下载文档原格式
Windows Server 2008中Active Directory域的配置管理摘要:随着计算机技术的发展,利用域管理网内计算机的新技术得到广泛应用,本文图例介绍了windows平台的active directory 域及配置管理方法关键词:windows server active directory域配置管理中图分类号:tp316 文献标识码:a 文章编号:1007-9416(2012)02-0155-02活动目录(active directory)是windows server 2008操作系统提供的一种新的目录服务。
所谓目录服务其实就是提供了一种按层次结构组织的信息,然后按名称关联检索信息的服务方式。
这种服务提供了一个存储在目录中的各种资源的统一管理视图,从而减轻了企业的管理负担。
另外,它还为用户和应用程序提供了对其所包含信息的安全访问。
活动目录作为用户、计算机和网络服务相关信息的中心,支持现有的行业标准ldap(lightweight directory access protocal,轻量目录访问协议)第8版,使任何兼容ldap 的客户端都能与之相互协作,可访问存储在活动目录中的信息,如linux、novell系统等。
创建域之前需验证windows server 2008系统具备以下条件:(1)在安装windows server 2008的计算机上至少有一个ntfs分区,至少有250m的空间。
(2)计算机上必须配置好ip地址和dns服务器地址。
(3)具须具备管理员权限。
dns服务可以在安装活动目录前安装,也可以在活动目录集成安装,即在安装活动目录过程中安装。
1、安装active directory域一般情况下,在新安装系统时,系统会提示是否选择安装【活动目录】选项,通常不安装活动目录,以便用户有时间来规划与活动目录有关的协议和系统结构。
活动目录服务一般需要在安装windows server 2008后进行安装,可以使用“dcpromo”命令,“dcpromo”是一个图形化的向导程序,它将引导用户一步一步地建立域控制器。
Server2008活动目录域服务实战前言Microsoft Windows Server 2008 Active Directory Domain Services (AD DS) 在不同的领域给用户带来了很多增强的特性。
我们将具体介绍Windows Server 2008 Directory Services,以及它是如何结合Windows Server 2008特有的在安全和管理性方面的大量原则。
Read-Only Domain Controller (RODC) 是Windows Server 2008中最大的特性并有拥有最强的增强。
在Windows Server 2008过去的两年半时间内,大约有80%的开发资源是投入到RODC。
RODC的特性是非常丰富和令人兴奋的。
管理角色的分离允许管理员将管理权限指派给Read-Only DC级别的一些用户。
这极大地减轻了拥有许多域管理员的负担并提高了安全性。
Server Core和DC角色被显著地增强来大大地减少了服务器受攻击的层面。
组策略有许多新特性和新设置,使用起来更容易,扩展了它的范围,并变的更加稳定。
下面让我们浏览一下Windows Server 2008 Directory Services 的新特性和增强。
安全的增强Windows Server 2008中的活动目录域服务(AD DS)提供了安全领域的增强。
在安全领域,只读域控制器(RODC)扮演了一个重要的角色。
RODC为在那些地方部署域控制器提供了一个更安全的方法。
它们要求快速、可靠和坚固的认证服务,但也有安全限制,如禁止部署可写域控制器。
RODC主要设计用于部署在远程基础结构环境中。
在这样的环境中一般有相对比较少的用户,物理安全比较薄弱,到中心站点的网络带宽比较少,以及很少的本地IT经验。
域名称服务和域控制器,RODC,和完整DCs 支持活动目录Server Core角色。
除了账号密码,RODC持有所有可写域控制器持有的AD DS对象和属性,但是不能对存储在RODC上副本做修改。
测试环境:服务器:计算机名Win2008R2CNDC,已安装Windows Server 2008 R2。
