公司这个时候又壮大了,兼并了广州一家公司,广州公司有自己的域环境,这个时候我们又不想重新建立新的域环境,广州分公司职工不要经过什么密码就能访问总公司的共享资料,还想保留怎么办?
我们通过建立林信任,达到想要效果。
下面开始动工:
建立林信任,大致分为三步:
提升域功能级别
提升林功能级别
建立信任
因为我的环境都是2003的服务器,要提升所有的域控为2003,提升级别是不可逆的过程。
我们先在https://www.doczj.com/doc/404212982.html,上建立信任。
这里输入建立信任的密码,和管理员的密码无关。
这样我们就建立完成,然后以同样的手法,在https://www.doczj.com/doc/404212982.html,建立。最后我们验证一下信任。
活动目录(Active Directory)系列之一:为什么我们需要域 对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。从今天开始,我们将推出 Active Directory系列博文,希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。 假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器 Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。 首先,如下图所示,我们在服务器上为张建国创建了用户账号。
、 fi 一、静态路由的配置实例: 实验目的:将拓扑图网络设备和节点,实现网络互通。 1、规划PC和路由器各接口IP地址; 2、配置路由器和PC的IP地址,并测试直连路由是否通过: [R1-GigabitEthernet0/0/0]ip address 24 , 问题: 1、为什么要在边界路由器上默认路由 答:因为企业员工要上网,运行默认路由的这台路由器,都会把不知道往哪里的数据包往互联网上扔!
如图:静态路由负载分担拓扑图配置地址后,使用静态路由到达网络号 /24 。达到自由选路功能[R5]ip route-static 24 [R5]ip route-static 24 [R5]ip route-static 24 ¥ 二、rip动态路由实例 实验目的:通过rip动态路由协议配置,使下图设备全网互通
[R1]rip 问题:解决路由环路的办法 1、触发更新,用来避免环路 2、¥ 3、限制跳数 4、水平分割 5、路由中毒/毒性翻转 /路由毒化 6、Rip计时器 (以上方法都是rip路由协议默认启用的) 虽然更改成版本2RIPv2可以解决不连续子网问题,但是会使路由表变大。为了提高路由器性能需要进行路由手动汇总! [R1-GigabitEthernet0/0/0]rip summary-address (掩码需要进行换算) & 前提是R1路由器有以下环回接口: 将这三个IP地址换算出子网掩码 RIP支持接口明文验证和密文验证
目录 一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………
一、活动目录配置基本知识 1、活动目录的重要概念 (1)目录服务是一个什么东西 一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中,目录就储存了有关文件的信息。 在一个分布式计算系统中或是一个公共计算机网络(如Internet)中,就有许多用户感兴趣的对象,如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象,而管理人员则想管理对这些对象的使用。 在此文档中,术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于,它既是目录的信息源,而它的服务又可以使用户得到和利用信息。 (2)什么是活动目录 活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务,还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作,从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性,使得在大规模信息的管理及在其中漫游变得很简单,为管理者和终端用户都节省了时间。 (3)为什么需要目录服务 目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性,而且可以查询目录来得到符合属性的对象列表,例如:"查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。 目录服务可以: ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。 目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时,目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念 用来描述活动目录的概念和术语中有些是新的,而另外一些则不是。不幸的是,一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前,理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围
