Windows Server 2008活动目录管理实现(下)

Windows Server 2008中Active Directory域的配置管理摘要：随着计算机技术的发展，利用域管理网内计算机的新技术得到广泛应用，本文图例介绍了windows平台的active directory 域及配置管理方法关键词：windows server active directory域配置管理中图分类号：tp316 文献标识码：a 文章编号：1007-9416(2012)02-0155-02活动目录（active directory）是windows server 2008操作系统提供的一种新的目录服务。

所谓目录服务其实就是提供了一种按层次结构组织的信息，然后按名称关联检索信息的服务方式。

这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企业的管理负担。

另外，它还为用户和应用程序提供了对其所包含信息的安全访问。

活动目录作为用户、计算机和网络服务相关信息的中心，支持现有的行业标准ldap（lightweight directory access protocal，轻量目录访问协议）第8版，使任何兼容ldap 的客户端都能与之相互协作，可访问存储在活动目录中的信息，如linux、novell系统等。

创建域之前需验证windows server 2008系统具备以下条件：(1)在安装windows server 2008的计算机上至少有一个ntfs分区，至少有250m的空间。

(2)计算机上必须配置好ip地址和dns服务器地址。

(3)具须具备管理员权限。

dns服务可以在安装活动目录前安装，也可以在活动目录集成安装，即在安装活动目录过程中安装。

1、安装active directory域一般情况下，在新安装系统时，系统会提示是否选择安装【活动目录】选项，通常不安装活动目录，以便用户有时间来规划与活动目录有关的协议和系统结构。

活动目录服务一般需要在安装windows server 2008后进行安装，可以使用“dcpromo”命令，“dcpromo”是一个图形化的向导程序，它将引导用户一步一步地建立域控制器。

在Windows Server 2008中，活动⽬录域服务（Active Directory Domain Services缩写AD DS）相⽐前⼀代操作系统⼜有了重⼤的提升和改进，本⽂简要介绍⼀下其新特性。

⼀、审核策略 在Windows Server 2008中，你现在能够通过使⽤新的审核策略的⼦类（⽬录服务更改）来建⽴AD DS审核策略。

当活动⽬录对象及它们的属性发⽣变化时，新的审核策略可以记录新旧属性值。

AD DS审核能⼲什么？ 我们定义本策略设置（通过修改默认域控制器策略），能够指定审核成功的事件，失败的事件，或者什么也不审核。

能够在AD DS对象的属性对话框中的安全选项卡中设置系统访问控制列表。

”审核⽬录服务访问“在应⽤上同审核对象访问⼀致。

但只适⽤与AD DS对象上⽽不是⽂件对象或注册表对象。

审核AD DS访问 在AD DS中新的审核策略⼦类（⽬录服务更改）增加了以下的功能： 当对对像的属性修改成功时，AD DS会纪录先前的属性值以及现在的属性值。

如果属性含有⼀个以上的值时，只有作为修改操作结果变化的值才会被记录。

如果新的对像被创建，属性被赋予的时间将会被记录，属性值也会被记录，在多数情景中，AD DS分配缺省属性给诸如sAMAccountName等系统属性，这些系统属性值将不被记录。

