第十章管理活动目录的数据复制内容摘要
本部分内容主要在1561课程中系统讲述。这一章讲解与活动目录的数据存储和复制有关的基本概念,和为实现和优化活动目录的数据复制需要进行的网络规划与配置。内容包括:? 活动目录数据区域
? 操作主机的概念和种类
? 活动目录数据复制
? 站点和链接
考点提示
? 活动目录的站点
? 站点之间的链接
? 站点之间的目录复制
10.1 活动目录的数据存储概述
活动目录(Active Directory )使用的数据在多个域控制器中进行复制。该部分数据通常简称为目录或者目录数据。
目录数据包含特定对象的有关信息,这些对象包括用户、组、计算机、域、组织单位和安全策略。这些信息都可发布,以供用户和管理员在网络中使用。
目录数据存储在域控制器上,可以通过网络应用程序访问,网络服务也可以访问这部分数据。
一个域可有一个或多个域控制器。每个域控制器都有它所在域的目录数据副本。对目录数据进行的更改从更改的源域控制器复制到域、域树或森林中的其他域控制器。由于目录数据被复制并且每个域控制器都有目录的副本,因此整个域中的用户和管理员都可使用目录。
注意:同一个域中不同域控制器之间的目录数据复制,和同一个森林中不同域中域控制器之间的目录数据复制,复制的内容是不一样的。不同域的域控制器仅仅复制目录数据的一部分。详见“数据分区”部分。
活动目录的目录数据存储在域控制器上 NTFS 分区的 Ntds.dit 文件中。Ntds.dit 文件是一个使用ESE引擎的数据库文件。Windows2000域控制器上共有两个Ntds.dit 文件副本:
%SystemRoot%\NTDS\Ntds.dit这个文件存储正常情况下使用的数据。它存储本域中完整目录数据和森林中的部分目录数据。
%SystemRoot%\System32\Ntds.dit这个文件存储Windows2000默认的目录数据,当升级Windows 2000到域控制器时使用。有了这个文件在升级就不需要Windows2000安装盘了。在升级过程中,Ntds.dit从这个目录复制到%SystemRoot%\NTDS\Ntds.dit,并对新文件根据配置做更改。
在域控制器之间复制的目录数据根据内容和功能可以分为三个数据区域:
1、域数据区域(Domain Partition)
域数据区域(Domain Partition)包含域中对象的有关信息,如电子邮件联系人、用户、计算机帐户和组织单元的属性,以及发布在活动目录中的资源信息等。域数据区域(Domain Partition)在一个域内的所有域控制器之间进行复制。不同域的域数据区域(Domain
Partition)是不同的,一个森林中可以包含多组相互独立的域数据区域(Domain Partition)。
例如,当用户帐户添加到网络中时,用户帐户对象和属性数据存储在域数据中。更改单位目录对象时,如创建、删除对象或修改属性时,这些数据以域数据的形式存储。
2、配置数据区域(Configuration Partition)
配置数据说明了活动目录的拓扑结构。这些配置数据包含了森林中所有域、树、森林和站点的列表,以及域控制器和全局目录的位置。
配置数据区域(Configuration Partition)在森林中所有的域控制器之间进行复制。一个森林维护一组共同的配置数据区域(Configuration Partition)。
3、架构数据(Schema Partition)
架构数据区域(Schema Partition)定义了能够存储在活动目录中的所有对象和属性的集合,以及管理这些对象的规则。
Windows 2000 Server 定义了包含许多对象类型(如用户和计算机帐户、组、域、组织单位和安全策略)的默认架构。如果需要,管理员和程序员也可通过定义新的对象类型和属性或为现有的对象添加新属性来扩展架构。架构对象通过访问控制列表进行保护,以确保仅授权用户才能改变架构。
架构数据区域(Schema Partition)在森林中所有的域控制器之间进行复制,一个森林维护一组共同的架构数据区域(Schema Partition)。
总之,架构数据区域(Schema Partition)和配置数据区域(Configuration Partition)在森林内复制,域数据区域(Domain Partition)在域内复制。事实上,Windows2000的目录数据复制并不是对整个Ntds.dit文件进行复制,而是以数据区域为单位进行复制。
10.2 目录数据复制的原理
目录数据复制同步域控制器之间的目录数据,使目录数据从任何域控制器都可以访问。
Windows2000的目录数据复制采用多主复制的方式进行,当一个用户提交对目录数据进行更改的请求后,任何一个域控制器都可以处理这个请求,对本地存储的目录数据进行更改,并将这个更改复制到所有的域控制器。
注意:个别重要的更改采用单主复制的方式,由操作主机进行更改。这在操作主机部分讲解。
10.2.1 目录数据复制的工作过程
在Windows2000活动目录中,目录数据更改是产生目录数据复制的前提。目录数据更改包括添加、删除、移动、更改目录中的对象。
目录数据复制的最基本过程是:
1、用户提交目录对象的更改请求。
2、一个域控制器处理这个请求,如果验证通过,本次更改成功,产生一个初始更新
(Originating Update),周期性通知其它的域控制器(复制伙伴)。
3、复制伙伴收到更改通知,检查自己的目录数据库,并进行更改,产生一个复制更新
(Originating Update),周期性通知其它的域控制器(复制伙伴)。
图 10-1
10.2.2 目录数据复制的延迟(Delay)
目录数据复制并不是始终进行的,而是有一定的时间间隔。站点内部的不同域控制器之间通过“Change Notification”进程将更改通知周围的复制伙伴,通知与更改的默认时间间隔为5分钟。如果一次数据更改需要通过多个域控制器复制的话,那么复制应该有一个比较明显的延迟。这种延迟是计划内的。
少数更改非常重要,必须马上复制。如管理员禁用一个账户。对于这部分对时间要求较高的更改,Windows2000采用紧急复制(Urgent Replication)完成复制过程。紧急复制(Urgent Replication)在数据更改后马上通知复制伙伴进行复制。
10.2.3 目录数据复制的冲突(Conflict)
Windows2000目录数据采用多主(Multimaster)复制方式,与Windows NT4.0的单主(Singlemaster)复制方式相比,多主复制数据更改不再集中在一台计算机上,降低了单台核心服务器的网络负载,因此更适合大型网络的数据复制。但多主复制也有不利的方面,即工作过程复杂,容易产生问题。
目录数据复制的冲突(Conflict)使多主复制方式中无法避免的一个问题。Windows2000对目录数据复制的冲突(Conflict)做了最大程度的处理,降低了冲突的概率,提供了很多解决冲突的方法。
目录数据复制的冲突(Conflict)有三种类型:
1、属性更改冲突。当两个用户对存放在两个域控制器上的两个目录数据复本上的同一
个对象的同一个属性同时进行更改时,必然会产生冲突。
2、向一个被删除的容器中添加对象。一个用户删除了一个活动目录中的容器,另一个
用户几乎同时向这个容器中添加一个新的对象,而这两个用户的操作分别更改了不同的两个目录数据副本,也会产生冲突。
3、同名冲突(Sibling Name):当两个用户同时在一个容器中创建一个对象,而更改的
是两个不同的目录数据副本,所产生的冲突。
为了尽可能避免复制过程中的冲突,Windows2000将复制定位为针对属性,而不是整个对象。例如,在不同的目录数据副本中,用户的密码和登录名同时被更改,不会产生冲突,
因为密码和登录名的复制可以分别处理。
为了解决冲突,Windows2000提供了全局唯一印记(Global Unique Stamps),全局唯一印记(Global Unique Stamps)包含复制内容的版本编号、时间印记和服务器全局唯一标识符(Globally Unique Identifier, GUID)。在复制的时候全局唯一印记(Global Unique Stamps)一起被复制。
全局唯一印记(Global Unique Stamps)对上述冲突的解决规则如下:
1、属性更改冲突:有较高全局唯一印记(Global Unique Stamps)值的更新操作将取代较低全局唯一印记(Global Unique Stamps)值更新操作的属性值。
2、向一个被删除的容器中添加对象:容器对象被删除,添加的对象将存放在活动目录的LostAndFound容器中。
3、重名冲突。全局唯一印记(Global Unique Stamps)较大的对象使用冲突的名字。另一个对象的名字作一定改动,后面添加一串字符“CNF:”+保留字符(星号)+对象的GUID。由此解决名称冲突问题。
解决冲突的结果不一定合理,但只能依据一定确定的规则,否则计算机无法处理。
10.3 目录数据复制的拓扑路径
