第7章 部署活动目录域

1.域和活动目录的概念

2.安装域控制器的条件

3.安装活动目录

4.将计算机加入域

5.DNS在域中的作用

二、域用户账户

1.创建域用户账户

2.配置域用户账户属性

三、组的管理

1.组的类型

2.组的作用域

四、OU的管理

1.OU的概念

2.OU的委派

3.在活动目录中发布共享文件夹

1.域和活动目录的概念

a)活动目录

i.概念

1.是一个目录

2.是一个目录数据库

3.是个服务

ii.特点

1.集中管理

2.单一登录，单一访问

3.可扩展性

b)域和域控制器

i.域：是管理员定义的一组计算机的集合

ii.域控制器：

1.一个域中至少要有一台DC

2.DC充当服务器的角色，实现对域的管理和控制

3.DC保存着活动目录数据库

4.客户机必须要加入域，才可访问域中的资源

iii.域树

1.是具有连续的域名空间的多个域（总公司、分公司）

iv.林

1.林有一个或多个域树组成

2.林根域：是林中的第一个域

2.安装域控制器的条件

3.安装活动目录

a)Dcpromo：可安装可卸载

b)域的功能级别：win2000模式、win2003模式、win2008模式

4.将计算机加入域

5.DNS在域中的作用

a)域名的命名采用DNS标准

b)定位DC

二、域用户账户

1.创建域用户账户

2.配置域用户账户属性

a)登录时间：

b)登录到：

三、组的管理

1.组的类型

a)安全组

b)通讯组

2.组的作用域

a)本地域组

b)全局组

c)通用组

3.AGDLP策略

四、OU的管理

1.OU的概念

a)是AD的对象

b)也是AD的容器，为了有效的组织AD中的对象

2.OU的委派

a)是指管理员为适当的用户和组指派一定范围的管理任务

b)一般在非DC上安装win2008活动目录管理工具来执行委派任务

c)添加委派任务

d)删除委派任务

3.在活动目录中发布共享文件夹

a)发布共享文件夹：AD只是方便了共享文件夹的组织与查找，并不是在AD中

对共享文件夹进行操作

b)查找共享文件夹

c)将计算机加入域才能出现“搜索Active Directory”功能

AD活动目录域信任关系图解

AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系，所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B，且域 B 信任域 C，则域 C 中的用户可以访问域 A 中的资源（如果这些用户被分配了适当的权限）. 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证：Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议，则使用 NTLM 协议.

信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中，域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任，也可以是可传递信任，这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时，系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中，域 A 信任域 B，并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的，也可以是可传递的，这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任（可传递或不可传递）、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任，部分用户资源互访。 配置双向信任关系:

活动目录(域控)解决方案

活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日

目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误！未定义书签。

AD域控规划方案解析

活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。

1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后，企业信息化建设者和网络管理员可以从中获得如下好处： 1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放的全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展

Windows Server 2008 R2 AD活动目录域控制器安装配置手册

金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日

Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件： (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤： (4) 1．首先是“开始>运行”打开运行窗口 (4) 2．运行当中输入“dcpromo”开始安装活动目录 (5) 3．进入安装界面 (5) 4．新建域控制器 (6) 5．设置域控制器的域名 (7) 6．设置林功能级别 (8) 7．安装DNS服务器和全局服务 (9) 8．设置保存数据库、日志文件和SYSVOL的位置 (10) 9．设置目录还原模式的Administrator密码 (11) 10．安装完成自动重启 (12) 11．安装完成后的登陆界面 (13) 12．查看安装AD后的相关的服务，AD活动目录安装完成 (14)

安装部署活动目录条件： 硬件需求 硬件 需求 处理器 最低：1.4 GHz（x64处理器） 注意：Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低：512 MB RAM 最大：8 GB（基础版）或32 GB（标准版)或2 TB（企业版、数据中心版及 Itanium-Based Systems 版） 可用磁盘空间 最低：32 GB或以上 基础版：10 GB或以上 注意：配备16 GB以上RAM的计算机将需要更多的磁盘空间，以进行分页处理、休眠及转储文件。 显示器 VGA（800 × 600）或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标（或兼容的指针设备） 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件（除web版以外） 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间