IPV4:192.168.1.13,255.255.255.0,网关地址192.168.1.1管理员:Bill.XU实验要求:安装第一个企业根据域控制器域名为。
部署过程:以下操作都是以管理员Bill.XU登录完成方法一:手动部署1、使用事件查看器(EventVWR.MSC),查看日志情况。
并要所查看情况,进行系统诊断,确保安装前系统的状态正常2、打开网络连接,设置网卡的IP4地址为一静态地址,同时将DNS服务器地址设置为127.0.0.13、运行DCPROMO,出现设置向导。
设置过程如下图检测系统是否安装AD域服务二进制文件,如果没有,系统会自动安装(也可以在运行命令之前,通过服务器管理器,添加活动目录域服务角色来安装)出现活动目录域服务安装向导,选择高级模式(如果不选择此项,安装过程中将无法对有些设置进行更改,如域Netbios名的更改等)由于这是森林中的第一台服务器,所以选择在新林中新建域。
功能级别,所提供的功能不同。
如要使用R2新增的活动目录回收站功能,必须将功能级别提升到2008 R2功能级别。
要使用棵粒化密码策略,须将功能级别提升到2008。
R2新增了一种功能级别即2008 R2级别。
注意功能级别的操作是单向,即当提升到一个高功能级别后,它不能再降为低功能级别。
除非得新安装AD 域服务具体见:Appendix of Functional Level Features此实验中,DC也是一台DNS服务器,所以要勾选DNS服务器。
同时,这是森林中的第一台DC,所以全局编录(GC),只读域控制器(RODC)不可操作。
森林中必须至少有一台GC,同时要安装RODC,域中必须首先有一台可写的DC。
指定活动目录数据库的存放位置。
在一个大型的网络中,为了提高活动活动工作效率,可以将数据在放在其它的磁盘控制器或RAID上。
2015-2016学年度网络、网站专业班 windows server 2008 网络操作系统课程教案从安全管理角度讲,域是安全的边界;6) 域树一组具有连续命名空间的域组成的;域通过自动建立的信任关系连接起来;根域:最上层的域名就属于这棵域树的根域子域:根域下面的两个域就属于子域,它包含了上一层父域的域名。
7) 域林由一棵或多棵域树组成的;每棵域树独享连续的命名空间;不同域树之间没有命名空间的连续性;域林中第一个创建的域称为域林根域,根域不可删除、更改和重命名。
8) 组织单位(ou)组织、管理一个域内对象的容器包容用户账户、用户组、计算机、打印机和其他的组织单位具有很清楚的层次结构,管理员可以根据自身的要求进行定义。
课间休息(10min)找出图片中三个域的相同之处? 2015-2016学年度网络、网站专业班 windows server 2008 网络操作系统实训课教案3.安装活动目录(1)启动Active Directory域服务安装向导;方法一:【服务器管理器】窗口方法二:运行dcpromo命令安装活动目录(2) 在【Active Directory域服务安装向导】欢迎界面中,确定是否使用高级模式安装;(3) 在【操作系统兼容性】向导页中,提示Windows Server 2008中改进的安全设置会影响老版本的Windows,单击【下一步】;((4)如果系统的TCP/IP配置中没有配置首选DNS服务器IP地址时,将打开【配置域系统客户端设置】向导页,提示必须要配置DNS客户端。
可以选中复选框即在这个服务器中安装DNS服务;(5) 在【选择某一部署配置】向导页中,若要创建一台全新的域控制器,则选择【在新林中新建域】单选按钮;如果网络中已经存储其他域控制器或林,则选择【现有林】单选按钮,再确定是【向现有域添加域控制器】还是【向现有林中新建域】;(6) 在【命名林根域】向导页中,输入林根域的域名,如:;(7) 在【设置林功能级别】向导页中,选择林功能级别(为限制哪些windows server操作系统可以在此域控制器上运行);(8) 在【设置域功能级别】向导页中,选择域功能级别(不可低于林);(9) 在【其他域控制器选项】向导页中,设置其他信息;(10) 安装向导开始检查DNS配置,打开【Active Directory域服务安装向导】警告框(11) 安装向导开始检查DNS配置,打开【Active