部署活动目录.doc

活动目录构建与管理项目目录服务搭建与管理1. 项目分析1.1 项目需求u 实现域控制器的冗余；u 网络中使用DHCP服务器为客户端分配IP地址；u 搭建文件服务器用于公司数据共享；u 设定备份策略完成公司的数据备份；u 客户端软件的自动安装。1.2 应用技术由需求可知，本项目所应用的技术有：u 基本网络技术；u DNS；u DHCP；u 活动目录相关技术；2. 项目规划2.1 项目拓扑AD人事部OU市场部OU财务部OU技术部OU组及成员组及成员组及成员组及成员2.1.1 域结构拓扑2.1.2 网络拓扑技术部OU财务部OU人事部OU市场部OU 主额域外制控域器制控器Switch2.2 实施步骤u 安装主域控制器u 部署额外域控制器及文件服务器u 启用额外域控制器的DHCP服务u 活动目录的备份与恢复u 组策略部署软件3. 项目实施3.1 安装主域控制器3.1.1 不同DNS环境下的域控安装1.有DNS环境下的安装有DNS环境下的安装，即在DNS事先搭建好的情况下安装域控制器，DNS已存在如下图：下面介绍在此环境下域控的安装：1） 单击桌面下方的开始-程序-管理工具-管理您的服务器，调出管理您的服务器窗口；2） 单击“添加或删除角色”，调出“配置您的服务器向导”并单击下一步；3） 选择“域控制器”并单击下一步；4） 接着单击下一步，调出活动目录安装向导并单击下一步；5） 操作系统兼容性介绍，单击下一步；6） 域控制器类型选择，由于这是域中的第一个控制器，选择“新域的域控制器”，如下图，单击下一步；7） 创建一个新域，点击“在新林中的域”，单击下一步；8） 输入一下新的域名，这里键入并单击下一步；9） NetBIOS域名，这里默认即可，单击下一步；10） 数据库和日志文件夹，这里选择默认路径即可，单击下一步；11） 共享的系统卷，文件夹的位置默认即可，单击下一步；12） DNS诊断成功，单击下一步；13） 权限，选择下面的，“只与windows2000或windows2003兼容的权限”，单击下一步；14） 目录还原密码，这里设置123456，单击下一步；15） 显示配置摘要，确认无误，单击下一步，开始配置。16） 等待一段时间，点击完成，完成安装。2. 无DNS环境下的安装无DNS环境下域的安装和有DNS环境下域的安装步骤基本一致，这里不作重述，不同的是域安装完毕后，DNS的记录会不同，如下图：3.1.1 创建OU、组及用户由于创建各部门OU、组及用户的步骤都相同，这里以创建市场部的OU、组，及市场部用户“马明”为例作详细介绍，其它部门不做重述。1. 创建OU，步骤如下：1） 依次单击开始-程序-管理工具-Active Directory 用户和计算机，打开AD用户和计算机控制台；2） 右键单击-新建-组织单位，如图：3） 输入OU名称，这里输入“市场部”，单击确定，创建完成。2. 创建组并加入相应OU1） 右键OU市场部-新建-组；2） 输入组名“市场部”，组作用域选择全局，组类型选择安全组，单击确定；3. 创建用户并加入相应组1） 右键OU市场部-新建-用户；2） 输入姓名：马明，用户登录名：maming，单击下一步；3） 输入密码，勾选“用户下次登录时须更改密码”及“密码永不过期”，单击下一步；4） 核对信息无误后，单击完成；5） 右键帐户“马明”点击属性，选择隶属于选项卡；6） 单击添加按钮，输入组名“市场部”，单击确定；7） 返回，上一步，单击确定，完成用户入组。3.1.2 将客户端加入域由于客户端入域步骤都相同，这里以客户端一作介绍，步骤如下：1. 右键我的电脑-属性，选择“计算机名”选项；2. 单击更改，点击域，输入，如图：3. 