如果⼀个对像被移动到同⼀个域中，那么先前的以及新的位置（以distinguished name 形式）将被记录。

当对象被移动到不同域时，⼀个创建事件将会在⽬标域的域控制器上⽣成。

如果⼀个对象被反删除，那么这个对象被移动到的位置将会被记录。

另外如果在反删除操作中属性被增加，修改或者删除，那么这些属性的值也会被记录。

当"⽬录服务更改"审核⼦类别启⽤以后，AD DS会在安全⽇志中记录事件当对象属相的变化满⾜管理员指定的审核条件。

下⾯的这张表格描述了这些事件。

事件号事件类型事件描述 5136 修改这个事件产⽣于成功的修改⽬录对象属性。

Windows Server 2008出来好一阵子了，自己也用了段时间，但一直没机会体验其AD功能的强大，下面简单的讲解下Windows Server 2008 Active Directory域服务的安装步骤：1.点击“开始”->“运行”，输入“dcpromo”并回车，弹出如下窗口：直接点击“下一步”，一般不需要“使用高级模式”，(除非你的添加第二个DC做他用或者对各种设定都非常熟悉)2.点击“下一步”；3.因为是新建DC，所以选择“在新林中新建域”；4.在目录林根级域FQDN(F)一栏中，输入想建立之网域名称，如确定无误后，按下“下一步”，稍后会进行检查同网段上是否有无网域名称重复；5. 在“设置林功能级别”页面，如林内网域控制站皆为Windows Server 2008担任，则可将林功能等级提升至Windows Server 2008，但有些应用程序需绑AD，则暂不建议将网域等级升至Windows Server 2008。

确定无误后，则按下“下一步”，则会开启“其它域控选项”页面6.DNS当然得选了，直接选择“下一步”；7. 对了，在进行DNS服务器角色安装之前，会先行检查该服务器是否已设定固定IP 地址。

同时，会出现该警示提示(下图)，是因为IPv6预设是为启动，而该Lab使用的是IPv4，故该警示可忽略，按下“是，该计算机将使用动态分配的IP地址(不建议)”---当然，首先固定IP是最好了8. 出现此警示讯息则说明如该网域如为子网域时，则必须先升级问为父系网域，然后设定DNS服务器委派的动作，因该Lab为的网域，故可忽略此警示讯息，按下“是”即可；9.这个…基本不用更改，前提是都是NTFS格式；10.设置还原密码，跟2003一样，够复杂能记住就行；11.到这里就可以检查一下前面的步骤有无错误，没有就可以直接“下一步”；12.正在配置各种设定和服务，大约5~6分钟；13.至此，AD域服务已经安装完毕！重启即可，记得下次登录需要选择Domain哦，否则会拒之门外的！以后会陆续讲解其他功能，如ADSI Edit、Hyper...。

测试环境：服务器：计算机名Win2008R2CNDC,已安装Windows Server 2008 R2。

IPV4:192.168.1.13,255.255.255.0,网关地址192.168.1.1管理员：Bill.XU实验要求：安装第一个企业根据域控制器域名为。

部署过程：以下操作都是以管理员Bill.XU登录完成方法一：手动部署1、使用事件查看器(EventVWR.MSC），查看日志情况。

并要所查看情况，进行系统诊断，确保安装前系统的状态正常2、打开网络连接，设置网卡的IP4地址为一静态地址，同时将DNS服务器地址设置为127.0.0.13、运行DCPROMO,出现设置向导。

设置过程如下图检测系统是否安装AD域服务二进制文件，如果没有，系统会自动安装(也可以在运行命令之前，通过服务器管理器，添加活动目录域服务角色来安装）出现活动目录域服务安装向导，选择高级模式（如果不选择此项，安装过程中将无法对有些设置进行更改，如域Netbios名的更改等）由于这是森林中的第一台服务器，所以选择在新林中新建域。

功能级别，所提供的功能不同。

如要使用R2新增的活动目录回收站功能，必须将功能级别提升到2008 R2功能级别。

要使用棵粒化密码策略，须将功能级别提升到2008。

R2新增了一种功能级别即2008 R2级别。

注意功能级别的操作是单向，即当提升到一个高功能级别后，它不能再降为低功能级别。

除非得新安装AD 域服务具体见：Appendix of Functional Level Features此实验中，DC也是一台DNS服务器，所以要勾选DNS服务器。

同时，这是森林中的第一台DC，所以全局编录（GC），只读域控制器（RODC）不可操作。

森林中必须至少有一台GC，同时要安装RODC，域中必须首先有一台可写的DC。

指定活动目录数据库的存放位置。

在一个大型的网络中，为了提高活动活动工作效率，可以将数据在放在其它的磁盘控制器或RAID上。

⽹络操作系统第六章WindowServer2008活动⽬录本章⼩结 在企业⽹络中，活动⽬录是必不可少的，它将⽹络中各种对象组织起来进⾏管理，⽅便了⽹络对象的查找，增强了⽹络的安全性，为⽤户的物流管理提供了极⼤的便利，本章⾸先介绍了活动⽬录的基本概念，然后通过实例详细介绍了活动⽬录的安装步骤活动⽬录中的⽤户和计算机管理，活动⽬录信任的配置和域管理，以及活动⽬录站点的配置域管理。