复制拓扑是复制在整个网络上传播的路径。由于目录数据的复制单位是数据区域(Data Partition),一个域控制器的不同数据区域(Data Partition)可以有不同的复制伙伴。复制拓扑根据域控制器上存储的信息和复制的需求而改变。复制拓扑的路径是可传递的,例如,域控制器A,B,C,A和B之间有复制路径,B和C之间有复制路径,那么A和C之间就可以进行数据复制。
10.3.1 全局目录服务器(Global Catalog Server)
全局目录服务器(Global Catalog Server)存储森林中所有的域控制器上的目录数据的副本,但所有副本并不是完整的目录数据,而只是其中的一部分,如目录对象的部分属性。具体包含的内容在活动目录的架构部分规定。(详细情况在1561课程中讲述)。
向森林中添加新域的时候,关于新域的信息存储在目录的配置区域(Configuration Partition)中,通过复制将此信息传送到全局目录服务器和所有域控制器。每个全局目录服务器存储新域的部分信息,并可以提供给森林中的多有域控制器。。
10.3.2 知识一致性检查程序(Knowledge Consistency Checker, KCC)
知识一致性检查程序(Knowledge Consistency Checker, KCC)是Windows2000的一个内置进程,它在每一个域控制器上面运行,每隔一段时间根据所有可以使用的连接计算出复制的最佳路径。
知识一致性检查程序(Knowledge Consistency Checker, KCC)可以在站点内工作,当检测到某个域控制器不能使用而影响复制时自动提供新的复制路径。也可以在站点间工作,根据站点之间的连接和子网的划分确定复制路径。
10.4 操作主机(Operation Master)的管理与配置
前面讲过,活动目录支持的数据复制以多主复制(Multimaster)为特点,但少部分特别重要的数据存储与复制仍然必须采用单主复制(Singlemaster)的方式。这主要因为如果全部采用多主复制(Multimaster)方式,有一些数据冲突在Windows2000活动目录中是不能允许的。
Windows2000指定特定的域控制器充当单主复制(Singlemaster)时的主要域控制器,这种域控制器称为操作主机(Operation Master)。操作主机的角色并不是一直不变的,必要的时候管理员可以手工指定操作主机(Operation Master)。
在Windows2000活动目录中,有五种操作主机(Operation Master)。某些操作主机(Operation Master)必须出现在每个森林中。其他操作主机(Operation Master)必须出现在每个域中。
10.4.1 森林范围内唯一的操作主机(Operation Master)种类
每个森林中必须唯一的操作主机(Operation Master)有两种:架构主机(Schema Master)和域命名主机(Domain Naming Master)。
1、架构主机(Schema Master)
架构主机(Schema Master)控制对架构的全部更新和修改。要更新森林的架构,您必须拥有架构主机的访问权。
2、域命名主机(Domain Naming Master)
域命名主机(Domain Naming Master)控制森林中域的添加或删除。
域命名主机(Domain Naming Master) 通过右击Active Directory Domains and Trusts,并选择Operation Master进行配置和更改。
图 10-2
架构主机(Schema Master)可以通过右击Active Directory Schema,并选择Operation Master进行配置和更改。
图 10-3
10.4.2 域内唯一的操作主机(Operation Master)种类
域内唯一的操作主机(Operation Master)有三种:相对标示主机(Relative Identifier Master, RID Master),主域控制器 (PDC) 仿真主机(PDC Emulator),基础结构主机(Infrastructure Master)。
1、相对标示主机(Relative Identifier Master, RID Master)
相对标示主机(Relative Identifier Master, RID Master)将系列相对标示分配给域中每个不同的域控制器。
域控制器创建用户、组或计算机对象时,会给所创建的对象指派一个唯一的安全标示(SID)。这个安全标示包括两部分内容:域的唯一安全标示(SID)和对象的相对安全标示(RID)。其中对象的相对安全标示(RID)在域内是唯一的。
2、主域控制器 (PDC) 仿真主机(PDC Emulator)
主域控制器 (PDC) 仿真主机(PDC Emulator)在混合模式(Mixed Mode)下充当Windows NT 备份域控制器 (BCD)的主域控制器(PDC)。它处理来自NT客户的密码更改并将更新复制到 BDC。
在以本机模式(Native Mode)运行的 Windows 2000域中,主域控制器 (PDC) 仿真主机(PDC Emulator)优先接收由其他域控制器所做的密码更改复制,可以减少密码更改的生效时间。例如,密码最近在一台域控制器上面被更改,这台域控制器会马上将此次更改复制到主域控制器 (PDC) 仿真主机(PDC Emulator),然后再复制到域中的每个域控制器。如果在全部目录数据复制完成之前,用户使用新密码登录,在另一个域控制器中验证失败后,该域控制器将在拒绝登录之前,将验证请求转发给主域控制器 (PDC) 仿真主机(PDC Emulator)进行确认。这样,登录可以成功。
3、基础结构主机(Infrastructure Master)
基础结构主机(Infrastructure Master)负责刷新不同域之间对象之间的关联关系。
当重新命名或移动一个用户帐户或者组账户的时候,在其它域中存在的与这个用户帐户或者组账户的包含与被包含的关系也需要做相应改变。例如,域A中有一个组GroupA,域B 中有一个用户账户UserB,UserB是GroupA的成员。当域B中的用户账户UserB更名为User2时,域A中GroupA的成员列表也应该做相应更改。基础结构主机(Infrastructure Master)负责这方面的更改。
注意:基础结构主机(Infrastructure Master)和全局目录服务器(Global Catalog Server)不应在同一个域控制器上,否则,基础结构主机(Infrastructure Master)无效。
域内唯一的操作主机(Operation Master)种类可以通过右击Active Directory Users and Computers,并选择Operation Master进行配置和更改。
图 10-4
实验1:配置和更改操作主机(Operation Master)
1、在“Active Directory Users and Computers”管理单元中,右击Active Directory
Users and Computers,选择Operation Master。分别选择RID,PDC,Infrastructure 选项卡。更改充当操作主机的域控制器。
2、更改充当Domain Naming Master的域控制器。
3、执行regsvr32 %systemroot%\system32\schmmgmt.dll,加载Active Directory
Schema管理单元。右击Active Directory Schema。更改充当Schema Master的域控制器。
10.5 使用站点配置目录数据复制
目录数据复制分为站点内目录复制和站点间目录数据复制两种情况。两种情况的复制规
则、应用范围和配置方法不同,产生的网络通讯和复制效果也不同。
10.5.1 站点(site)的概念
为了更好地控制网络内的网络数据流量,Windows2000提供了站点(site)这一个管理单元。站点(site)是由一个或多个 IP快速子网组成的计算机集合,同一个站点(site)内的计算机要求连接状态良好。目录数据总是尽可能首先在站点(site)内不同的于控制器之间传送。在广域网 (WAN)中分布的企业网络应使用多个站点(site)进行规划,以提高目录数据复制和服务相应的效率。
站点(site)和域的概念相互独立。站点(site)反映网络的物理结构,而域通常反映网络的逻辑结构。逻辑结构和物理结构相互独立,没有必然的关系。活动目录中一个站点(site)中可以有多个域,一个域中也可以包含有多个站点(site)。
在Windows2000的活动目录中,通过使用站点(site)可以达到两个目的:规定服务响应范围和控制目录数据复制。
1、规定服务响应范围。当客户从域控制器请求服务时,首先发送给同一个站点(site)
内的域控制器,只有当同一个站点(site)内不存在任何域控制器的情况下,才将请求转发给其它站点(site)的域控制器。
2、控制目录数据复制过程。可以配置站点(site)内比在站点(site)之间更频繁地复
制目录信息。由于站点(site)内的计算机连接最好,同一个站点(site)的域控制器首先接收复制的内容。不同站点(site)中的域控制器的目录复制频率较低,从而合理分配网络带宽的消耗。
