域组建,域管理,活动目录管理,OU管理

第6章Windows域管理很多人对域名、活动目录、DHCP、DNS等术语可能还停留在概念性的阶段，于实际操作却有些陌生，本章有助于改善这一点。

本章主要内容包括：⏹介绍域、活动目录等基础概念；⏹活动目录部署和配置；⏹DHCP部署和配置；⏹组策略涉及以下一些方面：⏹普通Server 2003和域控制器之间的升降级⏹DHCP和DNS的配置使用⏹添加或删除域用户⏹计算机加入域⏹SAM数据库和Syskey⏹组策略应用：对组策略进行编辑、设置，掌握强化系统的安全性的方法。

实验1域管理基础域是（Domain）Windows网络管理的一个基本单位。

域管理涉及域、活动目录（AD）和SAM数据库等概念。

1. 域和工作组首先我们介绍一下工作组（Work Group）的概念。

域和工作组都是局域网环境下的两种不同的网络资源管理模式。

工作组的概念想必大家都很熟悉。

它是我们默认安装完系统以后的最初、也是最常用的一种工作模式。

工作组将局域网中的电脑按功能分组，以便查找和浏览共享资源。

同一个工作组内部或不同工作组成员之间可以通过“网上邻居”实现资源共享。

从“网上邻居”最先看到的是本机所在的工作组的机器。

“工作组”是一个“对等”网结构，就像一个自由加入和退出的俱乐部一样，可以随时自由出入毫无限制，它本身的作用仅仅是提供一个“房间”，以方便查找。

在这种模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，没有server或client的概念。

共享文件即使加有访问密码，也非常容易被破解。

以工作组组成的局域网中，每一台电脑实现“个人自治”，一切设置在本机上进行，包括各种策略，用户登录也是在本机进行的，密码也是放在本机的数据库来验证的。

显然，工作组模式在安全性上存在很大问题。

域的提出，放弃了可以随便出出进进的工作组模式，而采用了“中央集权”式的严格控制。

我们可以说，域既是Windows网络系统的逻辑组织单元，也是Internet的逻辑组织单元。

活动目录中的对象由使用组织单位(OU) 进行组织。

OU 的设计具有两项主要因素：目录对象管理的委派以及组策略对象(GPO) 的应用。

OU 设计应该反映出在网域中管理对象的方式。

变更OU 设计并不困难，但是因为必须小心地操控访问控制列表，所以可能会较为复杂。

一旦建立委派和组策略之后，重新设计已经套用设定的OU 可能很花时间。

因为OU 可担任系统管理委派及组策略应用的双重角色，所以必须进行两次OU 设计程序：一次针对委派，另一次则针对组策略的用法。

工作1：针对系统管理的委派来设计OU 设定OU 可以用来将对象(例如用户或计算机) 的系统管理委派给指定的群组。

虽然可以将权限委派给个人，但最佳的作法仍是使用群组，因为随着组织中的人员变更，更新委派群组中的成员资格要比更新目录中的对象权限来得容易。

藉由OU 进行委派涉及下列的工作：·识别或建立即将委派权利的系统管理员群组。

·将即将委派权利的个人或群组放置到OU 中。

建立系统管理群组具有管理权的OU。

·将要指派的对象权利指派给每个OU 内的系统管理群组。

·在OU 内建立/放置要控制的对象。

·识别要委派系统管理工作的群组时，请尽可能地详细说明必要的最低控制权限。

工作2：设计组策略应用程序的OU 设定您可以建立OU，以将组策略设定套用至特定的计算机或用户子集。

根据默认，OU 中的所有对象都会收到已套用的GPO 所包含的设定。

从委派(或作业) 角度来看，完成OU 设计之后的下一个步骤就是修改OU 设计，以说明组策略设定所可能导致的任何独特状况。

例如，从委派角度来看，您可以建立称为“工作站”的OU，以委派用来管理所有工作站的权限。

在考虑组策略时，可能需要在桌面计算机OU 和行动装置OU 中反映出桌面计算机及笔记本电脑不同的原则需求。

在此案例中，可以将这些桌面计算机和移动装置OU 建立为工作站或OU 内的子OU，或者由这两个个别的OU 来取代工作站OU。

域管理员使用手册作为一个域管理员，您负责管理和维护域环境，确保网络的顺利运行和安全性。

在这份使用手册中，您将找到一些关键问题和解决方案，以帮助您更好地管理域。

1. 域环境介绍在开始管理域之前，您需要熟悉域环境的基本概念和组成部分。

