Win Server 2003域的安装与管理.ppt

1、主讲：匡芳君,服务器搭建与管理 Windows Server 2003,课题内容： Win Server 2003域的安装与管理 教学目的： 掌握Windows Server 2003 中域控制器的安装方法。 掌握Windows Server 2003 中域控制器的删除方法。 教学方法：演示法、练习法 重 难 点：域控制器的安装与删除。 能力培养：培养安装和删除域控制器及域的使用能力。 课堂类型：讲授课 教 具：投影仪、多媒体设备,局域网中两种常见的组织方式,一、工作组模式,在工作组模式的网络中，各计算机是独立的，各计算机中的账户和资源也是各自进行管理的。 如果一个人想要访问不同的计算机，就需

2、要在每台计算机中建立账户。访问时，也需要分别登录。,二、域模式,在域模式的网络中，可以把各计算机组织起来，各计算机中的账户和资源也可以组织起来进行集中管理。 当一个域用户要访问域中不同的计算机，他只需登录一次就可以访问域中的各台计算机中的共享资源。,某公司组建的单位内部的办公网络，原来是基于工作组方式的，近期由于公司业务发展，人员激增，基于网络的安全管理需要，考虑将基于工作组的网络升级为基于域的网络，现在需要将一台或多台计算机升级为域控制器，并将其它所有计算机加入到域成为成员服务器。同时对原来的本地用户账户和组也升级为域用户和组进行管理。,项目描述,掌握规划和安装局域网中的活动目录； 掌握在W

3、indows 2003 Server中创建管理域用户及组； 掌握在Windows 2003 Server中添加和管理各种域服务器。 掌握将局域网中的计算机加入到在Windows 2003 Server的域服务器中。,项目目标,域网络的结构,一、域控制器 在域结构的网络中，需要一个对账户和资源进行统一管理的机制，这个机制就是活动目录（Active Directory）。 域中所有的账户和共享资源都需要在活动目录中进行登记。用户可以利用活动目录查找和使用这些资源。 安装有活动目录的计算机称为域控制器。,二、域名 每个域都有一个域名，用于标识一个域。域名通常采用层次结构命名。如：jsj.local,

4、三、成员计算机 域建立后，只有那些加入到域中的计算机才能用来访问域中的资源，这些计算机是成员计算机。 成员计算机的计算机全名：计算机名.域名 如：一台计算机名字为A，当它加入 jsj.local 域后，它的全名变为 A.jsj.local。,四、DNS服务器 在网络中访问计算机时使用的地址是IP地址。当我们用计算机名访问成员计算机时，需要先通过DNS服务器把计算机名转换为IP地址再访问。,人员B在网上邻居中找到了域中的计算机A，双击计算机A的图标提出访问请求。 DNS服务器将计算机A的名字解析为IP地址，并将IP地址回送给人员B。 人员B利用IP地址访问计算机A。,五、域的其它组成部分 DHC

5、P服务器：用于为域中的各成员计算机分配IP地址等配置信息。如果域中的计算机都采用手工配置IP地址，则可以不需要DHCP服务器。 域用户帐户：用于域使用者的身份验证，只有拥有了域用户帐户的人员才能登录到域。 域共享资源：可被域用户共享的资源。,单域网络的构建,第一步：安装域控制器,一个域可以有一个或多个域控制器，各域控制器是平等的，管理员可以在任一台域控制器上更新域中的信息，更新的信息会自动传递到网络中的其它域控制器中。 设置多个域控制器可以提高域的安全性。,域控制器、DNS服务器、DHCP服务器可以安装在不同计算机中，不过，在多数情况下，它们都安装在同一台计算机中。,安装域控制器就是安装 Ac

6、tive Directory 的过程。安装了 Active Directory 的计算机就成为域控制器。,安装过程：,准备工作： 选择一台准备作为域控制器的计算机。 它必须有一个NTFS分区。 如果它已经存在DNS服务器或DHCP服务器，应该将它们卸载。 检查该机IP设置：如果将来DNS和DHCP服务器都要装在该计算机中，应该设置一个固定的IP地址，DNS服务器地址也应该设置为本机IP地址。,方法一： 运行dcpromo命令。 方法二：单击“开始 | 管理工具 | 配置您的服务器向导”。,在服务器角色中选择“域控制器”，单击“下一步”，启动 Active Directory 安装向导。,选择“

