windows_2008域管理1-部署活动目录域

1、2016主讲：黄丽芬 项目3 配置与管理活动目录服务项目描述 某公司是一个规模较大IT公司，其员工较多，可共享使用的网络资源也较多，原来这些资源分别由不同的服务器管理，管理较为琐碎，使用也不方便。现此公司欲实现所有帐户、共享资源由服务器集中管理，只要帐户的权限足够，可以用一个帐户在公司的任何一台计算机上登录，查询、使用公司任何的共享资源，既方便又安全。项目任务任务1 认知活动目录 任务2 创建和管理域控制器 任务3 域的应用 2016任务一 认识活动目录理解域的概念理解域的概念会安装域控制器会安装域控制器会管理本地域组和全局组会管理本地域组和全局组会管理会管理OU （组织单位）（组织单位）任务

2、一 实训目标创建创建Windows域域域资源管理域资源管理相关概念相关概念域用户管理域用户管理 域组管理域组管理安装条件安装条件OU的管理的管理DNS的作用的作用安装活动目录安装活动目录部署活动目录域部署活动目录域发布共享文件夹发布共享文件夹域和活动目录的概念域和活动目录的概念活动目录活动目录活动目录是活动目录是Windows网络中的目录服务，即活动目录域服务网络中的目录服务，即活动目录域服务（ADDS）活动目录提供了存储网络对象信息并使网络用户使用这些数据的方活动目录提供了存储网络对象信息并使网络用户使用这些数据的方法，负责目录数据库的保存、新建、删除、修改与查询等服务。法，负责目录数据库的

3、保存、新建、删除、修改与查询等服务。活动目录特点活动目录特点集中管理，用户容易根据目录找到所需数据。集中管理，用户容易根据目录找到所需数据。 便捷的网络资源访问便捷的网络资源访问p用户一次登录就可访问整个网络资源用户一次登录就可访问整个网络资源p网络资源主要包含用户账户、组、共享文件夹、打印机等网络资源主要包含用户账户、组、共享文件夹、打印机等 可扩展性可扩展性改进的性能与可靠性（可智能选择只复制更改过的信息）改进的性能与可靠性（可智能选择只复制更改过的信息）安全性（权限与凭据）安全性（权限与凭据）域和活动目录的概念域和活动目录的概念域域将网络中多台计算机逻辑上组织到一起，进行集中管将网络中多

4、台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域理，这种区别于工作组的逻辑环境叫做域域是组织与存储资源的核心管理单元域是组织与存储资源的核心管理单元域控制器域控制器在域中，至少有一台域控制器在域中，至少有一台域控制器域控制器中保存着整个域的用域控制器中保存着整个域的用户帐号和安全数据库户帐号和安全数据库域和活动目录域和活动目录的概念的概念域目录树域目录树具有连续的域名空间的多个域具有连续的域名空间的多个域 （包含多个域目录树结构）（包含多个域目录树结构）域目录林域目录林林由一个或多个域树组成林由一个或多个域树组成 组成域目录林的两个域目录树的树根之间会自动创建相互的、可

5、传递的信任组成域目录林的两个域目录树的树根之间会自动创建相互的、可传递的信任关系。关系。域和活动目录的概念域和活动目录的概念组织单位组织单位组织单位是包含在活动目录中组织、管理一个域内对组织单位是包含在活动目录中组织、管理一个域内对象的容器。是为对活动目录对象进行分类而创建的。象的容器。是为对活动目录对象进行分类而创建的。它能包容用户账户、用户组、计算机、打印机和其他它能包容用户账户、用户组、计算机、打印机和其他的组织单元（如按公司不同部门创建不同的组织单位）的组织单元（如按公司不同部门创建不同的组织单位）创建组织单位有如下好处：创建组织单位有如下好处：p 可分类组织对象，使所有对象结构更清晰

6、可分类组织对象，使所有对象结构更清晰p 可对某些对象配置组策略，实现对这些对象的管理可对某些对象配置组策略，实现对这些对象的管理和控制和控制 p 可委派管理控制权，给不同部门的网络主管授权，可委派管理控制权，给不同部门的网络主管授权，让他们管理本部门的账号让他们管理本部门的账号2016任务二 创建与管理域控制器安装域控制器的条件安装域控制器的条件安装者必须具有本地管理员权限安装者必须具有本地管理员权限操作系统版本必须满足条件（操作系统版本必须满足条件（Windows Server 2008 除除Web版外都满足）版外都满足）本地磁盘至少有一个分区是本地磁盘至少有一个分区是NTFS文件系统文件系