域是一组计算机、用户和设备的集合，它们共享一个共同的安全数据库和组策略。

域环境通常由域控制器、域成员和域资源组成。

2. 域管理员权限作为域管理员，您将拥有特殊的权限和责任来管理域环境。

您的权限将包括用户和计算机的管理、组织单位的创建和维护、安全策略的制定等。

确保只有经过授权的管理员才能访问域控制器和进行管理操作。

3. 用户管理用户管理是域管理员最常见的任务之一。

您将负责创建、删除、禁用和启用用户账户，设置密码策略，管理用户组和组织单位等。

确保为每个用户分配适当的权限和资源，并定期审查和更新用户账户信息。

4. 计算机管理域管理员还需要管理域中的计算机。

您将负责加入新计算机到域中，管理计算机账户，设置计算机安全策略等。

定期更新操作系统和应用程序的补丁，确保计算机的安全性。

5. 组织单位管理组织单位（OU）是域中组织和管理用户、计算机和其他对象的一个关键组成部分。

作为域管理员，您将负责创建和维护OU，将对象分配到不同的OU，并设置适当的权限和策略。

6. 安全策略实施保护域环境的安全性是域管理员的重要任务之一。

您需要制定和实施适当的安全策略，包括密码策略、访问控制策略、安全审计等。

定期审查安全策略的有效性，并根据需要进行调整和更新。

7. 故障排除和故障恢复在域环境中，故障和问题是难以避免的。

作为域管理员，您需要具备故障排除和故障恢复的技巧。

了解常见的问题和解决方法，定期监控和维护域控制器、网络连接等，确保系统的稳定性和可靠性。

8. 域备份和恢复域环境中的数据备份和恢复是非常重要的。

域管理员需要定期备份活动目录数据库、系统状态和相关配置文件，并确保备份的完整性和可用性。

在需要时，快速恢复域环境以确保业务的连续性。

AD域管理解决方案AD（Active Directory）域是Windows Server操作系统中一种用于管理网络资源和用户权限的目录服务。

它可以提供集中管理和身份验证的功能，是企业级网络环境中必备的一项技术。

下面是一些AD域管理的解决方案。

2.组织单元（OU）：AD域中的OU是一种逻辑组织单位，用于对网络资源进行分组和管理。

通过合理设置OU的层级结构，可以便于对用户、计算机和组的权限和策略进行管理。

通过OU，可以将相同职能的用户和计算机集中管理，提高管理效率。

3.用户和组管理：AD域可以集中管理用户和组的身份验证和授权信息。

管理员可以通过ADUC创建和删除用户，修改密码，分配用户权限等。

同时，可以创建和管理组，通过组来分配权限和策略，提高管理的灵活性和可扩展性。

4.组策略：AD域中的组策略可以用于集中管理计算机和用户的配置。

管理员可以通过组策略设置用户桌面和应用程序的配置，安全策略，网络设置等。

组策略可以根据需要应用到不同的OU、组或个别对象上，提供了灵活的配置管理能力。

5.安全和权限管理：AD域的安全性是管理的重要考虑因素之一、管理员可以通过ADUC设置用户和组的安全权限，限制其访问特定资源。

同时，可以通过访问控制列表（ACL）控制对特定对象的访问权限。

此外，AD域还支持审计策略，可以对关键操作进行审计记录和报告。

6.备份和恢复：AD域的管理解决方案中，备份和恢复是必不可少的一环。

AD域的数据包括用户、组、计算机和策略配置等，这些数据的丢失或损坏可能会导致系统不可用。

管理员应定期备份AD域的数据，并测试恢复过程的有效性。

7.故障排除和监控：AD域的管理解决方案应包括故障排除和监控的功能。

管理员可以使用日志记录和性能监视工具来分析和诊断AD域的问题。

定期监控AD域的性能和可用性，并采取必要的措施来修复故障或性能下降的问题。

总之，AD域管理解决方案是一个综合的技术体系，包括了用户和组管理、策略配置、安全和权限管理、备份和恢复等方面。

实验五OU的管理实验环境沈阳某公司有5个部门：行政部，人事部，工程部，销售部，财务部，其中销售部有正式员工和临时员工，网络管理员需要按部门来管理用户帐号、组和计算机账户。

总部的员工在总部的组织单位中管理，将来需要在分公司进行登录时，希望登录域和访问域中资源时的速度够快。

由于销售部最近业务比较多，需要招聘临时人员5名来提供电话支持服务，同时要分别做信息反馈记录并存储在服务器上某文件夹，但禁止临时人员访问公司的文件服务器，而且只允许周一到周五每天8：00—17：00可以登录计算机工作。

