活动目录域学习笔记

一、计算机内的存储结构：线性存储，树状存储（在存储大量内容时，检索速度较快）

二、C:\windows\ntds\ntds.dit 记录的域中所有的内容安全主体访问安全对象域的架构（记录了域中存储的元素）：规定了域中可以存在哪些元素。这些元素是主体是对象这些元素有哪些属性对象：计算机、用户、组

三、域的存储

活动目录域会把所有的内容记录在数据库中，形成一个目录，这个目录分成了五个分区，用来存储不同的内容

1、域目录分区----〉域中的用户和计算机以及组

2、配置目录分区----〉域中的配置信息

3、架构目录分区----〉架构：规定了域中可以存在哪些元素这些元素包括哪些内容（安全主体、安全对象：分别具体哪些属性）

4、全局编录分区

5、应用程序目录分区

四、域的组织

1、统一的边界的管理父域的管理员可以管理子域，子域的管理员不能管理父域或其他子域。

2、分散管理，相互信任（信任边界），实现跨边界的管理，就要建立林信任关系，在多个域中建立信任关系，方便域之间的协作，同时形成一个新的管理团队。林中有一个特别的域叫做根域，根域的管理员可以协调域之间的协作关系，使两个及其两个以上的域关系密切，通过传递性而得到的信任关系，可称为隐性的信任关系！

五、DNS的问题使得多个管理边界无法合并，只能是分散管理，互相信任

1、活动目录域需要DNS的支持

2、不同的二级DNS域不能合并成一个管理边界

六、将xp加入contoso域思考：1、如果xp 未配置DNS 2、如果XP DNS配置错误

3、如果XP配置正常但域控上的ＤＮＳ服务不正常会有什么结果？

１、结果：没有ＤＮＳ，ＡＤ可以正常工作，借助于（NETBIOS）ＮＢＮＳ缺点：（１）在互联网上表现很差，以至于在大型网络里表现也很差；（２）缺乏集中管理。如果使用ＡＤ＋ＮＢＮＳ，则不利于大型网络的管理，使ＡＤ的功能大打折扣，所以使用ＡＤ＋ＤＮＳ如果DNS安全、可靠并且支持SRV记录，最好能支持自动更新，可以使用不是windows 下的DNS有这些功能的就可以使用

七、定义AD的需求

行政管理需求

技术需求

项目约束

企业的各种需求是说服领导层同意部署的最好的理由

行政管理需求

业务需求

1.使企业内部的信息流动更安全更有效率

2.满足公司开展的新业务

案例：海天学院为了招生部署了CRM办公自动化系统，这套系统需要AD的支持法律需求

技术需求

服务级别协议（SLA）

1、服务质量承诺

性能：企业的高层管理可能会指定部署的服务要满足一定的最大访问量和一定的响应等待时间

案例：公司会要求员工能够在5s内登陆到系统，系统最多可以为20000人提供服务

可用性：部署的服务要尽量少的产生故障

案例：公司要求在周一到周五的白天，整套服务至少有99.98%的时间是可用的

恢复：在出现故障，影响到了服务后，在一定时间内将性能恢复到某种程度，并最终恢复的原有水平

案例：当出现不可抗拒的因素导致服务中断时，服务可以在2小时内恢复到10%，4小时内恢复到50%，24小时内恢复到原有性能

安全需求

1、服务器的物理安全

在公司的主园区，会有专门的机房保证服务器的物理安全，但是在外派的分支机构，由于成本的限制，服务器经常遭遇断电或偷窃

2、企业业务上核心数据的存储

3、身份认证

项目约束

资源约束

可以投入的人力物力财力

时间和日程的约束

部署过程中，可能会对公司的日常办公产生影响。那么部署时间要尽量避开公司业务高峰期

记录当前环境

基础网络环境

企业内有多少计算机多少用户

计算机和用户的物理分布

IP地址规划

网络连接

已有的安全策略

DNS基础结构

注册了多少域和域名

有几台DNS服务器，服务器之间的关系

由谁来管理DNS

已有的活动目录域

林创建出来的标志是林中的第一个域创建出来

域创建出来的标志是域中的第一域控制器的架设好

搭建好域控后的检查工作

文件和文件共享net share NTDS SYSVLOL

控制台AD用户和计算机、AD域和信任关系、AD站点和服务、ADSI Edit、DNS、组策略管理

DNS SRV记录正向查找区域https://www.wendangku.net/doc/c55735261.html, https://www.wendangku.net/doc/c55735261.html,

