windows域配置及管理PPT課件

1、北京天和科瑞咨詢有限公司北京郵電大學(xué)移動互聯(lián)網(wǎng)與信息實驗室，2011年6月，窗口域配置與管理，2，域，域名解析系統(tǒng)的作用，域的概念，向域添加計算機的條件，DC，域的創(chuàng)建，域用戶帳戶，安裝AD，組，安全組/分發(fā)組，本地域組/全局組/一般組，用戶檔案，用戶個人文件夾，創(chuàng)建域帳戶，域帳戶屬性，OU，OU的委托功能，OU概念，3，域的基本概念。 域在邏輯上組織網(wǎng)絡(luò)中的多臺計算機進行集中管理，這種不同于工作組的邏輯環(huán)境稱為域域，活動目錄是組織和存儲資源的核心管理單元，它提供了一種在網(wǎng)絡(luò)上存儲對象信息并使網(wǎng)絡(luò)用戶能夠使用數(shù)據(jù)的方法。4.領(lǐng)域的基本概念?；顒幽夸浭怯蒞indows Server 2003平臺

2、提供的目錄服務(wù)。它將信息存儲在中央數(shù)據(jù)庫中，因此用戶在網(wǎng)絡(luò)上只有一個用戶帳戶?；顒幽夸浭且环N全面的目錄服務(wù)管理方案，是一種具有良好可擴展性的企業(yè)級目錄服務(wù)?；顒幽夸洸捎门c操作系統(tǒng)緊密集成的互聯(lián)網(wǎng)標(biāo)準(zhǔn)協(xié)議?；顒幽夸浛梢怨芾砭W(wǎng)絡(luò)資源，如計算機對象、用戶帳戶、打印機等。活動目錄包括兩個方面：目錄和與目錄相關(guān)的服務(wù)。目錄是存儲各種對象的物理容器目錄服務(wù)?；顒幽夸浭且环N服務(wù)，它使目錄中的所有信息和資源都能發(fā)揮各自的作用?；顒幽夸浭且环N分布式目錄服務(wù)，可以在多臺不同的計算機上分發(fā)信息，以確保用戶可以快速訪問它。6，(1)信息安全性大大增強。1)活動目錄集中控制用戶授權(quán)。2)活動目錄為存儲和應(yīng)用范圍提供安全

3、策略，并為安全策略提供存儲和應(yīng)用范圍。(2)引入基于策略的管理，使系統(tǒng)的管理更加清晰。作為一個目錄，它存儲分配給特定環(huán)境的策略。它被稱為組策略對象(3)。具有強大可擴展性的管理員可以在計劃中添加新的對象類，或者向現(xiàn)有對象類添加新的屬性。該計劃包括可以存儲在目錄中的每個對象類的定義以及對象類的屬性。(4)可擴展性強的活動目錄可以包含在一個或多個域中，每個域有一個或多個域控制器，從而調(diào)整目錄的大小以滿足任何網(wǎng)絡(luò)的需要。(5)智能信息復(fù)制功能信息復(fù)制為目錄提供了信息可用性、容錯、負載平衡和性能優(yōu)勢?；顒幽夸浭褂枚嘀鳈C復(fù)制。允許在任何域控制器(而不是單個主域控制器)上同步更新目錄。8，(6)與域名系統(tǒng)

4、緊密集成的活動目錄使用域名系統(tǒng)(域名系統(tǒng))來命名服務(wù)器目錄(7)可與其他目錄服務(wù)互操作的LDAP是一種目錄訪問協(xié)議，用于查詢和檢索活動目錄中的信息。因為這是一個行業(yè)標(biāo)準(zhǔn)服務(wù)協(xié)議，所以您可以使用LDAP開發(fā)人員與其他也支持LDAP的目錄服務(wù)共享活動目錄信息。(8)任何具有靈活查詢功能的用戶都可以使用開始菜單、網(wǎng)絡(luò)鄰居或活動目錄用戶和計算機上的搜索命令，通過對象屬性快速找到網(wǎng)絡(luò)上的對象。9，AD活動目錄功能：通過組織企業(yè)網(wǎng)絡(luò)中的各種資源，如計算機、用戶、共享打印機、服務(wù)器等，形成活動目錄域。在這個域中，這些信息被分類到目錄樹中。這樣，用戶可以通過某種形式輕松訪問活動目錄域中的信息。這種方便的訪問機

