項(xiàng)目6-active-directory域服務(wù)的配置與知識(shí)講解

1、項(xiàng)目6-Active-Directory域服務(wù)的配置與管理項(xiàng)目6 Active Directory域服務(wù)的配置與管理域服務(wù)的配置與管理 n6.1 真實(shí)情景導(dǎo)入 n6.2 Active Directory與域與域 n6.3 任務(wù)1-安裝Windows Server 2008域控制器 n6.4 任務(wù)2-Windows Server 2008活動(dòng)目錄的管理 n6.5 回到工作情景n6.6 項(xiàng)目實(shí)訓(xùn)-活動(dòng)目錄的安裝與管理 6.1 真實(shí)情景導(dǎo)入 工作場景Contoso是一家IT公司，隨著該公司規(guī)模的不斷壯大，不僅部門增多，個(gè)人計(jì)算機(jī)和服務(wù)器的數(shù)量也越來越多。作為網(wǎng)管員的小明面對(duì)各種各樣的管理問題，比如因

2、為幾百臺(tái)計(jì)算機(jī)要上千人公用，還要能保證安全，就要給每個(gè)人在每臺(tái)機(jī)器上都設(shè)置用戶名密碼，來了新同事，要在每臺(tái)機(jī)器上給他開新賬號(hào)，他離職了，還要每臺(tái)機(jī)器刪除該賬號(hào)，這無疑是一個(gè)令人瘋狂的工作，但是，小明想到了域控制器和活動(dòng)目錄。假設(shè)該公司的域名是。 引導(dǎo)問題n(1) 如何創(chuàng)建Active Directory？創(chuàng)建時(shí)對(duì)服務(wù)器有什么要求？創(chuàng)建完成后如何管理？n(2) 一臺(tái)Windows客戶機(jī)如何添加到域中？如何使用Active Directory中的資源？n(3) 組織單位是什么？如何創(chuàng)建和管理？n(4) 域用戶賬戶和本地用戶賬戶有何區(qū)別？如何創(chuàng)建和管理域用戶賬戶？n(5) 域組賬戶和本地組賬戶有何區(qū)

3、別？如何創(chuàng)建和管理域組賬戶？ 6.2.1 工作組n1工作組的概念 n2如何加入和退出工作組6.2.2 域域 n1域名例子 n2域（Domain） 是一個(gè)比工作組更嚴(yán)格的單位，但它可以包含若干個(gè)工作組。 n3. 域控制器 在“域”模式下，至少有一臺(tái)計(jì)算機(jī)負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡寫為DC） n4.活動(dòng)目錄 域控制器中包含了由這個(gè)域的賬戶、密碼甚至該域其他計(jì)算機(jī)的軟硬件信息等構(gòu)成的數(shù)據(jù)庫，該數(shù)據(jù)庫也稱為活動(dòng)目錄（Active Directory，簡寫為AD） 6.2.3 域和工作組的區(qū)別域和工作組的區(qū)別

4、 n 工作組可以說是“自由市場”， 有幾個(gè)工作組就有幾個(gè)“自由市場”， 你可以隨時(shí)自由出入而沒什么限制，從網(wǎng)上鄰居最先看到的往往是自己機(jī)器所在的工作組的機(jī)器們。而域是嚴(yán)格控制權(quán)限的“私人會(huì)所”， 沒有正確的域用戶是根本無法登錄到域上的，也就無法訪問域所控制的資源。 6.2.4 域樹和域林域樹和域林 域 域樹 域林 6.2.5 活動(dòng)目錄及其結(jié)構(gòu)活動(dòng)目錄及其結(jié)構(gòu) n活動(dòng)目錄（Active Directory）是Windows Server 2008系統(tǒng)中提供的目錄服務(wù)，用于存儲(chǔ)網(wǎng)絡(luò)上各種對(duì)象的相關(guān)信息，以便于管理員查找和使用。 n目錄是一個(gè)用于存儲(chǔ)用戶感興趣的對(duì)象信息的信息庫。所謂目錄服務(wù)就是結(jié)構(gòu)

