AD活动目录的设置过程

AD活动目录

实验一

虚拟机1（AD服务器）：

1.设置AD服务器的IP，操作如图：

2.开始----管理工具----配置您的服务器向导。安装AD活动目录，并配置域控名称为

https://www.wendangku.net/doc/7b1395499.html,，操作如图：

3.

工

3.安装过程中，同时系统会自动安装DNS，安装成功后重启计算机。注：没有打印下来的页面设置，使用默认即可。

虚拟机2

1.设置客户机的IP，操作如图：

2.加入域：我的电脑->属性->计算机名->更改->域，域输入：https://www.wendangku.net/doc/7b1395499.html,, 输入虚拟机1

管理员用户名和密码，添加成功，欢迎加入域，，操作如图：

实验二

1. 在虚拟机1中添加AD活动目录用户：cssp39,登录名为cssp39@https://www.wendangku.net/doc/7b1395499.html,，其中**为学号，操作如图：

.

2.虚拟机2登录界面，选择域https://www.wendangku.net/doc/7b1395499.html,，使用域用户cssp39登入到域中，操作如图：

实验三

1.虚拟机1中，开始菜单->管理工具->管理您的服务器，选择管理AD域中的用户和计

算机，操作如图：

2.选择域中的计算机->属性->管理,进行相关管理，操作如图：

总结：

在实验过程中注意以下几点：

1.若已经安装了DNS服务器，先将其卸载，因为在AD活动目录安装过程中会自动安装并

进行相关的设置，另外，先将系统光盘放入虚拟机。

2.在AD目录中密码的设置比较复杂（开始------管理工具-----域安全设置），修改密码的设

置（设置后使用“gpupdate”命令更新）操作如图：

3.AD服务器的虚拟机和客户机的虚拟机的备份能来子同一台计算机，否则它不能识别。

4.

这两个登陆后的界面都是：

AD活动目录之备份与恢复

通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。:)OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况: 1、整个网络中有且仅有一台域控制器; 首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面:

点击我用箭头指出的“高级模式”:

再点击用红框标出的“备份向导(高级)”，这时会出现一个备份向导: 在这里请大家注意，直接点“取消”，这样可以进入备份工具控制器，以便有更多的可以自定义的项目:

活动目录配置完整版

目录 一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………

一、活动目录配置基本知识 1、活动目录的重要概念 （1）目录服务是一个什么东西 一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中，目录就储存了有关文件的信息。 在一个分布式计算系统中或是一个公共计算机网络（如Internet）中，就有许多用户感兴趣的对象，如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象，而管理人员则想管理对这些对象的使用。 在此文档中，术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于，它既是目录的信息源，而它的服务又可以使用户得到和利用信息。 （2）什么是活动目录 活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务，还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作，从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性，使得在大规模信息的管理及在其中漫游变得很简单，为管理者和终端用户都节省了时间。 （3）为什么需要目录服务 目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性，而且可以查询目录来得到符合属性的对象列表，例如："查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。 目录服务可以： ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。 目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时，目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念 用来描述活动目录的概念和术语中有些是新的，而另外一些则不是。不幸的是，一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前，理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围

网络组建 安装活动目录服务

网络组建安装活动目录服务 活动目录(Active Directory)是用于Windows 2003的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。 1．DNS与活动目录 由于活动目录与DNS是集成的，并且共享相同的名称空间结构，因此注意两者之间的差异非常重要： ●DNS是一种名称解析服务 DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收名称查询，并且解析名称查询，或者进行名称解析。DNS不需要活动目录可以独立运行。 ●活动目录是一种目录服务 活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol，LDAP)”向活动目录服务器发送查询。然后要定位活动目录服务器，活动目录客户机将查询DNS。即活动目录用于组织资源，而DNS用于查找资源；只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。2．规划活动目录 为了让用户和管理员操作更为方便，在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计。 ●规划DNS 如果用户准备使用活动目录，则需要首先规划名称空间。在Windows 2003中，用DNS 名称命名活动目录域。选择DNS名称用于活动目录域时，以保留在Internet上使用的已注册DNS域名后缀开始(如https://www.wendangku.net/doc/7b1395499.html,)，并将该名称和单位中使用的地理(部门)名称结合起来，组成活动目录域的全名。 ●规划用户的域结构 最容易管理的域结构就是单域。规划时，用户应从单域开始，并且只有在单域模式不能满足用户的要求时，才增加其他的域。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。在一个域中，可以使用组织单元(OU，Organizational Units)来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。 ●规划用户的委派模式 用户可以将权限下派给单位中最底层，方法是在每个域中创建组织单元树，并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限，用户不再需要那些定期登录到特定账户的人员，这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组，可以仍保留这些账户以备少数管理员使用。 3．安装活动目录服务 首先，用户必须有安装活动目录的管理员权限，否则无法安装。在安装活动目录之前，要确保系统盘为NTFS分区。同时，已做好了DNS服务器的解析，如https://www.wendangku.net/doc/7b1395499.html,。 在安装活动目录前首先确定DNS服务正常工作，下面我们来安装根域为https://www.wendangku.net/doc/7b1395499.html,的域控制器。其操作步骤如下： （1）执行【开始】|【控制面板】|【管理工具】|【配置您的服务器向导】命令，打开【配置您的服务器向导】对话框，如图6-13所示。