域与活动目录的管理

单元一：Windows Server 2008域与活动目录 任务一：安装Windows Server 2008域控制器 任务描述： 企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。虽然活动目录具有强大的功能，但是安装Windows Server 2008操作系统时并未自动生成活动目录。因此，管理员必须通过安装活动目录来建立域控制器，并通过活动目录的管理来实现针对各种对象的动态管理与服务。同时客户机登录域的操作也是组建域网络必不可少的部分，也是网络管理员应该熟练掌握的基本技能之一。 任务目标： 作为网络管理员，只有明确安装域控制器的条件和准备工作，掌握域网络的组建流程和操作技术，才能在服务器上安装好Windows Server 2008操作系统。为此，可以启用活动目录安装向导，成功安装活动目录后，将使得一个独立服务器升级为域控制器。同时通过任务，还应能够区分登录窗口，例如是登录域不是登录本机的登录框。 任务实施： 一、建立第一台域控制器： 活动目录是Windows Server 2008非常关键的服务，它不是孤立的，与许多协议和服务有着非常紧密的关系，并涉及整个操作系统的结构和安全。因此，活动目录的安装并非一般Windows组件那样简单，必须在安装前完成一系列的准备，注意事项如下： （1）文件系统和网络协议：Windows Server 2008所在的分区必须是NTFS文件系统，同样活动目录必须安装在NTFS分区，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP协议。 （2）域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。在组建一个全新的Windows Server 2008网络时，所安装的第一台域控制器将生成第一个域，这个域也被称为根域，选择根域最为关键。根域名字的选择可以有以下几种方案： 使用一个已经注册的DNS域名作为活动目的根域名，使得企业的公共网络

02 实现活动目录域服务 (AD DS)

微思网络，福建IT精英的发源地！ 第二章实现活动目录域服务

章节概述 创建AD DS域前的准备工作 安装AD DS 确认AD DS域是否正常 提升域与林功能级别 部署额外域控制器 部署RODC 将计算机加域或脱离域 在域成员计算机内安装AD DS管理工具删除域控制器与域 域升级与现有域环境中安装域控制器

第1 节：创建AD DS域前的准备工作 选择适当的域名 准备好用了支持AD DS的DNS服务器 选择Active Directory数据库的存储位置 安装AD DS 的要求

选择适当的域名 https://www.wendangku.net/doc/3a13402071.html, https://www.wendangku.net/doc/3a13402071.html, AD DS 域名必须使用DNS 名称，如https://www.wendangku.net/doc/3a13402071.html, 。 https://www.wendangku.net/doc/3a13402071.html, https://www.wendangku.net/doc/3a13402071.html, 可以使用右侧的选项将AD DS 域名与外部命名空间集成?同一命名空间 ?外部命名空间的子域 ?域名和本地名不同的其他命名空间

准备好用了支持AD DS的DNS服务器 安装AD DS前，网络中必须要有一台DNS服务器，且此DNS服务器必须支持SRV记录，最好支持动态更新。 两种方式架设DNS服务器： ?在将服务器升级为域控制器时，让系统自动在这台服务器上安装DNS服务器角色 ?使用现有DNS 服务器或另外安装一台DNS服务器创建一个支持AD DS 域的区域

选择Active Directory数据库的存储位置 建议将Active Directory数据库与日志文件分别存储到不同硬盘内以提高运行效率及提高还原数据库的能力。 3个与Active Directory有关的数据： ?Active Directory数据库 ?日志文件 ?SYSVOL文件夹 提示：SYSVOL文件夹必须存储到NTFS磁盘内。