通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。:)OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况: 1、整个网络中有且仅有一台域控制器; 首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:
点击我用箭头指出的“高级模式”:
再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导: 在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:
AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限). 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任,部分用户资源互访。 配置双向信任关系:
fi 一、静态路由的配置实例: 实验目的:将拓扑图网络设备和节点,实现网络互通。 1、规划PC和路由器各接口IP地址; 配置路由器和PC的IP地址,并测试直连路由是否通过:2、 [R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //IP地址设置 [R1]display ip routing-table //查询R1的路由表蓝色表示辅助指令 [R1]display ip interface brief //查询路由器接口IP设置是否正确 注:其他接口同理! 3、静态路由的配置(给路由器添加路由): [R2]ip route-static 192.168.1.0 24 12.1.1.1 //静态默认路由配置:在R2路由添加192.168.1.0网络,出接口是 12.1.1.1(R2的下一跳) [R2]undo ip route-static 192.168.1.0 24 12.1.1.1 //删除指令 [R1]ip route-static 23.1.1.0 24 12.1.1.2 [R3]ip route-static 12.1.1.0 24 23.1.1.1 [R3]ip route-static 192.168.1.0 24 23.1.1.1 [R3]interface LoopBack 0 //进入环回接口环回接口:模拟路由器上的其他网络号 [R3-LoopBack0]ip address 3.3.3.3 24 //设置环回接口IP地址 4、默认路由的配置: 默认路由:不知道往哪里去的数据包都交给默认路由。(不安全、应用在边界路由即连接外网的路由器) 实际环境中会有很多环回接口,若是都使用静态路由的话,那么配置的工作量会非常大,因此引用默认路
活动目录系列之一:基本概念 目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。使用LDAP(端口389)轻量级目录访问协议工作,在域环境下所有用户及计算机等帐户信息均保存在一个数据库中,这个数据库位置%systemroot%\ntds\ntds.dit。 AD(活动目录)的逻辑结构包含如下组件:域/子域/树/森林/OU等。主要侧重于对网络资源的组织。 AD的物理结构包含如下组件:DC(域控制器)/site(站点)/OM(操作主机)。主要侧重于对网络资源的配置和优化。下面介绍有关几个重要的概念: 1.DN:(可辨别名称)--用来表示一个对象在AD中具体存储位置,类似于文件的绝对路径。 如:cn=user1,ou=sails, dc=blog,dc=com 该用户存在https://www.doczj.com/doc/404212982.html,域的sails OU下,用户名为user1. cn=users (默认的容器users也以cn表示) dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。 2.UPN(用户主名)用户名@域名,即用户登录时可以采用,如jack@https://www.doczj.com/doc/404212982.html,,也可以更改此后缀。 修改:domain.msc后,在根右击--属性--更改UPN后缀,