习题⼀、什么是活动⽬录？活动⽬录有哪些优点？1、活动⽬录服务是Windows 2000操作系统平台的中⼼组件之⼀。

2、活动⽬录是⼀个分布式的⽬标服务，包括⽬录和相关的服务。

3、活动⽬录优点。

　简化管理任务加强⽹络安全性通过互操作使⽤现存⽹络⼆、什么是域，域树，森林？1、域：是⽬录服务的基本管理单位，是对象（如计算机、⽤户等）的容器。

2、域树：是⼀个域可以是其他域的⼦域或⽗域，这些⼦域，⽗域构成了⼀棵树------域树3、多棵树就构成了森林。

三、什么是信任？什么是域⽅向及传递性？1、信任是域之间建⽴的关系，它可以使⽤⼀个域中的⽤户由处在另⼀个域中的域控制器进⾏验证，实现两个域之间的关系信任。

2、域⽅向：有信任域和受信任域两个⽅⾯，⽅向：单向信任。

单向信任是两个域之间创建的单向⾝份验证路径。

双向信任：Windows Server2000/2003/2008树林中的所有域的信任都是双向可传递性信任。

3、域的传递性：是确定了信任是否可扩展到建⽴信任的两个域之外。

四、如何管理活动⽬录的信任和站点？1、管理信任：⾸先，对信任的管理在“Active Dirrctory域和信任关系”的控制台中完成。

其次，在当中创建，添加，删除。

最后，完成管理信任。

2、管理站点：⾸先，创建站点和创建⼦⽹与站点并联。

其次，委派站点控制 最后，完成站点管理。

第六章的实例作品。

活动目录数据库包括数据库文件NTDS。

dit和日志文件。

考虑到最佳性能，在生产环境推荐将日志文件和数据库文件在单独的硬盘驱动器中或RAID中，同时要根据网络的规模，保证磁盘上有充足的剩余空间。

由于活动目录数据库是一个自我维护的系统，一般来说不需要日常维护（除备份外）.然而有时出现下列情况,可能对其进行管理：磁盘空间低、当前硬件失败、在全局编辑大量删除或移除后需要恢复物理空间。

活动目录数据库的管理包括移动、压缩（碎片整理）等.本实验以Windows Server 2008 R2之一活动目录部署的环境为操作环境。

实验要求:压缩活动目录数据库，将活动目录数据库移动到c:\ntds实验步骤：1、系统备份。

为了防止实验失败，在实验前强烈推荐对系统进行备份（略）2、查看活动目录数据库的相关信息（如下图）3、停止活动目录服务(可以在服务管理控制台services。

msc或在命令行状态运行net stop ntds停止)4、输入ntdsutil回车.然后依次键入activate instance ntds、files命令. 以是命令的使用帮助.可以使用integrity数据库的逻辑完整性等操作5、输入compact to c:\，压缩活动目录数据库,将压缩后的文件放在c:\。

压缩完成后，需将c:\ntds.dit文件复制到原来文件夹，并删除文件夹的＊。

log日志文件。

以下是进行移动操作6、键入move db to c：\ntds.这个命令将完成将数据库文件复制到c:\ntds。

系统会自动检测这个文件夹是否存在(如果不存在，会自动建立这个文件夹），同时，在计算机重新启动后,会自动设置这个文件夹的安全性。

7、键入move logs to c:\ntds移动日志文件。

8、按两次quit退出ntdsutil命令。

9、重新启动计算机。

通过事件查看器查看相关日志和c:\ntds的相关信息(安全性,文件）,看系统是否工作正常。

活动目录及域控制器的安装与配置一、安装DC（域控制器）的必备条件1、本地管理权限（系统管理员权限）2、操作系统版本必须满足条件Windows Server 2005windows Derver 20082、有TCP/IP4、有足够的可用磁盘空间5、NTFS 分区（至少要有一个NTFS分区）6、需DNS的支持。

