windows域配置及管理

1、2011年6月,windows域配置及管理,域,dns的作用,域的概念,将计算机加入域,dc的条件,创建域,域用户帐户,安装ad,组,安全组/通讯组,本地域组/全局组/通用组,用户配置文件,用户主文件夹,创建域帐户,域帐户属性,ou,ou的委派功能,ou概念,域的基本概念,活动目录 活动目录（active directory）是windows server 2003平台提供的目录服务，在中央数据库中存放信息，使用户在网络上只拥有一个用户账号。 活动目录是一个全面的目录服务管理方案，也是一个企业级的目录服务，具有很好的可伸缩性。活动目录采用了internet的标准协议，它与操作系统紧密地集成在一

2、起。 活动目录可以管理诸如计算机对象、用户账户、打印机之类的网络资源。,域的基本概念,活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器 目录服务是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问,（4）具有很强的可伸缩性 活动目录可包含在一个或多个域，每个域具有一个或多个域控制器，以便调整目录的规模以满足任何网络的需要 （5） 智能的信息复制能力 信息复制为目录提供了信息可用性、容错、负载平衡和性能优势，活动目录使用多主机复制，允许在任何域控制器上而不是单个主域控制器上同步更新目录,（

3、6）与dns集成紧密 活动目录使用域名系统（dns）来为服务器目录命名 （7）与其他目录服务具有互操性 ldap是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议，所以可使用ldap开发程序，与同时支持ldap的其他目录服务共享活动目录信息。 （8）具有灵活的查询 任何用户可使用【开始】菜单、【网上邻居】或【活动目录用户和计算机】上的【搜索】命令，通过对象属性快速查找网络上的对象。,域是基本管理单位 域中可包含大量对象 计算机 用户 打印机 共享文件夹 域是活动目录的组成部分,windows server 2003 域概述,域及目录服务概述,活动目录是一个数据库 活动

4、目录是一个目录服务 可以定制活动目录 简化的管理 可扩展性 便捷的网络资源访问,域、域树、域森林,根域下面可以建立多层子域 域和子域构建成域树 多棵域树构建成森林 域之间自动建立双向信任关系,t,b,x,t,b,ou-组织单位,ou是活动目录中的一种对象 ou中可以建立子对象 利用ou可以模拟管理模型,域控制器,域控制器是存储活动目录数据库的计算机 一个域最少一台域控制器 多台域控制器需要同步数据库 域控制器存储着目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。,站点,每个地理位置中的若干台域控制器可以划分为一个站点 站点内部优先同步活动目录数据库，同步后再和其他站点中的

5、域控制器同步,活动目录安装与卸载,安装者必须具有本地管理权限 操作系统必须满足条件（windows server 2003 web版除外都满足） 本地磁盘至少有一个分区是ntfs文件系统 系统盘应该有最少300mb的剩余空间。 安装tcp/ip协议和相应的dns服务器支持。 有相应的dns服务器支持,活动目录安装与卸载,启动安装向导 使用管理您的服务器向导 使用命令dcpromo,安装活动目录,主要步骤 是否创建新域 新域的dns全名 新域的netbios名 数据库和日志文件文件夹 共享的系统卷 dns注册诊断 域兼容性 还原模式密码,dns在域中的作用,dns在域中有两个作用 域名的命名采用

6、dns标准 办公网络与internet集成 定位dc 1）客户机发送dns查询请求给dns服务器 2）dns服务器查询匹配的srv资源记录 3）dns服务器返回相关dc的ip地址列表给客户机 4）客户机联系到dc 5）dc响应客户机的请求 域的dns区域维护 srv资源记录可以定位dc,活动目录安装与卸载,安装活动目录后操作系统的变化 （1）查看域控制器的计算机名 安装活动目录后dc（domain controller，即域控制器）的计算机名会发后变化，在dc上右键单击【我的电脑】，选择【属性】，在弹出的【系统属性】对话框中选择【计算机名】标签，可以查看当前域控制器的计算机名,查看管理工具 在