然后在用户属性-帐号中选择其后缀。用户登录可以使用此UPN.但必须在用户属性里进行相应的更改(即启用此Upn 后缀) 3.SID (安全标识符)用户/组都有唯一 whoami /user 当前用户的SID whoami /all 当前用户的详细信息(包含所属组的SID)getsid \\dc1 test \\dc1 test (安装suptools) psgetsid \\dc1 test 下载工具包。 4.AD数据库的目录分区:(AD数据库虽然是一个文件,但却是以目录分区的形式组成的) schema 架构分区---森林的对象类和属性,在森林级别复制。 configuration 配置分区--所有DC的位置、site,在森林级别复制。 domain 域分区--每个域的各种对象等信息,在域级别复制。application 应用程序分区—DNS,可以自定义。 通过adsiedit.msc来查看前三个目录(事先装支持工具)5.site:在物理位置上区分,一组高速可靠的一个子网或多个子网。(管理AD复制) 优点:
三层交换机和vtp协议的配置实验报告时间:2011年7月14日 地点:西一楼5实验机房 目的:1)了解三层交换机的原理及其的扩展应用,并掌握其配置方法。 2) 理解VTP协议的原理及应用,掌握VTP的配置技巧。 3)巩固对ACL列表的了解,并练习其配置方法。 内容:一、拓扑设计 二、设备配置 三、项目总结 一、拓扑图: 二、设备配置 1、初始化设备命令 en
conf t no ip domain-look line con 0 logging syn exec 0 0 pass 0 login line vty 0 4 pass 0 login end conf t enable pass 0 2、三层交换机上的捆绑通道命令 Sw0上的端口封装: conf t int rang f0/1- 2 channel-protocol lacp channel-group 1 mode active switchport trunk encapsulation dot1q switchport mode trunk show的结果显示: 修改端口模式为trunk: conf t int rang f0/4-5 switchport trunk encapsulation dot1q switchport mode trunk show的结果显示:
同理在Sw1上进行通道封装,三层交换机Sw1上的配置类似Sw0的配置。 3、在三层交换机Sw0和Sw1上 配置VTP协议 conf t vtp domain test vtp mode server vtp pass 0 show命令显示结果: Sw1的配置类似Sw0的配置。 在一般交换机sw0---sw3上配置VTP协议: conf t vtp domain test vtp mode client vtp pass 0 其余交换机的VTP配置类似Sw0的配置。 4、三层交换机SW0上vlan配置 conf t vlan 2
首先我们需要明确一点:为什么我们需要建立组? 答案很简单:为了管理方便! 其实计算机文件或者文件夹的控制权限是在属性的安全的选项卡中设定的,如下图所示: 在“组或用户名称”中可以添加对此文件夹行使权限的用户或者组。 现在来看这样一种情况: 你是一个域的管理员,在文件服务器上建立了一个共享文件夹,用来放置一些财务部专用文档,假如你有两个选择: 1.在安全属性页中一个一个添加财务部的人员并配置相应的权限。 2.在域控制器中创建财务部的组(包含所有财务部人员),在安全属性页中添加财务部组 假设财务部又新来了N位员工,如果你选择第一种方案,你就需要在安全属性中添加并配置N位员工,而选择第二种方案,你只需要在域控制器上创建用户帐户的时候指定他们的组为财务部就可以了,而无需修改安全属性中的角色列表。所以,很显然你应该选择第二种方式。尤其是你有很多共享文件夹进行管理的时候,使用组来管理的好处就更能够体现出来了。 通过这个例子你也能够体会到:使用组其实是为了管理方便,用最少的工作获得最好的效果!