活动目录之域功能详解

一概念 从win NT到win2000、win2003、win2008都提供提供活动目录功能，然而不同操作系统运行的域都提供不同功能的服务，在域内由不同类型的操作系统组合而成的域，支持不同的功能、服务，这就称之为域的功能级别。同理在林中也存在林的功能这个概念 在Windwos2003的Active Directory中提供了比Windows2000 Active Directory 更高的功能级别，称为windows2003临时模式和windows2003模式。只有把所有的与控制器升级到Windows2003模式，整个森林才能被提升到Windwos2003模式。森林功能级别的提升需要手动完成。 二：域功能级别 域功能激活只影响整个域和该域的功能。Windows Server 20008功能级别支持 五功能级别，一下分别介绍五功能级别及其功能级别所支持的域控制器 1：Windows 2000 混合模式（默认）其网络配置使用Windows 2000和Windows NT 的任意组合系统。Windows 2000 域控制器和Windows NT 4.0 备份域控制器可 以在同一个域中无缝共存而不会出现任何问题。当然Windwos 2003域控制器也支持此模式。激活的功能包括本地与全局组并支持全局编录 2：Windows 2000本机模式。域中所有域控制器都可以运行Windows2000或Windwos2003.激活的功能包括组嵌套、通用组、Sidhistory、安全组与通讯组之间的转换、 3：Windows Server 2003临时模式。允许Windows 2003域控和Windows NT 4 域控制器的混合使用。但不能与Windows2000域控制器混合使用。显见支持的域控为Windows 2003和Windows NT4.此级别内没有域范围的激活功能。该模式只在将NT4的域控升级到Windows2003域控时使用 4：Windows Server 2003模式。域中所有域控制器只能是Windows 2003和Windows2008。支持的功能包括： Netdom.exe提供的域控制器重命名功能、 更新登录时间戳。将使用用户或计算机的上次登录时间来更新lastLogonTimestamp 属性。可以在域内复制该属性。 在 inetOrgPerson 和用户对象上将 userPassword 属性设置为有效密码的功能。

项目 活动目录和域的建立

项目活动目录和域的建立 4.1 项目内容 1 项目目的 通过安装活动目录，理解活动目录和域的关系，了解域、域树和域林的概念，并掌握控制器的安装和配置，以及成员服务器的设置。 2项目任务: 某公司组建了单位内部的办公网络，该局域网是一个基于工作组的对等网，近期公司的发展很快，新增了了许多员工，计算机用户激增，网络的管理和安全都出现了问题，这是考虑将基于工作组的网络升级为基于域的网络，现在需要将一台计算机升级为域控制器，并将其它所有计算机加入到域成为成员服务器。 3 任务目标 1)学会规划和安装局域网中的活动目录； 2)学会在Windows 2003 Server中创建域； 3)学会在Windows 2003 Server中添加和管理各种域服务器。 4)学会将局域网中的计算机加入到在Windows 2003 Server的域服务器中。 4.2项目设计 1设计 有两个域树：https://www.wendangku.net/doc/3a13402071.html,和https://www.wendangku.net/doc/3a13402071.html,，其中https://www.wendangku.net/doc/3a13402071.html,域树下有https://www.wendangku.net/doc/3a13402071.html,子域，在https://www.wendangku.net/doc/3a13402071.html,域中有两个域控制器；在https://www.wendangku.net/doc/3a13402071.html,域中有一个域控制器和有一个成员服务器；下面先创建https://www.wendangku.net/doc/3a13402071.html, 的域树，然后再创建https://www.wendangku.net/doc/3a13402071.html,的域树。 2 设备清单 为了搭建网络环境，需要如下设备： 1)安装Windows 2003 Server的PC计算机5台； 2)Windows Windows XP计算机1台； 3)Windows Server 2003安装光盘。 4.3 项目实施 步骤1：创建第一个域https://www.wendangku.net/doc/3a13402071.html, 创建域可以把一台已经安装Windows Server 2003的对立服务器升级为域控制器。 步骤如下： （1）首先确认“本地连接”属性TCP/IP中首选DNS指向了自己。 （2）其次，打开“开始”菜单，选择“管理工具”菜单中的“管理您的服务器”命令启动配置向导，在此管理介面中出现该服务器已具备功能，如图所示。 （3）选择“添加或删除角色”命令，出现“配置您的服务器向导”介面。 （4）单击“下一步”，选择要安装的服务器角色，在此要安装的是域控制器（Active