八，部署AD

配置各种DC

1、域中的第一台DC

２、域中的第二台DC

1）配置TCP/IP时需要配置DNS（TCP/IP协议的配置）

２）加入到域时需要与管理员的身份验证

3）定义如何与其他的DC进行数据同步

4）（可选）同步DNS数据（DNS和AD数据同步）

RODC的应用场景

１）分支机构缺乏必要的安全措施

ａ）密码复制策略，敏感用户的密码可以选择不存在RODC

２）分支机构缺乏必要的管理人员

ａ）委派一个用户而不是管理员进行管理

３）推荐在RODC上添加一个DNS辅助区域而不是主区域

林信任和安全的边界：在分配权限时，最远能够分配到的位置

4、子域DC

5、林中其他域的DC

６、AD的使用和管理（安全主体访问安全对象）

重新认识一下安全主体（标识符：与其它主体区别开SID：ADSI Edit：查看连接安全主体的SID、凭据：防止安全主体之间相互冒充）

SID的格式（这个安全主体的安全边界）S-1-5-21（WINDOWS下安全标识符）-X-Y-Z（安全标识符的颁发机构可以是本计算机）-W（相对标识符：把这个安全主体和其他的安全主体区别开），在同一计算机上的用户和组其SID只有最后的W有不同

AD中是如何保证SID的唯一性的？

在域中有些任务需要严格地数据同步，而域中的数据同步是一种松散的数据同步，造成SID冲突，这些任务不再适合“议会式（商量着）”的管理方法，在这里就要使用“独裁”的管理方法，由一台指定的DC来完成这个任务，然后通告给其他的DC。这个指定的DC被称为操作主机

单域中多域控的场景，域控数据基准同步，其中一台域控为指定的操作主机。

OSPF路由协议就是运用这个思想，指定一个路由器，其他路由器与此建立邻接关系，保证了数据的一致。把任务交给一个路由器来完成，之后共享给各个设备。

管理“使用者”：用户和组（如何实现认证与授权）在AD中有三种主体可以和一个人对应：用户（可以分配权限，即可以有令牌）、Inet Org Person（可以分配权限，可以有令牌）（用户和InetOrgPerson权限由令牌决定能否访问某个对象）、联系人（不可以分配权限，没有令牌，不能访问其他对象）。令牌：本质上是一种基于角色的访问控制列表（ACL），描述了这个“角色”的权限。NTFS令牌，用户加上分配的权限就是一个令牌。

用户使用微软的私有协议，InetOrgPerson使用开放式协议，可以和其他OS兼容。

任何“人”都不可以一个安全组的身份来访问资源，配置一个用户隶属于某个组，这个用户就拥有了这个组的权限。（对安全组的使用，只有令牌，没有凭据）。通讯组，联系人作用：记录联系人的属性。

全局组：在信任边界（两个域互相建立信任关系之后，就构成了一个林。他们之间就是一个

信任边界或者是安全边界）使用的通用组：在管理边界（只限于单个域中）使用的。

用户的几个标识符：登录名（与SID一一对应，全域唯一的）、显示名（组织单位内唯一）---相关联--姓名缩写（不属于标识符）。登录名可以重复使用，即删除后还可以分配给新用户，SID不会再次分配。用户对应文件，显示名对应文件名，组织单位对应文件夹

九、林信任关系

1、建立林信任关系https://www.wendangku.net/doc/c55735261.html, https://www.wendangku.net/doc/c55735261.html,a

2、ａ）允许或限制某个用户在哪段时间内在成员计算机上登录（策略）

不提倡在本域的对象上给其他域的组分权限，

不提倡将其他域的帐户直接加入到本地的一个组（造成本地组的混乱）

组的成员管理以及组的嵌套（跨域的管理）

将本地的用户加入本地的全局组

将本地的用户加入其他域的全局组

将本地的本地域组加入到其他域的本地域组

将本地的本地域组加入到其他域的全局域组

将本地的全局域组加入到其他域的本地域

将本地的全局域组加入到其他域的全局域组？（全局域组只能包含位于同一个域内的用户账户和全局域组）

使用全局组来管理用户，使用本地域组分配权限，将全局组加入到本地域组（A G DL P）

十、使用策略管理用户和计算机

一、GPO是组策略对象，是一系列策略的集合。OU是AD中的文件夹。是一种特殊的容器，可以和GPO发生链接。容器：树状结构的一个分支称为一个容器。在AD用户和计算机下，默认情况下建立的都是组织单位，不能新建容器。在ADSI中可以新建容器。在新建组织单位时，默认情况下禁止删除，要想删除，就单击AD下的查看——〉高级功能——〉右击组织单位——〉选择属性——〉选择对象选项卡——〉将下面防止对象被意外删除的复选框勾