临时人员的工作期限为15天，之后临时人员账户自动到期失效。

销售部的某员工可以有权限重置本部门临时员工的密码。

实验目标1．掌握创建OU的方式2．熟练运用AGDLP规则3．理解“登录时间”、“过期”、“登录到”等概念4．能够建立通用组5．能够委派用户修改临时员工更改密码的权限，并能撤销委派实验准备1．一人一组2．准备2台Windows Server 2003 vm（需要唯一SID）（一个作为客户机，一个作为文件服务器）3．VM网卡一块，类型为“网桥模式”4．学员虚拟机IP设置为192.168.2.X/24和192.168.2.Y/24，X为100＋学员的学号（比如王放在考勤表上学号是10号，那么他的虚拟机的IP是192.168.2.110），Y为200＋学员的学号。

5．完成本章的任务一和任务二。

完成标准1．按地理位置创建2个OU，按部门创建5个OU，按身份创建2个OU。

2．创建用户帐号-加入全局组-加入域本地组-授权3．设置临时员工帐户过期时间、登录时间段和允许登录的计算机4．委派用户对销售部OU有重设用户密码的权限。

实验步骤1．在DC上创建OU，创建临时员工帐户、全局组、本地域组，运用AGDLP1.1 在域控制器创建沈阳分公司和北京总部两个OU。

重复以上步骤，再建立“北京总部”的OU，以及在“沈阳分公司”下分别建立：行政部，人事部，工程部，销售部，财务部的OU，并在“销售部”下建立正式员工和临时员工的OU。

公司域管理实施方案实施方案本方案旨在加强公司IT系统及网络系统的有效管控，提升公司电脑系统技术支持的服务效率，为公司移动办公提供安全支撑平台。

为此，我们已经搭建了模拟网络测试环境，并对域管理的各项技术及有关方案进行了初步测试。

在域服务器建立后，将对公司内部电脑系统实施域管理。

好处域管理的好处包括：用户集中管理，需要验证和授权才能进入公司内部网络；加入域管理的电脑未经授权不能安装非办公需要的软件，有效预防私自安装第三方软件引起的各种问题；提升公司电脑系统的维护效率，域服务器将统一自动分发、安装用户电脑系统补丁和升级，节省网络带宽资源，防止重要的系统补丁没有及时安装引起的安全隐患；对公司用户分类管理，根据实际情况，可对不同用户组提供不同的服务；集中化资源管理，公司各部门的工作文档、软件工具等统一归档在服务器上，各部门同事根据被授予了访问权限才能查阅；域服务器统一管理网络打印机等公共设备，每台桌面电脑不需要安装打印机就可打印文件资料；每个同事登陆和退出公司网络都有详细的跟踪记录，可以监控非法用户的访问；根据需要，有效管理相关同事使用公司网络的时间范围；有效支持公司未来移动办公的需求。

具体方法为实现域管理，我们将采取以下具体方法：1.建立AD域。

2.计划建立单域的方式建立域控服务器，活动目录的逻辑结构由域和组织单元（OU）组成。

3.组织单元（OU）是一个用来在域中创建分层管理单位的单元，在域控中将会按照部门划分，暂时分为：总经办，财务部，运营部，销售部，研发部等，以后如有调整，可以适时修改。

4.用户名命名规则，两个字采用全拼，如___，用户名为zhangsan；三个字及以上采用首字全拼加后面拼音首字母，如___，用户名为fengzq；另可以根据用户自己需要采用英文名命名。

5.为保证域控稳定安装实施，将采用分布式逐个部门进行推广。

6.在DNS服务器上创建出一个区域，区域的名称和域名相同，域内计算机的DNS记录都创建在这个区域中。

活动目录里几个重要的概念目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。

使用LDAP（端口389）轻量级目录访问协议工作，在域环境下所有用户及计算机等帐户信息均保存在一个数据库中，这个数据库位置%systemroot%\ntds\ntds.dit。

AD（活动目录）的逻辑结构包含如下组件：域/子域/树/森林/OU等。

主要侧重于对网络资源的组织。

AD的物理结构包含如下组件：DC（域控制器）/site（站点）/OM（操作主机）。

主要侧重于对网络资源的配置和优化。

下面介绍有关几个重要的概念：1.DN：(可辨别名称）--用来表示一个对象在AD中具体存储位置，类似于文件的绝对路径。

如：cn=user1,ou=sails, dc=blog,dc=com 该用户存在域的sails OU 下，用户名为user1.cn=users (默认的容器users也以cn表示)dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。