输入域成员帐户名及密码，如图，单击确定；4. 显示已成功加入域，如下图所示：5. 重启计算机以使设置生效。3.1.3 设置桌面重定向1. 在主域控制器上设置共享文件夹1). 在E盘右键“新建文件夹”，这里将其命名为“重定向”；2). 右键“重定向”文件夹，单击属性；3). 选择“共享”选项，点击“共享此文件夹”，单击权限，设置Everyone权限为“完全控制”，点击确定；4). 选择“安全”选项，将Users组用户的权限设置为“完全控制”。2. 制定组策略1） 依次单击开始-程序-管理工具-Active Directory 用户和计算机，打开AD用户和计算机控制台；2） 右键单击“”-属性；3） 选择“组策略”选项，选择默认的域策略，单击编辑；4） 打开“组策略编辑器控制台”，依次点击用户配置-Windows设置-文件夹重定向-桌面；5） 在右侧栏里的空白处，右键，选择属性并点击；6） 选择“目标”选项栏，在设置里选择“基本-将每个人的文件夹重定向到同一个位置”，在目标文件夹位置里选择“在根目录路径下为每一用户创建一个文件夹”，在根路径里输入：FQDN+共享文件夹的名称，如图，点击确定；3.2 部署额外域控制器及文件服务器3.2.1 安装额外域控制器额外域控的安装和主域控制器基本相同，这里简述一下一些需要注意的地方：1. 在选择域控制器类型的时候应该选择“现有域的额外控制器”，如下图：2. 输入域控制器帐户及域名，如图：3. 输入现有的DNS域名，即，单击下一步；4. 其它设置都相同，这里不做重述。3.2.2 搭建文件服务器3.2.3 发布共享文件夹这里以市场部为例，为市场部发部一个文件夹：1. 在E盘新建一个文件夹，这里将命名为“市场部-share”；2. 右键譔文件夹，点击属性，设置其共享权限为“完全控制”，设置其文件夹权限为“只读”，单击确定；3. 在“AD用户和计算机”控制台左侧，右击OU市场部-新建-共享文件夹；4. 输入共享文件夹名称及UNC路径，这里输入：“市场部-share”，如图：3.3 启用额外域控制器的DHCP服务1. 安装DHCP服务在Windows Server 2003中内置了DHCP服务器组件，默认情况下没有安装。下面将为系统添加DHCP服务器组件：1） 以Administrator身份登录系统，设置已规划好的IP地址：，设置子网掩 码为；2） 选择开始 设置 控制面板 添加/删除程序菜单，打开“添加/删除程序”对话框；3） 单击添加/删除Windows组件图标，将进入“Windows组件”对话框。单击右侧的滑动条向下滑动，出现“网络服务”后，用鼠标单击选取，然后单击详细信息按钮，将打开“网络服务”对话框，如下图所示，选取动态主机配置协议（DHCP）复选框，单击确定按钮返回“Windows组件”对话框，单击下一步按钮；4） 安装程序进行配置，出现提示时，将Windows Server 2003安装盘插入CD-ROM或DVD-ROM驱动器。安装程序会将DHCP服务器和工具文件复制到计算机上；5） 安装完成后，在“Windows组件向导”对话框中，单击完成按钮。安装完成之后，不需要重启计算机。2. 创建作用域1） 单击开始-程序-管理工具，然后单击DHCP；2） 控制台中，右键单击要在其上创建新DHCP作用域的DHCP服务器，然后单击新作用域，出现新建作用域向导，如图：3） 键入一个说明名称，此名称可以随意指定，然后单击下一步；4） 键入作用域的地址范围，如下图，然后单击下一步；5） 键入要排除的地址范围，这里可以输入50-00，如下图，这段地址用于给经理分配，防止分配给职员，然后单击下一步；6） 设置地址租约，一般默认为8天，这里不作修改，然后单击下一步；7） 选择是否立即配置DHCP选项，这里选否，稍后对其配置，然后单击下一步，接着单击完成；3. 