打掉。再进行删除。

二、策略生效顺序

1、中央高于地方：域策略生效压制本地策略

2、特权高于民权：离树根远的策略生效压制离树根进的策略影响的范围（小的范围生效，压制大的范围）

３、当一个用户在成员机上登录时，先读取本地组策略，先不急着应用，再读取域策略，再读取较大的OU策略，再读取较小的OU策略。在实际使用过程中，尽量避免策略叠加的现象。

三、软件限制

1、新建路径规则

2、文件散列规则（通过修改散列值来破除，在本地中叫做散列规则），即新建哈希规则（在域中叫做哈希规则）

3、在域中用路径规则，计算机禁用用户启用软件不可使用

计算机启用用户禁用软件不可使用

用哈希规则时，计算机禁用，用户启用软件不可使用

计算机启用，用户禁用软件不可使用

当同时使用哈希和路径规则时，哈希规则优先

优先级排序依次是哈希规则证书规则路径规则网络区域规则

4、在本地

四、使用组策略为多个用户映射网络驱动器（用户首选项）

把新建的共享文件夹在域中发布出来，方便在映射时使用

为一个用户使用用户主文件夹

五、用组策略部署软件.msi的安装程序，记得先让受影响的帐户在成员机上登陆，之后刷新策略。.msi的安装调用windows installer服务

（用户策略）发布给用户，客户端安装已发布的软件，手动安装，控制面板上，从网络获取程序

分配给用户，1）在用户第一次使用这个应用程序（a，执行快捷方式b，打开关联的文档）时会自动安装，2）在用户登陆时安装此应用程序

（计算机策略）对于软件只有分配，没有发布。用户在下一次登陆时，即下一次启动时。

.exe的安装程序，需要做.zap文件来辅助，只能发布给用户。

这样部署软件的局限性：兼容性较差，主动性较差，网络资源占用（不是服务器决定什么时候安装，当很多个客户端向服务器发出安装请求时，占用太多资源，服务器容易down掉）。唯一一个好处就是价格低，易实现。

SCCM软件在主动性（单播环境下，在客户端登陆时，实现一个“推”的动作，使客户端安装程序。在数据包非常多的情况下，网络链路负载过重。），网络资源占用（使用组播，路由器自动复制多个数据包，转发数据包）情况上，有所改观。SCCM管理性强，组播节省带宽。但是价格高。到了IPv6里面就完全没有广播了，而RIPv1是广播，RIPv2是多播。

十一、WDS

1、使用组播应对大批量的安装系统，使用单播进行一对一的安装

2、Pxe预安装环境（开机检查，就可以看到这个环境），也叫预启动执行，集成了TCP/IP

协议簇，烧录在网卡和主板上的一套“代码”，支持MAC，支持动态分配IP地址，支持UDP协议，支持TFTP（简单的文件传输协议，简单些，效率高，可靠性差些），而WDS 集成TFTP 协议。WDS要求客户端有Pxe环境。

3、启动映像，安装映像

1，使用access-list定义数据

a)Ip access-list extended 101

b)Permit tcp any any eq telnet

2，使用策略路由定义如何处理这些数据

a)Route-map tel //创建一个策略路由

b)Match ip address 101 //调用访问控制列表101

c)Set ip next-hop 192.168.24.4 //对于101定义的数据，转发给192.168.24.4 3，在fa1/0接口上应用这条策略

a)Int fa 1/0

b)Ip policy route-map tel 将这条策略应用到fa 1/0

RIP协议，

Rip协议是使用跳数作为度量的距离向量协议，该协议非常简单，适用于小型网络。Rip是有类

1、防止路由器半双工数据帧发生损坏，发明了抖动

一个路由上的接口网络时断时续，或者供电时断时续，更新30s，失效180s，保持180s，清空240s

2、水平分割：从某个接口学到的路由不会再传回该接口，避免环路的一种方法

3、操控Rip协议的度量值

4、定义RIP对邻居的认证

Key chain chain-name(定义了一个钥匙串)

