的用户账户加入到这个组账户中。
提示:本实训需要搭建五台域控制器,如果学员实训中无法在计算机上运行这么多虚拟机,本实训可以化简为仅搭建 https://www.doczj.com/doc/f88713268.html,、https://www.doczj.com/doc/f88713268.html,、https://www.doczj.com/doc/f88713268.html,三台域控制器。内容②中对https://www.doczj.com/doc/f88713268.html,的操作改为对https://www.doczj.com/doc/f88713268.html,的操作。 一、创建森林域 ①在此计算机上安装Windows Server 2008 R2企业版。将此计算机的名称设置为dc3,当它升级为域控制器后会自动改名为https://www.doczj.com/doc/f88713268.html,。此计算机的IP地址和DNS服务器地址等信息按照图2所示进行配置。 ②以该计算机的本机管理员身份登录,然后使用以下两种方式之一安装活动目录。●单击屏幕左下角的“服务器管理器”图标,然后请转到步骤○3。●单击【开始】→【运行】,输入“dcpromo.exe”后,单击【确定】图标。此时它会自动执行步骤○3~步骤○10,所以请转到步骤○11。 ③在“服务器管理器”中,单击左侧的“角色”,然后单击右边的“添加角色”。 ④在“开始之前”窗口中,单击【下一步】按钮。 ⑤在“选择服务器角色”窗口中,选中【Active Directory域服务】,然后在弹出的“是 否添加Active Directory域服务所需的功能”窗口中,单击【添加必需的功能】,最后单击【下一步】按钮。 ⑥在活动目录安装窗口中,单击【下一步】按钮。 ⑦在“Active Directory域服务简介”窗口中,单击【下一步】按钮。 ⑧在“确认安装选择”窗口中,单击【安装】按钮。 ⑨在“安装结果”窗口中,单击【关闭】按钮。 ⑩单击【关闭该向导并启动Active Directory域服务安装向导(dcpromo.exe)】 ?在“欢迎使用Active Directory域服务安装向导”窗口中,单击【下一步】按钮。?在“操作系统兼容性”窗口中,单击【下一步】按钮。 ?如图2所示,因为是在一个已有森林中新创建子域,所以选中【现有林】和【在现有林中新建域】,然后单击【下一步】按钮。
首先我们需要明确一点:为什么我们需要建立组? 答案很简单:为了管理方便! 其实计算机文件或者文件夹的控制权限是在属性的安全的选项卡中设定的,如下图所示: 在“组或用户名称”中可以添加对此文件夹行使权限的用户或者组。 现在来看这样一种情况: 你是一个域的管理员,在文件服务器上建立了一个共享文件夹,用来放置一些财务部专用文档,假如你有两个选择: 1.在安全属性页中一个一个添加财务部的人员并配置相应的权限。 2.在域控制器中创建财务部的组(包含所有财务部人员),在安全属性页中添加财务部组 假设财务部又新来了N位员工,如果你选择第一种方案,你就需要在安全属性中添加并配置N位员工,而选择第二种方案,你只需要在域控制器上创建用户帐户的时候指定他们的组为财务部就可以了,而无需修改安全属性中的角色列表。所以,很显然你应该选择第二种方式。尤其是你有很多共享文件夹进行管理的时候,使用组来管理的好处就更能够体现出来了。 通过这个例子你也能够体会到:使用组其实是为了管理方便,用最少的工作获得最好的效果!