AD活动目录域信任关系图解

AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系，所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B，且域 B 信任域 C，则域 C 中的用户可以访问域 A 中的资源（如果这些用户被分配了适当的权限）. 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证：Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议，则使用 NTLM 协议.

信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中，域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任，也可以是可传递信任，这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时，系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中，域 A 信任域 B，并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的，也可以是可传递的，这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任（可传递或不可传递）、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任，部分用户资源互访。 配置双向信任关系:

活动目录之用户配置文件

域控制器管理--活动目录之用户配置文件 首先，什么是用户配置文件?根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和集合，它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位置呢?那么用户配置文件包括哪些内容呢?来给大家看一副截图: 用户配置文件的保存位置在:系统盘(一般是C盘)下的“Documents and Setting s”文件夹下，有一个和你的登陆用户名相同的文件夹，该用户配置文件就保存在这里，顺便提示一下，如果本机和域上有一个同名用户，并且都登陆过的话，那么就会出现在同名文件夹后面拖后缀的情况，举个例子:比如在一个域(https://www.wendangku.net/doc/7b1395499.html,)里面有一台计算机(testxp)，本地有一个swg的帐号，域上也有一个swg的帐号，并且都登陆过这台计算机，那么会发生如下情况: 本地帐号先登陆:那么本地的swg的用户配置文件夹为swg，而域用户的用户配置文件夹为swg.demo。 域帐号先登陆:那么域用户的用户配置文件夹为swg，本地用户的配置文件夹为swg.testxp。 通过上面的截图，我们可看出，用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为“All Users”的文件夹，如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话，你会发现所有用户在登陆时的桌面上都有这个文件，所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。

当网络变成域构架后，所有的域用户可以在任意一台域内的计算机登陆，当你在一台计算机上的用户配置文件修改后，你会发现到另一台计算机上登陆时，所有的设置还是原来的，并没有发生修改，这是因为用户的配置文件是保存在本地的，不管是域用户还是本地用户，都是保存在那台登陆的计算机上。我们可以在“我的电脑”上击“右键”，选“属性”，点“高级”，然后在“用户配置文件”里点“设置”: 请注意“类型”里用红框标出的部分，全部是“本地”，这就说明用户配置文件保存在本地，那么如何才能让用户的配置文件随着帐号走，也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢?为了解决这个问题，就要用到漫游用户配置文件，原理就是把用户配置文件保存在一个网络的公共位置，当用户在计算机上登陆里，会从网络公共位置把用户配置文件下载到本地并加以应用，然后当用户注销时，会把本地的用户配置文件同步到网络公共位置，以保证公共位置用户配置文件的有效性，以便下一次使用。那么如何来实现这个功能呢?现在就来实践一下: 首先，要在一个网络的公共位置开设一个共享文件夹，用来存放用户配置文件，在个实验里，就在域控制器上开设一个为share的共享文件夹，并开放权限:

Windows Server 2008 R2之活动目录服务部署

Windows Server 2008 R2之活动目录服务部署 测试环境： 服务器：计算机名Win2008R2CNDC,已安装Windows Server 2008 R2。 IPV4:192.168.1.13,255.255.255.0,网关地址192.168.1.1 管理员：Bill.XU 实验要求：安装第一个企业根据域控制器域名为https://www.wendangku.net/doc/7b1395499.html,。 部署过程： 以下操作都是以管理员Bill.XU登录完成 方法一：手动部署 1、使用事件查看器(EventVWR.MSC），查看日志情况。并要所查看情况，进行系统诊断，确保安装前系统的状态正常 2、打开网络连接，设置网卡的IP4地址为一静态地址，同时将DNS服务器地址设置为127.0.0.1 3、运行DCPROMO,出现设置向导。设置过程如下图 检测系统是否安装AD域服务二进制文件，如果没有，系统会自动安装(也可以在运行命令之前，通过服务器管理器，添加活动目录域服务角色来安装） 出现活动目录域服务安装向导，选择高级模式（如果不选择此项，安装过程中将无法对有些设置进行更改，如域Netbios名的更改等）

