WinS网络基础及管理 6

项目四配置活动目录域服务98活动目录域服务的安装与配置2额外域控制器的安装与配置目录CONTENTS991域用户和组的管理34域快照的管理某小型企业，员工规模达到200人，当前拥有丰富的公司资源，迫切需要构建一套高效的员工账号管理体系。为此，公司决定在WindowsServer2022平台上部署活动目录域控制器，实现对员工账号的统一管理。企业网络拓扑的简化版本如图所示，在DC1服务器上部署和设置域控制器，用于基本账号的管理，为避免单点故障风险，还将配置DC2服务器作为备用域控制器，确保主域控制器出现故障时，其能迅速接管工作，保障企业网络的正常运行。在实验环境中，所有设备通过VMwareWorkstation虚拟机进行连接。100101企业网络拓扑的简化版本本项目中DC1担任主域控制器，DC2作为备用域控制器。它们的职责在于存储和管理网络中的用户身份数据，并提供认证和授权服务，以确保企业网络的安全性与稳定性。任务1活动目录域服务的安装与配置102●能描述活动目录的基本概念。●能区分域和林。●能理解林信任和域信任。●能安装和配置主域控制器。103在本任务中，学习在WindowsServer2022平台上安装活动目录域服务，并将服务器晋升为域控制器。104一、活动目录概述活动目录（activedirectory，AD）最初与WindowsServer2000一同发布，并在WindowsServer2008中进行了功能修订。活动目录是一种分层数据库，在活动目录数据库中，可以查询到计算机网络中的各类信息，如用户账户、计算机名称、证书、安全策略等。活动目录的本质就在于其分层数据库特性，使得通过单点登录管理用户账户、计算机及其他网络资源变得更为便捷。105二、域控制器安装活动目录的服务器被称为域控制器（DC），它是用来管理其他客户机的服务器，是整个域的核心，每个域控制器都包含了活动目录数据库。1. AD架构AD架构（ADschema）对存储在目录中所有对象的信息都有相应的定义，每个活动目录林都有自己相应的架构。1062. AD架构主机或AD操作主机角色在活动目录中，所有域控制器均采用对等的多主机复制模型。为协调特定操作，设立了灵活单主操作（FSMO）角色，其中“PDC模拟器”角色最为常用。活动目录中的所有域控制器都包含可写的目录数据库副本，均能验证用户身份和处理目录更新等操作。如果承担“PDC模拟器”角色的域控制器故障，管理员可将此角色转移到另一台正常的域控制器上。域控制器之间通过自动的多主复制来同步数据更新，其延迟极小，通常不会造成数据丢失。角色转移后，原域控制器仍是普通的域控制器。1073. 全局目录活动目录是一种分布式存储数据库，在多域名AD域服务林中，各个域内的每个对象均能被全局编录（globalcatalog，GC）检索并呈现相应的简称。存储在域控制器上的全局编录又称作全局编目服务器，全局编录采用多主机复制模式以实现多用户访问，搜索结果无需涉及其他域控制器，因此其搜索速度较快。1084. 活动目录对DNS系统的依赖性活动目录对DNS系统有很强的依赖性，因此在没有选好域名前，不要安装活动目录。安装活动目录时的域名不需要独一无二，如果使用的是公有域名，在安装活动目录时可以使用同样的域名，如公有域名是，那么活动目录的域名可以是

或类似的名字。活动目录需要DNS服务器，如果在安装活动目录时没有DNS服务器，可以将安装活动目录的服务器设置为DNS服务器。109三、活动目录树和活动目录林1. 活动目录林活动目录林是活动目录逻辑分层结构的最高层次，活动目录林是一个独立的、完整的目录。活动目录林是一个安全边界，活动目录林管理员对访问存储在林上的信息和对运行林的域控制器有着绝对的控制权限。如图所示，

和

属于两个活动目录林的最高层，它们之间可以建立林信任，后续两个域林的用户可以在林间进行身份验证和访问林内的资源。110111活动目录林结构2. 活动目录树活动目录树由多个有信任关系的域组成，这些域被称为子域，子域都是根域的分支。上图中

