WindowsServerR活动目录配置和管理PPT课件.pptx

Module1 配置ActiveDirectory 域服务的域名称服务 模块概述 ActiveDirectory域服务和DNS集成的概述 配置ADDS集成的区域 配置只读DNS区域 Lesson1 ActiveDirectory域服务和DNS集成的概述 ADDS与DNS命名空间整合 服务资源定位记录是什么 演示 SRV定位器记录由注册ADDS域控制器 如何使用服务资源定位记录 集成服务资源定位记录和ADDS网站 ADDS和DNS命名空间集成 WoodgroveB WoodgroveB ADDS域名必须使用DNS名称 Corp WoodgroveB W 服务定位记录是什么 SRV资源记录允许DNS客户端找到基于TCP服务 SRV资源记录用于时 域控制器需要复制更改 客户端计算机登录到ADDS 一个用户尝试更改他或她的密码 Exchange2003服务器会执行目录查找 管理员修改ADDS ldap tcp contoso msft600INSRV0100389den dc1 contoso msft protocol service nameTTLclasstypepriorityweightporttarget SRVrecordsyntax ExampleofanSRVrecord Demonstration ADDS域控制器SRV资源记录注册 在此演示 您将看到如何查看和管理域控制器注册的SRV资源记录 如何使用服务资源定位符记录 定位器启动NetLogon服务调用 1 网络登录使用的信息和SRV资源记录的查询DNS 3 NetLogon测试到目标服务器的连接 4 定位器会收集有关客户端的信息 2 域控制器的响应 该值指示它们的运作 5 NetLogon返回到客户端的信息 6 集成服务定位记录和ADDS站点 1 QueriesDNSforDC 4 MIA DC1returnssiteinfoNYC 2 Respondswithmultiplerecords 5 QueriesDNSforDCinNYCsite 6 RespondswithDCinNYCsite MiamiSite 3 ContactsMIA DC1byusingLDAP LocalDNSServer MIA DC1 NYC DC1 NYCSite Lesson2 配置ADDS集成区域 ADDS集成区域是什么 在ADDS中的应用程序分区是什么 为DNS配置应用程序分区选项如何动态更新工作 如何安全动态DNS更新工作 演示 配置ADDS集成的区域 如何背景加载工作区 ADDS集成区域是什么 ADDS集成区域在ADDS数据库中存储DNS区域数据 使用ADDS的优点集成区域 复制使用ADDS复制的DNS区域信息 支持多个主DNS服务器 增强了安全性 支持记录老化和清除 在ADDS中的应用程序分区是什么 在域分区或应用程序分区中 可以存储一个DNS区域 管理员可以定义自定义复制的范围应用程序分区 DomainDNSzonesforestDNSzones并存储DNS特定的数据的默认应用程序分区 Domain Config Schema App1 App2 Domain Config Schema Domain Config Schema App1 ADDS数据库分为包含每个复制到特定域控制器的目录分区的目录分区 为DNS配置应用程序分区选项 到所有是ADDS域中的DNS服务器的域控制器 到应用程序分区复制范围中的所有域控制器 到所有是在ADDS林中的DNS服务器的域控制器 到ADDS域中的所有域控制器 DNS信息可以存储在各种应用程序分区中 如何动态更新工作 客户端发送SOA查询 DNS服务器发送区域名称和服务器IP地址 客户端验证现有的注册 DNS服务器响应的说明注册并不存在 客户端将动态更新发送到DNS服务器 ResourceRecords DNSServer WindowsServer2008 WindowsVista WindowsXP 1 3 4 2 5 1 2 3 4 5 如何安全动态DNS更新工作 Result Findauthoritativeserver Result Attemptnonsecureupdate Refused Secureupdatenegotiation Accepted 