Key 1(字符abc-123 Key-string 密码，发送时间1月全月，接收时间1月全月)

Key 2(字符abc-456 发送时间2月全月，接收时间2月全月)定义好使用周期，周期已到，就自动使用相应密钥串，这是密钥的自动更新，防止被破解。要求路由器的更新计时器时间一致

Router rip

Version 2

Int 第一个路由的接口

Ip rip authentication key-chain chain-name

进入端口

ip rip authentication mode md5|text

5、rip version 1的特性

关于掩码，rip version 1不发送掩码，接收到一个子网A，

一、如果此路由器上没有与该子网位于同一主网的子网，会为该子网添加一个主网

掩码（主网是IP地址的分类A B C）

二、如果此路由器上有与该子网位于同一主网的子网B则为A使用B子网的掩码

三、边界汇总：RIP会对路由表进行一次简化，当RIP从一个接口发送更新时，如

果检测到以下现象a）该接口位于主网A中

b)发送的更新中有一条或者多条B主网中的子网。

那么路由器在更新的数据中会把B主网中多条子网的路由整合一条汇总路由，该汇

总路由的目标地址为主网B，而发布B主网这一条路由。当两端接口处于同一主网

中时，不触发边界汇总。

四、主网：一个IP地址按照传统的ABC类地址处理时所属的子网成为这个地址所

属的主网。主网和掩码，网段无关。看IP属于哪一类IP地址，来判断属于哪

一类主网，加上一般的掩码（A类8，B类16，C类24）来掩出主网。

五、有类路由

六、无类路由（CIDR，子网、超网）

七、汇总

6、思科IGP（内部路由协议interior gateway protocol,用于在单一自治系统autonomous system 内决策路由）：ODP（使用于Hub-spoke，星型网络）、RIP（适用于16跳得小网络）、EIGRP （只能在CISCO的路由器上运行）、OSPF、IS-IS（IPv4）IPv6：RipNg

7、距离向量路由协议（距离向量路由协议有如下几种：IP RIP、IPX RIP、A p p l e Talk RT M P 和I G R P。）：距离向量路由协议(distance vector routing protocol)是为小型网络环境设计的。在大型网络环境下，这类协议在学习路由及保持路由将产生较大的流量，占用过多的带宽。如果在9 0秒内没有收到相邻站点发送的路由选择表更新，它才认为相邻站点不可达。每隔30秒，距离向量路由协议就要向相邻站点发送整个路由选择表，使相邻站点的路由选择表得到更新。这样，它就能从别的站点（直接相连的或其他方式连接的）收集一个网络的列表，以便进行路由选择。距离向量路由协议使用跳数作为度量值，来计算到达目的地要经过的路由器数。

链路状态路由协议：链路状态路由选择协议又称为最短路径优先协议，它基于Edsger Dijkstra的最短路径优先（SPF）算法。它比距离矢量路由协议复杂得多，但基本功能和配置却很简单，甚至算法也容易理解。路由器的链路状态的信息称为链路状态，包括：接口的IP地址和子网掩码、网络类型（如以太网链路或串行点对点链路）、该链路的开销、该链路上的所有的相邻路由器。（OSPF）： EIGRP是混合的路由协议

8、单区域OSPF配置

1）Routr ospf 进程号(各个路由器上的进程号可以不一致，它只会在本路由上发布，

不会影响到其它的路由)

Network 网段反码area 0

Show ip ospf database(查看OSPF数据库)

2）邻接：show ip ospf neighbor查看此路由与哪个路由建立的邻接关系

3）收敛：使路由器处于稳定的状态

4）OSPF区域：area 0 是最主要的区域。即数据同步边界。每个路由器都知道整个网络的环境，适用于小型的网络，但对于大型的网络就太过耗费CPU和内存，于是引入了区域的概念。有0~65535个区域。即将大型网络分割成多个部分，分别进行管理。每个部分为一个区域，会将自己网络的情况整理后交给Area 0，同时Area 0 会告诉一个区域其他区域的情况。首先每个区域内自己先达到一种稳定的状态，即收敛的状态。

5）每个路由是怎么做到知道整个网络的环境的？相互之间发送通告。Rip通告中，更新只会告诉相邻路由，通过相邻的路由再转发给其他路由。而OSPF的通告会向整个区域中的任何一台路由器发送通告。