和

是

活动目录树的子域，

是

活动目录树的子域。112四、林和根域的功能级别域功能级别是活动目录中的一个关键概念，决定域内可用功能和特性的范围。通过升级域功能级别，域可以获得新的功能和特性，包括改进的安全性、管理工具和性能优化。升级还可以改善与新版本WindowsServer和其他Microsoft产品的兼容性，可简化管理，提升效率。此外，较高的域功能级别支持混合环境，帮助组织在过渡期间维护不同版本操作系统的兼容性和稳定性。113五、目录服务还原模式（DSRM）密码DSRM密码是用于安全地修复或还原域控制器的密码，当域控制器出现问题，例如无法正常启动或需要进行故障排除时，DSRM密码是一个重要的凭据，其只能由域管理员或企业管理员进行管理，它不同于普通用户密码，并且用于特殊情况下的域控制器维护和修复。DSRM密码通常在安装域控制器时进行设置，在需要时用于登录到目录服务还原模式。114任务2额外域控制器的安装与配置115●能区分额外域控制器和只读域控制器。●能在WindowsServer2022系统环境下部署额外域控制器。116在本任务中，将学习在WindowsServer2022平台上安装活动目录域服务，并将服务器提升为额外域控制器。117118一、额外域控制器额外域控制器（additionaldomaincontroller，ADC）又称为备份域控制器（backupdomaincontroller，BDC），是指在WindowsServer网络环境中增设的域控制器，它并非域中的主要域控制器（primarydomaincontroller，PDC）或关键域控制器，而是扮演着域内辅助角色的存在。二、只读域控制器只读域控制器（read-onlydomaincontroller，RODC）是WindowsServer操作系统中的一种特殊域控制器，与传统域控制器不同，RODC主要用于在边缘网络环境和安全性较弱的场所提供分布式认证和目录服务。119RODC提供目录信息的只读访问权限，不支持对目录数据的写入操作，有助于提高数据的安全性。RODC可以部署在分支办公室或远程位置，降低全权域控制器的访问风险。RODC允许配置密码复制策略，只复制部分用户的密码数据，避免存储过多的密码信息，从而增强安全性。此外，RODC在本地缓存目录数据，提升认证和查询的响应速度，并可以配置自己的密码策略以满足局部安全性要求。RODC还支持分离的密钥加密，使用不同的密钥进行身份验证和目录数据复制，从而进一步提高安全性。120任务3域用户和组的管理121●能管理域用户和组，包括创建、修改、删除用户账户和组。●能使用运行命令行工具和图形化工作管理域用户。●能配置域用户将主机加入域。122在本任务中，将学习在域环境中管理用户账户和组，这包括创建新用户、调整现有用户属性等操作，以及新建、修改和将用户添加到用户组等管理任务。123124一、域用户和本地用户域用户和本地用户是Windows操作系统中两种不同的用户类型，主要用于不同的环境管理需求。域用户在域环境中由域控制器进行集中统一管理，其身份认证通过域控制器完成，账户信息存储在域控制器的活动目录数据库中，账户由域管理员统一创建和管理，能够访问域内的网络资源，并且账户信息在域内任意计算机上使用，迁移性较高。相对而言，本地用户在本地计算机环境中进行管理，身份认证在本地计算机上完成，账户信息存储在本地计算机的安全账户管理器（SAM）数据库中，账户由本地计算机管理员创建和管理，访问权限仅限于本地计算机的资源，迁移性较差，账户信息只能在本地计算机上使用。125二、域用户组和工作站用户组域用户组和本地用户组在权限管理中扮演着不同的角色。域用户组作用于整个域范围内，其信息存储在域控制器的活动目录数据库中，由域管理员统一管理，并用于分配对域资源的访问权限，其成员可以是域用户账户或其他域用户组；在大型网络环境中，使用域用户组可以显著简化权限的管理工作。本地用户组仅作用于本地计算机，信息存储在本地计算机的SAM数据库中，由本地计算机管理员管理，并用于分配对本地计算机资源的访问权限，其成员包括本地用户账户和其他本地用户组。域用户组通常通过活动目录用户和计算机工具进行管理，而本地用户组通过本地计算机的管理工具进行管理。126三、域用户组的分类在WindowsServer2022中，域用户组主要分为全局组、本地域组和通用组，每种组类型都有其特定的使用领域和特点。全局组是最常用的域用户组类型，可以包含用户账户和其他域组，成员在整个域范围内被授予访问权限，适用于需要在多台计算机上授权的场景。本地域组仅在创建它的域控制器上有效，主要用于管理对该域控制器本地资源的访问，成员无法获得跨计算机或跨域的访问权限，适用于对特定域控制器进行授权的场景。通用组可以跨多个可信域使用，成员可以被授予不同域内资源的访问权限，适用于需要在多个域或林之间共享资源的场景，但需加强对权限的管理。127任务4域快照的管理128●能描述域快照的作用。●能自定义域快照的备份路径。●能使用ntdsutil创建域快照。●能使用ntdsutil删除域快照。129本任务学习在WindowsServer2022域环境中，使用cmd命令行创建、还原和删除域控制器快照。130131一、活动目录域快照活动目录域快照是一种可用于查询旧Active