明确了组的作用后就来看看本地组、全局组、域本地组和通用组的概念和区别。什么是本地组呢? 很多时候本地组被人认为是域本地组的简称。其实严格来说,本地计算机上也可以创建属于本机的组,这些组才应该称为“本地组”。它的成员可以来自本地计算机或者所有的可信任域。本地组存储在本地计算机中,而域本地组存储在域控制器上。你如果使用过域,应该有这种体验:使用域帐户登录域中任意一台计算机后,默认情况下是普通的Users组权限,如果要提升成管理员权限,需要把这个域帐户添加到本地计算机的Administrators组中。 全局组的特点是什么呢? 全局组成员来自于同一域的用户账户和全局组,在林范围内可用。 也就是说能够添加到全局组的成员是本域的成员或者全局组(这样就构成了组的嵌套)。如果在上海的域中创建了全局组A,那么能添加到A中的人只能是上海域中的对象或者是其他可信任域,如北京或大连的全局组。 域本地组的特点是什么呢? 域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组,在本域范围内可用。 通用组的特点是什么呢? 通用组成员来自林中任何域中的用户账户、全局组和其他的通用组,在全林范围内可用。但是注意通用组的成员不是保存在各自的域控制器上,而是保存在全局编录中,当发生变化时能够全林复制。 规则就这些,请不要记混。可以简单这样记忆: 全局组来自本域用于全林 通用组来自全林用于全林 域本地组来自全林用于本域 因为只有域本地组专用于在本地赋予权限,所以,通常情况下,域本地组总是最后被应用。下面我们通过几个例子来讲述他们的应用: 康博公司是一个大型的软件公司。公司的业务发展很快,目前在北京拥有自己的办公大楼,总部也因此设在那里,另外在上海也有分公司。公司在企业内部建立了域名为https://www.doczj.com/doc/404212982.html,的域,由于上海的分公司主营外包业务,相对比较独立,于是为其创建了子域https://www.doczj.com/doc/404212982.html,,从而形成了域树。 后来公司管理层经过商议与另外一个物流公司A合作创办了一个电子物流公
第十一章活动目录的维护 内容摘要 本章重点介绍Windows2000活动目录数据的存储过程和维护方法。重点包括: ? 活动目录数据的备份和恢复 ? 活动目录数据的优化 ? 活动目录的维护程序 考点提示 ? 活动目录的授权恢复和非授权恢复 ? 管理活动目录对象移动的程序:Movetree ? Ntdsutil.exe的应用 11.1 活动目录维护简介 造成Windows2000活动目录故障的原因很多,后果也不完全相同,如系统不能启动,不能登录,网络访问和网络验证出现故障等。当活动目录出现故障时,首先应查找可能引起故障的原因,然后根据掌握的资源情况,制定修复策略,对活动目录进行修复。 11.2 活动目录数据的维护 Windows2000活动目录将数据存储在一个事物数据库和日志文件中,对活动目录数据进行维护可以在系统出现故障时,如硬盘损坏或者软件系统崩溃而导致数据丢失时,对数据进行有效的恢复。活动目录数据维护的关键在于对活动目录数据库和日志文件进行有效的维护。 Windows2000服务器对活动目录数据提供如下的维护方法: ? 备份和恢复。使用Windows2000自带的备份工具可以对活动目录数据库进行备份和恢复。活动目录数据库在Windows2000中是整个系统数据的一部分。 ? 移动。Windows2000服务器支持将活动目录数据库从一个地方移动到另一个地方,注意移动一个活动目录数据库文件后,原文件并不会自动删除,而是继续存在,这儿的移动和复制有一些相似。 ? 碎片整理。频繁的数据库访问会造成磁盘空间利用率下降。碎片整理可以重新排列数据库中的数据,回收可以利用的磁盘空间。 11.2.1 活动目录数据的存储过程 Windows2000活动目录使用可扩展的存储引擎(ESE)对数据进行存储。ESE应用事务和日志的概念将数据存储在数据库和事务日志文件中。所谓事务(Transaction),是指系统作为一个不可分割的整体进行处理的更改、添加、删除等操作的集合。 活动目录数据存储的基本过程如下: 1、为数据库更改创建一个事务 2、向日志文件中写入事务 3、将事务写入内存缓冲区 4、将更改在系统空闲的时候写入数据库 5、更改指向日志中未写入数据库的数据项的指针。
活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日
目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误!未定义书签。
金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日
Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件: (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤: (4) 1.首先是“开始>运行”打开运行窗口 (4) 2.运行当中输入“dcpromo”开始安装活动目录 (5) 3.进入安装界面 (5) 4.新建域控制器 (6) 5.设置域控制器的域名 (7) 6.设置林功能级别 (8) 7.安装DNS服务器和全局服务 (9) 8.设置保存数据库、日志文件和SYSVOL的位置 (10) 9.设置目录还原模式的Administrator密码 (11) 10.安装完成自动重启 (12) 11.安装完成后的登陆界面 (13) 12.查看安装AD后的相关的服务,AD活动目录安装完成 (14)