2.UPN（用户主名）用户名@域名，即用户登录时可以采用，如jack@，也可以更改此后缀。

修改：domain.msc后，在根右击--属性--更改UPN后缀，然后在用户属性-帐号中选择其后缀。

用户登录可以使用此UPN.但必须在用户属性里进行相应的更改（即启用此Upn后缀）3.SID (安全标识符）用户/组都有唯一whoami /user 当前用户的SIDwhoami /all 当前用户的详细信息（包含所属组的SID）getsid \\dc1 test \\dc1 test (安装suptools)psgetsid \\dc1 test 下载工具包。

4.AD数据库的目录分区：（AD数据库虽然是一个文件，但却是以目录分区的形式组成的）schema 架构分区 ---森林的对象类和属性，在森林级别复制。

configuration 配置分区--所有DC的位置、site，在森林级别复制。

☑域和工作组域和工作组是针对网络环境中的两种不同的网络资源管理模式。

在一个网络内，可能有成百上千台电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱。

为了解决这一问题，Windows 9x/NT/2000就引用了“工作组”这个概念，将不同的电脑一般按功能分别列入不同的组中，如财务部的电脑都列入“财务部”工作组中，人事部的电脑都列入“人事部”工作组中。

你要访问某个部门的资源，就在“网上邻居”里找到那个部门的工作组名，双击就可以看到那个部门的电脑了。

在对等网模式（PEER-TO-PEER）下，任何一台电脑只要接入网络，就可以访问共享资源，如共享打印机、文件、ISDN上网等。

尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。

在由Windows 9x构成的对等网中，数据是非常不安全的。

一般来说，同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。

如果要访问其他工作组的成员，需要双击“整个网络”，就会看到网络上所有的工作组，双击工作组名称，就会看到里面的成员。

你也可以退出某个工作组，只要将工作组名称改动即可。

不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。

你可以随便加入同一网络上的任何工作组，也可以离开一个工作组。

“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网络上计算机共享资源的浏览。

与工作组的“松散会员制”有所不同，“域”是一个相对严格的组织。

“域”指的是服务器控制网络上的计算机能否加入的计算机组合。

实行严格的管理对网络安全是非常必要的。

在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。

“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

《Windows活动目录管理》课程标准适用专业：计算机网络专业课程编码：C3-1-3开设时间：第6阶段课时数：36一、课程概述《Windows活动目录》是湖南铁道职业技术学院计算机网络专业的一门专业拓展课程。

课程的主要内容包括：活动目录的基本概念、活动目录基本管理任务、组策略的管理与应用、管理活动目录的信任关系、对活动目录数据库的管理及对活动目录进行恢复等。

本课程学分为1.5学时，总教学时数为36学时，其中理论课时与实践课时各占一半。

通过本课程的学习使学生掌握活动目录的逻辑结构组成，掌握活动目录的基本管理任务，掌握组策略的应用，了解活动目录数据库的管理与维护，初步具备Windows 活动目录的管理的能力。

二、培养目标1．方法能力目标：（1）独立学习能力；（2）职业生涯规划能力；（3）获取新知识能力、信息搜索能力；（4）决策能力；（5）理论联系实际的能力和严谨的工作作风；2．社会能力目标：（1）培养学生的沟通能力及团队协作精神；（2）培养学生分析问题、解决问题的能力；（3）培养学生敬业乐业的工作作风；（4）培养学生的表达能力；3．专业能力目标：（1）掌握Windows活动目录的基本管理任务；（2）掌握组策略的创建、继承、解决组重策略冲突、组策略部署、GPMC工具的使用；（3）学生通过学习能解决在企业中如何利用组策略来管理用户的工作环境和实现软件部署；（4）培养应用Windows活动目录对网络资源进行管理的技能；三、与前后课程的联系1．与前续课程的联系《Windows网络操作系统》课程让学生了解网络操作系统域管理与使用、掌握建立域的方法、掌握域用户与组账户的管理等操作与技能。

2．与后继课程的关系该课程为学生后续课程《网络组建与维护》、毕业设计等课程提供操作保障。

四、教学内容与学时分配根据职业岗位网络管理工程师的要求，将本课程的教学内容分解为14个项目。

五、教材的选用1．教材选取的原则教材选用时遵循“够用、实用”的原则，以真实任务为驱动，在真实环境和任务中介绍Windows活动目录的相关知识，采用“理论实践一体化”的教学思想，符合“做中学，学中做”的教学理念。