7、统有有TCP/IP设置（设置（IP地址、子网掩码、网关、地址、子网掩码、网关、DNS等）等）有相应的有相应的DNS服务器支持服务器支持有足够的可用空间有足够的可用空间 安装活动目录安装活动目录推荐步骤推荐步骤设定好设定好IP、子网掩码、网关、子网掩码、网关、DNS与计算机名与计算机名添加添加AD域服务角色域服务角色运行运行dcpromo命令启动安装向导命令启动安装向导p在在新新林中新建域林中新建域p设置域名设置域名pDNS服务器服务器p目录服务还原模式的目录服务还原模式的Administrator密码密码 验证验证AD域服务的安装域服务的安装 P115p 查看计算机属性查看计算机属性p 查看管

8、理工具查看管理工具p 查看活动目录对象查看活动目录对象p 查看查看AD数据库数据库p 查看查看DNS记录记录域功能级别域功能级别域功能级别域功能级别支持的域控制器支持的域控制器Windows 2000纯模式纯模式Windows 2000Window Server 2003Window Server 2008Window Server 2003Window Server 2003Window Server 2008Window Server 2008Window Server 2008删除活动目录删除活动目录将域控制器降级为普通的服务器将域控制器降级为普通的服务器运行运行dcpromo命令命令设

9、置当前域控制器是否为此域的最后一台域控制器设置当前域控制器是否为此域的最后一台域控制器设置降级为普通服务器的管理员账户的密码设置降级为普通服务器的管理员账户的密码 将计算机加入域将计算机加入域配置客户机的配置客户机的IP地址和首选地址和首选DNS将客户机加入域将客户机加入域扩：扩：DNS在域中的作用在域中的作用域名的命名采用域名的命名采用DNS标准标准 客户机定位客户机定位DC1）客户机发送）客户机发送DNS查询请求给查询请求给DNS服务器服务器2）DNS服务器查询匹配的服务器查询匹配的SRV资源记录资源记录3）DNS服务器返回相关服务器返回相关DC的的IP地址列表给客户机地址列表给客户机4）

10、客户机联系到）客户机联系到DC5）DC响应客户机的请求响应客户机的请求域的域的DNS区域维护区域维护SRV资源记录可以定位资源记录可以定位DC安装额外的域控制器（现有林）安装额外的域控制器（现有林） 在域中安装额外的域控制器需要把活动目录从原有的域控制在域中安装额外的域控制器需要把活动目录从原有的域控制器复制到新的服务器上。器复制到新的服务器上。转换服务器角色（转换服务器角色（P119 图图3-29）域控制器降级为成员服务器：在域控制器上把活动目录域控制器降级为成员服务器：在域控制器上把活动目录删除，服务器就降级为成员服务器了。删除，服务器就降级为成员服务器了。注：注：P120（再次（再次运行

11、运行dcpromo）成员服务器降级为独立服务器：将成员服务器降级为独立服务器：将“隶属于隶属于”属性改为某属性改为某个工作组。个工作组。创建子域创建子域 部署配置：在现有林中新建域部署配置：在现有林中新建域验证子域的创建验证子域的创建:Active Directory用户和计算机用户和计算机验证父子信任关系验证父子信任关系2016任务三 管理域中的组账户域用户账户域用户账户用来使用户能够登录到域或其他计算机中，从而获得对网络资源的访问权。当在一个域控制器上创建新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器创建域用户账户创建域用户账户2-1域

12、用户账户存储在活动目录数据库中域用户账户存储在活动目录数据库中创建域用户的方法创建域用户的方法“Active Directory用户和计算机用户和计算机”工具工具 创建域用户账户创建域用户账户2-2显示名显示名组织单位（组织单位（OU）中唯一）中唯一用户登录名用户登录名域中惟一域中惟一最长最长20字符字符密码设置密码设置密码设置注意事项密码设置注意事项密码选项的作用密码选项的作用配置域用户账户属性配置域用户账户属性登录时间登录时间登录到登录到账户过期账户过期 设置用户账号模板当添加多个用户账号时，可以以一个设置好的用户账号作为模板。右击要作为模板的账号，并在弹出的快捷菜单中选择“复制”命令，即