5、化的網(wǎng)絡(luò)資源信息庫，如計(jì)算機(jī)、用戶、打印機(jī)、服務(wù)器等。 6.2.6 域中的計(jì)算機(jī)分類域中的計(jì)算機(jī)分類 n（1）域控制器 n（2）成員服務(wù)器 n（3）獨(dú)立服務(wù)器n（4）域中的客戶端 6.3 任務(wù)1-安裝Windows Server 2008域控制器 n6.3.1 建立第一臺(tái)域控制器 n6.3.2 在域中創(chuàng)建新用戶 n6.3.3 客戶機(jī)登錄到域 6.3.1 建立第一臺(tái)域控制器建立第一臺(tái)域控制器 n1域控制器的安裝域控制器的安裝 （1） 在安裝好windows server 2008之后，啟動(dòng)后會(huì)彈出“初始任務(wù)配置窗口”，如圖6.9所示。 圖6.9 初始配置任務(wù) n（2）選擇“自定義此服務(wù)器”中的“

6、添加角色”，彈出“添加角色向?qū)А?，如圖6.10所示，在開始之前首先，要求驗(yàn)證管理員是否具有強(qiáng)密碼，是否已配置靜態(tài)IP地址，是否已安裝最新的安全更新，如果上面的部分沒有完成，再后續(xù)的步驟中會(huì)出現(xiàn)警告信息或者錯(cuò)誤，嚴(yán)重的會(huì)導(dǎo)致域控制器無法安裝。 1域控制器的安裝域控制器的安裝圖6.10添加角色向?qū)?1域控制器的安裝域控制器的安裝n（3）選擇“自定義此服務(wù)器”中的“添加角色”，在“添加角色向?qū)А睂?duì)話框中的左邊選擇“服務(wù)器角色”，右邊選擇“Active Directory域服務(wù)”，如圖6-11所示。 圖6.11 選擇服務(wù)器角色 1域控制器的安裝域控制器的安裝n（4）需要注意的是由于AD在某些版本的wi

7、ndows server 2008上必須有“.NET Framework”功能的支持，所以在這一步后有時(shí)要求安裝“.NET Framework 3.5.1功能”，此時(shí)只需按照向?qū)Ф鄨?zhí)行一步即可。演示用的版本不需安裝。點(diǎn)擊【下一步】即可。 圖6.12 Active Directory域服務(wù) 1域控制器的安裝域控制器的安裝n（5）在“Active Directory域服務(wù)”對(duì)話框中，向?qū)?huì)給出四點(diǎn)注意事項(xiàng)，如圖6.12所示，根據(jù)這些注意事項(xiàng)可以了解到安裝AD前后操作應(yīng)該執(zhí)行的任務(wù)和AD需要的服務(wù)。點(diǎn)擊【下一步】繼續(xù)。點(diǎn)擊【安裝】繼續(xù)，最終達(dá)到如圖6.14安裝結(jié)果。 圖6-14 安裝結(jié)果 1域控制器

8、的安裝域控制器的安裝n6）當(dāng)出現(xiàn)“安裝結(jié)果”對(duì)話框時(shí)，如果沒有錯(cuò)誤，只有如圖6.14所示的沒有開啟更新的警告信息，則可以直接忽略，此時(shí)AD的安裝準(zhǔn)備已經(jīng)完成，但是由于該臺(tái)計(jì)算機(jī)還不能完全正常運(yùn)行DC，所以提示需要啟用AD安裝向?qū)В╠cpromo.exe）來完成安裝安裝結(jié)束，選擇“關(guān)閉該向?qū)Р?dòng)Active Directory域服務(wù)器安裝向?qū)В╠cpromo.exe）”或者直接點(diǎn)下面的【關(guān)閉】按鈕，然后在運(yùn)行對(duì)話框中輸入“dcpromo“，如圖6.15所示。 圖6.15 運(yùn)行dcpromo命令 1域控制器的安裝域控制器的安裝n（7）確定后經(jīng)過系統(tǒng)自動(dòng)檢測，將出現(xiàn)AD安裝向?qū)У臍g迎界面，如圖6.