AD实施：域管理手册

深圳市海格物流股份有限公司操作主机与AD DB管理 文档编号：SXD- HGWL--01 版本： 编写：索信达运维服务 部 最后修订：2015年09月22日 深圳市索信达实业有限公司

目录

第一章管理域中的操作主机角色 (一)操作主机介绍 Active Directory 支持域中所有域控制器之间的目录数据存储 的多主机复制，因此域中的所有域控制器实质上都是对等的。但是， 某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机 可以保证一致性并消除AD DS数据库中出现冲突的项目的可能性。 AD D S中的五个操作主机角色分别是：架构主机（Schema M aster）、域命名主机（Domain Naming Master）、RID主机（RID Master）、PDC 仿真器（PDC E mulator）、基础结构主机（Infrastructure Master）架构主机和域命名主机是林范围角色，即每个林只有一台架构主 机和一台域命名主机。RID主机、PDC仿真器、基础结构主机是域范 围角色，这3种操作主机角色在林中的每个域中分别只有一个。当在林中安装AD DS并创建第一台域控制器时，它会拥有所有5个角色，类似地，在向林中添加域时，每个新域中的第一台域控制器也会获得 每域的操作主机角色。 架构主机（Schema Master） 宿主架构主机角色的域控制器负责对林的架构进行更新和修改， 其他域控制器则只包含架构的只读副本。要更新或修改林的架构，您必须具备访问架构主机的权限。如果做出架构改变后，架构更新就会复制到林中的所有其他域控制器。在整个林中，架构主机是唯一的， 只能有一个架构主机。

活动目录域 学习笔记

一、计算机内的存储结构：线性存储，树状存储（在存储大量内容时，检索速度较快） 二、C:\windows\ntds\ntds.dit 记录的域中所有的内容安全主体访问安全对象域的架构（记录了域中存储的元素）：规定了域中可以存在哪些元素。这些元素是主体是对象这些元素有哪些属性对象：计算机、用户、组 三、域的存储 活动目录域会把所有的内容记录在数据库中，形成一个目录，这个目录分成了五个分区，用来存储不同的内容 1、域目录分区----〉域中的用户和计算机以及组 2、配置目录分区----〉域中的配置信息 3、架构目录分区----〉架构：规定了域中可以存在哪些元素这些元素包括哪些内容（安全主体、安全对象：分别具体哪些属性） 4、全局编录分区 5、应用程序目录分区 四、域的组织 1、统一的边界的管理父域的管理员可以管理子域，子域的管理员不能管理父域或其他子域。 2、分散管理，相互信任（信任边界），实现跨边界的管理，就要建立林信任关系，在多个域中建立信任关系，方便域之间的协作，同时形成一个新的管理团队。林中有一个特别的域叫做根域，根域的管理员可以协调域之间的协作关系，使两个及其两个以上的域关系密切，通过传递性而得到的信任关系，可称为隐性的信任关系！ 五、DNS的问题使得多个管理边界无法合并，只能是分散管理，互相信任 1、活动目录域需要DNS的支持 2、不同的二级DNS域不能合并成一个管理边界 六、将xp加入contoso域思考：1、如果xp 未配置DNS 2、如果XP DNS配置错误 3、如果XP配置正常但域控上的ＤＮＳ服务不正常会有什么结果？ １、结果：没有ＤＮＳ，ＡＤ可以正常工作，借助于（NETBIOS）ＮＢＮＳ缺点：（１）在互联网上表现很差，以至于在大型网络里表现也很差；（２）缺乏集中管理。如果使用ＡＤ＋ＮＢＮＳ，则不利于大型网络的管理，使ＡＤ的功能大打折扣，所以使用ＡＤ＋ＤＮＳ如果DNS安全、可靠并且支持SRV记录，最好能支持自动更新，可以使用不是windows 下的DNS有这些功能的就可以使用 七、定义AD的需求 行政管理需求 技术需求 项目约束 企业的各种需求是说服领导层同意部署的最好的理由