Directory域服务安装向导】警告框; 在【数据库、日志文件和SYSVOL的位置】向导页中,指定Active Directory数据库(域中对象的有关信息)、日志文件(存储活动目录与服务的有关服务)和SYSVOL文件夹(操作系统文件的一部分)在服务器上的存储位置;(12) 在【目录服务还原模式的Administrator密码】向导页中,设置在目录服务还原模式(DSRM)下启动此域控制器的密码;(13) 在【摘要】向导页中,显示前面所进行的设置以便用户检查;(14) 在【Active Directory域服务安装向导】警告框中,提示正在根据所设置的选项配置Active Directory;(15) 配置完成;(16) 提示重新启动计算机;(17) 系统已升级为Active Directory域控制器,此时必须使用域用户账号登录,其格式是“域名\用户账户;(18)【Active Directory用户和计算机】窗口注:每一个操作都会给学生发一个PDF格式的操作流程。
活动目录及域控制器的安装与配置一、安装DC(域控制器)的必备条件1、本地管理权限(系统管理员权限)2、操作系统版本必须满足条件Windows Server 2005windows Derver 20082、有TCP/IP4、有足够的可用磁盘空间5、NTFS 分区(至少要有一个NTFS分区)6、需DNS的支持。
二、安装DC1,、打开方法:开始-运行-输入“dcpromo”,就会出现图1-1所示的AD域服务器安装向导。
一般默认安装就行,钩不勾选高级差别不大。
图1-1图1-22、选择在新林中新建域数据库和日志文件夹默认保存位置C:\windows\NTDS Sysvol文件夹的位置必须为NTFS分区图1-3在这里输入你要新建的域名,域名一般是按照或形式建立图1-4在这里选择要安装的域控制器的操作系统版本,一般先选择最低级别的windows 2000 server,这里的好处是以后可以根据需要升级到高版本的如server 2003,2008等,如果直接选择最高版本的以后低版本的某些功能可能不会实现。
图1-5图1-6因为我的电脑之前已经安装了一个与服务器了所以这里会出现这个提示。
图1-7这里可能会出现如下图所示的对话框,问你是否配置静态IP,最好先到IPv4的协议中配置好ip和dns,网关根据需要来,也可以先不用配置。
图1-84、输入目录服务还原模式的Administrator密码。
一定不要忘记此密码,此密码可用于卸载你已经安装的好的域控制器图1-9图1-10图1-11图1-12这里我们可以看到,我的管理员前面出现了一个TARENA的域名,说明已经成功了,如果你重启后也看到你自己添加的域名证明你成功了图1-13让我们登陆看一下吧,登录Administrator用户,打开开始菜单——管理工具——就能看到活动目录了,图1-14,很好继续。
图1-14下图是打开活动目录后,看到自己新建的域——,你的不一定是这个哦,看你自己输入的域名是什么它就显示什么。
2015-2016学年度网络、网站专业网络1401、网络1402、网站1401 班 windows server 2008 网络操作系统课程教案(12) 在【目录服务还原模式的Administrator密码】向导页中,设置在目录服务还原模式(DSRM)下启动此域控制器的密码;(13) 在【摘要】向导页中,显示前面所进行的设置以便用户检查;(14) 在【Active Directory域服务安装向导】警告框中,提示正在根据所设置的选项配置Active Directory;(15) 配置完成;(16) 提示重新启动计算机;(17) 系统已升级为Active Directory域控制器,此时必须使用域用户账号登录,其格式是“域名\用户账户;(18)【Active Directory用户和计算机】窗口2.检查DNS服务器内SRV记录的完整性1)SRV记录的作用它是DNS服务器的数据库中支持的一种资源记录的类型,它记录了哪台计算机提供了哪个服务这么一个简单的信息。
2)目的:使其他域成员和域控制器通过SRV记录发现此域控制器。