站点(site)可以和子网合并使用。一个站点(site)能够包含一个或者多个子网。由于子网由路由器和路由表规定网络路径,站点(site)中引入子网有利于进一步控制同一个站点(site)内不同子网中网络数据的传送路径。
注意:站点(site)在活动目录中必须使用,如果不进行设置,活动目录中所有的计算机存在于同一个站点(site)中。这个默认站点(site)--Default-First-Site由Windows2000自动创建。
10.5.2 目录复制的相关配置
与目录复制有关的配置操作包括站点(Site)、子网(Subnet)、站点间连结(Site Link)以及站点连结桥(Site Link Bridge)等的创建和管理
1、站点的创建
创建站点操作简单,管理员只需要提供站点名、该站点使用的一个连结就可以了。重要的是考虑好站点的规划。
图 10-5
2、子网(Subnet)的创建
创建好站点(site)后,如果网络使用的是TCP/IP协议,那么根据实际站点(site)中计算机的IP地址为它们创建对应的子网(Subnet)。Windows2000会自动根据子网(Subnet)对计算机进行分类,不需要向子网(Subnet)中手工添加计算机。
图 10-6
实验2 :创建站点(site)、子网(Subnet)
1、在“Active Directory Sites and Services”管理单元中,右击Sites,选择新建
站点(Site),输入站点(Site)名称。
2、在“Active Directory Sites and Services”管理单元中,右击Subnets,选择新
建子网(Subnets),输入IP子网和子网掩码。
3、站点间连结(Site Link)的创建
站点间连结(Site Link)至少有两个以上的站点存在时才有效。默认情况下,Windows2000提供了一个站点间连结(Site Link):Default-First-Site。
站点间连结(Site Link)有以下几个要素:
? 复制协议(Transport Protocol)。
Windows2000支持两种复制协议:SMTP复制和IP复制。SMTP复制只能在站点之间连结中使用,站点内不能使用。SMTP复制是异步协议,因此使用SMTP复制,目录复制不能使用确定的时间间隔。IP复制在站点内和站点间都可以使用,使用IP复制必须严格定义目录复制的时间间隔。
? 成员站点(Member Sites)。
成员站点(Member Sites)定义了使用这个站点间连结(Site Link)的站点。
优先级(Cost)。当同时有多个站点间连结(Site Link)可以用来进行目录复制时,Windows2000优先选用具有较低的优先级(Cost)的连接。优先级(Cost)取值范围在1—32767之间,一般根据站点间连结(Site Link)的带宽和稳定性由管理员指定不同站点间连结(Site Link)的优先级(Cost)。
? 复制时间表(Schedule)。
复制时间表(Schedule)定义了允许目录复制的时间段。
时间间隔(Replication Interval)。时间间隔(Replication Interval)定义了目录复制的频率。
图 10-7
4、站点间连结桥(Site Link Bridge)的创建
站点间连结桥(Site Link Bridge)由两个或者两个以上的站点间连结(Site Link)组成。站点间连结桥(Site Link Bridge)沟通多个站点之间的路由。
默认情况下,由于多个站点间连结(Site Link)之间信息是相互传递的(Transitive)。因此,即使站点间连结桥(Site Link Bridge)不存在,目录复制仍然可以找到复制路径。
如果网络并不是完全可路由的,即不同站点之间存在不能相互访问的情况,如网络不通,那么就需要引入站点间连结桥(Site Link Bridge)来连结多个站点间连结(Site Link ),并传递连结信息。
确定使用站点间连结桥(Site Link Bridge)规划复制路由,首先需要禁用复制协议的“Bridge All Site Links”功能。即右点IP Transport或者SMTP Transport,清空“Bridge all Site Links”选项。然后根据实际网络连接状况创建不同的站点间连结桥(Site Link Bridge)。
实验3 :创建子网间的连接(Site Link)和子网间的连接桥(Site Link Bridge)
1、在Active Directory Sites and Services\Sites\Inter-Site Transports中,右
击IP或者SMTP,选择新建子网间的连接(Site Link),选择子网间的连接(Site Link)包含的站点(Sites),指定子网间的连接(Site Link)的名称。
2、右击Active Directory Sites and Services\Sites\Inter-Site Transports中子
网间的连接(Site Link),选择属性,配置子网间的连接(Site Link)的复制时间表,复制间隔,优先级等属性。
3、在Active Directory Sites and Services\Sites\Inter-Site Transports中,右
击IP或者SMTP,选择新建子网间的连接桥(Site Link Bridge),选择子网间的连接
(Site Link)包含的站点(Sites),指定子网间的连接桥(Site Link Bridge)的名
称。
4、右击Active Directory Sites and Services\Sites\Inter-Site Transports中子
网间的连接桥(Site Link Bridge),选择属性,配置子网间的连接(Site Link)的
复制时间表(Schedule),复制间隔(Replication Interval),优先级(Cost)等属性。
10.6 站点内目录数据复制
使用站点内目录数据复制可以保证所有域控制器之间的复制同时进行,取得统一的复制日程安排,但同时也限制了管理员调整目录复制操作的能力。
如果网络分布比较集中,计算机之间网络带宽足够并且很稳定,可以将所有的计算机放置在同一个站点中。同一个站点的计算机目录复制的数据不进行压缩,从而减少了系统计算负载。
图 10-8
10.7 站点间目录数据复制
当网络范围不断扩展,网络带宽分布不均衡时。为了控制网络目路数据复制流量和加快网络响应速度,可建立多个不同的独立站点。
图 10-9
例如,假定您的单位在纽约设有总部,在洛杉矶有一个分部。总部或者分部内网络连结状况很好,但总部和分部之间通过慢速拨号连接,则应该为总部和分部分别创建一个站点。并在总部和分布内分别放置一台以上的域控制器。
这样,总部或者分部内所有的域控制器的目录复制是频繁而且一致的,域控制器的响应速度也相近。而总部与分部之间目录复制的频率可以通过站点间连结(Site Link)进行设置,站点间的目录复制数据经过压缩可以达到源数据容量的15%左右,大大减少了带宽消耗。
为了更精确规划目录复制数据流向,可以为站点指定桥头服务器。只有桥头服务器才可以与其它站点进行目录复制,桥头服务器然后将从其它站点复制过来的目录数据再传送给同站点的其它域控制器。
实验4:目录复制的相关配置
1、桥头服务器的指派。右击Active Directory Sites and Services\Sites\%Site
Name%\Servers\%Server Name%,选择Properties\ Servers。指定桥头所使用的复制协议。
2、阻止站点间连结传递路由信息。右击Active Directory Sites and
Services\Sites\Inter-Site Transports\IP&SMTP,选择Properties,清除Bridge all Site Links复选框。
3、手工强制目录复制。右击Active Directory Sites and Services\Sites\%Site
Name%\Servers\%Server Name%\NTDS Settings,选择Check Replication Topology。
活动目录(Active Directory)系列之一:为什么我们需要域 对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。从今天开始,我们将推出 Active Directory系列博文,希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。 假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器 Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。 首先,如下图所示,我们在服务器上为张建国创建了用户账号。