6）怎么发送通告的？1）本路由器的RouterID（一般情况下，路由器会选择它各个接口上地址最大的IP作为自己的ID，但是不稳定，可控性不强。所以使用回环口上的OSPF）clear ip ospf process清空所有进程

2）我连接着哪些Router,即我的邻居是谁

3）我连接着哪些链路

通告给其他路由器，形成一个拓扑图，从拓扑图中生成一棵生成树，从生成树中找到最短路径。容易引起环路，要断路生树。到所有路由器的路径最短的生成树。在交换机上这种断路生树叫做SPF协议。（通告成图，图中多路，断路生树，树中单路）

Windows Server 2003活动目录与域控制器

实验二Windows Server 2003活动目录与域控制器 [注意事项]： 1、在虚拟机软件里自己安装的网络操作系统中做实验。 2、有两种方式打开安装或删除活动目录的界面： （1）用命令“开始——管理工具——配置您的服务器向导”（Server 2003才有）。 （2）用命令“开始——运行——输入‘dcpromo’”。 3、密码可以设置与5.1管理员相同的密码或设置另外的密码，并且一定要书面记住密码。 4、安装结束后出现配置DNS服务器的选项，选择让系统自动配置。 5、安装活动目录成功后的标志见下图5.19。 6、安装好活动目录后，请不要再次运行“dcpromo”命令，否则会删除已安装的活动目录。 一、实验目的 学习活动目录的安装和删除（实验只要求安装）。 二、实验内容 1．活动目录的安装（升级） 2．活动目录的删除（降级）——理论上掌握，具体实验不要做 三、实验理论基础 活动目录是Windows Server 2003网络中提供的目录服务。目录服务也是一种网络服务，它把网络中的资源信息集中存储起来，并将其提供给用户和应用程序使用。它提供了一种一致化的命名、描述、定位、管理和设置相应安全的方法。通过提供通用的网络资源接口和直观的网络资源访问界面，使用户能够以一致的方式管理自己的整个网络。 由于活动目录中网络资源信息集中存放和管理，使得网络的物理结构和网络所使用的传输协议对用户来讲变得透明起来。当用户访问网络时，无需了解资源的物理位置和连接方法，就可以访问资源。这对于多数缺乏网络专业知识的网络普通用户来说，显得格外有意义。使管理员和一般用户可以方便地查找和使用网络信息，同时也更便于网络管理员有效的管理网络。 活动目录是由组织单位（OU）、域（Domain）、域树（Domain Tree）和森林（Domain Forest）组成的层次结构，它存储有关计算机网络对象的信息。例如，用户、组、计算机、组织、帐户、共享资源和打印机等等。 域是网络对象的分组，如用户、组和计算机。它是最基本的管理单元，同时也是最基层的容器，它可对用户、计算机等基本数据进行存储，域中的对象均为该域的成员。在一个AD中可以根据需要建立多个域。 在域中作为服务器的计算机可以充当成员服务器或域控制器中的任何一个角色，而不在域中的服务器则为独立服务器。 成员服务器是属于某个域，并安装了Windows 2000Server家族或Windows Server 2003家族的操作系统的计算机。该计算机不是域控制器，不处理帐户登录、不参与活动目录的复制，也不存储域安全策略信息。成员服务器通常用作以下几种类型的服务器：文件服务器、应用程序服务器、数据库服务器、Web服务器、证书服务器、防火墙和远程访问服务器。

AD活动目录域信任关系图解

AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系，所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B，且域 B 信任域 C，则域 C 中的用户可以访问域 A 中的资源（如果这些用户被分配了适当的权限）. 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证：Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议，则使用 NTLM 协议.

信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中，域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任，也可以是可传递信任，这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时，系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中，域 A 信任域 B，并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的，也可以是可传递的，这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任（可传递或不可传递）、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任，部分用户资源互访。 配置双向信任关系:

管理员操作手册 AD域控及组策略管理 CTO

AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介 1、工作组与域的区别........................................ 2、公司采用域管理的好处.................................... 3、Active Directory(AD)活动目录的功能...................... 二、AD域控（DC）基本操作.................................... 1、登陆AD域控............................................. 2、新建组织单位（OU）...................................... 3、新建用户................................................ 4、调整用户................................................ 5、调整计算机.............................................. 三、AD域控常用命令.......................................... 1、创建组织单位：(dsadd)................................... 2、创建域用户帐户(dsadd)................................... 3、创建计算机帐户(dsadd)................................... 4、创建联系人(dsadd)....................................... 5、修改活动目录对象（dsmod）............................... 6、其他命令（dsquery、dsmove、dsrm）....................... 四、组策略管理 .............................................. 1、打开组策略管理器........................................ 2、受信任的根证书办法机构组策略设置........................ 3、IE安全及隐私组策略设置 .................................