3)检查方法:(1) 首选DNS改成指向自己的IP地址(系统默认:127.0.0.1)(2) 打开【DNS管理器】窗口,检查DNS服务器内的SRV记录是否完整上面区域内有4项下面的区域有6项课间休息1.将Windows计算机加入域(35min)教师在教师机上给学生演示查看过程1)目的:必须加入到域,才能接受域的统一管理,使用域中的资源Home版不能添加到域中2)添加到域的步骤:(1) 在【Internet协议(TCP/IP)属性】对话框中,指定DNS服务器的地址;(2) 打开【系统属性】对话框,在【计算机名】选项卡中,单击【更改】按钮;(3) 在【计算机名称更改】对话框中,选中【隶属于】选择区域的【域】单选按钮,输入要加入的域的名称(4) 输入具有将计算机加入到域权限的账户名称和密码;(5) 验证通过,加入域成功;(6) 关闭【系统属性】对话框,系统提示重新启动计算机以便使用所做的改动;(7) 打开【Active Directory用户和计算机】窗口,选择控制台树中Computers节点,就可以看到新加入域的客户机2.使用已加入域的计算机登录1)Windows XP客户端2)Windows Vista/ 7、2008客户端请同学上来在教师机上演示,教师指导。
第七章部署活动目录安装活动目录一、检查DCX是否满足安装活动目录的条件:1、以管理员账户登录到DCX2、配置IP地址为1.1.1.13、检查是否有NTFS分区二、安装活动目录:1、单击“开始”→“运行”,输入“dcpromo”,打开“Active Dirrectory域服务安装向导”2、点击下一步:阅读操作系统兼容性说明3、在“选择某一项部署配置”页面中,选择“在新林中新建域”。
4、在“命名林根域”页面中输入目录林根域的域名5、在“林功能级别”页面选择林功能级别6、在“选择域功能级别”页面选择域功能级别(选择的系统版本越低兼容性越高)7、在“其他域控制器选项”页面中选择“DNS服务器”8、在“数据库、日志文件和SYSVOL的位置”页面中,接受默认的位置,单击“下一步”按钮。
9、在“目录服务还原密码模式的administrator密码”页面中,输入并确认一个强密码,单击“下一步”按钮。
10、在“摘要”页面中,检查所有的选择,如果没有问题,单击“下一步”按钮。
11、开始安装和配置活动目录服务服务。
12、完成安装后,按提示重新启动计算机。
将计算机加入的到域一、配置机StuX1、以管理员账户登录的StuX2、配置ip地址为192.168.16.3,首选DNS为192.168.16.13、在“桌面”右击选择“属性“4、选“高级系统设置”→“计算机名”→“更改”→在“隶属于”选项中选择“域”→输入域名benet.co m→点击“确定”5、在“windows安全”对话框中输入域管理员的账户和密码,点击“确定”按钮。
6、成功加入到域的提示,点击“确定”按钮,根据提示重启计算机。
7、8、二、OU的管理:1、以管理员账户登录到域服务器。
2、点“开始”→“管理工具”→“Active Directory用户和计算机。
3、右击域名,选择“新建”→“组织单位”4、在新建对象对话框中输入OU的名字“行政部”5、参照以上步骤,分别创建“人事部”“工程部”“销售部”和“财务部”的OU6、右击域名,选择“新建”→“用户”7、在新建用户对话框中输入用户信息和用户名8、点“下一步”输入用户密码9、右击用户名,选择“移动”,按向导提示,将其移动到销售部OU中10、分别将每个OU中创建多个用户账户。
Windows server 2008域管理第一章Windows server 2008域的安装与管理指定林根域的名称:如密码要指定为强密码,就是复杂一点,如p@sswOrd这里指定为 p@sswOrd.Ip地址子网掩码网关地址 Dns服务器地址最好为静态地址,以防客户端加入域时遇到故障。
服务器的ip地址要和客户端的ip地址在同一个网段内,DNS服务器地址统一。
一:首先我们先安装活动目录, active directory(1)单机“开始”打开“运行”输入 dcpromo 单击确定按钮。
(2)弹出“active directory 域服务安装向导”选择“使用高级模式安装”下一步(3)选择“在新林中新建域”单击下一步(4)为域控制器指定名称“”(5)单击“下一步”“下一步”即可。
(6)弹出“设置林功能级别”在这里我们选着 windows server 2003,以防万一我们所在的域里面有其它的域控制器而导致不能正常通信的问题。