Windows Server 2008 R2活动目录灾难恢复(二):备份与恢复(1) ...[复制 链接]发表于 2013-3-19 21:12 |来自51CTO网页 [只看他]楼主 一、活动目录灾备简介 本次演练我们将讨论如何让域控制器从灾难状态(例如由于硬件或软件故障引起的数据库故障)进行恢复的步骤。此类灾难通常会导致域控制器失效,而且会使计算机无法正常引导;将只提供对运行 Active Directory 的域控制器(不运行其它服务)进行恢复的信息。如果该计算机上还安装有其它服务,例如域名系统 (DNS) 或 Internet 信息服务 (IIS),则可能还需要其它步骤;是基于 Windows 2008 R2备份程序 (Windows Server Backup) 的,该程序是 Windows 2008之后附带的备份应用程序。 我们假定用户具有关于 Active Directory 及其相关组件的预备知识。系统管理员可以使用本文中的信息来制定灾难恢复规划,但是还必须与本单位内部环境以及现有灾难恢复策略中的具体信息相结合。 二、灾备总述 我们本次所涉及到的灾难恢复的演示包含如下3部分: 1、灾备方案(使用Windows Server Backup进行备份) 2、主域控制器无法启动情况下进行恢复 3、两台域控制器都无法启动进行恢复 我们本次所涉及到的灾难恢复步骤: 1、当活动目录搭建完成时,进行一次完全备份,包含系统状态、活动目录数据库、卷等相关信息。 2、活动目录建立并进行完全备份之后,星期一到星期五每天通过Windows Server Backup 进行一次增量备份,每周星期6进行完全备份。 3、项目实施完成之后,当每次添加一台域控制器的时候,需要进行一次完全备份。无论是否到备份周期。 三、灾备演示 1、活动目录备份;
目录 一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………
一、活动目录配置基本知识 1、活动目录的重要概念 (1)目录服务是一个什么东西 一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中,目录就储存了有关文件的信息。 在一个分布式计算系统中或是一个公共计算机网络(如Internet)中,就有许多用户感兴趣的对象,如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象,而管理人员则想管理对这些对象的使用。 在此文档中,术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于,它既是目录的信息源,而它的服务又可以使用户得到和利用信息。 (2)什么是活动目录 活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务,还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作,从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性,使得在大规模信息的管理及在其中漫游变得很简单,为管理者和终端用户都节省了时间。 (3)为什么需要目录服务 目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性,而且可以查询目录来得到符合属性的对象列表,例如:"查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。 目录服务可以: ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。 目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时,目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念 用来描述活动目录的概念和术语中有些是新的,而另外一些则不是。不幸的是,一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前,理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围
来自微软的教程~非常全面~[10-21] https://www.doczj.com/doc/766260693.html,/download/a/e/7/ae788631-15e6-4f22-a923-ef1b663f2675/msft041305v xpm.zip Windows Server 2003从入门到精通系列之一:详细探讨Windows server 2003*作系统的安装方法 https://www.doczj.com/doc/766260693.html,/do ... /msft041205vxpm.zip Windows Server 2003从入门到精通系列之二:创建和管理用户帐户 https://www.doczj.com/doc/766260693.html,/do ... /msft041805vxpm.zip Windows Server 2003从入门到精通系列之三:NTFS特性在Windows 2003上的体现 https://www.doczj.com/doc/766260693.html,/do ... /msft042005vxam.zip Windows Server 2003从入门到精通系列之四:网络共享资源的各种访问方法 https://www.doczj.com/doc/766260693.html,/do ... b5/msft042605vx.zip Windows Server 2003从入门到精通系列之五:Windows server 2003安全策略 https://www.doczj.com/doc/766260693.html,/do ... /msft042905vxpm.zip Windows Server 2003从入门到精通系列之六:Windows server 2003中的磁盘管理 https://www.doczj.com/doc/766260693.html,/do ... /msft050905vxpm.zip Windows Server 2003从入门到精通系列之七:Windows server 2003灾难恢复——备份 https://www.doczj.com/doc/766260693.html,/do ... /msft051005vxpm.zip Windows Server 2003从入门到精通系列之八:使用IPSec加强系统安全性 https://www.doczj.com/doc/766260693.html,/do ... /msft051205vxpm.zip Windows Server 2003从入门到精通系列之九:TCP/IP协议基础 https://www.doczj.com/doc/766260693.html,/do ... /msft051305vxpm.zip Windows Server 2003从入门到精通系列之十:Windows server 2003 服务应用大全之DNS服务使用详解 https://www.doczj.com/doc/766260693.html,/do ... /msft051805vxpm.zip Windows Server 2003从入门到精通系列之十一:Windows server 2003 服务应用大全之DHCP服务使用详解 https://www.doczj.com/doc/766260693.html,/do ... /msft051705vxpm.zip Windows Server 2003从入门到精通系列之十二:Windows server 2003 服务应用大全之WINS服务使用详解 https://www.doczj.com/doc/766260693.html,/do ... /msft052305vxpm.zip
第3章管理活动目录域 教学要求: 理解:域的概念、特点;活动目录的架构;组织单位的概念、特点;域用户账户的概念、特点;域组账户的概念、特点;域组账户的使用原则; 掌握:创建域;将计算机加入或脱离域;将域控制器降级为独立服务器或成员服务器;管理组织单位;管理域用户账户的工作;管理域组账户的工作; 3.1活动目录的概述 活动目录(ActiveDirectory,AD)服务能把网络中的众多资源有效地组织在一起,实现集中管理与统一保护,最大限度地保证资源的可用性与安全性。 活动目录以数据库的形式存放在网络中的一些特定计算机上,这个数据库称为“活动目录数据库”。 1 2 1 2输入: 3 4-6User 3.2 。 一个活动目录的完整逻辑结构称为“域森林”,一个域森林由若干“域树”组成,一个域树有若干“域”组成。 1、域的定义 在活动目录中,域是一种重要的逻辑管理单元,代表了一个独立的安全范围,能包含大量对象的一种容器。 2、域中计算机的角色 有域控制器、成员服务器、工作站。 域控制器是存放活动目录数据库的,是域中必须要有的。其它两种则不是必须的。 所以最简单的域将只包含一台计算机,这台计算机是该域的域控制器。 3、计算机账户 每台计算机都有一个账户来标识自己,这个账户称为“计算机账户”。在Computers容器内