安装部署活动目录条件: 硬件需求 硬件 需求 处理器 最低:1.4 GHz(x64处理器) 注意:Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低:512 MB RAM 最大:8 GB(基础版)或32 GB(标准版)或2 TB(企业版、数据中心版及 Itanium-Based Systems 版) 可用磁盘空间 最低:32 GB或以上 基础版:10 GB或以上 注意:配备16 GB以上RAM的计算机将需要更多的磁盘空间,以进行分页处理、休眠及转储文件。 显示器 VGA(800 × 600)或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标(或兼容的指针设备) 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件(除web版以外) 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间
实验07 活动目录与域--组策略 实验目的 1 所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为https://www.doczj.com/doc/404212982.html, 4 所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6管理员可以使用本地连接-属性,任何域用户帐号不可使用。 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除windows组件” 9 取消自动播放 实验环境 BENET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理,要求企业管理员按如下要求完成设置 1 所有域用户不能随便修改背景,保证公司使用带有公司LOGO的统一背景。 2. 所有域用户不能运行管理员已经限制的程序,比如word等。 3 配置域用户所有IE的默认设定为本企业网站https://www.doczj.com/doc/404212982.html,,保证员工打开IE 可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行,管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 5保证域用户有关机权限,保证员工下班可以自行关机,节省公司资源。 6除管理员外的任何域帐号都不可以更改计算机的IP地址设置,防止由于IP地址冲突造成网络混乱。 7 隐藏所有用户的C盘,防止用户误删除系统文件,造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”,防止用户随意添加windows组件,造成系统问题。 9 取消自动播放,以防止插入U盘有病毒,自动运行病毒 实验准备 1 一人一组 2 准备两台Windows Server 2003虚拟机(一台DC,一台成员主机) 3 实验网络环境192.168.8.0/24
Windows Server 2003从入门到精通系列之一:详细探讨Windows server 2003*作系统的安装方法 Windows Server 2003从入门到精通系列之二:创建和管理用户帐户 Windows Server 2003从入门到精通系列之三:NTFS特性在Windows 2003上的体现
Windows Server 2003从入门到精通系列之四:网络共享资源的各种访问方法 Windows Server 2003从入门到精通系列之五:Windows server 2003安全策略 Windows Server 2003从入门到精通系列之六:Windows server 2003中的磁盘管理
Windows Server 2003从入门到精通系列之七:Windows server 2003灾难恢复——备份 Windows Server 2003从入门到精通系列之八:使用IPSec加强系统安全性 Windows Server 2003从入门到精通系列之九:TCP/IP协议基础
Windows Server 2003从入门到精通系列之十:Windows server 2003 服务应用大全之DNS服务使用详解 Windows Server 2003从入门到精通系列之十一:Windows server 2003 服务应用大全之DHCP服务使用详解
