项目3 管理活动目录与用户.ppt

1、,3.1 相关知识,项目3 管理活动目录与用户,3.1.1 活动目录 3.1.2 域和域控制器(DC) 3.1.3 域目录树 3.1.4 域目录林 3.1.5 全局编录,3.3.1 任务1 创建与配置活动目录 3.3.2 任务2 备份与恢复活动目录 3.3.3 任务3 管理活动目录 3.3.4 任务4 管理域用户和计算机账户 3.3.5 任务5 管理域中的组账户,3.4 习题,3.3 项目实施,3.2 项目设计及准备,3.2.1 项目设计 3.2.2 项目准备,某公司组建的单位内部的办公网络，原来是基于工作组方式的，近期由于公司业务发展，人员激增，基于网络的安全管理需要，考虑将基于工作组的网络

2、升级为基于域的网络，现在需要将一台或多台计算机升级为域控制器，并将其它所有计算机加入到域成为成员服务器。同时对原来的本地用户账户和组也升级为域用户和组进行管理。,项目描述,项目3 管理活动目录与用户,掌握规划和安装局域网中的活动目录； 掌握在Windows 2003 Server中创建和管理域用户及组； 掌握在Windows 2003 Server中添加和管理各种域服务器。 掌握将局域网中的计算机加入到在Windows 2003 Server的域服务器中。,项目目标,项目3 管理活动目录与用户,3.1 相关知识,域与活动目录的概念,活动目录的创建与配置,活动目录的备份与恢复,管理组织单元,管理

3、信任关系,管理复制,项目3 管理活动目录与用户,活动目录是Windows网络中的目录服务,有两方面内容：目录和与目录相关的服务。 活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问。既提高了管理效率，又使网络应用更加方便。,3.1 相关知识,3.1.1活动目录,域是在Windows NT/2000/2003网络环境中组建客户机/服务器网络的实现方式。所谓域，是由网络管理员定义的一组计算机集合，实际上就是一个网络。在这个网络中，至少有一台称为域控制器的计算机,充当服务器角色。,3.1 相关知识,3.1.2 域和域控制器（DC）,3.1 相关知识,3.1.3 域

4、目录树,当需要配置一个包含多个域的网络时，应该将网络配置成域目录树结构。域目录树是一种树型结构。,活动目录的域名仍然采用DNS域名的命名规则进行命名。,在整个域目录树中，所有域共享同一个活动目录，即整个域目录树中只有一个活动目录。,如果网络的规模比前面提到的域目录树还要大，甚至包含了多个域目录树，这时可以将网络配置为域目录林（也称森林）结构。,3.1 相关知识,3.1.4 域目录林,为了让每一用户能够快速查找到另一个域内的对象，微软设计了全局编录（Global Catalog，GC）。全局编录包含了整个活动目录中每一个对象的最重要属性（即部分属性，而不是全部），这使得用户或者应用程序即使不知道

5、对象位于哪个域内，也可以迅速找到被访问的对象。,3.1 相关知识,3.1.5 全局编录,3.2 项目设计 及准备,项目设计,项目准备,项目3 管理活动目录与用户,3.2 项目设计及准备,3.2.1 项目设计,域林有两个域树：和，其中域树下有子域，在域中有两个域控制器win2003-1与win2003-2；在域中除了有一个域控制器win2003-3外，还有一个成员服务器win2003-5。,3.2 项目设计及准备,3.2.1 项目设计,网络规划拓扑图,3.2 项目设计及准备,3.2.2 项目准备,为了搭建上图的网络环境，需要如下设备： 安装Windows Server 2003的PC计算机5台；

6、 Windows XP计算机1台； Windows Server 2003安装光盘。 或者在虚拟机中实现,3.3 项目实施,创建与配置活动目录,备份与恢复活动目录,管理活动目录,管理域和计算机账户,管理域中的组账户,项目3 管理活动目录与用户,3.3.1 任务1 创建与配置活动目录,（1）首先确认“本地连接”属性TCP/IP 中首选 DNS 指向了自己(192.168.22.98)。,（2）在服务器上安装活动目录。,（3）选择“新域的域控制器。,（4）在“创建一个新域”窗口中，选择“在新林中的域”。,（5）在计算机上安装并配置DNS。,1创建第一个域,3.3.1 任务1 创建与配置活动目录,1

7、创建第一个域,（6）在新的域名页面中，输入新域的完整域名（FQDN）。 （7）在“NetBIOS域名”窗口中确认NetBIOS名。,（8）改变活动目录数据库以及日志存放的路径。,（9）在“权限”窗口中，选择一个权限选项。,(10)在“目录服务还原模式的管理员密码”窗口中，设置一个密码。 (11)最后，系统显示安装摘要。,3.3.1 任务1 创建与配置活动目录,2安装后检查,活动目录安装完成后，可以从各个方面进行验证。 1.查看计算机名,2.查看管理工具,3.查看活动目录对象,4.查看Active Directory 数据库,5.查看DNS记录,3.3.1 任务1 创建与配置活动目录,3安装额外