7、域控制器类型”：若选择“新域的域控制器”则表示创建一个新域；若选择“现有域的额外域控制器”则表示在现有域中增加域控制器。,选择“域的类型”：若选择“在新林中的域”表示建立一个独立的域。,指定域名：输入新域的域名。域名必须符合DNS域名规则，输入后，系统会花一些时间在网络中检查该域名。 由于域名建立后很难更改，所以最好一次确定域名，避免更改。,指定NetBIOS名：默认为DNS域名的前半段，一般不需修改。,设置数据库和日志文件文件夹位置：如果条件许可，这两个文件夹最好放在两块不同的硬盘中。,设置“共享的系统卷”的位置：这个文件夹必须设置在NTFS分区内。,选择或安装DNS服务器：可以在本机上安装

8、DNS服务器，也可以选择自己安装DNS服务器。,权限设置：如果网络中有旧版本的域控制器，要选择与其对应的兼容性权限。,设置还原模式下的管理员密码：还原模式是域控制器的安全模式，可用于修复活动目录数据库。,参数设置完成，单击“下一步”开始安装活动目录，这期间需要插入 Windows Server 2003 安装盘。安装时间需要几分钟。,安装完成后，要求重新启动计算机。,重启之后，域控制器安装完成。,安装了第一个域控制器后意味着域已经建立。其后还需进行以下工作： 安装额外的域控制器：可根据需要安装。 将计算机加入域：这些计算机成为该域的成员计算机。 创建域用户帐户，并把它们分配给特定人员：这些人成

9、为域用户。 向域中添加共享资源：这些资源可以供域用户共享。,删除域控制器,如果域中有多个域控制器，删除了一个域控制器，该计算机就降格为成员计算机。 如果删除了域中所有域控制器，则该域也被删除。,删除方法：与安装方法一样。 方法一： 运行dcpromo命令。 方法二：单击“开始 | 管理工具 | 配置您的服务器向导”。 在服务器角色中选择“域控制器”，单击“下一步”，启动 Active Directory 安装向导。 按照提示完成操作就删除了域控制器。,多域网络,如果一个单位有多个部门，可以在每个部门建立一个域。,多域网络通常有3种结构：,1、彼此独立的域,2、域树结构,3、域林结构,域信任关系

10、,彼此独立的域之间没有信任关系。这种域之间不能互访对方的共享资源。 建立了信任关系的域，经过一定的授权后，用户可以在一个域中访问另一个域中的共享资源。,信任关系有方向性和传递性。,假设域A和域B建立了双向可传递的信任关系，域B和域C建立了双向可传递的信任关系，则域A和域C自动成为双向信任的。,信任类型,1、父子：双向、可传递 用于构建域树结构，父域与子域之间为父子信任关系。,2、树根：双向、可传递 用于构建域林结构，域林中根域之间为树根信任关系。,父子,父子,父子,树根,3、外部、领域、林、快捷 用于建立一些有特殊要求的信任。,多域网络的构建,一、构建多个彼此独立的域,在各个域中分别安装域控制

11、器，在安装每个域的第一台域控制器时应选择：,各域的域名可以分别设置，不需要关联。,二、构建域树,在各个域中分别安装域控制器，但应该先建立父域，再建立子域，在安装子域中第一台域控制器时应选择：,域树中子域的域名必须与父域的域名相关联。,根域A,子域B,子域D,linite.local,sales.linite.local,group.sales.linite.local,三、构建域林,在各个域中分别安装域控制器，在建立新域树的第一台域控制器时应选择：,域林中各根域的域名之间不需要相关联。,根域A,子域B,根域E,linite.local,sales.linite.local,come.cc,说明

12、：域间的信任关系一般是在建立域时创建。如果想要建立一些特殊的信任关系，可以先建立彼此独立的域，然后在域控制器上使用“新建信任向导”设置域间的信任类型。,小结,域控制器,DNS,域名：jsj.local,域(Domain)是一系列计算机、用户和各种资源的集合。 在域模式中，资源是集中进行管理的。用户只要登录一次，就可以访问位于不同计算机上的资源。 每个域中至少有一台域控制器，用于对域中的资源进行登记并管理。,练习题,1、简述一个域网络的构建过程。,第一步：安装一台域控制器(同时安装DNS服务器)，这样域就创建了。 第二步：为域用户创建域用户帐户。只有拥有域用户帐户的人才能登录到域。 第三步：把计