只有当客户端有正确的凭据要更新接受安全的动态更新 WindowsVistaDNSClient DomainControllerwithActiveDirectoryIntegratedDNSZone LocalDNSServer Demonstration 配置ADDS集成的区域 在此演示 您将看到如何配置 ADDS作为一个DNS区域集成 对DNS区域的动态更新 网络连接上的动态更新设置 安全动态更新 如何背景区加载工程 当域控制器与ActiveDirectory集成DNS区域启动 它 枚举要加载的所有区域 负荷根提示从文件或ADDS服务器 加载存储在文件中而不是在ADDS中的所有区域 开始对查询和RPC的响应 启动一个或多个线程来加载存储在ADDS中的区域 Lesson3 配置只读DNS区域 只读DNS区域是什么 如何只读DNS工程讨论 比较DNS选项的分支机构 只读DNS区域是什么 支持只读域控制器上的一个功能 包含DNS信息的所有应用程序分区被复制到该RODC 优点 所需的ADDS名称解析DNS信息用于RODC的相同站点中客户端 在只读DNS区域 增加了安全上的更改不允许使用 如何只读DNS工程 只读DNS上装有RODCADDS安装了和选择了DNS选项时 只读DNS区域数据可以查看 但不能被更新 使用RODC的动态更新的DNS客户端所提的区域的可写副本的DNS服务器 记录不能将手动添加到只读区域 1 2 3 Discussion 比较分支机构的DNS选项 哪些以外只读DNS的选项可在分支机构中实施DNS 优势和每个选项的缺点是什么 Module2 配置ActiveDirectory对象和信任 模块概述 配置ActiveDirectory对象 使用组策略 自动化ADDS对象管理 委派到ADDS对象的管理权限 配置ADDS和信任 Lesson1 配置ActiveDirectory对象 ADDS对象的类型 演示 配置ADDS用户帐户 ADDS组类型 ADDS组范围 默认ADDS组 ADDS特别标识 讨论 使用默认组和特别的标识 演示 配置ADDS组帐户 演示 配置其他ADDS对象 ADDS对象的类型 Demonstration 配置ADDS用户帐户 在此演示 您将看到如何配置ADDS用户帐户 ADDS组类型 通讯组 只能与电子邮件应用程序一起使用未启用安全 安全组 用于将权限和权限分配给用户和计算机组 嵌套时 使用最有效 功能级别确定您可以创建的组的类型 本地 ADDS组作用域 组成员可以包括 在同一个域 本地域 任何受信任的域中 全球 通用 可用于分配权限 组作用域 通用组 全局组和其他域本地组从它自己的域 任何受信任的域帐户 用户 组和作为从任何受信任的域成员的计算机 用户 组和从它自己的域的计算机 任何受信任的域中 用户 组和作为从任何受信任的域成员的计算机 在本地计算机上 默认ADDS组 默认组旨在管理共享的资源和委派特定的全域管理角色 营办商帐户 管理员 备份的操作员 传入的林信任生成器 网络营办商配置 性能日志用户 性能监视器用户 以前版本2000年兼容的访问 打印营办商 远程桌面用户 复制 服务器操作员 用户 ADDS特别标识 旨在提供对没有资源的访问行政或用户交互 匿名登录 经过身份验证的用户 批处理 CreatorGroup 创建者所有者 拨号 每个人 交互式本地系统网络自己服务终端服务器用户其他组织这个组织 Discussion 使用默认组和特别标识 使用此方案 回答您的工作簿中的问题 Demonstration 配置ADDS组帐户 在此演示 您将看到如何配置ADDS组帐户 Demonstration 配置其他ADDS对象 在此演示 您将看到如何配置其他ADDS对象 Lesson2 使用组策略 为将访问分配给资源的选项 使用帐户组来分配资源的访问 使用帐户组和资源组 讨论 在单个域或多域环境中使用组 将访问分配给资源的选项 将分配给资源的访问 最低权限级别的计划 这项计划保持尽可能简单 文档这项计划 选项包括 将用户帐户添加到资源上的ACL 将用户帐户添加到组 并将组添加到资源上的ACL 将用户帐户添加到帐户组 到资源的组中添加该帐户的组 并将资源组添加到资源上的ACL 使用帐户组来分配资源的访问 Permissions AccountGroups UserAccounts 使用帐户组和资源组 ResourceGroups