Windows Server 2003从入门到精通系列之十二:Windows server 2003 服务应用大全之WINS服务使用详解 Windows Server 2003从入门到精通系列之十三:如何使用Windows server 2003搭建VPN服务器 Windows Server 2003从入门到精通系列之十四:利用SUS实现自动补丁管理
注意:预习作业在上课前提交,复习作业在上课后提交,共性的作业在实验课会评讲一下,一般不会单独评讲,统一在习题课做综合解答,请各位组长记录作业出现的问题,提交到教员。预习重点部分,不用做在作业上,是给各位学员预习时的引导线。务必记住80%的精力放在预习。 第一章: 预习作业:1.什么是域?什么是活动目录?活动目录有什么特点?2.什么是域树?什么是林?3.安装域控制器必须具备哪些条件?4.将计算机加入域前,要检查客户机哪些配置?5.DNS 在域中有什么作用?● (预习重点:这章节就开始难了,会有很多的名词要理解:域 域控 活动目录 域树 森什么安全组通讯组等等,工作组只适合小型网络,换句话来说,域就适合更大型网络了啦!更换句话来说,你想当个大一点的网络管理,就一定要学好域了,给几个简单的解释先骗大家懂一下吧:?活动目录:一是目录,二是活动,也就是说有一个目录,它是活动的,不属于一台计算机,属整个域的所有电脑。更具体地说他是一个数据库存储着很多对象,例如:组 帐号 打印机 共享文件等等。它能存储这些对象,就能提供一种很好的服务,能让属这个域的用户能快速查找所需的数据了。?域:前面的课提到过,两种网络环境,一种是对等网,平等,没有谁管谁的,另一种是c/s 组构,有服务器有客户机。而我们本课所提到的域,其实就是c/s 结构,能进行集中管理的,其它的域树和森主要看图再对比书本的文字再理解一下。?域控:那一台用来管理这个域的计算机就是域控了,在这里我们暂且单纯地认域域控只有一台,其实在多域的环境下会有多台的,在后面的课程会详细学习。● 安装活动目录:先检查条件够不够,熟读六个条件,域的安装。?加入域:加入域时候,客户机要设置什么才能加入域,这个很重要,很多学员做实验的时候,两台主机都没ping 就去加域,加不入就在大呼大叫,组长帮组员排错的时候要注意是否ping 通ip,是否ping 通域名,别把每个组员都想得太理想了,没有ping 通就急着去加域的学员及加入域的时候域名都写错了,还敢大呼大叫的学员我见得多了。●看书本5页的图,理解一下域树和域林,当然课只应用到单域,由于单一次接触域,多域只是理论上的理解,不要纠结于怎么创,如果非要纠结也行,请预习第八章。 、管路敷设技术通过管线敷设技术,不仅可以解决吊顶层配置不规范问题,而且可保障各类管路习题到位。在管路敷设过程中,要加强看护关于管路高中资料试卷连接管口处理高中资料试卷弯扁度固定盒位置保护层防腐跨接地线弯曲半径标高等,要求技术交底。管线敷设技术中包含线槽、管架等多项方式,为解决高中语文电气课件中管壁薄、接口不严等问题,合理利用管线敷设技术。线缆敷设原则:在分线盒处,当不同电压回路交叉时,应采用金属隔板进行隔开处理;同一线槽内,强电回路须同时切断习题电源,线缆敷设完毕,要进行检查和检测处理。、电气课件中调试对全部高中资料试卷电气设备,在安装过程中以及安装结束后进行高中资料试卷调整试验;通电检查所有设备高中资料试卷相互作用与相互关系,根据生产工艺高中资料试卷要求,对电气设备进行空载与带负荷下高中资料试卷调控试验;对设备进行调整使其在正常工况下与过度工作下都可以正常工作;对于继电保护进行整核对定值,审核与校对图纸,编写复杂设备与装置高中资料试卷调试方案,编写重要设备高中资料试卷试验方案以及系统启动方案;对整套启动过程中高中资料试卷电气设备进行调试工作并且进行过关运行高中资料试卷技术指导。对于调试过程中高中资料试卷技术问题,作为调试人员,需要在事前掌握图纸资料、设备制造厂家出具高中资料试卷试验报告与相关技术资料,并且了解现场设备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况,然后根据规范与规程规定,制定设备调试高中资料试卷方案。、电气设备调试高中资料试卷技术电力保护装置调试技术,电力保护高中资料试卷配置技术是指机组在进行继电保护高中资料试卷总体配置时,需要在最大限度内来确保机组高中资料试卷安全,并且尽可能地缩小故障高中资料试卷破坏范围,或者对某些异常高中资料试卷工况进行自动处理,尤其要避免错误高中资料试卷保护装置动作,并且拒绝动作,来避免不必要高中资料试卷突然停机。因此,电力高中资料试卷保护装置调试技术,要求电力保护装置做到准确灵活。对于差动保护装置高中资料试卷调试技术是指发电机一变压器组在发生内部故障时,需要进行外部电源高中资料试卷切除从而采用高中资料试卷主要保护装置。
