AD域服务器活动目录经典图文教程

ad活动目录,解决方案,ppt 篇一：活动目录AD解决方案客户现状：现在客户在各地共有4个办公点。

每个点采用的是独立的域环境。

现在客户希望将分散在各地的办公点连接起来，能够实现各地间的访问与共享。

一、客户方案：通过VPN技术实现网络的互联，并通过林间的信任来实现各地间的互相信任，以达到共享与访问。

客户的方案如下：拓扑图如下：由于客户各地点域已经建立，现在需要做的如下： 1、DNS的转发：作用：处理本地没有应答的DNS查询。

方法：每个域内的DNS服务器都需要做到其他域的DNS 转发，以便于DNS的解析。

2、信任关系的建立作用：为了使不同域可以互相访问。

方法：在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。

在这里建立A,B的相互信任，B,C的相互信任，C,D的相互信任，A,D的相互信任（一但前三个相互信任形成，则第四个A，D的相互信任自动形成。

） 3、 WINS服务器的安装作用：信任域间可以通过主机名称进行访问。

方法：每个域建立独立的WINS服务器，并与其他域内的WINS服务器建立“推/拉”伙伴关系，实现域间WINS服务器的同步。

各域客户端WINS服务器指向本地服务器。

说明：每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。

二、单域多站点结构方案拓扑图：方案描述如下：所有站点处于同一个域下，每个站点的子网不相同。

在A站点建立主DC服务器,其他站点分别建立额外DC，如, , 实现方法：1. 子网划分：分配各个站点的子网，要求子网不能够相同，比如A站点/24B站点 /24; C站点/24; D站点/242. 主DC的建立：A站点域控制器集成AD与DNS服务，并且在DNS上做转发，实现对外网的访问。

在A站点建立域内主DC，DNS地址指向本地地址。

3. 额外DC的建立：首先DC的DNS指向主DC的DNS地址。

在新建DC的时候选择创建“额外域控制器”。

一、1.配虚拟机1的ip（DNS:虚拟机1 IP）
2. 安装AD活动目录，并配置域控名称为
开始菜单->管理工具->配置您的服务器向导->选择AD域控管理
3. 配虚拟机2 ip：172.19.80.110；DNS：172.19.80.210（即为虚拟机1IP）
4. 加入域：我的电脑->属性->计算机名->更改->域，域输入：
5. 输入虚拟机1管理员用户名和密码，添加成功，欢迎加入,最后域重启机器
实验二
1. 在虚拟机1中添加AD活动目录用户：cssp10,登录名为cssp10@
2.虚拟机2登录界面，选择域，使用域用户cssp10@登入到域中
三：通过AD服务器，管理加入到域中的电脑
1.虚拟机1中，开始菜单->管理工具->管理您的服务器，选择管理AD域中的用户和计算
机
2.选择域中的计算机->属性->管理,进行相关管理。

实验五活动目录服务（AD的安装、加入和退出域、域用户的管理和配置）【实验目的】1、理解域的概念，掌握AD的安装方法。

2、掌握加入和退出域的方法。

3、掌握域用户的管理和配置，组的规划和建立。

4、了解Windows Server 2003域用户和本地用户的区别。

5、理解组的概念和作用，认识组的类型。

【实验内容】1、练习AD的安装方法，2、练习加入和退出域的方法。

3、练习域用户的管理和配置，组的规划和建立【实验步骤】一、安装活动目录1）新建DC的角色。

在开始菜单中点击“管理您的服务器”，在打开的画面中点击“添加或删除角色”。

2）在“预备步骤”对话框中，单击[下一步]按钮，出现“服务器角色”对话框后，选择“域控制器”，按[下一步]继续。

3）在“选择总结”对话框中，单击[下一步]按钮，随后会进入AD安装向导过程，（如果直接执行“dcpromo”命令也可以启动AD安装向导，则可以省略前三个步骤），单击[下一步]按钮。

4）出现“操作系统兼容性”对话框，单击[下一步]按钮，在“域控制器类型”对话框中，我们将在这个向导中建立一个新域的DC和林，所以我们选择“新域的域控制器”，按[下一步]按钮继续。