5、制還需要一個安全的保護機制。活動目錄域是基于這種信息共享的安全管理標(biāo)準(zhǔn)。安裝了活動目錄的計算機稱為“域控制器”。只要它加入并接受域控制器的管理，它就可以在一次登錄后在整個網(wǎng)絡(luò)中使用，并且可以方便地訪問active directory提供的網(wǎng)絡(luò)資源。對于管理員來說，他們可以通過集中管理活動目錄來管理整個網(wǎng)絡(luò)的資源。域是基本的管理單元域可以包含大量的對象計算機用戶打印機共享文件夾域是活動目錄的一部分。11，域和目錄服務(wù)概述，active directory是一個數(shù)據(jù)庫，active directory是一個目錄服務(wù)，可以定制active directory簡化管理可伸縮性方便網(wǎng)絡(luò)資源訪問。12、域

6、、域樹、域林，可以在根域下建立多個子域，子域可以構(gòu)造成域樹?？梢詫⒍鄠€域樹構(gòu)建到林域中，以自動建立雙向信任關(guān)系。組織單位。OU是活動目錄中的一個對象。子對象可以在OU中建立。OU可用于模擬管理模型。14，域控制器，域控制器是存儲活動目錄數(shù)據(jù)庫的計算機。一個域至少有一個域控制器。多個域控制器需要同步數(shù)據(jù)庫。域控制器存儲目錄數(shù)據(jù)并管理用戶域交互，包括用戶登錄過程、身份驗證和目錄搜索。15，站點，每個地理位置中的幾個域控制器可以被分成一個站點。在同步之前，active directory數(shù)據(jù)庫將與其他站點中的域控制器同步。16、安裝和卸載活動目錄時，安裝程序必須具有本地管理權(quán)限。操作系統(tǒng)必須滿足條件

7、(除了Windows Server 2003 Web版本)，并且本地磁盤的至少一個分區(qū)是NTFS文件系統(tǒng)磁盤。應(yīng)該至少還有300兆的空間。安裝TCP/IP協(xié)議和相應(yīng)的DNS服務(wù)器支持。有了相應(yīng)的域名服務(wù)器支持。17，活動目錄安裝和卸載，啟動安裝向?qū)褂霉芾砟姆?wù)器向?qū)褂妹頓CPROMO，18，安裝活動目錄，主要步驟是否創(chuàng)建新域的完整域名新域的完整域名新域的網(wǎng)絡(luò)基本輸入輸出系統(tǒng)名稱數(shù)據(jù)庫和由日志文件文件夾共享的系統(tǒng)卷域名注冊診斷域兼容性恢復(fù)模式密碼。19、域名系統(tǒng)在域中的作用，域名系統(tǒng)在域中有兩個域名。域名系統(tǒng)標(biāo)準(zhǔn)辦公室網(wǎng)絡(luò)和互聯(lián)網(wǎng)用于定位DC 1)客戶端發(fā)送域名系統(tǒng)查詢請求到域名系統(tǒng)服務(wù)

8、器2)域名系統(tǒng)服務(wù)器查詢匹配的域名系統(tǒng)資源記錄3)域名系統(tǒng)服務(wù)器返回相關(guān)DC的IP地址列表到客戶端4)客戶端聯(lián)系DC 5)域名系統(tǒng)區(qū)域DC響應(yīng)客戶端的請求域維護域名系統(tǒng)資源記錄可以定位DC，20，安裝和卸載活動目錄，21，安裝活動目錄后更改操作系統(tǒng)(1)安裝活動目錄后檢查域控制器(域控制器，即域控制器)的計算機名，右鍵單擊DC上的我的計算機并選擇屬性，在彈出的系統(tǒng)屬性對話框中選擇計算機名選項卡查看計算機名，22的當(dāng)前域控制器。檢查管理工具是否在DC打開開始程序管理工具。您可以看到添加了5個與活動目錄相關(guān)的新工具和5個與活動目錄相關(guān)的工具。23，活動目錄用戶和計算機：此工具用于管理用戶、組、活動