组策略高手·完全手册-WebCast视频教程是微软官方网出的一个系列讲座 组策略是活动目录里的重要组成部分,也是活动目录里的重点内容。了解和使用组策略将最大限度的使你的管理工作变得简单化、条理化。你想了解更多的组策略知识,并希望成为组策略的高手吗?本系列课程将就组策略的概念、实现、管理、维护以及使用GPMC(组策略管理工具)来对组策略进行备份、恢复等进行讲解,并结合组策略的实际应用深入了解组策略这个管理用户和计算机的利器。帮助大家从了解组策略到熟练使用组策略的入门到进阶的学习。 系列课程列表 入门篇 入门篇中,我们将首先了解组策略的概念,知道什么是组策略?组策略能做什么?我们为什么要使用组策略?通过这部分课程的学习,我们主要要认识组策略并知道组策略的常规使用方法,知道如何对组策略进行建立、编辑和应用的基础知识。 讲师信息:王辉微软金牌认证讲师苏州索迪培训中心 2005-12-16 10:00-11:30 什么是组策略?组策略能做什么?本讲将简要介绍组策略的概念,组策略的构成和专用术语。了解组策略的功能介绍和主要应用场景,初步认识组策略的设置内容和组成结构的基础知识。 组策略高手完全手册入门篇之一:组策略介绍和功能概览.rar 讲师信息:张华微软金牌认证讲师微软护航技术专家 2005-12-19 10:00-11:30 讲述如何建立组策略对象和组策略链接,如何对组策略对象进行编辑,如果将组策略对象链接到对应的OU或域上,以及如何使用组策略编辑器来编辑设置组策略。并引导听众了解组策略的简单处理规则。 组策略高手完全手册入门篇之二:创建、编辑和应用组策略.rar 讲师信息:王辉微软金牌认证讲师苏州索迪培训中心 2005-12-21 14:00-15:30 你需要部署软件吗?你是否为烦琐的大批量部署软件而犯愁?你希望用户可以自己选择软件安装而不需要安装介质吗?你希望强制为用户或计算机安装指定的软件吗?通过组策略可以快速方便的完成软件的部署和分发工作。
单元一:Windows Server 2008域与活动目录 任务一:安装Windows Server 2008域控制器 任务描述: 企业网络采用域的组织结构,可以使得局域网的管理工作变得更集中、更容易、更方便。虽然活动目录具有强大的功能,但是安装Windows Server 2008操作系统时并未自动生成活动目录。因此,管理员必须通过安装活动目录来建立域控制器,并通过活动目录的管理来实现针对各种对象的动态管理与服务。同时客户机登录域的操作也是组建域网络必不可少的部分,也是网络管理员应该熟练掌握的基本技能之一。 任务目标: 作为网络管理员,只有明确安装域控制器的条件和准备工作,掌握域网络的组建流程和操作技术,才能在服务器上安装好Windows Server 2008操作系统。为此,可以启用活动目录安装向导,成功安装活动目录后,将使得一个独立服务器升级为域控制器。同时通过任务,还应能够区分登录窗口,例如是登录域不是登录本机的登录框。 任务实施: 一、建立第一台域控制器: 活动目录是Windows Server 2008非常关键的服务,它不是孤立的,与许多协议和服务有着非常紧密的关系,并涉及整个操作系统的结构和安全。因此,活动目录的安装并非一般Windows组件那样简单,必须在安装前完成一系列的准备,注意事项如下: (1)文件系统和网络协议:Windows Server 2008所在的分区必须是NTFS文件系统,同样活动目录必须安装在NTFS分区,同时计算机上要正确安装了网卡驱动程序,并启用了TCP/IP协议。 (2)域结构规划:活动目录可包含多个域,只有合理地规划目录结构,才能充分发挥活动目录的优越性。在组建一个全新的Windows Server 2008网络时,所安装的第一台域控制器将生成第一个域,这个域也被称为根域,选择根域最为关键。根域名字的选择可以有以下几种方案: 使用一个已经注册的DNS域名作为活动目的根域名,使得企业的公共网络
实验二:活动目录域服务的安装与配置 实训课时:2 实训目的: 1、理解域环境中计算机4种不同的类型。 2、熟悉Windows Server 2008域控制器、额外域控制器以及子域的安装。 3、掌握确认域控制器安装成功的方法。 实训要求: 这个项目需要分组来完成完成。 1、安装5 台独立服务器win2008-1、win2008- 2、win2008- 3、win2008-4 和win2008-5 要求: 把win2008-1 提升为域树https://www.doczj.com/doc/404212982.html, 的第一台域控制器; 把win2008-2 提升为https://www.doczj.com/doc/404212982.html, 的额外域控制器; 把win2008-4 提升为域树https://www.doczj.com/doc/404212982.html, 的第一台域控制器; https://www.doczj.com/doc/404212982.html, 和https://www.doczj.com/doc/404212982.html, 在同一域林中; 把win2008-3 提升为https://www.doczj.com/doc/404212982.html, 的域控制器, 把win2008-5 加入到https://www.doczj.com/doc/404212982.html,中,成为成员服务器。 