明确了组的作用后就来看看本地组、全局组、域本地组和通用组的概念和区别。什么是本地组呢? 很多时候本地组被人认为是域本地组的简称。其实严格来说,本地计算机上也可以创建属于本机的组,这些组才应该称为“本地组”。它的成员可以来自本地计算机或者所有的可信任域。本地组存储在本地计算机中,而域本地组存储在域控制器上。你如果使用过域,应该有这种体验:使用域帐户登录域中任意一台计算机后,默认情况下是普通的Users组权限,如果要提升成管理员权限,需要把这个域帐户添加到本地计算机的Administrators组中。 全局组的特点是什么呢? 全局组成员来自于同一域的用户账户和全局组,在林范围内可用。 也就是说能够添加到全局组的成员是本域的成员或者全局组(这样就构成了组的嵌套)。如果在上海的域中创建了全局组A,那么能添加到A中的人只能是上海域中的对象或者是其他可信任域,如北京或大连的全局组。 域本地组的特点是什么呢? 域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组,在本域范围内可用。 通用组的特点是什么呢? 通用组成员来自林中任何域中的用户账户、全局组和其他的通用组,在全林范围内可用。但是注意通用组的成员不是保存在各自的域控制器上,而是保存在全局编录中,当发生变化时能够全林复制。 规则就这些,请不要记混。可以简单这样记忆: 全局组来自本域用于全林 通用组来自全林用于全林 域本地组来自全林用于本域 因为只有域本地组专用于在本地赋予权限,所以,通常情况下,域本地组总是最后被应用。下面我们通过几个例子来讲述他们的应用: 康博公司是一个大型的软件公司。公司的业务发展很快,目前在北京拥有自己的办公大楼,总部也因此设在那里,另外在上海也有分公司。公司在企业内部建立了域名为https://www.doczj.com/doc/f88713268.html,的域,由于上海的分公司主营外包业务,相对比较独立,于是为其创建了子域https://www.doczj.com/doc/f88713268.html,,从而形成了域树。 后来公司管理层经过商议与另外一个物流公司A合作创办了一个电子物流公
实训任务单卡 3 Training Task Card 班级:组别:学号:姓名:实训日期: 【任务1 创建与配置活动目录】实施步骤(老师演示后,学生操作步骤2-8) 1.分析任务要求:创建与配置活动目录 2.创建第一个域 在win2003-1计算机安装window 2003 server 2003,使其成为独立服务器,并将其提升为域控制器,创建网络的第一个域。(在创建域过程中安装DNS服务器到本机,本机的IP设置为.学号.98/24)首先确认“本地连接”属性TCP/IP 中首选 DNS 指向了自己(.学号.98) 在服务器上安装活动目录。命令行:dcpromo 选择“新域的域控制器。 在“创建一个新域”窗口中,选择“在新林中的域”。 在计算机上安装并配置DNS(将DNS指向自己.学号.98) 在新的域名页面中,输入新域的完整域名(FQDN)。() 在“NetBIOS域名”窗口中确认NetBIOS名。
改变活动目录数据库以及日志存放的路径。(建议将数据库和日志放在不同硬盘上,以提高安全性和性能,在此按默认路径) 在“权限”窗口中,选择一个权限选项。(选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限) 在“目录服务还原模式的管理员密码”窗口中,设置一个密码。(如pa$$worD) 最后,系统显示安装摘要。 3.安装后检查 查看计算机名,查看管理工具(AD用户和计算机,AD站点和服务,AD域和信任关系),查看目录对象,查看AD数据库,查看DNS记录。 注:AD数据库文件保存在 %systemboot%\NTDS文件夹。 查看计算机名。 查看管理工具。 查看活动目录对象。 查看Active Directory 数据库。 查看DNS记录。 4.安装额外的域控制器 在计算机win2003-2计算机上安装window 2003 server 2003,使其成为独立服务器,并将其提升为域的额外域控制器 在服务器上检查“本地连接”属性,确认能否正常通信。(设置IP为:.学号.2/24) 运行“Active Directory”安装向导。命令行:dcpromo /adv 将该计算机设置为现有域的额外域控制器 输入拥有将该计算机升级为域控制器权力的用户名和密码。(用户名必须隶属于目的域Domain Admins 组、Enterprise Admins组或其它授权用户,此项目域为,用户为Administrator) 安装向导从原有的域控制器上开始复制活动目录。 