配置作用域选项1） 首先右键单击作用域选项，选择配置选项；2） 在常规选项卡里找到DNS服务器复选框并将其勾选，输入DNS服务器地址，这里输入：22，点添加，然后往下找到“DNS域名”复选框，将其勾选并输入域名：，如下图，然后单击确定；3） 右键点击DHCP服务器名称，接着点击受权，如图：4） 右键点击作用域，接着点击“激活”，刷新作用域，使操作生效。4. 域用户DHCP客户端的设置1） 客户端以“本地管理员”身份登录系统；2） 右键点击桌面上的“网上邻居”-属性；3） 右键点击“本地连接”-属性；4） 在常规选项栏里选中“Internet 协议（TCP/IP）”，点击属性；5） 设置IP地址及DNS域名为自动获取，点击确定；6） 重启系统，并以域用户身份登录，检测地址获取情况。3.4 活动目录的备份与恢复3.4.1 AD的备份1. 查看当前OU及用户是否存在，图示：OU及用户都在2. 点击开始-运行，输入“ntbackup”；3. 调出“备份与还原向导”，选择“备份文件和设置”，单击下一步；4. 选择“让我选择备份的内容”，单击下一步；5. 选择“System State”，单击下一步；6. 选择保存备份的位置并输入备份的名称，如图，单击下一步；7. 显示备份进度，如图：8. 备份完毕，关闭对话框；3.4.2 AD的恢复日常工作中，若不小心将AD数据删除的话，如果有备份，可以对其进行数据的恢复，这里以财务部OU为例，如图，财务部OU不小心被删除，现在对其进行恢复，步骤如下：1. 确认备份文件存放的位置并重启系统；2. 开机按F8，进入Windows 高级选项菜单，如图：；3. 选择目录服务还原模式，回车进入系统；4. 进入系统后单击开始-运行，输入“ntbackup”回车；5. 调出“备份与还原向导”，在“欢迎”选项栏下方选择并单击“还原向导（高级）”；6. 调出还原向导，选择要还原的项目，这里选择“System State”，如图，单击下一步；7. 点击完成，完成还原向导设置，系统开始还原如图：；8. 还原完成，点击关闭并重启计算机；9. 系统启动完毕，进入系统并打开“AD管理用户和计算机控制台”；10. 如图可以看到丢失的财务部OU已成功恢复，系统恢复正常。3.5 组策略部署软件根据公司及相关部门的要求，现针对不同软件制定以下几种安装该方式：软件安装方式安装位置用户是否可以卸载那种软件使用该方法发布（用户）添加/删除程序可自行卸载各部门软件指派（用户）开始菜单程序不可以卸载Office指派（计算机）系统默认路径不可以卸载杀毒软件由于没有那么多的软件资源，这里选择分别用三种方式来安装Office软件。3.5.1 用户发布用户发布方式，用户有选择的权利，如果用户需要安装，可以到“添加/删除程序”里的安装新的软件里面去进行添加并安装即可，如果用户不想用了，也可以自行卸载，下面将逐步介绍它在域控制器上的操作步骤：1. 创建一个发布点1） 这里在E盘下创建一个共享文件夹“Office2003”；2） 设置共享权限Users组为最大，设置安全权限为默认即可；3） 将要安装的Office软件放入该共享文件夹；2. 打开“AD用户和计算机”控制台，右击“”点击属性；3. 选择“组策略”选项栏，选中默认的组策略对象链接，单击编辑；4. 来到“组策略编辑器”控制台，右键点击用户配置下方的软件设置下的软件安装，点击“新建安装包”；5. 文件名的地方输入FQDN加文件所在路径，类型默认为.msi，如图：；6. 单击“打开”，选择“已发布”，点确定，如图示：；7. 完成软件的发布；8. 