由于这是森林中的第一台服务器，所以选择在新林中新建域。

功能级别，所提供的功能不同。如要使用R2新增的活动目录回收站功能，必须将功能级别提升到2008 R2功能级别。要使用棵粒化密码策略，须将功能级别提升到2008。R2新增了一种功能级别即2008 R2级别。注意功能级别的操作是单向，即当提升到一个高功能级别后，它不能再降为低功能级别。除非得新安装AD域服务 具体见： Appendix of Functional Level Features

活动目录服务的基本安装和配置

活动目录服务的基本安装和配置 Active Directory 是用于Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 Active Directory 是用于Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。Active Directory 的优点:信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS 集成、与其他目录服务的互操作性、灵活的查询。 本章主要内容: 1、活动目录的基本概念及其作用 2、在安装活动目录前的目录规划 3、活动目录工具 6.1 活动目录的概念 6.1.1 域 域提供了多项优点: §组织对象。 §发布有关域对象的资源和信息。 §将组策略对象应用到域可加强资源和安全性管理。 §委派授权使用户不再需要大量的具有广泛管理权利的管理员。 要创建域，用户必须将一个或更多的运行Windows 2000 Server 的计算机升级为域控制器。域控制器为网络用户和计算机提供Active Directory 目录服务、存储目录数据并管理用户和域之间的交互作用，包括用户登录过程、验证和目录搜索。每个域至少必须包含一个域控制器。 域树和域林 活动目录中的每个域利用DNS 域名加以标识，并且需要一个或多个域控制器。如果用户的网络需要一个以上的域，则用户可以创建多个域。共享相同的公用架构和全局目录的一个或多个域称为域林。如图6.1 中所示，如果树林中的多个域有连续的DNS 域名，则该结构称为域树。

Windows Server 2008 R2 AD活动目录域控制器安装配置手册

金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日

Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件： (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤： (4) 1．首先是“开始>运行”打开运行窗口 (4) 2．运行当中输入“dcpromo”开始安装活动目录 (5) 3．进入安装界面 (5) 4．新建域控制器 (6) 5．设置域控制器的域名 (7) 6．设置林功能级别 (8) 7．安装DNS服务器和全局服务 (9) 8．设置保存数据库、日志文件和SYSVOL的位置 (10) 9．设置目录还原模式的Administrator密码 (11) 10．安装完成自动重启 (12) 11．安装完成后的登陆界面 (13) 12．查看安装AD后的相关的服务，AD活动目录安装完成 (14)

安装部署活动目录条件： 硬件需求 硬件 需求 处理器 最低：1.4 GHz（x64处理器） 注意：Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低：512 MB RAM 最大：8 GB（基础版）或32 GB（标准版)或2 TB（企业版、数据中心版及 Itanium-Based Systems 版） 可用磁盘空间 最低：32 GB或以上 基础版：10 GB或以上 注意：配备16 GB以上RAM的计算机将需要更多的磁盘空间，以进行分页处理、休眠及转储文件。 显示器 VGA（800 × 600）或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标（或兼容的指针设备） 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件（除web版以外） 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间

ad活动目录解决方案ppt

ad活动目录,解决方案,ppt 篇一：活动目录AD解决方案 客户现状：现在客户在各地共有4个办公点。每个点采用的是独立的域环境。现在客户希望将分散在各地的办公点连接起来，能够实现各地间的访问与共享。 一、客户方案：通过VPN技术实现网络的互联，并通过林间的信任来实现各地间的互相信任，以达到共享与访问。 客户的方案如下：拓扑图如下： 由于客户各地点域已经建立，现在需要做的如下： 1、DNS的转发： 作用：处理本地没有应答的DNS查询。 方法：每个域内的DNS服务器都需要做到其他域的DNS 转发，以便于DNS的解析。 2、信任关系的建立 作用：为了使不同域可以互相访问。 方法：在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。在这里建立A,B的相互信任，B,C的相互信任，C,D的相互信任，A,D的相互信任（一但前三个相互信任形成，则第四个A，D的相互信任自动形成。） 3、 WINS服务器的安装