9、15所示。在該對(duì)話框中可以選擇使用標(biāo)準(zhǔn)或高級(jí)模式來進(jìn)行安裝。對(duì)于高級(jí)模式是提供給有經(jīng)驗(yàn)的用戶，該模式對(duì)安裝過程有更多的控制。此外，還可直接在命令提示符下運(yùn)行帶有/adv開關(guān)的dcpromo命令（dcpromo /adv）來啟動(dòng)高級(jí)向?qū)А＿@里我們暫不選擇高級(jí)模式。直接【下一步】按鈕繼續(xù)安裝，如圖6.16所示和圖6.17所示。 圖6.16 域服務(wù)安裝向?qū)?圖6.17 操作系統(tǒng)兼容性 1域控制器的安裝域控制器的安裝n（8）由于目的是部屬企業(yè)中的第一個(gè)DC，所以在此應(yīng)選擇“在新林中新建域”。因?yàn)?，?chuàng)建新林需要管理員權(quán)限，所以必須是正在其上安裝AD的服務(wù)器本地管理員組的成員。繼續(xù)【下一步】按鈕，如入6.

10、18所示。 圖6.18 選擇部署配置 1域控制器的安裝域控制器的安裝n（9）在“域服務(wù)安裝向?qū)А敝羞x擇“在新林中新建域”，下一步，對(duì)域林的根域進(jìn)行命名，如圖6.19所示。需要在之前對(duì)DNS基礎(chǔ)結(jié)構(gòu)有一個(gè)完整的計(jì)劃。必須了解該林的完整DNS名稱?？梢栽诎惭bAD之前先安裝DNS服務(wù)器服務(wù)，或者在下面安裝過程中直接選擇讓AD安裝向?qū)О惭bDNS服務(wù)器服務(wù)。圖6.19 設(shè)置域名 2.設(shè)置林功能級(jí)別設(shè)置林功能級(jí)別 n（1）建議選擇“windows server 2008”，但此時(shí)只能向該林中添加運(yùn)行Windows Server 2008或更高版本的域控制器。由于選擇2000時(shí)，某些高級(jí)功能在該域控上不可用

11、，如圖6.20所示。 圖6.20 選擇林功能級(jí)別 2.設(shè)置林功能級(jí)別設(shè)置林功能級(jí)別n（2）單擊【下一步】按鈕，安裝DNS服務(wù)器。如圖6.21所示。 圖6.21 為域控制器選擇其他選項(xiàng) 2.設(shè)置林功能級(jí)別設(shè)置林功能級(jí)別n（3）單擊【下一步】按鈕會(huì)彈出如圖6.22的警告對(duì)話框，選擇“是”。這個(gè)對(duì)話框的出現(xiàn)是由于配置其它服務(wù)器時(shí)，選擇了“DNS服務(wù)器”選項(xiàng)，而當(dāng)前計(jì)算機(jī)又未找到指定域的權(quán)威父域Windows DNS服務(wù)器，從而無法確定是否對(duì)指定域進(jìn)行了委派導(dǎo)致的。圖6.22 警告信息 2.設(shè)置林功能級(jí)別設(shè)置林功能級(jí)別n（4）接下來確定AD數(shù)據(jù)庫、日志文件和SYSVOL放置的位置，如圖6.23所示。對(duì)

12、于數(shù)據(jù)庫來講主要存儲(chǔ)有關(guān)用戶、計(jì)算機(jī)和網(wǎng)絡(luò)中其它對(duì)象的信息；日志文件記錄與AD有關(guān)的活動(dòng)；SYSVOL存儲(chǔ)組策略對(duì)象和腳本，其默認(rèn)是位于C:windows目錄中的操作系統(tǒng)文件的一部分。 圖6.23 設(shè)置存儲(chǔ)位置 2.設(shè)置林功能級(jí)別設(shè)置林功能級(jí)別n（5）點(diǎn)擊【下一步】按鈕，向?qū)б筝斎搿澳夸涍€原模式的Administrator密碼。如圖6.24所示。圖6.24 輸入目錄還原模式的Administrator密碼2.設(shè)置林功能級(jí)別設(shè)置林功能級(jí)別n（6）點(diǎn)擊【下一步】按鈕，顯示安裝摘要如圖6.25所示，并且可以單擊“導(dǎo)出設(shè)置”將在此向?qū)е兄付ǖ脑O(shè)置保存到一個(gè)應(yīng)答文件。然后，可以使用應(yīng)答文件自動(dòng)執(zhí)行AD