9、目錄域和信任關(guān)系，如計算機帳戶和ou:此工具用于管理活動目錄域活動目錄站點和服務(wù)之間的信任關(guān)系：此工具用于管理與活動目錄復(fù)制相關(guān)的站點信息域安全策略：此工具用于創(chuàng)建和管理域安全策略域控制器安全策略：此工具用于創(chuàng)建和管理域控制器安全策略。24歲。檢查用戶和組帳戶的位置。成功安裝active directory后，用戶和組帳戶在計算機上的位置將會改變。打開DC上的計算機管理控制臺，發(fā)現(xiàn)本地用戶和組工具不再可見。計算機管理控制臺工具、25，使用DC上的活動目錄用戶和計算機工具來管理用戶和組帳戶。在DC，打開開始-程序-管理工具-活動目錄用戶和計算機，打開控制臺下的用戶容器，活動目錄用戶和計算機工具管

10、理用戶和組。26歲。對DC來說，查看SYSVOL文件夾非常重要。如果SYSVOL文件夾創(chuàng)建不正確，則需要組策略、腳本等。存儲在此文件夾下的文件不能正確分發(fā)到域中的計算機，也不能在DC的計算機之間復(fù)制。SYSVOL文件夾位于%systemroot%下，包含以下文件夾，如下圖所示。域暫存區(qū)SYSVOL，27，驗證Sysvol文件夾，28，(5)默認情況下，查看活動目錄數(shù)據(jù)庫和日志文件活動目錄數(shù)據(jù)庫和日志文件存儲在%systemroot%NTDS文件夾下。其中，ntds.dit是一個活動目錄數(shù)據(jù)庫文件，以及檢查點文件edb.chk、日志文件edb.log和保留日志文件res *。29，active

11、directory域和DNS服務(wù)是緊密結(jié)合的，如果您想讓active directory域正常工作，您必須有相應(yīng)的DNS區(qū)域來支持它，并且還必須有服務(wù)資源記錄(SRV記錄)。如下圖所示，打開DNS服務(wù)器上的DNS控制臺，查看活動目錄域的區(qū)域狀態(tài)。查看DNS服務(wù)器中活動目錄域的SRV記錄，查看DNS數(shù)據(jù)庫。30，查看事件日志安裝active directory后，打開事件查看器，查看日志“目錄服務(wù)”是否已添加，有關(guān)active directory的信息將記錄在此處。查看事件查看器。31，5將計算機添加到域，1，哪些計算機可以成為域的成員下面的操作系統(tǒng)主機可以成為域的成員。32，系統(tǒng)屬性對話框中的

12、“計算機名”標(biāo)簽將計算機添加到域中。為了更好地管理網(wǎng)絡(luò)中的資源并充分利用active directory的特性，應(yīng)將網(wǎng)絡(luò)中的客戶端計算機添加到域中，以便管理員可以集中配置和管理域中的計算機。步驟1，為客戶端配置首選的DNS服務(wù)器2，將計算機添加到域中，33，并指定計算機要加入的域名。輸入允許加入域的用戶名和密碼，并創(chuàng)建成功的對話框。34，OU。您可以創(chuàng)建ou。35、域模式根據(jù)各種因素。域模式用于限制一些新功能，以便與舊版本操作系統(tǒng)的域控制器兼容?；顒幽夸泴ο蟮念悇e如下：1 .用戶：作為安全主體，它被授予安全權(quán)限并可以登錄到域中。2.計算機：表示網(wǎng)絡(luò)中的計算機實體。加入域的計算機可以創(chuàng)建相應(yīng)的計