域与活动目录的管理题目

第4单元域与活动目录的管理 一、填空题 1.域树中的子域和父域的信任关系是双向、可传递的。 2.活动目录存放在注册表中 3.你是一个Windows Server 2008域的管理员，域名为https://www.wendangku.net/doc/3a13402071.html,，现在你需要在该域下面创建一个新的子域https://www.wendangku.net/doc/3a13402071.html,，那么在创建遇到类型时，该选择在现有的域树中的子域 4.独立服务器上安装了活动目录就升级为域控制器。 5.域控制器包含了由这个域的用户、网络中的其他对象以及属于这个域的计算机等信息构成的数据库。 6.活动目录中的逻辑单元包括域、域树、域林和组织单元。 7.SYSVOL是位于操作系统系统分区%windir%目录中的操作系统文件的一部分，必须位于NTFS分区。 8.网络中的第一台安装活动了目录的服务器通常会默认被设置为主域控制器，其他域控制器（可以有多台）称为辅助（备份）域控制器，主要用于主域控制器出现故障时及时接替其工作，继续提供各种网络服务，不致造成网络瘫痪，同时用于备份数据。 9.活动目录的物理结构的两个重要概念是站点和域控制器。 10.域中的计算机分类是哪4种：域控制器、成员服务器、独立服务器、域中的客户端。 11.域中的计算机使用DNS来定位域控制器和服务器以及其他计算机、网络服务等。 12.企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。 二、选择题 1.下列（D ）不是域控制器存储所有的域范围内的信息。 A.安全策略信息 B.用户身份验证信息 C.账户信息 D.工作站分区信息 2.活动目录和（A ）的关系密不可分，使用此服务器；来登记域控

制器的IP、各种资源的定位等 A.DNS B.DHCP C.FTP D.HTTP 3.下列（ C ）不属于活动目录的逻辑结构。 A.域树 B.域林 C.域控制器 D.组织单元 4.活动目录安装后，管理工具里没有增加（ D ）菜单。 A.Active Directory用户和计算机 B.Active Directory域和信任关系 C.Active Directory域站点和服务器 D.Active Directory管理 5.你是一台Windows Server 2008计算机的系统管理员，你可以使用（C ）工具来管理该计算机中的组账号。 A.活动目录用户和计算机 B.域用户和计算机 C.活动目录用户与用户组 D.本地用户和组 6.关于组可以包含粗的描述，正确的是（C ）。 A.组在任何时候都可包含组 B.组在任何时候都可以加入组 C.在工作组模式下，本地组不能包含本地组 D.在工作组模式下，本地组可以包含内置组 7.一个用户账户可以加入（ D ）个组。 A.1 B.2 C.3 D.多 8.办公网络中计算机的逻辑组织形式可以有两种，工作组和域。下列关于工作组的描述中正确的是（C ）。 A.工作组中的每台计算机都在本地存储账户 B.本计算机的账户可以登录到其它计算机上 C.工作组中的计算机的数量最好不要超过10 台 D.工作组中的操作系统必须一样 9.公司需要使用域控制器来集中管理域账户，你装域控制器必须具备以下条件（B ）。 A.操作系统版本是Windowsserver20 B.本地磁盘至少有一个NTFS分区 C.本地磁盘必须全部是NTFS分区

活动目录的功能级别

关于活动目录的功能级别 编号：Windows003 作者：遗忘冰河 出版日期：2007-08-09 E-Mail：xwg9999@https://www.wendangku.net/doc/3a13402071.html, 为什么要讲功能级别，因为Windows 的活动目录的功能级别不同，Windows 网络就有有不同的兼容性和不同的功能。 如果企业当中又有NT4,有windows 2000,还有windows 2003情况下,，大家知道，如果设置不 当，就会引起这几种系统之间的通信，特别是早期的NT4.0，当为了发挥系统的最大功能，设置不同的功能级别，这样可能做的选择就会与其中的部分服务器产生兼容性的问题，也可能解决部分服务器产生兼容性的问题。 一般情况下有两种功能级别：域的功能级别和森林的功能级别。 再早期使用 Windows 2000 域中，有两种域模式可供选择： 1、混合模式（缺省设置）：其网络中使用Windows 2000和Windows NT 的任意组合系统。Windows 2000 域控制器和Windows NT 4.0 备份域控制器可以在同一个域中共存而不会出现任何问题。 2、本机模式：域中的域控制器只能运行Windows 2000系统。在这种模式下，可享受到一些更高级的功能。 但是windows 2003的出现，网络变的越来越复杂，域模式的种类将会变得更多，Windows Server2003有四种模式可以选择，多出模式来的主要是体现Windows Server 2003功能的优势。 冰 河工作室p :/ /w w w .m c s e .o r g .c n