7、dc上依次打开【开始】【程序】【管理工具】，可以看到新增加5个与活动目录相关的工具,与活动目录相关的五个工具,active directory用户和计算机：该工具用于管理域中的用户、组、计算机账号及ou等 active directory域和信任关系：该工具用于管理活动目录域之间的信任关系 active directory站点和服务：该工具用于管理与活动目录复制相关的站点信息 域安全策略：该工具用于创建和管理域的安全策略 域控制器安全策略：该工具用于创建和管理域控制器的安全策略,查看用户和组账号的位置 活动目录安装成功后，计算机上的用户和组账号的位置会发生变化。在dc上打开【计算机管理】控制台

8、，发现已经看不到【本地用户和组】工具。,计算机管理控制台工具,在dc上使用【active directory用户和计算机】工具来管理用户和组账号。在dc上依次打开【开始】【程序】【管理工具】【active directory用户和计算机】，在控制台下打开users容器,【active directory用户和计算机】工具管理用户和组,查看sysvol（系统卷）文件夹 对dc来说sysvol文件夹非常重要，如果sysvol文件夹创建的不正确，那么存储在此文件夹下的组策略、脚本等就不能正确的分发给域中的计算机，也无法在dc之间进行复制。 sysvol文件夹位于%systemroot%下，其中包含以

9、下几个文件夹，如后图所示。,domain（域） staging（分级） staging areas（分级区域） sysvol（系统卷）,验证sysvol文件夹,（5）查看活动目录数据库和日志文件 缺省情况下活动目录数据库和日志文件存放在%systemroot%ntds文件夹下，其中ntds.dit是活动目录数据库文件，还有检查点文件edb.chk、日志文件edb.log和保留日志文件res*.log等。,验证活动目录数据库和日志文件,活动目录域与dns服务是紧密结合的，如果要使一个活动目录域正常工作，必须要有相应的dns区域来支持它，而且还要有服务资源记录（srv记录）。如下图所示为在dns服

10、务器上打开dns控制台查看活动目录域的区域情况。,在dns服务器中查看活动目录域的srv记录,查看dns数据库,查看事件日志 安装活动目录后打开事件查看器可以看到增加了一个日志“目录服务”，在此会记录有关活动目录的信息。,查看事件查看器,五 将计算机加入到域,1、哪些计算机能成为windows server 2003域的成员 下面的操作系统主机可以成为域的成员：,windows nt windows 2000 windows xp windows server 2003,系统属性对话框中“计算机名”标签,把计算机加入到域 为了更好地管理网络中的资源，充分利用活动目录的特点，应该把网络中的客户端

11、计算机加入到域，这样管理员就可以对域中的计算机进行集中的配置和管理,步骤 1、配置客户机的首选dns服务器 2、将计算机加入域,指定该计算机要加入的域的名称,输入有加入该域权限的用户名和密码,加入域成功对话框,ou的创建,可以根据各种因素创建ou,域模式,域模式是用来为了兼容老版本操作系统的域控制器，而限制某些新的功能。,active directory对象类别如下,1、 用户（user）：作为安全主体，被授予安全权限，可登录到域中。 2、计算机（computer）：表示网络中的计算机实体，加入到域的windows nt/2000/xp/2003计算机都可创建相应的计算机账户。 3、联系人（c

12、ontact）：一种个人信息记录。联系人没有任何安全权限，不能登录网络，主要用于通过电子邮件联系的外部用户。 4、组（group）：某些用户、联系人、计算机的分组，用于简化大量对象的管理。 5、 组织单位（organization unit）：将域细分的active directory容器。 6、 打印机（printer）：在active directory中发布的打印机。 7、 共享文件夹（shared folder）：在active directory中发布的共享文件夹。 8、 interorgpersion：标准的用户对象类，对于windows server 2003域功能级别来说，可以