二、安装DC1,、打开方法：开始-运行-输入“dcpromo”，就会出现图1-1所示的AD域服务器安装向导。

一般默认安装就行，钩不勾选高级差别不大。

图1-1图1-22、选择在新林中新建域数据库和日志文件夹默认保存位置C:\windows\NTDS Sysvol文件夹的位置必须为NTFS分区图1-3在这里输入你要新建的域名，域名一般是按照或形式建立图1-4在这里选择要安装的域控制器的操作系统版本，一般先选择最低级别的windows 2000 server,这里的好处是以后可以根据需要升级到高版本的如server 2003,2008等，如果直接选择最高版本的以后低版本的某些功能可能不会实现。

图1-5图1-6因为我的电脑之前已经安装了一个与服务器了所以这里会出现这个提示。

图1-7这里可能会出现如下图所示的对话框，问你是否配置静态IP，最好先到IPv4的协议中配置好ip和dns，网关根据需要来，也可以先不用配置。

图1-84、输入目录服务还原模式的Administrator密码。

一定不要忘记此密码，此密码可用于卸载你已经安装的好的域控制器图1-9图1-10图1-11图1-12这里我们可以看到，我的管理员前面出现了一个TARENA的域名，说明已经成功了，如果你重启后也看到你自己添加的域名证明你成功了图1-13让我们登陆看一下吧，登录Administrator用户，打开开始菜单——管理工具——就能看到活动目录了，图1-14，很好继续。

图1-14下图是打开活动目录后，看到自己新建的域——，你的不一定是这个哦，看你自己输入的域名是什么它就显示什么。

Win2008系统活动目录权限管理服务熟悉Windows Server 2003的朋友，相信对RMS（权限管理服务）都不会陌生，它能够有效的保护我们的数字资产在相应授权范围之外不会泄露。

在Windows Server 2008中，这一重要特性得以改进和提升，微软把它称之为AD RMS（Active Directory Rights Management Services），即活动目录权限管理服务。

相对于2003下的RMS有了较大的改进与提升，例如：不需要单独下载即可安装、不再需要连接到Microsoft去进行登记等等。

AD RMS 系统包括基于Windows Server 2008 的服务器（运行用于处理证书和授权的Active Directory 权限管理服务（AD RMS）服务器角色）、数据库服务器以及AD RMS 客户端。

AD RMS 系统的部署为组织提供以下优势：- 保护敏感信息。

如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用AD RMS，从而帮助保护敏感信息。

用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。

组织可以创建子自定义的使用策略模板（如“机密- 只读”），这些模板可直接应用于上述信息。

- 永久性保护。

AD RMS 可以增强现有的基于外围的安全解决方案（如防火墙和访问控制列表（ACL）），通过在文档本身内部锁定使用权限、控制如何使用信息（即使在目标收件人打开信息后）来更好地保护信息。

- 灵活且可自定义的技术。

独立软件供应商（ISV）和开发人员可以使用启用了AD RMS 的任何应用程序或启用其他服务器（如在Windows 或其他操作系统上运行的内容管理系统或门户服务器），与AD RMS 结合使用来帮助保护敏感信息。

启用ISV 的目的是为了将信息保护集成到基于服务器的解决方案（如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查）中。

硬件和软件注意事项AD RMS 中的功能在Windows Server 2008中，通过使用服务器管理器，可以设置AD RMS 的以下组件：- Active Directory Rights Management Services。

第七章部署活动目录安装活动目录一、检查DCX是否满足安装活动目录的条件：1、以管理员账户登录到DCX2、配置IP地址为1.1.1.13、检查是否有NTFS分区二、安装活动目录：1、单击“开始”→“运行”，输入“dcpromo”,打开“Active Dirrectory域服务安装向导”2、点击下一步：阅读操作系统兼容性说明3、在“选择某一项部署配置”页面中，选择“在新林中新建域”。