作用：信任域间可以通过主机名称进行访问。 方法：每个域建立独立的WINS服务器，并与其他域内的WINS服务器建立“推/拉”伙伴关系，实现域间WINS服务器的同步。各域客户端WINS服务器指向本地服务器。 说明：每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。 二、单域多站点结构 方案拓扑图： 方案描述如下： 所有站点处于同一个域下，每个站点的子网不相同。在A站点建立主DC服务器,其他站点分别建立额外DC，如, , 实现方法： 1. 子网划分：分配各个站点的子网，要求子网不能够相同，比如A站点/24 B站点 /24; C站点/24; D站点/24 2. 主DC的建立：A站点域控制器集成AD与DNS服务，并且在DNS 上做转发，实现对外网的访问。在A站点建立域内主DC，DNS地址指向本地地址。 3. 额外DC的建立：首先DC

计算机网络原理 安装活动目录服务

计算机网络原理安装活动目录服务 活动目录(Active Directory)是用于Windows 2003的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。 1．DNS与活动目录 由于活动目录与DNS是集成的，并且共享相同的名称空间结构，因此注意两者之间的差异非常重要： ●DNS是一种名称解析服务 DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收名称查询，并且解析名称查询，或者进行名称解析。DNS不需要活动目录可以独立运行。 ●活动目录是一种目录服务 活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol，LDAP)”向活动目录服务器发送查询。然后要定位活动目录服务器，活动目录客户机将查询DNS。即活动目录用于组织资源，而DNS用于查找资源；只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。2．规划活动目录 为了让用户和管理员操作更为方便，在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计。 ●规划DNS 如果用户准备使用活动目录，则需要首先规划名称空间。在Windows 2003中，用DNS 名称命名活动目录域。选择DNS名称用于活动目录域时，以保留在Internet上使用的已注册DNS域名后缀开始(如https://www.wendangku.net/doc/7b1395499.html,)，并将该名称和单位中使用的地理(部门)名称结合起来，组成活动目录域的全名。 ●规划用户的域结构 最容易管理的域结构就是单域。规划时，用户应从单域开始，并且只有在单域模式不能满足用户的要求时，才增加其他的域。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。在一个域中，可以使用组织单元(OU，Organizational Units)来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。 ●规划用户的委派模式 用户可以将权限下派给单位中最底层，方法是在每个域中创建组织单元树，并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限，用户不再需要那些定期登录到特定账户的人员，这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组，可以仍保留这些账户以备少数管理员使用。 3．安装活动目录服务 首先，用户必须有安装活动目录的管理员权限，否则无法安装。在安装活动目录之前，要确保系统盘为NTFS分区。同时，已做好了DNS服务器的解析，如https://www.wendangku.net/doc/7b1395499.html,。 在安装活动目录前首先确定DNS服务正常工作，下面我们来安装根域为https://www.wendangku.net/doc/7b1395499.html,的域控制器。其操作步骤如下： （1）执行【开始】|【控制面板】|【管理工具】|【配置您的服务器向导】命令，打开【配置您的服务器向导】对话框，如图11-13所示。

企业AD域控规划设计方案

企业活动AD域控规划方案活动目录介绍 活动目录是Windows 2003网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。

活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.1. 应用Windows 2003 Server AD的好处 Windows 2003 Server是微软最新推出的网络操作系统服务器，它沿用了Windows 2000 Server 的先进技术并且使之更易于部署、管理和使用。其结果是：其高效结构有助于使您的网络成为单位的战略性资产。 应用Windows 2003 Server的好处如下表所示： 优势描述 可靠性Windows Server 2003 是迄今为止最快、最可靠和最安全的Windows 服务器操作系统。 ●提供集成结构，用于帮助您确保商业信息的安全性。 ●提供可靠性、实用性和可伸缩性，使您可以提供用户需要的网络结构。