13、可复制该模板账号的所有属性，而不必再一一设置，从而提高账号添加的效率。验证用户账户组的类型组的类型组的类型组的类型说明说明安全组安全组用于设置用户权限，也可用于电子邮件通讯用于设置用户权限，也可用于电子邮件通讯通讯组通讯组只用于电子邮件通讯只用于电子邮件通讯组的作用域组的作用域 v本地域组本地域组v全局组全局组v通用通用组本地域组本地域组使用范围是本域使用范围是本域针对本域的资源创建本地域组针对本域的资源创建本地域组成员：成员：用户账户用户账户本地域组本地域组全局组全局组通用组通用组全局组全局组使用范围是整个林及信任域使用范围是整个林及信任域按逻辑关系创建全局组按逻辑关系创建全局组具有相同管理

14、任务或者访问权限的用户具有相同管理任务或者访问权限的用户 如，按部门创建如，按部门创建可以按可以按AGDLP规则来使用全局组规则来使用全局组通用组通用组使用范围是整个林及信任域使用范围是整个林及信任域全局组和通用组的区别全局组和通用组的区别通用组的成员身份在全局编录中通用组的成员身份在全局编录中 p多域环境下通用组成员登录或者查询速度较快多域环境下通用组成员登录或者查询速度较快全局组的成员身份在每个域中全局组的成员身份在每个域中组织单位（组织单位（OU）的管理）的管理概念概念容器：有效地组织活动目录对象容器：有效地组织活动目录对象委派控制委派控制组策略组策略设计方式设计方式基于部门的基于部门的

15、OU 基于地理位置的基于地理位置的OU 基于对象类型的基于对象类型的OU OU的设计也可以是混合的的设计也可以是混合的创建方法创建方法新建新建组织单位组织单位 OU的委派的委派为什么需要委派为什么需要委派管理员为适当的用户和组指派一定范围的管理任务，管理员为适当的用户和组指派一定范围的管理任务，从而减轻管理员的工作负担从而减轻管理员的工作负担实现方法实现方法打开打开【Active Directory用户和计算机用户和计算机】，右击，右击OU委派控制委派控制添加要委派任务的账户或组添加要委派任务的账户或组选择要委派的任务选择要委派的任务删除委派删除委派要取消委派时可以删除委派任务要取消委派时可以

16、删除委派任务删除方法删除方法发布共享文件夹发布共享文件夹为什么要发布共享文件夹为什么要发布共享文件夹统一管理，方便查找统一管理，方便查找实现思路：实现思路：创建共享文件夹创建共享文件夹创建创建OU右击右击OU新建新建共享文件夹，输入名称和路径共享文件夹，输入名称和路径设置发布文件夹的属性信息设置发布文件夹的属性信息查找共享文件夹查找共享文件夹搜索搜索Active Directory输入搜索条件输入搜索条件总结总结创建创建Windows域域域资源管理域资源管理相关概念相关概念域用户管理域用户管理 域组管理域组管理安装条件安装条件OU的管理的管理DNS的作用的作用安装活动目录安装活动目录部署活动目

17、录域部署活动目录域发布共享文件夹发布共享文件夹实验案例实验案例1：安装活动目录：安装活动目录需求描述：需求描述：ABC公司的网络中约有公司的网络中约有100台计算机。公司需要集中台计算机。公司需要集中管理计算机和用户账户以及其他网络资源，这需要建管理计算机和用户账户以及其他网络资源，这需要建立立Windows 2008域，域名为域，域名为。如何实现？。如何实现？实验案例实验案例1：安装活动目录：安装活动目录实现思路：实现思路：准备两台虚拟机准备两台虚拟机安装活动目录安装活动目录将客户机加入域将客户机加入域 实验案例实验案例1：安装活动目录：安装活动目录学员练习：学员练习：在服务器上安装活动目录在服务器上安装活动目录同时安装同时安装DNS配置客户机的配置客户机的IP与与DNS地址地址将客户机加入域将客户机加入域创建域用户创建域用户使用域用户在客户机上登录使用域用户在客户机上登录 实验案例实验案例2：OU的管理的管理 需求描述：需求描述：ms公司有公司有5个部门：行政部、人事部、工程部、销售个部门：行政部、人事部、工程部、销售部和财务部。网络管理员需要按部门来管理用户账户部和财