用客户机登录域，在cmd下输入：gpupdate /fore，刷新组策略，注销系统，重新登入域，在“添加/删除”的添加新程序里可以看到，软件已分发下来，如下图，由用户选择自行安装与否。3.5.2 用户指派用户指派安装和用户分发的步骤，基本一致，只是要注意两个不同点：1. 在部署软件的时候选择用户指派，如图：2. 在派发完毕时，程序在客户端的显示路径是在开始菜单的程序里面，如图： 3.5.3 计算机指派计算机指派，软件会在客户机下次重新启动机器的时候，自动安装软件，并且用户不可以自行卸载，它的操作步骤同用户发布和指派大致相同，这里简述下不同的地方：1. 在“组策略编辑器”的控制台里，右键点击计算机配置下的软件设置下的软件安装-新建-程序包如图示：2. 输入发布点UNC路径后，点确定，如图，选择“已指派”即可；3. 客户端重启系统后，会自行安装软件，如图：3.6 子域的部署这里假设分支机构使用自己的DNS服务器，且DNS服务器已搭建好，我在在些基础上部署子域，在安装子域前，需要注意先将主域及子域的DNS配置好。3.6.1 DNS的配置1. 子域上的配置1） 点击开始-程序-管理工具-DNS，打开DNS服务控制台；2） 右键””-属性，选择“起始授权机构（SOA）”选项栏，在主服务器下方输入子域的FQDN，这里输入；3） 选择“名称服务器”选项栏，选中名称服务器，点击编辑，在服务器完全合格的域名下方输入：，IP地址输入子域的IP：26，点击添加，然后点击确定，再次点击确定；4） 在DNS控制台下方，右键点击DNS服务器，选择属性；5） 选择“转发器”选项栏，输入主域DNS的IP地址：192.168。18.122，点击确定；2. 主域上的配置1） 点击开始-程序-管理工具-DNS，打开DNS服务控制台；2） 右键“”-新建委派；来到“新建委派”向导，单击下一步；3） 委派的域，这里输入：sh，单击下一步；4） 名称服务器，单击添加；5） 名称服务器，这里输入子域的FQDN：，IP输入子域的IP：26，单击添加，然后点击确定，点击下一步，单击确定。6） 测试解析3.6.2 子域的安装1. 在分支服务器上，点击开始-运行，输入dcpromo回车；2. 调出AD安装向导，单击下一步；3. 操作系统兼容性说明，点击下一步；4. 域控制器类型，这里选择“新域的域控制器”，单击下一步；5. 创建一个新域，这里选择“在现有域树中的子域”，如图，单击下一步；6. 网络凭据，这里输入主帐户管理员帐户及域名，如图，点击下一步；7. 子域安装，这里输入父域名：，子域，sh，如图，单击下一步；8. 提示NetBIOS域名为：SH，单击下一步；9. 数据库和日志文件文件夹，存放位置，这里选择默认即可，单击下一步；10. 共享的系统卷，文件夹位置，这里默认即可，单击下一步；11. DNS注册诊断，如图，诊断成功，单击下一步；12. 权限，这里选择“只与Windows 2000或Windows Server2003操作系统兼容的权限”，如图，单击下一步；13. 输入目录服务还原模式的管理员密码，如图，单击下一步；14. 摘要，显示配置信息，确认无误，单击下一步；15. 安装开始，如图：16. 安装完毕，重启计算机。3.6.3 子域帐号在父域客户端登录1. 在子域中新建OU、组及用户2. 由于创建各部门OU、组及用户的步骤都相同，这里以创建分支市场部的OU、组，及市场部用户“李明”为例作详细介绍，其它部门不做重述。1） 点击开始-程序-管理工具-AD用户和计算机管理，打开“AD用户和计算机管理”控制台；2） 右键“”-新建-组织单位，输入组织单位名称，这里输入“市场部-sh”，单击确定；3） 右键“市场部-sh”-新建-组，输入组名，选择建