各服务器的IP 地址自行分配。实训前一定要分配好IP 地址,组与组间不要冲突。 2、请读者上机实训前,一定做好分组方案。分组IP 方案举例(以第10 组为例,每 组 3 人):5 台计算机的IP 地址依次为:192.168.10.1/24、192.168.10.2/24、 192.168.10.3/24、192.168.10.4/24、192.168.10.5/24。 3、在上面项目完成的基础上建立https://www.doczj.com/doc/404212982.html,和https://www.doczj.com/doc/404212982.html,域的双向的快捷信任关系。 4、在任一域控制器中建立组织单元outest,建立本地域组Group_test,域账户User1 和 User2,把User1和User2加入到Group_test;控制用户User1 下次登录时要修改密码,用户User2可以登录的时间设置为周六、周日8:00~12:00,其他日期为全天。 实验设备和环境 安装虚拟机和WindowsServer2008系统的计算机5台 实训内容: 1.创建第一个域https://www.doczj.com/doc/404212982.html, ①在win2008-1上设置TCP/IP 协议,并且确认DNS 指向了自己。 ②在win2008-1上安装AD 域服务。 ③在win2008-1上安装活动目录(dcpromo.exe)。注意将DNS服务器一同安装。 2.安装后检查 ①查看计算机名。 ②查看管理工具。 ③查看活动目录对象。 ④查看Active Directory 数据库。 ⑤查看DNS 记录。 3.安装额外的域控制器win2008-2 ①首先要在win2008-2 服务器上检查“本地连接”属性,确认win2008-2 服务器和现在 的域控制器win2008-1 能否正常通信;更为关键的是要确认“本地连接”属性中TCP/IP
第十章管理活动目录的数据复制内容摘要 本部分内容主要在1561课程中系统讲述。这一章讲解与活动目录的数据存储和复制有关的基本概念,和为实现和优化活动目录的数据复制需要进行的网络规划与配置。内容包括:? 活动目录数据区域 ? 操作主机的概念和种类 ? 活动目录数据复制 ? 站点和链接 考点提示 ? 活动目录的站点 ? 站点之间的链接 ? 站点之间的目录复制 10.1 活动目录的数据存储概述 活动目录(Active Directory )使用的数据在多个域控制器中进行复制。该部分数据通常简称为目录或者目录数据。 目录数据包含特定对象的有关信息,这些对象包括用户、组、计算机、域、组织单位和安全策略。这些信息都可发布,以供用户和管理员在网络中使用。 目录数据存储在域控制器上,可以通过网络应用程序访问,网络服务也可以访问这部分数据。 一个域可有一个或多个域控制器。每个域控制器都有它所在域的目录数据副本。对目录数据进行的更改从更改的源域控制器复制到域、域树或森林中的其他域控制器。由于目录数据被复制并且每个域控制器都有目录的副本,因此整个域中的用户和管理员都可使用目录。 注意:同一个域中不同域控制器之间的目录数据复制,和同一个森林中不同域中域控制器之间的目录数据复制,复制的内容是不一样的。不同域的域控制器仅仅复制目录数据的一部分。详见“数据分区”部分。 活动目录的目录数据存储在域控制器上 NTFS 分区的 Ntds.dit 文件中。Ntds.dit 文件是一个使用ESE引擎的数据库文件。Windows2000域控制器上共有两个Ntds.dit 文件副本: %SystemRoot%\NTDS\Ntds.dit这个文件存储正常情况下使用的数据。它存储本域中完整目录数据和森林中的部分目录数据。 %SystemRoot%\System32\Ntds.dit这个文件存储Windows2000默认的目录数据,当升级Windows 2000到域控制器时使用。有了这个文件在升级就不需要Windows2000安装盘了。在升级过程中,Ntds.dit从这个目录复制到%SystemRoot%\NTDS\Ntds.dit,并对新文件根据配置做更改。 在域控制器之间复制的目录数据根据内容和功能可以分为三个数据区域: 1、域数据区域(Domain Partition) 域数据区域(Domain Partition)包含域中对象的有关信息,如电子邮件联系人、用户、计算机帐户和组织单元的属性,以及发布在活动目录中的资源信息等。域数据区域(Domain Partition)在一个域内的所有域控制器之间进行复制。不同域的域数据区域(Domain