5.创建子域 在win2003-3计算机上安装window 2003 server 2003,使其成为独立服务器,并将其提升为域的子域的域控制器。 注意:win2003-3计算机的首选DNS指向父域的DNS服务器(即win2003-1计算机)在要升级为子域域控制器的独立服务器(win2003-3)上,设置“本地连接”属性。(设置IP为.学号.3/24,DNS为.学号.98,即域控制器的IP,一定要设置DNS的地址!) 运行活动目录安装向导。命令行:dcpromo 选择“新域的域控制器”单选按钮,单击“下一步”按钮;选择“在现有域树中的子域”单选按钮,单击“下一步”按钮。 输入父域的域名以及管理员的账户、密码等。,Administrator,123@abc) 接着输入子域的NetBIOS名。(china) 重新启动计算机,用管理员登录到域中。查看“Active Directory用户和计算机”工具查看子域是否建立成功。 6.创建域林中的第二棵域树 在win2003-1计算机的DNS服务器上新建DNS区域; 展开DNS管理窗口左部的列表,右击“正向查找区域”,选择“新建区域”命令。 在“欢迎使用新建区域向导”界面中单击“下一步”;在“区域类型”中选择“主要区域”。 选择如何复制DNS区域数据(此处选第二项) 输入DNS区域名称,选择“只允许安全的动态更新”或者“允许非安全和安全动态更新”单选按钮。 单击“完成”按钮。 在win2003-4上安装window 2003 server 2003,使其成为独立服务器,并将其提升为域的域控制器。 确认服务器上“本地连接”属性中的TCP/IP的首选DNS指向即.学号.98,并设置IP地址为.学号.4/24)运行活动目录安装向导。命令行:dcpromo 选择“新域的域控制器”,下一步选择“在现有的林中的域树”。
计算机网络活动目录的结构 活动目录(Active Directory)是一个分布式的目录服务,信息可以分散在多台不同的计算机中,以保证用户的快速访问和容错。它包括目录和目录相关的服务两个方面,其中目录是存储各种对象的一个物理上的容器,目录管理的基本对象是用户、计算机、文件及打印机等资源;目录服务是使目录中的所有信息和资源发挥作用的服务,如用户和资源管理、基于目录的网络服务及基于网络的应用管理等。 另外,Active Directory集成了关键服务,如DNS、MSMQ、MTS等和关键应用,如电子邮件、网络管理、ERP等。为了更加深入的了解活动目录,我们从其物理结构和逻辑结构两方面分别进行讲解。 1.Active Directory逻辑结构 在Active Directory中,是将资源组织到逻辑结构中,该逻辑结构是组织逻辑结构的镜像。资源在逻辑上进行分组,使得用户可以通过名称而不是物理位置就能查找资源,也使网络的物理结构对用户来说是透明的。 Active Directory是由组织单位、域、域树构成的层次化目录结构。它为每个域建立一个目录数据库副本,用于存储这个域的对象。如果多个域之间存在相互关系,则他们可以构成域树,每个域都拥有各自的目录数据库副本存储自己的对象,并且可以查找域树种其他域的目录数据库副本。多个域树则构成域林。 在前面已介绍过域、域树及域林,这里我们只对组织单位进行讲解。组织单位(Organizational Unit)是组织、管理一个域内对象的容器,它包括用户账户、用户组、计算机、打印机、其它活动单位等。因此,我们可以利用组织单位将域中的对象形成一个完全逻辑上的层次结构。 为了有效组织目录对象,组织单位根据企业业务模式的不同来创建不同的层次结构,如可以通过按部门、地理位置、对象类型等来划分层次结构。这样可以帮助企业解决很多问题,极大地简化了网络管理工作,用户可以利用一个服务功能轻松的找到某个对象而不必考虑他的具体位置。 2.Active Directory物理结构 物理结构与逻辑结构有很大的不同,逻辑结构侧重于网络资源管理,而物理结构侧重于网络的配置和优化,其主要作用为Active Directory信息的复制和用户登录网络时的性能优化。 Active Directory的物理组件有站点和域控制器,用户需使用这些组件创建反映组织物理结构的目录结构。 站点(Site)是一个或多个IP子网连接组合,这些子网通过高可靠的快速链路连接,尽可能多地使网络通信量局部化。它往往由企业的物理位置分布情况决定,可以把一个局域网作为一个站点,如图10-20所示。创建站点的主要目的是优化复制流量、使用户通过高速且可靠的链路连接服务器。