8、的域控制器,（1）首先要在 服务器上检查“本地连接”属性，确认能否正常通信。,（2）运行“Active Directory”安装向导。 （3）将该计算机设置为现有域的额外域控制器。,（4）输入拥有将该计算机升级为域控制器权力的用户名和密码。,（5）安装向导从原有的域控制器上开始复制活动目录。,3.3.1 任务1 创建与配置活动目录,4创建子域,（1）在要升级为域控制器的独立服务器上，设置“本地连接”属性。,（2）运行活动目录安装向导。,（3）选择“新域的域控制器”单选按钮，单击“下一步”按钮；选择“在现有域树中的子域”单选按钮，单击“下一步”按钮。,（4）输入父域的域名以及管理员的账户、密码等

9、。,（5）接着输入子域的NetBIOS名。 （6）重新启动计算机，用管理员登录到域中。,3.3.1 任务1 创建与配置活动目录,5创建域林中的第二棵域树,1. 创建DNS域,（1）展开DNS管理窗口左部的列表，右击“正向查找区域”，选择“新建区域”命令。 （2）在“欢迎使用新建区域向导”界面中单击“下一步”；在“区域类型” 中选择“主要区域” 。 （3）选择如何复制DNS区域数据。,（4）输入DNS区域名称，选择“只允许安全的动态更新”或者“允许非安全和安全动态更新”单选按钮。,（5）单击“完成”按钮。,3.3.1 任务1 创建与配置活动目录,5创建域林中的第二棵域树,2. 安装域树的域控制器

10、,（1）确认服务器上“本地连接”属性中的TCP/IP的首选DNS指向。,（2）运行活动目录安装向导。 （3）选择“新域的域控制器” ，下一步选择“在现有的林中的域树” 。,（4）输入已有域树的根域的域名和管理员的账户、密码。 （5）接着输入新域的NetBIOS名,按照原步骤继续设置，直到完成。,3.3.1 任务1 创建与配置活动目录,6.成员服务器和独立服务器,1域控制器降级为成员服务器。 具体步骤： 1）删除活动目录注意要点,2）删除活动目录,2独立服务器提升为成员服务器,3成员服务器降级为独立服务器,3.3.2 任务2 备份与恢复活动目录,1. 活动目录的备份,（1）Windows备份,（

11、2）命令行备份,在“开始”“程序”“附件”“系统工具”“备份”内进行备份 。,ntbackup backup systemstate /J “Backup Job 1” /F “D:backup.bkf” 备份过程与Windows状态下备份活动目录一样,3.3.2 任务2 备份与恢复活动目录,2. 活动目录的恢复,活动目录的恢复应用在下面的三种情况： （1）网络中只有一台域控制器，在重新安装系统后，必须 恢复活动目录。 （2）如果服务器发生故障，借助于备份文件恢复。 （3）利用备份的数据，快速安装新的额外的域外控制器。,3.3.3 任务3 管理活动目录,1在活动目录中使用OU,OU是组织单元，

12、在活动目录（ Active Directory，AD）中扮演特殊的角色，它是一个当普通边界不能满足要求时创建的边界。 OU 把域中的对象组织成逻辑管理组,而不是安全组或代表地理实体的组。OU是可以应用组策略和委派责任的最小单位。,3.3.3 任务3 管理活动目录,1在活动目录中使用OU,组织单元,组织单元是包含在活动目录中的容器对象。创建组织单元的目的是对活动目录对象进行分类。,创建组织单元有如下好处： （1）可以分类组织对象，使所有对象结构更清晰。 （2）可以对某些对象配置组策略，实现对这些对象的管理和控制。 （3）可以委派管理控制权，如管理员可以给不同部门的网络主管授权,让他们管理本部门的

13、账号。,3.3.3 任务3 管理活动目录,谨慎添加OU：只在必要的时候才添加OU，不要建太多的OU,建议不要为个别用户创建OU。 保持层次简单：不要一开始就创建多层OU，也不要使OU的层次太深。 OU与组的区别：真正的差别在于安全模型-组策略与权限。如果一组用户或计算机需要对任务应用限制，考虑创建一个OU，如果一组用户或计算机需要文件夹的特定权限，考虑创建一个组。,使用OU注意要点,1在活动目录中使用OU,3.3.3 任务3 管理活动目录,在左窗格中右击该OU的父对象。如果是第一个OU，域将是父对象。 从快捷菜单中选择“新建”“组织单位” ，打开“新建对象-组织单位”对话框。 为新OU输入名称

