项目2 配置与管理活动目录服务.ppt

清华大学出版社 高职高专计算机任务驱动模式教材 2 1相关知识 项目2配置与管理活动目录服务 2 1 1活动目录2 1 2域和域控制器 DC 2 1 3域目录树2 1 4域目录林2 1 5全局编录 2 3 1任务1创建与配置活动目录2 3 2任务2管理活动目2 3 3任务3管理域用户和计算机账户2 3 4任务4管理域中的组账户 2 4管理活动目录服务实训 2 3项目实施 2 2项目设计及准备 2 2 1项目设计2 2 2项目准备 某公司组建的单位内部的办公网络 原来是基于工作组方式的 近期由于公司业务发展 人员激增 基于网络的安全管理需要 考虑将基于工作组的网络升级为基于域的网络 现在需要将一台或多台计算机升级为域控制器 并将其它所有计算机加入到域成为成员服务器 同时对原来的本地用户账户和组也升级为域用户和组进行管理 项目描述 项目2配置与管理活动目录服务 掌握规划和安装局域网中的活动目录 掌握在Windows2003Server中创建管理域用户及组 掌握在Windows2003Server中添加和管理各种域服务器 掌握将局域网中的计算机加入到在Windows2003Server的域服务器中 项目目标 项目2配置与管理活动目录服务 2 1相关知识 活动目录 域和域控制器 域目录树 域目录林 全局编录 项目2配置与管理活动目录服务 活动目录是Windows网络中的目录服务 有两方面内容 目录和与目录相关的服务 活动目录是一个分布式的目录服务 信息可以分散在多台不同的计算机上 保证用户能够快速访问 既提高了管理效率 又使网络应用更加方便 2 1相关知识 2 1 1活动目录 域是在WindowsNT 2000 2003网络环境中组建客户机 服务器网络的实现方式 所谓域 是由网络管理员定义的一组计算机集合 实际上就是一个网络 在这个网络中 至少有一台称为域控制器的计算机 充当服务器角色 2 1相关知识 2 1 2域和域控制器 DC 2 1相关知识 2 1 3域目录树 当需要配置一个包含多个域的网络时 应该将网络配置成域目录树结构 域目录树是一种树型结构 活动目录的域名仍然采用DNS域名的命名规则进行命名 在整个域目录树中 所有域共享同一个活动目录 即整个域目录树中只有一个活动目录 如果网络的规模比前面提到的域目录树还要大 甚至包含了多个域目录树 这时可以将网络配置为域目录林 也称森林 结构 2 1相关知识 2 1 4域目录林 为了让每一用户能够快速查找到另一个域内的对象 微软设计了全局编录 GlobalCatalog GC 全局编录包含了整个活动目录中每一个对象的最重要属性 即部分属性 而不是全部 这使得用户或者应用程序即使不知道对象位于哪个域内 也可以迅速找到被访问的对象 2 1相关知识 2 1 5全局编录 2 2项目设计及准备 项目设计 项目准备 项目2配置与管理活动目录服务 2 2项目设计及准备 2 2 1项目设计 域林有两个域树 和 其中域树下有子域 在域中有两个域控制器win2003 1与win2003 2 在域中除了有一个域控制器win2003 3外 还有一个成员服务器win2003 5 2 2项目设计及准备 2 2 1项目设计 网络规划拓扑图 2 2项目设计及准备 2 2 2项目准备 为了搭建上图的网络环境 需要如下设备 安装WindowsServer2003的PC计算机5台 WindowsXP计算机1台 WindowsServer2003安装光盘 或者在虚拟机中实现 2 3项目实施 创建与配置活动目录 管理活动目录 管理域和计算机账户 管理域中的组账户 项目2配置与管理活动目录服务 2 3 1任务1创建与配置活动目录 1 首先确认 本地连接 属性TCP IP中首选DNS指向了自己 2 在服务器上安装活动目录 3 选择 新域的域控制器 4 在 创建一个新域 窗口中 选择 在新林中的域 5 在计算机上安装并配置DNS 1 创建第一个域 1 创建第一个域 6 在新的域名页面中 输入新域的完整域名 FQDN 7 在 NetBIOS域名 窗口中确认NetBIOS名 8 改变活动目录数据库以及日志存放的路径 9 在 权限 窗口中 选择一个权限选项 10 在 目录服务还原模式的管理员密码 窗口中 设置一个密码 11 最后 系统显示安装摘要 2 3 1任务1创建与配置活动目录 2 安装后检查 活动目录安装完成后 可以从各个方面进行验证 1 查看计算机名 2 查看管理工具 3 查看活动目录对象 4 查看ActiveDirectory数据库 5 查看DNS记录 2 3 1任务1创建与配置活动目录 3 安装额外的域控制器 1 首先要在服务器上检查 本地连接 属性 确认能否正常通信 2 运行 ActiveDirectory 安装向导 3 将该计算机设置为现有域的额外域控制器 4 输入拥有将该计算机升级为域控制器权力的用户名和密码 5 安装向导从原有的域控制器上开始复制活动目录 2 3 1任务1创建与配置活动目录 4 创建子域 1 在要升级为域控制器的独立服务器上 设置 本地连接 属性 2 运行活动目录安装向导 3 选择 新域的域控制器 单选按钮 单击 下一步 按钮 选择 在现有域树中的子域 单选按钮 单击 下一步 按钮 4 输入父域的域名以及管理员的账户 密码等 5 接着输入子域的NetBIOS名 6 重新启动计算机 用管理员登录到域中 