4 5 创建组账户的主要目的是为用户账户分配资源访问权限,但是管理员不能直接对组账户指定管理策略,也就是不能直接控制组账户中各对象的更复杂的行为。 当删除一个组账户时,其包含的用户账户并不会被删除。但删除一个组织单位时,其包含的所有活动目录对象都将随之删除。 (4)组织单位和其他活动目录容器的区别 图标有所不同 普通容器仅起到把一些活动目录对象组织在一起的作用,管理员不能对其设置组策略。 在组策略中只能看到组织单位而看不到普通容器,这说明只能对组织单位设置组策略而不能对普通容器设置组策略。 在上图中右击“DefaultDomainControllers Pllicy”组策略对象,然后在快捷菜单中选择编辑。可以看到各种组策略。
活动目录概念和灾难恢复- - 一、什么是活动目录? AD是一种事务性数据库,它是一种预先写入记录的模式,使用了ESE97的技术。在磁盘上,AD显示为几个文件,它们是ntds.dit(AD数据库),一组交易记录(即日志)和记录数据库最后一个缓冲区的检查点文件。还有一个暂时性的数据库文件。目录服务是一个组合名词,它包括有目录数据存储和可让用户或程序存取信息的相关服务的意思。为社呢们要有目录呢?目录可提供企业网络所有重要数据的一个集中存放区域,这些数据包括用户帐户、计算机、打印机、应用程序、安全性与系统原则等各种资源。将大部分的重要的资源集中的放在某个共享的网络资源中,这样一来可以改善企业的效率与大幅减少网络的总拥有成本(TCO)。WIN 2K的目录服务使用的是多控制器模式,也就是说,可以在任意的一个控制器上修改目录资源。所以,从上我们可以得知,AD实际是个数据库,而每个DC都是重要的数据库服务器,所以,我们应象保护重要数据库一样来保护DC。 二、活动目录的几个概念 1、域:一个安全边界。 2、树:多个域的集合。 3、林:多个有关联的树。 4、DNS:通向AD的网关。DNS中的服务记录,是应用系统查询AD的根本所在。 5、GC:一个经常被查询的AD对象的索引。在本机模式下,GC参与网络客户端的登录请求处理,提供通用组成员资格,出非域管理员组成员,才可以不需要GC的协助登录网络。在混合模式下,GC就不参与登录处理了但GC对网络中进行目录查询与搜寻仍旧很重要。 6、操作主机:虽然多控制器模式是AD的核心功能,但多服务器之间的潜在冲突也使这样的方式运作出在一定的不适用性,为了解决这一问题,AD选择了一些特殊的机器来担任特殊的角色。每个角色负责处理特定AD区域的改变。 三、AD的维护和备份 1、AD的维护:通过性能监视工具监视AD的运行状态和组件状态,可以有效的发现AD故障并及时解决。 2、AD的备份:AD可以通过备份系统状态来备份,你可以在系统工具里找到备份工具来完成此工作,也可以使用第三方软件来实现。但要注意备份AD的一些约束条件: * AD只备份当前有效的数据,对于已经标记删除的对象,不备份。而AD中的对象删除并不是立即的,需要有60天的删除标记时间。因此,应避免恢复60天前的AD备份,以免导致AD不完整。 * AD的备份类型无法选择,只能使用完全备份。 * 要确保备份中同时包含系统状态、系统盘的文件以及SYSVOL目录的内容。 * 你只能用原服务器的备份来恢复该服务器,不能用另一台服务器的备份恢复该服务器。
连云港职业技术学院 信息工程学院 《Windows服务器配置与管理》 大作业文档 题目:活动目录与用户管理 组别:无 姓名:张昭辉 学号: 12号 专业:计算机网络 091 导师:孙前 连云港职业技术学院信息工程学院 2010 年 12 月
摘要 本文档摘要: Active Directory又称为Windows2000server和Windows Server2003系统中非常重要的目录服务。Active Directory用于存储网络上各种对象的有关信息,包括用户账户、组、打印机、共享文件等,并把这些数据存储在目录服务数据库中,便于管理员和用户查询及使用。活动目录具有安全性、可扩展性、可伸缩性的特点,与DNS集成在一起,可基于策略进行管理。本文档主要是介绍活动目录的设置及通过活动目录进行用户管理的方法。 [关键词] 活动目录的概念、 活动目录与域、 域控制器(即Active Directory)的配置、 管理域用户和组、 新建组织单元、 管理组织单元、
目录 摘要 (2) 第一章引言 (4) 第二章域控制器(即Active Directory)的配置 (5) 2.1 活动目录配置前的准备工作 (5) 2.2 配置DNS服务器 (7) 2.3 配置域控制器(即Active Directory) (20) 第三章新建域用户和组 (30) 3.1 新建域用户 (30) 3.2 新建域组 (34) 第四章新建并管理组织单元 (38) 4.1 新建组织单元(OU) (38) 4.2 管理组织单元(OU) (39) 第五章总结 (44) 第六章参考资料与文献 (45)
使用活动目录服务的好处是什么? 完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力,这样可以: ●简化管理任务 ●加强网络安全性 ●通过互操作使用现存网络 简化管理 分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。例如,活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。基于下列原因,活动目录可以从以下方面帮助公司简化管理: ●消除冗余管理任务提供对Windows用户账号、客户、服务器和应 用程序以及现存目录同步能力进行单一点管理。 ●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分 发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。 ●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的 所有层次上。 ●降低总体拥有成本(TCO)通过使网络资源容易被定位、配置和 使用来简化对文件和打印服务的管理和使用。 活动目录如何简化管理 以层次化组织用户和网络资源,活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。这就减少了冗余的管理任务,同时,通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。 图4:活动目录简化了网络资源的管理 活动目录允许管理员分派特定的管理权限和任务给单独的用户和组,以便更好地使用系统管理资源。如上图所示,特定的管理任务,例如重新设置用户密码,可以被分派给市场机构的办公室管理员。更多的特权功能,如"创建用户",可以为IT管理员保留。 活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分 发给他们。例如,一个公司可以指定职员容器中的所有用户(无论是从哪里登录到网络上的)均可使用人力资源管理应用程序。活动目录集中存储这些信息,同时,应用智能镜像管理技术自动安装所分配的应用程序,并给予用户访问其桌面系统的能力而无论用户正在使用网络中的哪个工作站。
第一章部署WINDOWS域 什么是域? 将网络中的计算机逻辑上组织在一起,将其视为一个整体,进行集中管理,叫做域 什么是活动目录? 活动目录是一种目录是一种服务 什么是域控制器? 是安装了活动目录服务的一台计算机 什么是单域? 网络中只建立了一个域,我们将其称之为单域 什么是域树? 域树是具有连续的名称空间的多个域 什么是域林? 域林是由一个或者多个没有形成连续名称孔明关键的域树组成 安装域控制器的准备条件?(5个条件) 1、安装者必须具有本地管理员权限 2、操作系统版本必须满足条件 Windows NT Server Windows 2000 Server Windows Server 2003(除WEB版) Windows Server 2008(除WEB版) 不能是客户端的操作系统 3、本地磁盘至少有一个分区是NTFS文件系统 4、配置静态的ip地址和子网掩码 5、有足够的可用磁盘空间 安装域控制器的命令? dcprmo 域功能级别有哪几个?(3个) Windows 2000 Server Windows Server 2003 Windows Server 2008 客户机加入域的条件?(2个条件) 确保该计算机和域控制器互相联通 配置正确的DNS地址 组的类型有哪两个?有何区别? 安全组和通讯组 安全组:管理员通过赋予安全组访问资源的权限,而使得安全组所包含的用户也具有相应的权限,使用安全组而不是单独的用户可监护网络维护和管理工作 通讯组:没有安全方面的功能,只能用作电子邮件的通信 组的作用域有哪三个?有什么区别? 什么是OU? 本地域、全局、和通用 本地域组成员来自于全局用用范围为本域或者是当前域 全局组成员来自本地,作用范围为全局或任意域