14、。 单击“确定”按钮完成OU创建。,创建OU步骤,1在活动目录中使用OU,3.3.3 任务3 管理活动目录,2委派OU的管理,（1）在左窗格中右击OU对象，并从快捷菜单中选择“委派控制”。打开“控制委派向导”，单击“下一步” （2）单击“添加”打开“选择用户、计算机或组” 对话框。使用对话框中的选项选择委派对象的对象类型 和位置。,（3）在接下来的窗口中，选择想要委派的任务。,操作步骤,3.3.3 任务3 管理活动目录,2委派OU的管理,查看OU的安全属性,（1）在“Active Directory用户和计算机”的菜单栏中选择“查看”“高级功能”。,（2）启用了“高级功能”之后，右击某个OU，

15、选择“属性”，就可以看见“安全”选项卡了。,3.3.3 任务3 管理活动目录,3创建活动目录域的信任关系,1信任关系 信任关系是网络中不同域之间的一种内在联系。,2域林中的信任 子域和父域的双向、可传递的信任关系是在安装域控制器时就自动建立的，同时由于域林中的信任关系是可传递的，因此同一域林中的所有域都显式或者隐式地相互信任。,3创建新的信任关系,3.3.3 任务3 管理活动目录,4活动目录站点复制服务,活动目录站点复制服务，就是将同一Active Directory站点的数据内容，保存在网络中不同的位置，以便于所有用户的快速调用，同时还可以起到备份的目的。,1站点间的复制,2站点内的复制,3

16、管理复制,3.3.4 任务4 管理域用户和计算机账户,1. 域用户账户,域用户帐户提供了比本地用户帐户更多的属性，例如登录时间和登录到哪台计算机的限制等。方法很简单，在“用户属性”对话框中单击相应的选项卡进行修改即可。,3.3.4 任务4 管理域用户和计算机账户,2. 计算机账户,在域中，每台运行Windows 2000/XP的计算机都拥有一个计算机账户。在向域中添加新的计算机时，必须在“Active Directory用户和计算机”中创建一个新的计算机账户。计算机账户创建后，每个使用该计算机的用户都可以使用该账户登录。用户可以根据系统管理员赋予该计算机账户的权限访问网络。,（1）添加计算机账

17、户,（2）修改用户属性,3.3.5 任务5 管理域中的组账户,用户和组都可以在Active Directory中添加，而且必须以AD中Account Operators组、Domain Admins组或Enterprise Admins组的成员的方式登录Windows，或者必须有管理该活动目录的权限。除可以添加用户和组外，还可以添加联系人、打印机及共享文件夹等。,1. 创建组,3.3.5 任务5 管理域中的组账户,2. 常用的内置组,Domain Admins：该组的成员具有对该域的完全控制权。 Domain Computers：该组包含加入到此域的所有工作站 和服务器。 Domain Con

18、trollers：该组包含此域中的所有域控制器。 Domain Guests：该组包含所有域来宾。 Domain Users：该组包含所有域用户，即域中创建的所有用户账户都是该组成员。 Enterprise Admins：该组只出现在林根域中。 Group Policy Creator Owners：该组的成员可修改此域中的组策略。 Schema Admins：该组只出现在林根域中。,3.3.5 任务5 管理域中的组账户,3. 为组指定成员,用户组创建完成后，还需要向该组中添加组成员。组成员可以包括用户账户、联系人、其他组和计算机。例如，可以将一台计算机加入某组，使该计算机有权访问另一台计算机

19、上的共享资源。,3.3.5 任务5 管理域中的组账户,4. 将用户添加至组,5. 查看用户组,新建一个用户之后，可以将该用户添加至某个或某几个组。,在“Active Directory用户和计算机”控制台窗口中，展开左侧的控制台目录树，选择“users”选项，在右侧窗口中可以查看到用户组。,项目3 管理活动目录与用户,本项目通过案例主要介绍： 域与活动目录的概念 活动目录的创建与配置 活动目录的备份与恢复 管理组织单元 管理信任关系 管理复制 管理域中的组账户,项目小结,3.4习题,一、填空题,通过Windows Server 2003系统组建客户机/服务器模式的网络时，应该将网络配置为 。活动目录存放在 中。 2. 在Windows Server 2003系统中安装活动目录的命令是 。 3. 在Windows Server 2003系统中安装了 后，计算机即成为一台域控制器。 4. 同一个域中的域控制器的地位是 。域树中子域和父域的信任关系是 。独立服务器上安装了_就升级为域控制器。