1、Windows2000混合模式:Windows mixed 也是默认模式；这种模式下，Windows Server 2003域可以兼容NT4域控制器, Windows Server 2000域控制器, Windows Server 2003域控制器，也就是说在windows 2003的域中可以安装NT4域控制器和Windows Server 2000域控制器。 2、Windows 2000本机模式（native）：windows 2003域可以兼容Windows Server 2000,域控制器和Windows Server 2003域控制器，不兼容ＮＴ４域控制器 3、Windows 2003临时模式（interim）：这种模式只存在于NT4域升级到Windows Server 2003域当中。但是不允许Windows Server2000的域控制器 4、Windows 2003模式（family）：只允许有Windows Server 2003域控制器。在4种域级别中，它的功能级别最高，域中所有的域控制器都只能运行Windows Server 2003。可享受Windows Server 2003域所提供的完整特性和功能。 森林的功能级别 域中的Windows Server 2003域控制器部署完毕后，还可以根据需要选择森林的功能级别。一般森林的功能级别有三种： 1、Windows 2000模式(Default):森林当中，允许有NT4、Windows Server 2000、Windows Server 2003的域控制器，属于默认状态下的森林功能级别，可提供了最基础的森林结构特性与功能。 2、Windows 2003临时模式（interim）：适用于NT4域升级到Windows Server 2003域模式 3、Windows 2003模式family：森林当中只允许存在Windows Server 2003域控制器。 企业的域适合采用哪种功能级别？ 应该根据本公司目前及日后可能的需求，根据自己的操作系统版本，然后参照以上关于功能级别的介绍，来设置域和森林的功能级别。 下面列举出了四种域功能级别的优缺点，你可根据本公司自身的需求，加以选择。 Windows2000混合模式：对于那些并没有完全淘汰Windows NT 域控制器的企业而言，这种域级别显然是最佳选择。它最大的缺点是：自2004年年底起，微软公司正在慢慢削减对Windows NT 的支持服务。 Windows 2000本机模式：如果你已经部署了从Windows NT 到Windows 2000的AD 迁移，那 么，这个功能级别显然是最适合你的。它最大的特点是：只适合于从Windows NT 环境升级到Windows 2000 Active Directory 的情况。 Windows 2003临时模式：事实证明，Windows Server 2003是一套性能非常稳定的操作系统， 冰 河工作室p :/ /w w w .m c s e .o r g .c n

活动目录及域迁移

AD(Active Directory)即活动目录，微软的基础件。微软的很多产品如：Exchange Server，Lync Server，SharePoint Server，Forefront Servert等都与其高度集成，形成一整套的微软解决方案。所以要想在企业中成功布署微软的产品，活动目录是必须建立的，并且至关重要，活动目录的稳定与否也直接影响到企业中其他微软产品的布署。故本节主要是基于Windows Server 2008 R2搭建活动目录。 在实验之前，简单总结一下活动目录的优点： 1. 提升用户效率。如：用户可以多机登陆，统一安装网络打印机等。 2. 增强安全性。如：管理用户的计算机权限、统一制订用户密码策略，要求用户使用更强壮的密码，定期更改密码。https://www.wendangku.net/doc/3a13402071.html, 3. 更可靠，更少的宕机时间。如：利用AD控制用户访问权限，利用群集、负载均衡等技术对文件服务器进行容灾设定，更可靠，宕机时间更少。 4. 减轻IT管理负担与成本。统一推送软件，和权限管理。 5. 与其他应用集成。如：Exchange Server,ISA Server，Lync Server，SharePoint Server，Outlook等。 目标： 1. 搭建两台域控制器，建立相应的用户，实现域控管理 2. 在主域控制器和辅助域控制器之间进行角色迁移。 规划： 主DC：192.167.200.1/24， 次DC：192.167.200.2/24 实施过程： 一．安装Windows Server2008 R2操作系统 （过程略） 二．安装第一台域控制器 1. 规划并设定好第一台DC的IP地址，修改好计算机名称。