5）选择“在新林中的域”，按[下一步]按钮继续，。

6）出现如下图所示，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如: 或者或者之类的DNS全名。

按[下一步]按钮继续。

7）在“NetBIOS域名”对话框中，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。

NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。

8）在出现“数据库和日志文件夹”的对话框中（如下图），这些文件夹必须放在NTFS分区上，注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。

按[下一步]按钮继续。

9）在出现“共享的系统卷”对话框中，该文件夹必须放在NTFS分区上，在Windows Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。

A D设计和实施AD架构设计问：假如你是珠海总公司员工，带着你的笔记本电脑去南昌分公司出差，到了分公司以后，接入分公司网络这个时候你的身分验证是在那里完成的？答：在南昌的其中一台DC完成身份验证。

分析：珠海员工到南昌分公司出差办公当笔记本接入南昌分公司的网络后南昌分公司的DHCP 服务器会为它分配一个属于南昌网段的IP地址，并配置南昌分公司的DNS及网关地址，然后DNS会去查询本地的DC，最后在本地DC上对用户进行身份验证。

下面进行OS公司的AD的架构设计图从图里我们可以看出Administrator用户对域有最高的权限，是整个AD的管理员，在大中型企业里如果AD靠管理员一个人去管理维护肯定是不可能的特别是有分支机构的企业，因此需要把部分权限委派出去。

委派的权限不能过高，因为AD是公司的基础架构，很多应用都是基于AD的，如果AD发生崩溃在大中型企业里后果是不可想象，为了减少AD的崩溃和出错在权限设计方面一定要设计严格的管理权限，制定出在AD里对象的操作规则。

AD的结构主要是根据自己企业的实际情况和管理方便来划分下面只是一个实例仅供参考。

第一级划分考虑到OS公司在未来的几年发展只限于国内发展，国外暂不考虑，结合中国地理位置第一级OU按省份来划分。

OS公司在3个省内有公司第一级划分三个OU分别是GD(广东）、JX（江西)、SC(四川）未来在别的省份发展分公司还可以断续增加省份OU。

在第一级OU中设计了一个Groups的OU这个OU主要用于存放OS公司的一些公共组,这个设计主要是为了便于管理。

举个例子：总部有一份报表需要给珠海总公司、广东分公司、南昌分公司等各分公司的财务人员查看和修改，如果你是IT管理者该如何做？最佳的解决方法：1、要求各公司IT管理员创建一个本地的财务组，如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept，南昌NCOS-Finance-Dept等，自己本公司的所有财务人员加入到本地创建的财务组；；2、总部管理员在Groups创建一个OS-Finance-Dept财务公共组，把各公司的财务组如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept等加入到OS-Finance-Dept财务组；3、创建一个文件夹，把查看和修改权限赋予OS-Finance-Dept。

WindowsServer2019AD活动⽬录部署（⼆）⽤户创建+添加主机+资源分配本次实验环境：cn_windows_server_2019_x64_dvd_4de40f33cn_windows_7_enterprise_x64_dvd_x15-70741第⼀步：⽤户创建第⼆步：添加主机第三步：资源分配1、⽤户创建点击⼯具选择Active Directory⽤户和计算机右键添加⼀个组织单位举例：技术部在该组织单位上右键选择新建⽤户，创建张飞⽤户。

查看在这⾥补充⼀下Computers存放的是我们域中的计算机，Domain Controllers存放的是域控制器，Users存放的是默认⽤户（本地域和全局）2、添加主机添加计算机有两种⽅式：⼀种是新建对象计算机，输⼊计算机名添加，⼀种是在新客户机上修改计算机名，更改所属域。

新建对象-计算机这个我们不做测试，我们直接修改计算机名。

修改计算机名，加⼊域⾸先需要保证计算机与我们的AD服务器可以通信，同时客户端的DNS需选择AD域控制器的地址。

计算机属性-更改计算机名输⼊我们的域名添加时需要⾝份认证，如果我们还未创建⽤户则需要输⼊域控制器管理员账号和密码，如果我们有了其它⽤户，可⽤其它⽤户进⾏验证，其实就是让计算机知道我是域控制器派过来添加你的。