13、算机加入域中。只有通过这些计算机才能登录到域中。 第四步：将计算机中的共享资源加入到域中。,2、构建多域网络时，常用的结构有哪两种？它们使用什么样的信任关系？,常用的结构有域树结构和域林结构。 域树结构通过父子信任关系搭建； 域林结构通过树根信任关系搭建。,3、域账户是在哪台计算机上创建并管理的？使用的控制台是哪个控制台？,域账户是在域控制器上创建并管理的，使用的控制台是“Active Directory 用户和计算机”。,4、在域控制器上，Administrator账户默认隶属于哪些组？,Administrator账户默认隶属于Administrators、Domain Admins和Ent

14、erprise Admins组。,5、新建的域用户账户自动加入哪个组？,新建的域用户账户自动加入Domain Users组。,6、如果你拥有了一个域用户账户，你可以在哪种计算机上登录到域？ A.域控制器 B.已加入域的成员计算机 C.自己家里的计算机 D.网络中的任一台计算机,选B。,域结构网络的创建 预习,实验内容： 1、创建完全独立的域 2、创建有多个域控制器的域 3、创建具有父子信任关系的域树 4、创建具有树根信任关系的域林 基本要求： 1、如何安装和卸载域控制器？ 2、如何在域中安装额外的域控制器？ 3、如何安装子域的域控制器？ 4、如何在现有域林中创建新域树？,任务2 备份与恢复活动

15、目录,1. 活动目录的备份,（1）Windows备份,（2）命令行备份,在“开始”“程序”“附件”“系统工具”“备份”内进行备份 。,ntbackup backup systemstate /J “Backup Job 1” /F “D:backup.bkf” 备份过程与Windows状态下备份活动目录一样,任务2 备份与恢复活动目录,2. 活动目录的恢复,活动目录的恢复应用在下面的三种情况： （1）网络中只有一台域控制器，在重新安装系统后，必须 恢复活动目录。 （2）如果服务器发生故障，借助于备份文件恢复。 （3）利用备份的数据，快速安装新的额外的域外控制器。,任务3 管理活动目录,1在活动

16、目录中使用OU,OU是组织单元，在活动目录（ Active Directory，AD）中扮演特殊的角色，它是一个当普通边界不能满足要求时创建的边界。 OU 把域中的对象组织成逻辑管理组,而不是安全组或代表地理实体的组。OU是可以应用组策略和委派责任的最小单位。,任务3 管理活动目录,1在活动目录中使用OU,组织单元,组织单元是包含在活动目录中的容器对象。创建组织单元的目的是对活动目录对象进行分类。,创建组织单元有如下好处： （1）可以分类组织对象，使所有对象结构更清晰。 （2）可以对某些对象配置组策略，实现对这些对象的管理和控制。 （3）可以委派管理控制权，如管理员可以给不同部门的网络主管授权

17、,让他们管理本部门的账号。,任务3 管理活动目录,谨慎添加OU：只在必要的时候才添加OU，不要建太多的OU,建议不要为个别用户创建OU。 保持层次简单：不要一开始就创建多层OU，也不要使OU的层次太深。 OU与组的区别：真正的差别在于安全模型-组策略与权限。如果一组用户或计算机需要。,使用OU注意要点,1在活动目录中使用OU,任务3 管理活动目录,2委派OU的管理,（1）在左窗格中右击OU对象，并从快捷菜单中选择“委派控制”。打开“控制委派向导”，单击“下一步” （2）单击“添加”打开“选择用户、计算机或组” 对话框。使用对话框中的选项选择委派对象的对象类型 和位置。,（3）在接下来的窗口中，选择想要委派的任务。,操作步骤,任务3 管理活动目录,2委派OU的管理,查看OU的安全属性,（1）在“Active Directory用户和计算机”的菜单栏中选择“查看”“高级功能”。,（2）启用了“高级功能”之后，右击某个OU，选择“属性”，就可以看见“安全”选项卡了。,任务3 管理活动目录,3创建活动目