活动目录之域功能级别详解

活动目录之域功能级别详解 一概念 从win NT到win2000、win2003、win2008都提供提供活动目录功能，然而不同操作系统运行的域都提供不同功能的服务，在域内由不同类型的操作系统组合而成的域，支持不同的功能、服务，这就称之为域的功能级别。同理在林中也存在林的功能这个概念在Windwos2003的Active Directory中提供了比Windows 2000 Active Directory更高的功能级别，称为windows2003临时模式和windows2003模式。只有把所有的与控制器升级到Win dows2003模式，整个森林才能被提升到Windwos2003模式。森林功能级别的提升需要手动完成。 二：域功能级别 域功能激活只影响整个域和该域的功能。Windows Server 20 008功能级别支持五功能级别，一下分别介绍五功能级别及其功能级别所支持的域控制器 1：Windows 2000 混合模式（默认）其网络配置使用Windo

ws 2000和Windows NT 的任意组合系统。Windows 2000 域控制器和Windows NT 4.0 备份域控制器可以在同一个域中无缝共存而不会出现任何问题。当然Windwos 2003域控制器也支持此模式。激活的功能包括本地与全局组并支持全局编录 2：Windows 2000本机模式。域中所有域控制器都可以运行W indows2000或Windwos2003.激活的功能包括组嵌套、通用组、Sidhistory、安全组与通讯组之间的转换、 3：Windows Server 2003临时模式。允许Windows 2003域控和Windows NT 4 域控制器的混合使用。但不能与Windows 2000域控制器混合使用。显见支持的域控为Windows 2003和W indows NT4.此级别内没有域范围的激活功能。该模式只在将NT4的域控升级到Windows2003域控时使用 4：Windows Server 2003模式。域中所有域控制器只能是W indows 2003和Windows2008。支持的功能包括：Netdom.exe提供的域控制器重命名功能、 更新登录时间戳。将使用用户或计算机的上次登录时间来更新l astLogonTimestamp 属性。可以在域内复制该属性。 在inetOrgPerson 和用户对象上将userPassword 属性设置为有效密码的功能。

活动目录详解(基础篇)

活动目录详解(基础篇) 我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录（Active Directory）服务”，使得WIN2K系统与Internet上的各项服务和协议更加联系紧密，因为它对目录的命名方式成功地与”域名“的命名方式一致，然后通过DNS 进行解析，使得与在Internet上通过WINS解析取得一致的效果。活动目录也说明了Microsoft在网络结构方面的策略转移，虽然在以前NT时代也有部分产品（如EXCHANGE SERVER、IIS等）提供过类似于活动目录的服务，然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。活动目录的身影似乎在整个WIN2K系统中无处不在。然而要真正了解“活动目录”的方方面面又谈何容易，下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析，希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。 一、活动目录的由来 谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME 下“文件夹”，那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系，一个文件生成之后相对来说这个文件的所在目录也就固定了（当然可以删除、转移等，现在不考虑这些），也就是说它的属性也就相对固定了，是静态的。这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小，并不能得出其它有关信息，这样就影响到了整体使用目录的效率，也就是影响了系统的整体效率，使系统的整个管理变得复杂。因为没有相互关联，所以在不同应用程序中同一对象要进行多次配置，管理起来相当繁锁，影响了系统资源的使用效率。为了改变这种效率低下的关系和加强与Internet上有关协议的关联，Microsoft公司决定在WIN2K中全面改革，也就是引入活动目录的概念。理解活动目录的关键就在于“活动”两个字，千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解，那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹，正因为这个目录是活动的，所以它是动态的，它是一种包含服务功能的目录，它可以做到“由此及彼”的联想、映射，如找到了一个用户名，就可联想到它的账号、出生信息、E-mail、电话等所有基本信息，虽然