实验指导书(项目2)-活动目录的安装与配置

实验二：活动目录域服务的安装与配置 实训课时：2 实训目的： 1、理解域环境中计算机4种不同的类型。 2、熟悉Windows Server 2008域控制器、额外域控制器以及子域的安装。 3、掌握确认域控制器安装成功的方法。 实训要求： 这个项目需要分组来完成完成。 1、安装5 台独立服务器win2008-1、win2008- 2、win2008- 3、win2008-4 和win2008-5 要求： 把win2008-1 提升为域树https://www.wendangku.net/doc/7b1395499.html, 的第一台域控制器； 把win2008-2 提升为https://www.wendangku.net/doc/7b1395499.html, 的额外域控制器； 把win2008-4 提升为域树https://www.wendangku.net/doc/7b1395499.html, 的第一台域控制器； https://www.wendangku.net/doc/7b1395499.html, 和https://www.wendangku.net/doc/7b1395499.html, 在同一域林中； 把win2008-3 提升为https://www.wendangku.net/doc/7b1395499.html, 的域控制器， 把win2008-5 加入到https://www.wendangku.net/doc/7b1395499.html,中，成为成员服务器。 各服务器的IP 地址自行分配。实训前一定要分配好IP 地址，组与组间不要冲突。 2、请读者上机实训前，一定做好分组方案。分组IP 方案举例（以第10 组为例，每 组 3 人）：5 台计算机的IP 地址依次为：192.168.10.1/24、192.168.10.2/24、 192.168.10.3/24、192.168.10.4/24、192.168.10.5/24。 3、在上面项目完成的基础上建立https://www.wendangku.net/doc/7b1395499.html,和https://www.wendangku.net/doc/7b1395499.html,域的双向的快捷信任关系。 4、在任一域控制器中建立组织单元outest，建立本地域组Group_test，域账户User1 和 User2，把User1和User2加入到Group_test；控制用户User1 下次登录时要修改密码，用户User2可以登录的时间设置为周六、周日8:00～12:00，其他日期为全天。 实验设备和环境 安装虚拟机和WindowsServer2008系统的计算机5台 实训内容： 1．创建第一个域https://www.wendangku.net/doc/7b1395499.html, ①在win2008-1上设置TCP/IP 协议，并且确认DNS 指向了自己。 ②在win2008-1上安装AD 域服务。 ③在win2008-1上安装活动目录（dcpromo.exe）。注意将DNS服务器一同安装。 2．安装后检查 ①查看计算机名。 ②查看管理工具。 ③查看活动目录对象。 ④查看Active Directory 数据库。 ⑤查看DNS 记录。 3．安装额外的域控制器win2008-2 ①首先要在win2008-2 服务器上检查“本地连接”属性，确认win2008-2 服务器和现在 的域控制器win2008-1 能否正常通信；更为关键的是要确认“本地连接”属性中TCP/IP

AD域部署方案

AD域部署方案 一、综述： 活动目录(AD)为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。 二、客户题： 客户方随着企业规模扩大，办公电脑数量增多，员工数量增加，随之而来就是管理题的突显；各种软件的安装，网上冲浪，聊天工具的使用；都对公司的正常业务带来影响； 三、解决方案的架构： 1、公司采用单域单站点管理模式，建设AD与BAD，即主域控器与备份域控制器，在其下面采用U（组织单元）的模式进行集中管理各部门人员与电脑。此种管理模式，成本降低，且减少管理复杂度和维护量。 2、AD(主域控制器)：公司所有权限管理，用户建立以及各种策略、软件等的管理及实施到每台电脑。 3、BAD(备份域控制器)：采用与AD完全相同的设置，继承AD上的所有管理资料，防止AD出现故障后，公司电脑无法登陆AD和使用网络资源，在BAD服务器上，建立资源共享件夹，即Fileserver，进行公司种件的共享和使用，将BAD 服务器做成WSUS服务器（indos补丁服务器），管理公司所有电脑的补丁的下载与提供安装的服务，如有需要还可集成SASERVER服务器，进行公司网络的管控（上外网的的控制）。 四、解决方案的优势： 1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 n域控制器集中管理用户对网络的，如登录、验证、目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。 n域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以该域中已经开放的全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法未登陆域服务器中的资源或无法获得未登陆域的服务。 2、安全性高，有利于企业的一些保密资料的管理，比如一个件只能让某一个人看,或者指定人员可以看,但不可以删改移等。 3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中，对管理员来说有好处统一管理,方便在S 软件方面集成,如SAEXCHANGE(邮件服务器)、SASERVER(上网的各种设置与管理)等。 5、使用漫游账户和件夹重定向技术，个人账户的工作件及数据等可以存储