13、作为安全主体。,管理容器,1、 builtin：用来存放默认内置组（如account operators或administrators）对象。 2、computers：包含windows 2000、windows xp和windows server 2003计算机对象。 3、 domain controllers：运行windows 2000或windows server 2003的域控制器的计算机对象。 4、 foreignsecurityprincipals：存储有信任关系的域的对象。 5、 users：包含域内用户账户和组。,域用户和计算机帐户,活动目录用户帐户 用户帐户是用来记录用户的

14、用户名和密码、隶属的组、可以访问的网络资源，以及用户的个人文件和设置。 每个用户都应在域控制器中有一个用户帐户，才能访问服务器，使用网络上的资源,域用户账户,域用户账户的创建,输入用户的基本信息和登录名称 用户密码,用户属性对话框,用户登录名 用户登录名（windows 2000以前版本）在域中必须惟一 最长20字符 登录时间 限制用户登录到域的时间 可以登录的计算机 定义了账户可以登录的计算机列表,配置域用户账户的属性,域用户账户的创建,用户的存放地点,域用户账户的创建,管理域用户和计算机帐户 就活动目录的管理而言，【active directory用户和计算机】是使用最为频繁的工具。该工具

15、可以用来建立、编辑或删除网络中的用户、计算机、组、组织单位、域、域控制器，以及发布网络共享资源,域用户账户的删除和移动,删除用户 移动用户 直接鼠标拖动,配置域用户账户的属性,登录名 登录时间 可以登录的计算机 配置文件/主文件夹,组的实现与管理,组的分类,组的作用域与成员资格,域本地组,全局组,通用组,管理域中的组,创建组 设置组信息 添加组成员 设置组管理者,agdlp域用户a加入到域全局安全组g，然后在“本地用户和计算机”中创建一个本地组dl，把g加入到dl中，最后为dl分配权限。,组的成员和隶属于属性,团队或组,全局组,域本地组,tom, jo, and kim,sam, scott,

16、 and amy,denver admins,denver admins,vancouver admins,denver ou admins,用户配置文件概念 用户的桌面工作环境，包括桌面、开始菜单、我的文档、以及其他指定的设置 一般存储在操作系统所在分区上的documents and settingsusername文件夹里 用户配置文件类型 本地用户配置文件 漫游用户配置文件 强制用户配置文件 临时用户配置文件,实现漫游用户配置文件 1）为漫游用户创建一个测试配置文件 2）准备一个存放漫游用户配置文件的网络存储路径 3）将测试配置文件复制到网络存储路径 4）设置域用户属性的【配置文件】选项

17、卡,用户主文件夹可以用于存放用户的私有文件 配置用户主文件夹后 当域账户在客户机登录后，就会发现在本机多了一个分区(该分区不在本机) 增强了文件存储的安全可靠性,总结,在windows server 2003 网络环境中，域是最重要的核心管理单元，是活动目录的主干。 活动目录由域、子域、域树、域森林、组织单位构成。 每个域最少由一台域控制器组成，可以建立若干个而外的域控制器用力实现容错和提高性能。,总结,安装活动目录需要使用windows 2000 server和windows server 2003（web版除外），并需要管理员权限、dns服务、ntfs文件系统。 可以将各种客户端操作系统和服务器操作系统加入到域，如windows 2000/xp/nt/windows server 2003，windows 98只能登录到域，不能算真正意义上的加入域。,总结,域的模式分别是windows 2000混合模式、windows 2000纯模式和windows server 2003 模式。不同的域模式，会影响到域中新功能的使用。 利用ou组织单位可以根据公司结构、地理位置、部门等建立相对应的逻辑关系。 域用户账户的登录名在域中是惟一的，而显示名在当前容器中必须是惟一的。,总结,每一个域用户账户在有权限的条件下可以在域中的任何一台计算机上登录，并可以访问任何资