4、在“命名林根域”页面中输入目录林根域的域名5、在“林功能级别”页面选择林功能级别6、在“选择域功能级别”页面选择域功能级别（选择的系统版本越低兼容性越高）7、在“其他域控制器选项”页面中选择“DNS服务器”8、在“数据库、日志文件和SYSVOL的位置”页面中，接受默认的位置，单击“下一步”按钮。

9、在“目录服务还原密码模式的administrator密码”页面中，输入并确认一个强密码，单击“下一步”按钮。

10、在“摘要”页面中，检查所有的选择，如果没有问题，单击“下一步”按钮。

11、开始安装和配置活动目录服务服务。

12、完成安装后，按提示重新启动计算机。

将计算机加入的到域一、配置机StuX1、以管理员账户登录的StuX2、配置ip地址为192.168.16.3，首选DNS为192.168.16.13、在“桌面”右击选择“属性“4、选“高级系统设置”→“计算机名”→“更改”→在“隶属于”选项中选择“域”→输入域名benet.co m→点击“确定”5、在“windows安全”对话框中输入域管理员的账户和密码，点击“确定”按钮。

6、成功加入到域的提示，点击“确定”按钮，根据提示重启计算机。

7、8、二、OU的管理：1、以管理员账户登录到域服务器。

2、点“开始”→“管理工具”→“Active Directory用户和计算机。

3、右击域名，选择“新建”→“组织单位”4、在新建对象对话框中输入OU的名字“行政部”5、参照以上步骤，分别创建“人事部”“工程部”“销售部”和“财务部”的OU6、右击域名，选择“新建”→“用户”7、在新建用户对话框中输入用户信息和用户名8、点“下一步”输入用户密码9、右击用户名，选择“移动”，按向导提示，将其移动到销售部OU中10、分别将每个OU中创建多个用户账户。

Windows Server2008R2 Active directory实操作参考第一章安装活动目录服务器简介：提升Windows Server 服务器为活动目录服务器，那么管理员需要将DNS服务器指向本机，并且使用dcpromo 向导完成提升操作1：添加AD域服务2、运行dcpromo3、以下的步骤就和Windows server 2003一样了4、安装完成后，重启计算机5、活动目录服务器安装完成第二章客户端加域简介：将客户端加入到域，需要将客户端的DNS 设置指向DC，同时，需要以本地管理员组的成员登录来完成操作第三章创建组织单位简介：组织单位(OU)能够有效的组织活动目录中的用户、计算机等对象，并且从Windows Server 2008开始，对于组织单位，可以启用防删除特性，防止组织单位被意外误删除。

如需删除启用防止容器被意外删除功能的容器，需进行以下操作取消该功能第四章创建用户简介：在活动目录当中，管理员可以使用Active Directory 用户和计算机这一个管理工具来创建用户对象，同时对于属性相同的用户，还可以使用复制的方式创建。

第五章委派控制简介：在活动目录当中，可以在组织单位之上启用委派，允许普通用户对于组织单位中的对象有相应的权限，同时，可以创建任务板视图为用户自定义管理工具。

第六章活动目录管理工具活动目录提供了各种类型的管理工具，管理员可以灵活的使用相应的管理工具来完成活动目录中的各项管理任务，同时管理员可以在Windows 7 中安装RSAT 的远程管理工具实现远程管理活动目录服务器。

1、安装Windows 7 Service Pack 1 (SP1) 远程服务器管理工具2、在控制面中添加要管理的对象第七章命令行管理域7-1：dsadd 添加用户7-2：CSVDE 批量导入导出用户7-3：LDIFDE 批量导入导出用户7-4：批量修改用户属性7-5：命令行工具管理组7-6：导入导出组7-7：命令行加域第八章设置用户加域配额简介：默认情况下，普通域用户能够添加10台计算机到域中，作为安全设置，管理员可以将配额设置为0，不允许普通用户将计算机加入到域中打开ADSI编辑器：开始---管理工具---ADSI编辑器，然后如图操作第九章发布共享简介：管理员可以集中的在活动目录当中发布文件共享，打印机共享，统一管理，同时客户端也能够轻松地搜索到所需要的共享资源。

windowsserver2008活动⽬录的安装活动⽬录的安装⼀、步骤⼀：安装活动⽬录1、安装Active Directory域服务○1添加⾓⾊○2单击下⼀步，3选择⾓⾊，单击选择你要的⾓⾊，然后点击安装4单击下⼀步，打开域服务对话框，其中简要介绍了域服务作⽤和注意事项5、单击安装，正式进⾏安装域服务。