活动目录系列之一:基本概念 目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。使用LDAP(端口389)轻量级目录访问协议工作,在域环境下所有用户及计算机等帐户信息均保存在一个数据库中,这个数据库位置%systemroot%\ntds\ntds.dit。 AD(活动目录)的逻辑结构包含如下组件:域/子域/树/森林/OU等。主要侧重于对网络资源的组织。 AD的物理结构包含如下组件:DC(域控制器)/site(站点)/OM(操作主机)。主要侧重于对网络资源的配置和优化。下面介绍有关几个重要的概念: 1.DN:(可辨别名称)--用来表示一个对象在AD中具体存储位置,类似于文件的绝对路径。 如:cn=user1,ou=sails, dc=blog,dc=com 该用户存在https://www.doczj.com/doc/766260693.html,域的sails OU下,用户名为user1. cn=users (默认的容器users也以cn表示) dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。 2.UPN(用户主名)用户名@域名,即用户登录时可以采用,如jack@https://www.doczj.com/doc/766260693.html,,也可以更改此后缀。 修改:domain.msc后,在根右击--属性--更改UPN后缀,
然后在用户属性-帐号中选择其后缀。用户登录可以使用此UPN.但必须在用户属性里进行相应的更改(即启用此Upn 后缀) 3.SID (安全标识符)用户/组都有唯一 whoami /user 当前用户的SID whoami /all 当前用户的详细信息(包含所属组的SID)getsid \\dc1 test \\dc1 test (安装suptools) psgetsid \\dc1 test 下载工具包。 4.AD数据库的目录分区:(AD数据库虽然是一个文件,但却是以目录分区的形式组成的) schema 架构分区---森林的对象类和属性,在森林级别复制。 configuration 配置分区--所有DC的位置、site,在森林级别复制。 domain 域分区--每个域的各种对象等信息,在域级别复制。application 应用程序分区—DNS,可以自定义。 通过adsiedit.msc来查看前三个目录(事先装支持工具)5.site:在物理位置上区分,一组高速可靠的一个子网或多个子网。(管理AD复制) 优点:
Windows Server 2003从入门到精通系列之一:详细探讨Windows server 2003*作系统的安装方法 Windows Server 2003从入门到精通系列之二:创建和管理用户帐户 Windows Server 2003从入门到精通系列之三:NTFS特性在Windows 2003上的体现
Windows Server 2003从入门到精通系列之四:网络共享资源的各种访问方法 Windows Server 2003从入门到精通系列之五:Windows server 2003安全策略 Windows Server 2003从入门到精通系列之六:Windows server 2003中的磁盘管理
Windows Server 2003从入门到精通系列之七:Windows server 2003灾难恢复——备份 Windows Server 2003从入门到精通系列之八:使用IPSec加强系统安全性 Windows Server 2003从入门到精通系列之九:TCP/IP协议基础
Windows Server 2003从入门到精通系列之十:Windows server 2003 服务应用大全之DNS服务使用详解 Windows Server 2003从入门到精通系列之十一:Windows server 2003 服务应用大全之DHCP服务使用详解
Windows Server 2003从入门到精通系列之十二:Windows server 2003 服务应用大全之WINS服务使用详解 Windows Server 2003从入门到精通系列之十三:如何使用Windows server 2003搭建VPN服务器 Windows Server 2003从入门到精通系列之十四:利用SUS实现自动补丁管理
活动目录命令整理 一、活动目录修改及查询命令 dsadd命令(创建活动目录对象) 使用dsadd命令可以在活动目录中创建OU、用户、组、联系人等对象,下面逐一进行介绍。 1、创建组织单位: 命令格式:dsadd ou
计算机视频教程 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1237 北京师范大-多媒体视频 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1240 北京理工大学编译原理串讲 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1241 北京大学计算机网络视频教程 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1243 北京大学计算机网络教程 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1245 北京大学ASP视频教学 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1246 北航微机接口视频讲座 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1248 保护劳动成果,用Photoshop为作品加上水印(Photoshop应用)https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1250 安装和配置MOM2005 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1252 安装3389终端服务 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1253 安全风险管理(下) https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1255 安全风险管理(上) https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1257 安全的Windows Mobile解决方案(下)(服务器) https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1259 安全的Windows Mobile解决方案(上)(客户端) https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1261 Word使用视频教程 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1262 word教程 OFFICE专家 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1264 Word点点通 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1266 Word长篇文档排版技巧^ https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1268 Word长篇文档排版技巧 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1270 Winzip使用技巧视频常用软件 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1272 Winrar使用技巧视频常用软件 https://www.doczj.com/doc/766260693.html,/soft/show.asp?id=1274
首先我们需要明确一点:为什么我们需要建立组? 答案很简单:为了管理方便! 其实计算机文件或者文件夹的控制权限是在属性的安全的选项卡中设定的,如下图所示: 在“组或用户名称”中可以添加对此文件夹行使权限的用户或者组。 现在来看这样一种情况: 你是一个域的管理员,在文件服务器上建立了一个共享文件夹,用来放置一些财务部专用文档,假如你有两个选择: 1.在安全属性页中一个一个添加财务部的人员并配置相应的权限。 2.在域控制器中创建财务部的组(包含所有财务部人员),在安全属性页中添加财务部组 假设财务部又新来了N位员工,如果你选择第一种方案,你就需要在安全属性中添加并配置N位员工,而选择第二种方案,你只需要在域控制器上创建用户帐户的时候指定他们的组为财务部就可以了,而无需修改安全属性中的角色列表。所以,很显然你应该选择第二种方式。尤其是你有很多共享文件夹进行管理的时候,使用组来管理的好处就更能够体现出来了。 通过这个例子你也能够体会到:使用组其实是为了管理方便,用最少的工作获得最好的效果!