13、的后續(xù)安裝。圖6.25 安裝摘要2.設(shè)置林功能級(jí)別設(shè)置林功能級(jí)別n（7）點(diǎn)擊【下一步】按鈕，安裝向?qū)?zhí)行安裝操作（如圖6.26）。如果沒有勾選“完成后重新啟動(dòng)”復(fù)選框，則執(zhí)行完畢后，AD安裝向?qū)⒊霈F(xiàn)完成安裝頁，如圖6.27所示。圖6.26 安裝操作 圖6.27 完成安裝2.設(shè)置林功能級(jí)別設(shè)置林功能級(jí)別（8）點(diǎn)擊【完成】按鈕。系統(tǒng)會(huì)提示需要重新啟動(dòng)計(jì)算機(jī)配置才能生效如圖6.28所示。點(diǎn)擊“立即重新啟動(dòng)”完成DC安裝操作。圖6.28 重啟提示2.設(shè)置林功能級(jí)別設(shè)置林功能級(jí)別n（9）重啟后我們來驗(yàn)證下域控制器是否安裝成功，首先看一下AD數(shù)據(jù)文件是否產(chǎn)生，打開“計(jì)算機(jī)本地磁盤C:windowsNTD

14、S文件夾，如果有ntsd.dit文件，說明AD數(shù)據(jù)文件正常，如圖6.29所示。圖6.29 ntds文件存在2.設(shè)置林功能級(jí)別設(shè)置林功能級(jí)別n（10）再者是看DNS服務(wù)是否工作正常，與域相關(guān)的資源記錄，特別是SRV記錄是否正確寫入。如圖6.30所示。圖6.30 DNS服務(wù)正常6.3.2 在域中創(chuàng)建新用戶在域中創(chuàng)建新用戶n（1）點(diǎn)擊“開始” “管理工具”“Active Directory用戶和計(jì)算機(jī)”，打開Users文件夾，如圖6.31 所示，在右面，我們最常用到的3個(gè)用戶是Administrator、Domain Admins和Domain users。圖6.31 域用戶n（2）要新建域賬戶的話

15、，直接在左側(cè)Users文件夾上右擊，選擇“新建”“用戶”，建立名為zhangming的賬戶，如圖6.32所示。6.3.2 在域中創(chuàng)建新用戶在域中創(chuàng)建新用戶圖6.32 新建用戶n（3）點(diǎn)擊【下一步】按鈕，輸入并確認(rèn)密碼，如圖6.33所示。6.3.2 在域中創(chuàng)建新用戶在域中創(chuàng)建新用戶圖6.33 設(shè)置密碼和密碼策略n（4）單擊【下一步】按鈕完成。如此時(shí)彈出錯(cuò)誤提示，一般是因?yàn)橛脩裘艽a的復(fù)雜度不夠，參照項(xiàng)目3更改密碼復(fù)雜度即可。如圖6.34所示。6.3.2 在域中創(chuàng)建新用戶在域中創(chuàng)建新用戶圖6.34 用戶創(chuàng)建完成n（5）用戶創(chuàng)建完成后，出現(xiàn)zhangming賬戶，如圖6.35所示。6.3.2 在域中創(chuàng)

16、建新用戶在域中創(chuàng)建新用戶圖6.35 新賬戶出現(xiàn)6.3.3 客戶機(jī)登錄到域客戶機(jī)登錄到域n（1）客戶機(jī)要登錄到域，首先需要跟域控制器聯(lián)通，比如我們以windowsXP為例，設(shè)置客戶機(jī)的地址如圖6.40所示，設(shè)置后可在命令行界面使用ping命令測試兩臺(tái)計(jì)算機(jī)是否能通信。圖6.40 填寫IP6.3.3 客戶機(jī)登錄到域客戶機(jī)登錄到域n（2）如果能夠聯(lián)通，右擊“我的電腦”，選擇“屬性”，在打開的“系統(tǒng)屬性”中選擇“計(jì)算機(jī)名”選項(xiàng)卡， 選擇【更改】按鈕，彈出“計(jì)算機(jī)名稱更改”對(duì)話框，填寫域名，如圖6.41所示。圖6.41 填寫圖域名6.3.3 客戶機(jī)登錄到域客戶機(jī)登錄到域n點(diǎn)擊【確定】按鈕，要求輸入“有加