活动目录(Active Directory)概念和编程使用

普通目录及其面临的困难 谈到计算机目录及其相关技术，总能让我们想到无时不在使用的文件系统目录、灵巧实用的专用工具集目录、海量存储的网络资源目录等等。是的，这是一个异常熟悉的领域：在文件系统目录里，我们存储文件及其大小、创建日期、类型等信息；在诸如记事本类的专用工具集目录里，我们存放日程安排、联系方式、人员地点等信息；在网络资源目录里，我们以分层架构存放网络上所有对象的相关资料，这些对象包罗了网络里使用的各种资源：共享目录、共享打印机、应用程序、服务、服务器、用户帐号、组、域…可以这样说，从使用计算机的那一刻起，我们就从未离开过目录！曾经，这样的目录让我们随心所欲地处理我们的资源！ 然而，正是这样的目录，在Internet下却面临许多麻烦：种类繁多、数量日增的目录让我们很难准确定位想要的资源；系统目录、应用程序特定目录、网络资源目录中到底谁存储了我们需要的信息？如何能用一致的方式登录这些不同的资源？怎样能轻松地维护不同系统上的远程资源？能否通过可视化的程序界面在这些资源间交互？ 初识Active Directory活动目录 要解决这些问题，你可以使用Micrsoft提供的活动目录Active Directory 对象，它提供一种构造复杂计算机网络的简单方法，用来存储公共文件夹、对象信息、打印机、服务等数据；Active Directory的适用范围很大，它可以用在小自一台计算机，一个计算机网络，大至数个广域网络(WAN)的结合。它可以包含这个范围中所有的对象：文件、打印机、应用程序、服务器、域，以及用户等等。与普通意义上的目录不同的是，Active Directory 活动目录以分层树状结构排列成节点树，每个节点表示网络上的一个资源或服务，并且包含一组可检索和操作的属性。Active Directory 是提供复杂网络统一视图的Windows目录服务，它减少了开发人员必须处理的目录和命名空间的数量。 Directory Service目录服务 同时，专门针对Active Directory活动目录的Directory Services目录服务则让目录中的信息可用，Directory Service(目录服务)是让用户很容易地在目录内寻找到所需要的对象的一种服务。通过对Active Directory中数据的整理、规划存储，目录服务使得目录中的信息可用，真正让目录"活动"起来了。理由很明显，Internet网络、WAN局域网络里海量存储的数据往往让你迷失不知所措，再加上这些存放的资料不加以整理，想找到您需要的资料谈何容易！相反地，如果经过适当的规划，事先有系统地去整理这些资料，那就可以在需要时方便快速地寻找到你所要的对象。这样的例子现实生活中也随处可见：查号台算得上是一种目录服务；在Internet上的搜索引擎提供的查询功能究其实也是一种目录服务。目录服务不仅广义地包括了上述的各种目录（共享目录、共享打印机、应用程序、服务，网络服务器、用户帐号、计算机帐号、域、安全规则等等），更重要的它同时也是一种服务，让管理者、用户及应用程序都能利用目录中的资料处理这些对象。 其实，目录服务早就以不同的形式出现许多应用领域：一些操作系统如Microsoft的NT中的NTDS( Windows NT Directory Service), Novell 中的NDS(Novell Directory Service )等都整和了这种运用；另外，它也常集成在应用程序中，如Microsoft Exchange Server等。 作为Active Directory的广泛应用，Microsoft更是以Active Directory及其Service服务为整个分布式运算环境的基础。它可以包含并管理前述不同操作系统及应用程序相关的各种目录服务，提供用户、管理者，及程序开发者一个通用的目录服务，大大减少了企业的负担。