AD活动目录规划方案

XXXX集团 活动目录规划方案

目录 1. 前言 (3) 2. 活动目录规划 (3) 2.1. 活动目录介绍 (3) 2.2. 应用 Windows 2003 Server AD 的好处 (4) 2.3. 明确系统规划目标 (7) 2.4. 活动目录设计方案 (8) 3. 用户关心问题解答 (9) 3.1. 活动目录优势 (9) 3.2. 重要组策略介绍 (11) 3.3. 计算机从工作组加入到域可能存在的问题和解决方法 (15) 4. 活动目录方案实施 (16) 4.1. AD 域命名和 DNS 的规划 (16) 4.2. 确定 AD 逻辑结构 (16) 4.3. 确定 AD 物理结构 (17) 4.4. 规划 OU 结构和组策略 (18) 4.5. 创建OU 以管理和委派 (19) 4.6. 创建OU 支持组策略 (19) 4.7. 应用组策略选项 (20) 4.8. 硬件设备选型建议 (21) 5. 活动目录服务内容 (22) 5.1. 可行性调查 (22) 5.2. 规划活动目录部署方案 (22) 5.3. 部署活动目录服务 (22) 5.4. 制订活动目录管理维护规范 (23) 5.5. 工程师定时上门进行活动目录日常维护 (23) 5.6. 处理活动目录紧急情况 (23) 5.7. 整理和存档资料 (24) 5.8. 培训系统管理员 (24) 6. 服务质量保证 (25) 7. 部分成功案例 (28)

1.前言 本文档是张家港保税区金凯迪电脑贸易有限公司结合自身长期为客户提供全面的 IT 顾问咨询服务和应用解决方案积累起来的丰富经验，为企业规划 Windows 2003 AD 企业目录服务的解决方案建议。 由于计算机安全和管理的需要，IT 部门计划部署活动目录，希望所有的计算机分阶段加入到域，通过活动目录加强计算机安全和桌面管理，并为进一步部署 Exchange、SMS 等微软产品打下坚实的基础架构。 方案包括以下组成部分： 活动目录整体规划 用户关心问题解答 活动目录方案实施 活动目录服务项目 服务质量保证 2.活动目录规划 设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义，并对部署微软的相关产品如 Exchange 等具有举足轻重和决定性的重要意义。 2.1. 活动目录介绍 活动目录是 Windows 2003 网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。

AD安全优化解决方案

AD安全优化解决方 案

AD安全优化解决方案 设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义，并对部署微软的相关产品如Exchange 等具有举足轻重和决定性的重要意义。 1.1. 活动目录介绍 活动目录是Windows 网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构能够有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统能够轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说，活动目录的这些功能使组织机构能够将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构经过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也能够使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.2. 应用Windows Server AD的好处 Windows Server是微软最新推出的网络操作系统服务器，它沿用了 Windows Server 的先进技术而且使之更易于部署、管理和使用。其结果是：其高效结构有助于使您的网络成为单位的战略性资产。

实验五 活动目录服务(AD的安装、加入和退出域、域用户的管理和配置)

实验五活动目录服务（AD的安装、加入和退出域、域用户的管理和配置） 【实验目的】 1、理解域的概念，掌握AD的安装方法。 2、掌握加入和退出域的方法。 3、掌握域用户的管理和配置，组的规划和建立。 4、了解Windows Server 2003域用户和本地用户的区别。 5、理解组的概念和作用，认识组的类型。 【实验内容】 1、练习AD的安装方法， 2、练习加入和退出域的方法。 3、练习域用户的管理和配置，组的规划和建立 【实验步骤】 一、安装活动目录 1）新建DC的角色。在开始菜单中点击“管理您的服务器”，在打开的画面中点击“添加或删除角色”。 2）在“预备步骤”对话框中，单击[下一步]按钮，出现“服务器角色”对话框后，选择“域控制器”，按[下一步]继续。 3）在“选择总结”对话框中，单击[下一步]按钮，随后会进入AD安装向导过程，（如果直接执行“dcpromo”命令也可以启动AD安装向导，则可以省略前三个步骤），单击[下一步]按钮。 4）出现“操作系统兼容性”对话框，单击[下一步]按钮，在“域控制器类型”对话框中，我们将在这个向导中建立一个新域的DC和林，所以我们选择“新域的域控制器”，按[下一步]按钮继续。 5）选择“在新林中的域”，按[下一步]按钮继续，。 6）出现如下图所示，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如:https://www.wendangku.net/doc/7b1395499.html, 或者https://www.wendangku.net/doc/7b1395499.html,或者https://www.wendangku.net/doc/7b1395499.html,之类的DNS全名。按[下一步]按钮继续。 7）在“NetBIOS域名”对话框中，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。 8）在出现“数据库和日志文件夹”的对话框中（如下图），这些文件夹必须放在NTFS分区上，注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。按[下一步]按钮继续。 9）在出现“共享的系统卷”对话框中，该文件夹必须放在NTFS分区上，在Windows Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。按[下一步]按钮继续。 10）在出现“DNS注册诊断”对话框中，这里我们选择为新域安装和配置D N S服务器,选择“在这台计算机上安装并配置D N S……”单选按钮（推荐），按[下一步]按钮继续。 11）在出现“权限”对话框中，选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”，按[下一步]按钮继续。 12）在出现“目录服务还原模式的管理员密码”对话框中（修复目录服务都必须在DC的“目录服务还原模式”下来完成，因为当目录服务正在工作的情况下是不能对它修改的）。这里我们不用填写密码，按[下一步]按钮继续。 13）在出现“摘要”对话框中，详细记录着AD安装信息，按[下一步]按钮继续。