17、入該域權(quán)限的賬戶的名稱和密碼”，此時(shí)既可以使用域控制器的賬戶和密碼，也可回到域控制器，在上面新建一組所需權(quán)限的賬戶和密碼，輸入即可，這里我們使用DC原有的賬戶administrator密碼123，如圖6.42所示。圖6.42 輸入DC中的賬戶和密碼6.3.3 客戶機(jī)登錄到域客戶機(jī)登錄到域n（3）點(diǎn)擊【確定】按鈕，加入域成功，要求重啟計(jì)算機(jī)生效。如圖6.43所示。n（4）重啟后就可以用administrator和密碼123的域賬戶登錄了。登陸后發(fā)下系統(tǒng)是一個(gè)全新的環(huán)境了。登錄時(shí)選擇登錄到contoso，輸入密碼后就以域用戶的身份登錄了，如圖6.44所示。圖6.43 加入域成功圖6.44 登錄到域

18、6.3.3 客戶機(jī)登錄到域客戶機(jī)登錄到域n（5）在域控制器中，點(diǎn)擊“開始” “管理工具” “Active Directory用戶和計(jì)算機(jī)”，我們發(fā)現(xiàn)，機(jī)器“CHARRY”已經(jīng)在DC中了。如圖6.45所示。圖6.45 客戶機(jī)已加入域中6.4 任務(wù)2-Windows Server 2008活動(dòng)目錄的管理活動(dòng)目錄的管理n6.4.1 活動(dòng)目錄用戶和計(jì)算機(jī)n6.4.2 活動(dòng)目錄域和信任關(guān)系n6.4.3 活動(dòng)目錄站點(diǎn)復(fù)制服務(wù)6.4.1 活動(dòng)目錄用戶和計(jì)算機(jī)n活動(dòng)目錄用戶和計(jì)算機(jī)管理的具體操作步驟如下。n（1）單擊“開始” “管理工具”“Active Directory用戶和計(jì)算機(jī)”菜單項(xiàng)，打開“Activ

19、e Directory用戶和計(jì)算機(jī)”窗口，如前面的圖6.31所示。n（2）在圖6.31所示窗口的左邊，選擇“Computers”，可以顯示當(dāng)前域中的計(jì)算機(jī)，即成員服務(wù)器和工作站，這里是我們新建的域，所以無服務(wù)器和工作站。n（3）在圖6.31所示窗口的左邊，選擇“Domain Controllers”，可以顯示當(dāng)前域中的域控制器。n（4）在圖6.-31所示窗口的左邊，選擇“Users”或者“Builtin”，可以顯示域中的用戶或組等情況。6.4.2 活動(dòng)目錄域和信任關(guān)系（1） 傳遞信任關(guān)系。（2）不傳遞信任關(guān)系。 （3）單向信任關(guān)系。（4）雙向信任關(guān)系。6.4.3 活動(dòng)目錄站點(diǎn)復(fù)制服務(wù) （1）站點(diǎn)間復(fù)制（2）站點(diǎn)內(nèi)復(fù)制（3）管理復(fù)制6.5 回到工作情景n工作過程一：安裝安裝Active Directory域服務(wù)器域服務(wù)器(1)規(guī)劃與安裝操作系統(tǒng)(2)利用添加角色向?qū)О惭bActive Directory域服務(wù)(3)運(yùn)行Active Directory域服務(wù)安裝向?qū)?4)檢查DNS服務(wù)器內(nèi)SRV記錄的完整性n工作過程二：將客戶機(jī)加入域?qū)⒖蛻魴C(jī)加入域(1)在客戶機(jī)上，配置 TCP/IP屬性，指定DNS服務(wù)器的地址(2)打開【系統(tǒng)屬性】對(duì)話框，選中【域】單選按鈕，輸入要加入的域的名稱。(3)輸入具有加入到域權(quán)限的賬戶名稱和密碼(4)重新啟動(dòng)客戶機(jī)，登錄到域n【工作過程三】創(chuàng)建組織