Permissions AccountGroups UserAccounts Discussion 在单一域或多域环境中使用组 Usingthescenarios answerthequestionsinyourworkbooks Lesson3 自动化ADDS对象管理 用于自动执行ADDS对象管理的工具 配置ADDS对象使用命令行工具 管理LDIFDE的用户对象 管理CSVDE与用户对象 WindowsPowerShell是什么 WindowsPowerShellCmdlet 演示 配置ActiveDirectory对象使用WindowsPowerShell 自动化ADDS工具对象管理 ActiveDirectory用户和计算机 目录服务工具 DsaddDsmodDsrm Csvde和Ldifde工具 WindowsPowerShell 配置ADDS对象使用命令行工具 命令行工具 DsaddDsmodDsrmDsgetnetuserNetgroupNetcomputer filename ldf 管理LDIFDE的用户对象 ActiveDirectory import export LDIFDE exe 管理CSVDE与用户对象 filename csv ActiveDirectory import export CSVDE exe WindowsPowerShell是什么 WindowsPowerShell是一种脚本和命令行的技术 您可以使用管理ADDS和其他Windows组件 WindowsPowerShell功能包括 强大的一行cmdlet 别名 变量 流水脚本支持访问所有cmd exe命令 WindowsPowerShellCmdlets WindowsPowerShellCmdlet所有使用相同的语法 Demonstration 配置ActiveDirectory对象使用WindowsPowerShell 在此演示 您将看到如何配置使用WindowsPowerShell的ActiveDirectory对象 LabA 配置ActiveDirectory对象 练习1 配置ADDS对象 练习2 实施一个ADDS组 练习3 自动执行管理的ADDS对象 登录信息 预计所需时间 40分钟 LabAReview 您在您的组织中使用的组策略将在此实验室中使用的战略与如何比较 哪种方法来自动执行ADDS对象管理将您的组织中最有用 Lesson4 委派行政对象的访问权限ADDS ActiveDirectory对象权限 演示 ActiveDirectory域服务对象权限继承 有效权限是什么 控制委派是什么 讨论 的委派控制的方案 演示 配置控件的代表团 ActiveDirectory对象权限 ActiveDirectory权限 包括标准的权限和特殊权限 标准最常分配权限的权限 特殊权限为将访问分配给对象提供更好地一定程度的控制 可 隐式被拒贸易或显式拒绝 可以设置对象级或从父对象继承 Demonstration ActiveDirectory域服务对象权限继承 在此演示 您将看到的ADDS对象如何继承权限的 有效权限是什么 有效的权限是将为指定的用户或组授予的实际权限 权限是累积性包括分配给用户帐户和组帐户的权限 显式拒绝权限允许重写的权限 明确允许权限重写显式拒绝权限 对象所有者始终可以更改的权限 对象所有者始终可以更改权限 不在此工具计算的特殊权限时使用特别标识 控制委派是什么 分配管理到另一个用户或组ActiveDirectory对象的责任 委派的管理 通过分发日常管理任务 简化管理 提供用户或组对本地网络资源的更多控制 不必多个管理帐户 Discussion 委派控制方案 委派管理权限的好处是什么 你如何会在您的组织中使用控制的委派 Demonstration 配置控制的代表团 在此演示 您将了解如何将配置委派的控制 Lesson5 配置ADDS信托 ADDS信托是什么 ADDS信任选项 信托是如何工作在一个林中 信托是如何工作林之间 演示 配置信任关系 通用主体名称是什么 选择身份验证设置是什么 演示 配置高级的信任设置 ADDS信托是什么 提供了用户来访问另一个域中的资源的机制 信任特征 传递 信任关系超出了对包括其他受信任的域的两个域信任 信任方向 信任方向定义帐户域和资源域 身份验证协议 的协议 您使用可以建立和维护的信任 ADDS信任选项