AD域控规划方案解析

活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后，企业信息化建设者和网络管理员可以从中获得如下好处： 1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理

活动目录的概念

活动目录的概念 域 域提供了多项优点： §组织对象。 §发布有关域对象的资源和信息。 §将组策略对象应用到域可加强资源和安全性管理。 §委派授权使用户不再需要大量的具有广泛管理权利的管理员。

6.1.5 Active Directory 用户和计算机帐户 Active Directory 用户和计算机帐户代表物理实体，诸如计算机或人。用户帐户和计算机帐户（以及组）称为安全主体。安全主体是自动分配安全标识符的目录对象。带安全标识符的对象可登录到网络并访问域资源。用户或计算机帐户用于： §验证用户或计算机的身份。 §授权或拒绝访问域资源。 §管理其他安全主体。 §审计使用用户或计算机帐户执行的操作。 Windows 2000 提供了可用于登录到运行 Windows 2000 的计算机的预定义用户帐户。这些预定义帐户为：§管理员帐户 §来宾帐户 预定义帐户就是允许用户登录到本地计算机并访问本地计算机上资源的默认用户帐户。设计这些帐户的主要目的是本地计算机的初始登录和配置。每个预定义帐户均有不同的权利和权限组合。管理员帐户有最广泛的权利和权限，同时来宾帐户有受限制的权利和权限。 组策略 组策略设置影响计算机或用户帐户并且可应用于站点、域或组织单位。它可用于配置安全选项、管理应用程序、管理桌面外观、指派脚本并将文件夹从本地计算机重新定向到网络位置。 集成DNS 由于 Active Directory 与 DNS 集成而且共享相同的名称空间结构，因此注意两者之间的差异非常重要：§DNS 是一种名称解析服务。 DNS 客户机向配置的 DNS 服务器发送 DNS 名称查询。DNS 服务器接收名称查询，然后通过本地存储的文件解析名称查询，或者查询其他 DNS 服务器进行名称解析。DNS 不需要 Active Directory 就能运行。 §Active Directory 是一种目录服务 Active Directory 提供信息储存库以及让用户和应用程序访问信息的服务。Active Directory 客户使用"轻量级目录访问协议 (LDAP)"向 Active Directory 服务器发送查询。要定位 Active Directory 服务器，Active Directory 客户机将查询 DNS。Active Directory 需要 DNS 才能工作。 即 Active Directory 用于组织资源，而 DNS 用于查找资源；只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。DNS 是 Active Directory 的关键组件，如果没有 DNS，Active Directory 就无法将用户的请求解析成资源的IP地址，因此在安装和配置 Active Directory 之前，用户必须对 DNS 有深入的理解。 6.1.8组织单位 包含在域中的特别有用的目录对象类型就是组织单位。组织单位是可将用户、组、计算机和其他单位放入其中的 Active Directory 容器。组织单位不能包括来自其他域的对象。组织单位是可以指派组策略设置或委派管理权限的最小作用域或单位。使用组织单位，用户可在组织单位中代表逻辑层次结构的域中创建容器。这样用户就可以根据用户的组织模型管理帐户和资源的配置和使用。 安装活动目录(ADS) Active Directory 的规划