下面介绍一下这三种的林功能级别。
Windows xpWindows 2000 林功能级别提供在 Windows 2000 Server 中可用的所有 Active Directory 域服务功能。
如果您的域控制器运行的是更高版本的 Windows Server,则当该林位于 Windows 2000 功能级别时,某些高级功能将在这些域控制器上不可用。
Windows Server 2003Windows Server 2003 林功能级别提供在 Windows 2000 林功能级别中可用的所有功能,以及下列其他功能:- 链接值复制,它可以改善对组成员身份更改的复制。
- 由 KCC 更有效地生成复杂复制拓扑。
- 林信任,它允许机构轻松在多个林之间共享内部资源。
在该林中创建的任何新域将在 Windows Server 2003 域功能级别自动运行。
Windows Server 2008此林功能级别不提供 Windows 2003 林功能级别之上的任何新功能。
WindowsServer2008ActiveDirectory配置指南-l...一、Active Directory Domain Services(AD DS)in the Windows Server 2008 network enviroment ,Active Directory Domain Services(AD DS),provide with organizing、managing、controlling network resources.1-1 active directory domain services overviewdirectory :telephone directory;file directory如果这些directory内的数据能够系统的加以整理的话,用户就能够容易且迅速的查找到所需文件。
Active Directory的组成是directory,域内的directory是用来存储用户帐户、计算机帐户、打印机与共享文件夹等对象,我们把这些对象的存储地点称为目录数据库(directory database)。
Active Directory 域内负责提供目录服务的组件就是active directory域服务,active directory domain services它负责目录数据库的存储、添加、删除、修改与查询操作。
1-1-1 active directory domain service scopeactive directory domain service 可以用在一台计算机、LAN或者数个WAN的联合,它包含此范围所有的对象,例如文件、打印机、应用程序、服务器、域控制器与用户帐户等。
1-1-2nameSpacebounded area ,一块界定好的区域,在此区域内,我们可以利用某个名称来找到与这个名称有关的信息。
active directory 域服务内,active directory就是一个名称空间,在active directory内我们可以通过对象名来找到与这个对象相关的所有的信息。
windowsserver2008活动⽬录的安装活动⽬录的安装⼀、步骤⼀:安装活动⽬录1、安装Active Directory域服务○1添加⾓⾊○2单击下⼀步,3选择⾓⾊,单击选择你要的⾓⾊,然后点击安装4单击下⼀步,打开域服务对话框,其中简要介绍了域服务作⽤和注意事项5、单击安装,正式进⾏安装域服务。
2、安装活动⽬录1、打开开始菜单,在开始搜索⽂本框输⼊dcpromo.exe命令,按回车启动安装向导。
2、单击下⼀步,打开操作“系统兼容性”对话框。
3、单击下⼀步按钮,打开“选择某⼀部部署配置”对话框,如果是第⼀台域控制器,就选择第⼆个选项“在新林中新建域”,如果不是,就选择“现有林”。
4、单击下⼀步按钮,打开“命名林根域”对话框,在“⽬录林根域的FQDN”⽂本框中输⼊你准备好的DNS 域名,如/doc/6e17995561.html。
5、单击下⼀步,开始检查该域名及其相应的NetBIOS 名是否在⽹络中使⽤,完成后打开“设置林功能级别”对话框。
安装向导提供3种模式,分别是windows server2000、2003、2008,根据⽹络中存在的最低windows版本的域控制器来选择。