明确了组的作用后就来看看本地组、全局组、域本地组和通用组的概念和区别。什么是本地组呢? 很多时候本地组被人认为是域本地组的简称。其实严格来说,本地计算机上也可以创建属于本机的组,这些组才应该称为“本地组”。它的成员可以来自本地计算机或者所有的可信任域。本地组存储在本地计算机中,而域本地组存储在域控制器上。你如果使用过域,应该有这种体验:使用域帐户登录域中任意一台计算机后,默认情况下是普通的Users组权限,如果要提升成管理员权限,需要把这个域帐户添加到本地计算机的Administrators组中。 全局组的特点是什么呢? 全局组成员来自于同一域的用户账户和全局组,在林范围内可用。 也就是说能够添加到全局组的成员是本域的成员或者全局组(这样就构成了组的嵌套)。如果在上海的域中创建了全局组A,那么能添加到A中的人只能是上海域中的对象或者是其他可信任域,如北京或大连的全局组。 域本地组的特点是什么呢? 域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组,在本域范围内可用。 通用组的特点是什么呢? 通用组成员来自林中任何域中的用户账户、全局组和其他的通用组,在全林范围内可用。但是注意通用组的成员不是保存在各自的域控制器上,而是保存在全局编录中,当发生变化时能够全林复制。 规则就这些,请不要记混。可以简单这样记忆: 全局组来自本域用于全林 通用组来自全林用于全林 域本地组来自全林用于本域 因为只有域本地组专用于在本地赋予权限,所以,通常情况下,域本地组总是最后被应用。下面我们通过几个例子来讲述他们的应用: 康博公司是一个大型的软件公司。公司的业务发展很快,目前在北京拥有自己的办公大楼,总部也因此设在那里,另外在上海也有分公司。公司在企业内部建立了域名为https://www.doczj.com/doc/766260693.html,的域,由于上海的分公司主营外包业务,相对比较独立,于是为其创建了子域https://www.doczj.com/doc/766260693.html,,从而形成了域树。 后来公司管理层经过商议与另外一个物流公司A合作创办了一个电子物流公
MCDBA微软认证数据库管理员 对象对应考试课程纲要 三门核心考试: 第一部分管理和维护Microsoft Windows Server 2003 系统环境 2273 70-290 将会掌握如何进行windows2003系统的用户和计算机帐号管理,组、资源的访问;实现打印,管理打印和组织单元中的对象访问;着重了解如何使用组策略管理用户环境和管理Windows2003中的安全性;能够管理服务器与监视服务器的性能;能够维护设备驱动,管理磁盘、数据存储、冗错;掌握使用软件更新服务维护软件。 本课程目标技能 用户和组:管理用户帐户;管理组帐户;管理组策略;运用Windows 2003 组策略管理安全;利用GPMC在域间迁移GPO;使用RsoP定制和检修GP;使用FAZAM2000实施组策略控制;GPO的备份和修复; 规划、安装与配置:建立Windows Server 2003网络基础结构规划;运用Winnt和Winnt32命令行方式安装Windows Server 2003;处理安装过程中的各种问题;使用MMC工具来配置和管理计算机;数据源配置(ODBC) 备存储管理:应用Windows Server 2003的磁盘管理服务;远程存储和分级存储管理;利用磁盘管理管理单元;基本磁盘转化为动态磁盘;创建和管理RAID-0、1、5卷;利用磁盘配额管理存储;修复磁盘和卷的状态;修复RAID冗余故障。 备份与灾难恢复:建立数据备份/恢复的质量基准;编写备份批处理文件和备份脚本;使用可移动存储设备备份数据;使用Shadow Copy 技术;编制灾难恢复计划;开发、测试响应计划;根据备份进行恢复操作;活动目录的灾难恢复;注册表的灾难恢复;分析计算机崩溃的原因。 第二部分:数据库管理和维护 2072 2071 70-228 l SQL Server的结构和组件; l Transact-SQL的语句介绍; l 创建数据库、数据库索引、多表查询、以及其他高级查询技术; l 数据统计,如GROUP BY和HA VING语句等; l 管理事务和锁; l 分布式数据的处理; l 实现数据视图和存储过程。 第三部分:设计数据库 2073 70-229 l SQL Server 2000的体系结构和组件,安装和配置; l SQL Server2000的安全性问题,如怎样为服务器选择验证模式,怎样给用户和角色分配登录帐号等; l 管理数据库文件,备份和恢复数据库文件; l 用SQL Server Agent来使一些管理任务自动化,比如用电子邮件来通知操作员和建立作业等; l 数据传输; l SQL Server2000的监控和维护; l 复制的规划、建立和管理
实训目标: 理解域的特点,掌握创建域、管理域以及管理组织单位的方法与步骤;理解域用户账户与组账户的特点、用途,掌握管理域用户账户与组账户的方法与步骤。 实训环境: 6台Windows Server 2008 R2企业版计算机。 实训内容: 假设你是一家公司的网络管理员,负责管理公司的网络。公司希望创建域来管理网络。为此,需要你执行以下工作: ①按照下图1,创建域森林。 图1 具有两棵域树的森林 ②在域https://www.doczj.com/doc/766260693.html,中有三个部门:销售部、培训部和技术支持部,现在需要为这 三个部门分别建立组织单位,并把每个部门的10台计算机加入到各自的组织单位 中。 ③在域https://www.doczj.com/doc/766260693.html,中,为公司员工创建域用户账户,并设置域用户账户的个人信息。 ④对某些用户(例如:临时工),设置这些域用户账户的登录时间以及限制登录地点。 ⑤如果一个用户(如:john)由于生病而在一段时间内无法上班,请禁用他的域用户账户。 ⑥如果一个用户忘记了自己的账户密码,为其重设账户密码。 ⑦一个用户辞职后离开了公司,请删除该用户的用户账户。 ⑧创建组账户,并把一系列的用户账户加入到这个组账户中。