13、算機帳戶。3.聯(lián)系人：個人信息記錄。聯(lián)系人沒有任何安全權(quán)限，無法登錄網(wǎng)絡(luò)。它們主要由通過電子郵件聯(lián)系的外部用戶使用。4.群組：對某些用戶、聯(lián)系人和計算機進行分組，以簡化對大量對象的管理。5.組織單位：細分域的活動目錄容器。6.打印機：在活動目錄中發(fā)布的打印機。7.共享文件夾：在活動目錄中發(fā)布的共享文件夾。8.InterOrgPersion:一個標(biāo)準(zhǔn)的用戶對象類，可用作Windows Server 2003域功能級別的安全主體。37，管理容器，1，內(nèi)置：用于存儲默認內(nèi)置組(如帳戶操作員或管理員)對象。2.計算機：包含Windows 2000、Windows XP和Windows Server 2

14、003計算機對象。3.域控制器：運行Windows 2000或Windows Server 2003的域控制器的計算機對象。4.ForeignSecurityPrincipals:用信任關(guān)系存儲域的對象。5.用戶：包括域中的用戶帳戶和組。38、域用戶和計算機帳戶、活動目錄用戶帳戶用戶帳戶用于記錄用戶名和密碼、用戶所屬的組、可訪問的網(wǎng)絡(luò)資源以及用戶的個人文件和設(shè)置。每個用戶都應(yīng)該在域控制器中擁有一個用戶帳戶，以便訪問服務(wù)器、使用資源。39在網(wǎng)絡(luò)上，創(chuàng)建域用戶帳戶，40，輸入用戶的基本信息和登錄名、用戶密碼，41，用戶屬性對話框，42，用戶登錄名用戶登錄名(2000年以前版本)在域中必須是唯一的。

15、最多20個字符的登錄時間限制了用戶可以登錄到域的時間?？梢缘卿浀挠嬎銠C定義帳戶可以登錄的計算機列表，配置域用戶帳戶的屬性。43、創(chuàng)建域用戶帳戶，存儲用戶的位置，44，創(chuàng)建域用戶帳戶，45、管理域用戶和計算機帳戶。活動目錄用戶和計算機是最常用的活動目錄管理工具。該工具可用于建立、編輯或刪除網(wǎng)絡(luò)中的用戶、計算機、組、組織單位、域、域控制器，以及發(fā)布網(wǎng)絡(luò)共享資源。46、刪除和移動域用戶帳戶，直接鼠標(biāo)拖動刪除的用戶移動用戶。47，配置域用戶帳戶、計算機配置文件/個人文件夾的屬性。48其中登錄時間可以登錄，組的實現(xiàn)和管理，49，組的分類，50，組的范圍和成員。51、域本地組、52，全球集團，53，環(huán)球集

16、團，54、管理域中的組，創(chuàng)建組設(shè)置組信息添加組成員設(shè)置組管理器。55，AGDLP域用戶A加入域全局安全組G，然后在“本地用戶和計算機”中創(chuàng)建本地組DL，將G添加到DL，最后將權(quán)限分配給DL。56、組成員和屬于屬性、團隊或組、全局組、域本地組、Tom、jo和Kim、Sam、Scott和Amy的成員、丹佛管理員、丹佛管理員、溫哥華管理員、丹佛ou管理員、57、用戶配置文件概念用戶的桌面工作環(huán)境(包括桌面、開始菜單、我的文檔和其他指定設(shè)置)通常存儲在操作系統(tǒng)所在分區(qū)的文檔和設(shè)置用戶名文件夾中。用戶配置文件類型本地用戶配置文件漫游用戶配置文件強制用戶配置文件臨時用戶配置文件。58，實施漫游用戶配置文件1)為漫游用戶創(chuàng)建測試配置文件2)為漫游用戶配置文件準(zhǔn)備網(wǎng)絡(luò)存儲路徑3)將測試配置文件復(fù)制到網(wǎng)絡(luò)存儲路徑4)設(shè)置配置文件選項