修改完成之后，计算机需要重启，我们重启之后使⽤张飞进⾏登录。

可以看见张飞可以登录，并在本地计算机有了⼀个⾃⼰的⽂件夹。

再来域控制器这⾥查看，选择computers，可以看到这台客户机已经添加进来了。

3、资源分配为了测试效果我们在添加⼀个⽤户，关⽻在域控制器上创建⼀个张飞的⽂件夹，共享给张飞⼀⼈。

选择查找个⼈选择⾼级搜索张飞，然后确定共享我们先⽤张飞测试⼀下，发现可以访问域控制器给张飞提供的资源。

我们再⽤关⽻测试，发现访问不了。

权限分配就到这⾥。

对于域的傻⽠式理解：域环境和银⾏部署很类似：XX银⾏有5个⽀⾏，⼀个总部，我们办理业务时，不管到那个⽀⾏都可以办理，都可以访问我们私有的数据。

Windows 2000活动目录详解我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录（Active Directory）服务”，使得WIN2K系统与Internet上的各项服务和协议更加联系紧密，因为它对目录的命名方式成功地与”域名“的命名方式一致，然后通过DNS进行解析，使得与在Internet上通过WINS解析取得一致的效果。

活动目录也说明了Microsoft在网络结构方面的策略转移，虽然在以前NT时代也有部分产品（如EXCHANGE SERVER、IIS等）提供过类似于活动目录的服务，然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。

活动目录的身影似乎在整个WIN2K系统中无处不在。

然而要真正了解“活动目录”的方方面面又谈何容易，下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析，希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。

一、活动目录的由来谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME 下“文件夹”，那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系，一个文件生成之后相对来说这个文件的所在目录也就固定了（当然可以删除、转移等，现在不考虑这些），也就是说它的属性也就相对固定了，是静态的。

这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小，并不能得出其它有关信息，这样就影响到了整体使用目录的效率，也就是影响了系统的整体效率，使系统的整个管理变得复杂。

因为没有相互关联，所以在不同应用程序中同一对象要进行多次配置，管理起来相当繁锁，影响了系统资源的使用效率。

为了改变这种效率低下的关系和加强与Internet上有关协议的关联，Microsoft公司决定在WIN2K中全面改革，也就是引入活动目录的概念。

理解活动目录的关键就在于“活动”两个字，千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解，那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹，正因为这个目录是活动的，所以它是动态的，它是一种包含服务功能的目录，它可以做到“由此及彼”的联想、映射，如找到了一个用户名，就可联想到它的账号、出生信息、E-mail、电话等所有基本信息，虽然组成这些信息的文件可能不在一块。

AD域服务器活动目录经典图文教程八（站点管理）
相关搜索:服务器, 教程, 站点, 目录, 经典
活动目录里的站点代表网络的物理结构，站点可以优化域控制器的复制，使得数据传输量为原来的15%左右，减轻了网络压力。

下面是我们网络拓扑图。

接下来我们建立站点，并把相应的服务器移动到站点内。

新建站点，我这里建立了三个站点 ShangHai BeiJing GuangZhou
为每个站点设置IP子网移动服务器到相应的站点
为保证安全使得我们授权相应的服务器管理站点。

（一般授权为域控制器）
为保证各个站点之间的连接，可以进行正常的复制，我们这里建立相应的站点链接。

在这里可以设置开销，复制的频率，开销越低优先级越高。

在更改计划中，我们可以设置站点之间的数据复制发生在什么时间。

我们可以有一个工具直观的看网络中的拓扑结构，也可以用它进行站点的管理。

首先要安装support tools
连接到域林
选择其中的一台域控制器
现在我们可以看到51cto服务器上所有的数据。

用此时这个选项我们可以检查各个站点是否复制链接正常。

用这个选项我们可以显示整个林拓扑结构
由于我此时只开启了两台服务器，所以在我的拓扑结构图上只显示了两台。