提示:本实训需要搭建五台域控制器,如果学员实训中无法在计算机上运行这么多虚拟机,本实训可以化简为仅搭建 https://www.doczj.com/doc/766260693.html,、https://www.doczj.com/doc/766260693.html,、https://www.doczj.com/doc/766260693.html,三台域控制器。内容②中对https://www.doczj.com/doc/766260693.html,的操作改为对https://www.doczj.com/doc/766260693.html,的操作。 一、创建森林域 ①在此计算机上安装Windows Server 2008 R2企业版。将此计算机的名称设置为dc3,当它升级为域控制器后会自动改名为https://www.doczj.com/doc/766260693.html,。此计算机的IP地址和DNS服务器地址等信息按照图2所示进行配置。 ②以该计算机的本机管理员身份登录,然后使用以下两种方式之一安装活动目录。●单击屏幕左下角的“服务器管理器”图标,然后请转到步骤○3。●单击【开始】→【运行】,输入“dcpromo.exe”后,单击【确定】图标。此时它会自动执行步骤○3~步骤○10,所以请转到步骤○11。 ③在“服务器管理器”中,单击左侧的“角色”,然后单击右边的“添加角色”。 ④在“开始之前”窗口中,单击【下一步】按钮。 ⑤在“选择服务器角色”窗口中,选中【Active Directory域服务】,然后在弹出的“是 否添加Active Directory域服务所需的功能”窗口中,单击【添加必需的功能】,最后单击【下一步】按钮。 ⑥在活动目录安装窗口中,单击【下一步】按钮。 ⑦在“Active Directory域服务简介”窗口中,单击【下一步】按钮。 ⑧在“确认安装选择”窗口中,单击【安装】按钮。 ⑨在“安装结果”窗口中,单击【关闭】按钮。 ⑩单击【关闭该向导并启动Active Directory域服务安装向导(dcpromo.exe)】 ?在“欢迎使用Active Directory域服务安装向导”窗口中,单击【下一步】按钮。?在“操作系统兼容性”窗口中,单击【下一步】按钮。 ?如图2所示,因为是在一个已有森林中新创建子域,所以选中【现有林】和【在现有林中新建域】,然后单击【下一步】按钮。
注意:预习作业在上课前提交,复习作业在上课后提交,共性的作业在实验课会评讲一下,一般不会单独评讲,统一在习题课做综合解答,请各位组长记录作业出现的问题,提交到教员。预习重点部分,不用做在作业上,是给各位学员预习时的引导线。务必记住80%的精力放在预习。 第一章: 预习作业:1.什么是域?什么是活动目录?活动目录有什么特点?2.什么是域树?什么是林?3.安装域控制器必须具备哪些条件?4.将计算机加入域前,要检查客户机哪些配置?5.DNS 在域中有什么作用?● (预习重点:这章节就开始难了,会有很多的名词要理解:域 域控 活动目录 域树 森什么安全组通讯组等等,工作组只适合小型网络,换句话来说,域就适合更大型网络了啦!更换句话来说,你想当个大一点的网络管理,就一定要学好域了,给几个简单的解释先骗大家懂一下吧:?活动目录:一是目录,二是活动,也就是说有一个目录,它是活动的,不属于一台计算机,属整个域的所有电脑。更具体地说他是一个数据库存储着很多对象,例如:组 帐号 打印机 共享文件等等。它能存储这些对象,就能提供一种很好的服务,能让属这个域的用户能快速查找所需的数据了。?域:前面的课提到过,两种网络环境,一种是对等网,平等,没有谁管谁的,另一种是c/s 组构,有服务器有客户机。而我们本课所提到的域,其实就是c/s 结构,能进行集中管理的,其它的域树和森主要看图再对比书本的文字再理解一下。?域控:那一台用来管理这个域的计算机就是域控了,在这里我们暂且单纯地认域域控只有一台,其实在多域的环境下会有多台的,在后面的课程会详细学习。● 安装活动目录:先检查条件够不够,熟读六个条件,域的安装。?加入域:加入域时候,客户机要设置什么才能加入域,这个很重要,很多学员做实验的时候,两台主机都没ping 就去加域,加不入就在大呼大叫,组长帮组员排错的时候要注意是否ping 通ip,是否ping 通域名,别把每个组员都想得太理想了,没有ping 通就急着去加域的学员及加入域的时候域名都写错了,还敢大呼大叫的学员我见得多了。●看书本5页的图,理解一下域树和域林,当然课只应用到单域,由于单一次接触域,多域只是理论上的理解,不要纠结于怎么创,如果非要纠结也行,请预习第八章。 、管路敷设技术通过管线敷设技术,不仅可以解决吊顶层配置不规范问题,而且可保障各类管路习题到位。在管路敷设过程中,要加强看护关于管路高中资料试卷连接管口处理高中资料试卷弯扁度固定盒位置保护层防腐跨接地线弯曲半径标高等,要求技术交底。管线敷设技术中包含线槽、管架等多项方式,为解决高中语文电气课件中管壁薄、接口不严等问题,合理利用管线敷设技术。线缆敷设原则:在分线盒处,当不同电压回路交叉时,应采用金属隔板进行隔开处理;同一线槽内,强电回路须同时切断习题电源,线缆敷设完毕,要进行检查和检测处理。、电气课件中调试对全部高中资料试卷电气设备,在安装过程中以及安装结束后进行高中资料试卷调整试验;通电检查所有设备高中资料试卷相互作用与相互关系,根据生产工艺高中资料试卷要求,对电气设备进行空载与带负荷下高中资料试卷调控试验;对设备进行调整使其在正常工况下与过度工作下都可以正常工作;对于继电保护进行整核对定值,审核与校对图纸,编写复杂设备与装置高中资料试卷调试方案,编写重要设备高中资料试卷试验方案以及系统启动方案;对整套启动过程中高中资料试卷电气设备进行调试工作并且进行过关运行高中资料试卷技术指导。对于调试过程中高中资料试卷技术问题,作为调试人员,需要在事前掌握图纸资料、设备制造厂家出具高中资料试卷试验报告与相关技术资料,并且了解现场设备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况,然后根据规范与规程规定,制定设备调试高中资料试卷方案。、电气设备调试高中资料试卷技术电力保护装置调试技术,电力保护高中资料试卷配置技术是指机组在进行继电保护高中资料试卷总体配置时,需要在最大限度内来确保机组高中资料试卷安全,并且尽可能地缩小故障高中资料试卷破坏范围,或者对某些异常高中资料试卷工况进行自动处理,尤其要避免错误高中资料试卷保护装置动作,并且拒绝动作,来避免不必要高中资料试卷突然停机。因此,电力高中资料试卷保护装置调试技术,要求电力保护装置做到准确灵活。对于差动保护装置高中资料试卷调试技术是指发电机一变压器组在发生内部故障时,需要进行外部电源高中资料试卷切除从而采用高中资料试卷主要保护装置。