2、安装活动⽬录1、打开开始菜单，在开始搜索⽂本框输⼊dcpromo.exe命令，按回车启动安装向导。

2、单击下⼀步，打开操作“系统兼容性”对话框。

3、单击下⼀步按钮，打开“选择某⼀部部署配置”对话框，如果是第⼀台域控制器，就选择第⼆个选项“在新林中新建域”，如果不是，就选择“现有林”。

4、单击下⼀步按钮，打开“命名林根域”对话框，在“⽬录林根域的FQDN”⽂本框中输⼊你准备好的DNS 域名，如/doc/6e17995561.html。

5、单击下⼀步，开始检查该域名及其相应的NetBIOS 名是否在⽹络中使⽤，完成后打开“设置林功能级别”对话框。

安装向导提供3种模式，分别是windows server2000、2003、2008，根据⽹络中存在的最低windows版本的域控制器来选择。

6、设置域功能级别7、单击下⼀步按钮，开始检查DNS配置，并打开警告框，提⽰没有找到⽗域。

8、单击是，打开“数据库、⽇记⽂件和SYSVOL的位置”对话框，为了提⾼系统性能，并便于⽇后出现故障时恢复，建议将数据库和⽇记⽂件夹指定为⾮系统分区。

9、单击下⼀步按钮，打开“⽬录服务还原模式的Administrator 密码”对话框，⽤于设置在还原⽬录服务是的密码，这⼀步很重要，对于⽇后的维护还原时要⽤到，所以密码要牢记。

（在活动⽬录恢复是就需要⽤到了）10、单击下⼀步，打开“摘要”对话框，其中列出了前⾯所做的配置信息。

11、单击下⼀步，安装向导开始配置域服务。

过程需要⼏分钟或⼏⼩时，因此，如果你很忙，也可选中“完成后重新启动”复选框，完成后有系统⾃动重启。

Windows 2008系统活动目录权限管理服务介绍熟悉Windows Server 2003的朋友，相信对RMS（权限管理服务）都不会陌生，它能够有效的保护我们的数字资产在相应授权范围之外不会泄露。

在Windows Server 2008中，这一重要特性得以改进和提升，微软把它称之为AD RMS （Active Directory Rights Management Services），即活动目录权限管理服务。

相对于2003下的RMS有了较大的改进与提升，例如：不需要单独下载即可安装、不再需要连接到Microsoft去进行登记等等。

AD RMS 系统包括基于 Windows Server 2008 的服务器（运行用于处理证书和授权的 Active Directory 权限管理服务（AD RMS）服务器角色）、数据库服务器以及 AD RMS 客户端。

AD RMS 系统的部署为组织提供以下优势：1.保护敏感信息。

如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用 AD RMS，从而帮助保护敏感信息。

用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。

组织可以创建子自定义的使用策略模板（如“机密 - 只读”），这些模板可直接应用于上述信息。

2.永久性保护。

AD RMS 可以增强现有的基于外围的安全解决方案（如防火墙和访问控制列表（ACL）），通过在文档本身内部锁定使用权限、控制如何使用信息（即使在目标收件人打开信息后）来更好地保护信息。

3.灵活且可自定义的技术。

独立软件供应商（ISV）和开发人员可以使用启用了 AD RMS 的任何应用程序或启用其他服务器（如在 Windows 或其他操作系统上运行的内容管理系统或门户服务器），与 AD RMS 结合使用来帮助保护敏感信息。

启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案（如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查）中。