2 3 1任务1创建与配置活动目录 5 创建域林中的第二棵域树 1 创建DNS域 1 展开DNS管理窗口左部的列表 右击 正向查找区域 选择 新建区域 命令 2 在 欢迎使用新建区域向导 界面中单击 下一步 在 区域类型 中选择 主要区域 3 选择如何复制DNS区域数据 4 输入DNS区域名称 选择 只允许安全的动态更新 或者 允许非安全和安全动态更新 单选按钮 5 单击 完成 按钮 2 3 1任务1创建与配置活动目录 5 创建域林中的第二棵域树 2 安装域树的域控制器 1 确认服务器上 本地连接 属性中的TCP IP的首选DNS指向 2 运行活动目录安装向导 3 选择 新域的域控制器 下一步选择 在现有的林中的域树 4 输入已有域树的根域的域名和管理员的账户 密码 5 接着输入新域的NetBIOS名 按照原步骤继续设置 直到完成 2 3 1任务1创建与配置活动目录 6 成员服务器和独立服务器 1 域控制器降级为成员服务器 具体步骤 1 删除活动目录注意要点 2 删除活动目录 2 独立服务器提升为成员服务器 3 成员服务器降级为独立服务器 2 3 1任务1创建与配置活动目录 2 3 2任务2管理活动目录 1 在活动目录中使用OU OU是组织单元 在活动目录 ActiveDirectory AD 中扮演特殊的角色 它是一个当普通边界不能满足要求时创建的边界 OU把域中的对象组织成逻辑管理组 而不是安全组或代表地理实体的组 OU是可以应用组策略和委派责任的最小单位 1 在活动目录中使用OU 组织单元 组织单元是包含在活动目录中的容器对象 创建组织单元的目的是对活动目录对象进行分类 创建组织单元有如下好处 1 可以分类组织对象 使所有对象结构更清晰 2 可以对某些对象配置组策略 实现对这些对象的管理和控制 3 可以委派管理控制权 如管理员可以给不同部门的网络主管授权 让他们管理本部门的账号 2 3 2任务2管理活动目录 谨慎添加OU 只在必要的时候才添加OU 不要建太多的OU 建议不要为个别用户创建OU 保持层次简单 不要一开始就创建多层OU 也不要使OU的层次太深 OU与组的区别 真正的差别在于安全模型 组策略与权限 如果一组用户或计算机需 使用OU注意要点 1 在活动目录中使用OU 2 3 2任务2管理活动目录 2 委派OU的管理 1 在左窗格中右击OU对象 并从快捷菜单中选择 委派控制 打开 控制委派向导 单击 下一步 2 单击 添加 打开 选择用户 计算机或组 对话框 使用对话框中的选项选择委派对象的对象类型和位置 3 在接下来的窗口中 选择想要委派的任务 操作步骤 2 3 2任务2管理活动目录 2 委派OU的管理 查看OU的安全属性 1 在 ActiveDirectory用户和计算机 的菜单栏中选择 查看 高级功能 2 启用了 高级功能 之后 右击某个OU 选择 属性 就可以看见 安全 选项卡了 2 3 2任务2管理活动目录 3 创建活动目录域的信任关系 1 信任关系信任关系是网络中不同域之间的一种内在联系 2 域林中的信任子域和父域的双向 可传递的信任关系是在安装域控制器时就自动建立的 同时由于域林中的信任关系是可传递的 因此同一域林中的所有域都显式或者隐式地相互信任 3 创建新的信任关系 2 3 2任务2管理活动目录 4 活动目录站点复制服务 活动目录站点复制服务 就是将同一ActiveDirectory站点的数据内容 保存在网络中不同的位置 以便于所有用户的快速调用 同时还可以起到备份的目的 1 站点间的复制 2 站点内的复制 3 管理复制 2 3 2任务2管理活动目录 2 3 3任务3管理域用户和计算机账户 1 域用户账户 域用户帐户提供了比本地用户帐户更多的属性 例如登录时间和登录到哪台计算机的限制等 方法很简单 在 用户属性 对话框中单击相应的选项卡进行修改即可 2 计算机账户 在域中 每台运行Windows2000 XP的计算机都拥有一个计算机账户 在向域中添加新的计算机时 必须在 ActiveDirectory用户和计算机 中创建一个新的计算机账户 计算机账户创建后 每个使用该计算机的用户都可以使用该账户登录 用户可以根据系统管理员赋予该计算机账户的权限访问网络 1 添加计算机账户 2 修改用户属性 2 3 3任务3管理域用户和计算机账户 2 3 4任务4管理域中的组账户 用户和组都可以在ActiveDirectory中添加 而且必须以AD中AccountOperators组 DomainAdmins组或EnterpriseAdmins组的成员的方式登录Windows 或者必须有管理该活动目录的权限 除可以添加用户和组外 还可以添加联系人 打印机及共享文件夹等 1 创建组 2 常用的内置组 DomainAdmins 该组的成员具有对该域的完全控制权 DomainComputers 该组包含加入到此域的所有工作站和服务器 DomainControllers 该组包含此域中的所有域控制器 DomainGuests 该组包含所有域来宾 DomainUsers 该组包含所有域用户 即域中创建的所有用户账户都是该组成员 EnterpriseAdmins 该组只出现在林根域中 GroupPolicyCreatorOwners 该组的成员可修改此域中的组策略 SchemaAdmins 该组只出现在林根域中 2 3 4任务4管理域中的组账户 3 为