6、设置域功能级别7、单击下⼀步按钮,开始检查DNS配置,并打开警告框,提⽰没有找到⽗域。
8、单击是,打开“数据库、⽇记⽂件和SYSVOL的位置”对话框,为了提⾼系统性能,并便于⽇后出现故障时恢复,建议将数据库和⽇记⽂件夹指定为⾮系统分区。
9、单击下⼀步按钮,打开“⽬录服务还原模式的Administrator 密码”对话框,⽤于设置在还原⽬录服务是的密码,这⼀步很重要,对于⽇后的维护还原时要⽤到,所以密码要牢记。
(在活动⽬录恢复是就需要⽤到了)10、单击下⼀步,打开“摘要”对话框,其中列出了前⾯所做的配置信息。
11、单击下⼀步,安装向导开始配置域服务。
过程需要⼏分钟或⼏⼩时,因此,如果你很忙,也可选中“完成后重新启动”复选框,完成后有系统⾃动重启。
Windows 2008系统活动目录权限管理服务介绍熟悉Windows Server 2003的朋友,相信对RMS(权限管理服务)都不会陌生,它能够有效的保护我们的数字资产在相应授权范围之外不会泄露。
在Windows Server 2008中,这一重要特性得以改进和提升,微软把它称之为AD RMS (Active Directory Rights Management Services),即活动目录权限管理服务。
相对于2003下的RMS有了较大的改进与提升,例如:不需要单独下载即可安装、不再需要连接到Microsoft去进行登记等等。
AD RMS 系统包括基于 Windows Server 2008 的服务器(运行用于处理证书和授权的 Active Directory 权限管理服务(AD RMS)服务器角色)、数据库服务器以及 AD RMS 客户端。
AD RMS 系统的部署为组织提供以下优势:1.保护敏感信息。
如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用 AD RMS,从而帮助保护敏感信息。
用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。
组织可以创建子自定义的使用策略模板(如“机密 - 只读”),这些模板可直接应用于上述信息。
2.永久性保护。
AD RMS 可以增强现有的基于外围的安全解决方案(如防火墙和访问控制列表(ACL)),通过在文档本身内部锁定使用权限、控制如何使用信息(即使在目标收件人打开信息后)来更好地保护信息。
3.灵活且可自定义的技术。
独立软件供应商(ISV)和开发人员可以使用启用了 AD RMS 的任何应用程序或启用其他服务器(如在 Windows 或其他操作系统上运行的内容管理系统或门户服务器),与 AD RMS 结合使用来帮助保护敏感信息。
启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案(如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查)中。
Windows Server2008之活动目录域服务
胡岚
【期刊名称】《教育技术导刊》
【年(卷),期】2009(000)004
【摘要】活动目录域服务是Windows2008的核心服务,从只读域控制器、多元密码策略、审核策略、可重启的ADDS、数据装载工具等方面阐述了ADDS的新特性和功能。
【总页数】2页(P22-23)
【作者】胡岚
【作者单位】武汉科技大学中南分校信息工程学院,湖北武汉430223
【正文语种】中文
【中图分类】TP393.09
【相关文献】
1.浅析从Windows NT域移植到Windows 2000 活动目录 [J], 侯继伟
2.用域来管理我们的网络--构建Windows 2000/2003域和活动目录(一) [J], 张东辉
3.从Windows NT
4.0域迁移到Windows 2000活动目录 [J], 金一泓
4.Windows Server2008中的活动目录增强功能:新的只读域控制器增强了分支办公室的安全性 [J], Guido Grillenmeier; 徐瑾(译者)
5.Windows Server 2008之活动目录域服务 [J], 胡岚
因版权原因,仅展示原文概要,查看原文内容请购买。