活动目录(域控)解决方案

活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日

目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误！未定义书签。

AD域控规划方案解析

活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。

1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后，企业信息化建设者和网络管理员可以从中获得如下好处： 1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放的全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展

Windows Server 2008 R2 AD活动目录域控制器安装配置手册

金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日

Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件： (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤： (4) 1．首先是“开始>运行”打开运行窗口 (4) 2．运行当中输入“dcpromo”开始安装活动目录 (5) 3．进入安装界面 (5) 4．新建域控制器 (6) 5．设置域控制器的域名 (7) 6．设置林功能级别 (8) 7．安装DNS服务器和全局服务 (9) 8．设置保存数据库、日志文件和SYSVOL的位置 (10) 9．设置目录还原模式的Administrator密码 (11) 10．安装完成自动重启 (12) 11．安装完成后的登陆界面 (13) 12．查看安装AD后的相关的服务，AD活动目录安装完成 (14)

安装部署活动目录条件： 硬件需求 硬件 需求 处理器 最低：1.4 GHz（x64处理器） 注意：Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低：512 MB RAM 最大：8 GB（基础版）或32 GB（标准版)或2 TB（企业版、数据中心版及 Itanium-Based Systems 版） 可用磁盘空间 最低：32 GB或以上 基础版：10 GB或以上 注意：配备16 GB以上RAM的计算机将需要更多的磁盘空间，以进行分页处理、休眠及转储文件。 显示器 VGA（800 × 600）或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标（或兼容的指针设备） 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件（除web版以外） 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间

【免费下载】活动目录管理及维护

注意：预习作业在上课前提交，复习作业在上课后提交，共性的作业在实验课会评讲一下，一般不会单独评讲，统一在习题课做综合解答，请各位组长记录作业出现的问题，提交到教员。预习重点部分，不用做在作业上，是给各位学员预习时的引导线。务必记住80%的精力放在预习。 第一章： 预习作业：1.什么是域？什么是活动目录？活动目录有什么特点？2.什么是域树？什么是林？3.安装域控制器必须具备哪些条件？4.将计算机加入域前，要检查客户机哪些配置？5.DNS 在域中有什么作用？● （预习重点：这章节就开始难了，会有很多的名词要理解：域 域控 活动目录 域树 森什么安全组通讯组等等，工作组只适合小型网络，换句话来说，域就适合更大型网络了啦！更换句话来说，你想当个大一点的网络管理，就一定要学好域了，给几个简单的解释先骗大家懂一下吧：?活动目录：一是目录，二是活动，也就是说有一个目录，它是活动的，不属于一台计算机，属整个域的所有电脑。更具体地说他是一个数据库存储着很多对象，例如：组 帐号 打印机 共享文件等等。它能存储这些对象，就能提供一种很好的服务，能让属这个域的用户能快速查找所需的数据了。?域：前面的课提到过，两种网络环境，一种是对等网，平等，没有谁管谁的，另一种是c/s 组构，有服务器有客户机。而我们本课所提到的域，其实就是c/s 结构，能进行集中管理的，其它的域树和森主要看图再对比书本的文字再理解一下。?域控：那一台用来管理这个域的计算机就是域控了，在这里我们暂且单纯地认域域控只有一台，其实在多域的环境下会有多台的，在后面的课程会详细学习。● 安装活动目录：先检查条件够不够，熟读六个条件，域的安装。?加入域：加入域时候，客户机要设置什么才能加入域，这个很重要，很多学员做实验的时候，两台主机都没ping 就去加域，加不入就在大呼大叫，组长帮组员排错的时候要注意是否ping 通ip,是否ping 通域名，别把每个组员都想得太理想了，没有ping 通就急着去加域的学员及加入域的时候域名都写错了，还敢大呼大叫的学员我见得多了。●看书本5页的图，理解一下域树和域林，当然课只应用到单域，由于单一次接触域，多域只是理论上的理解，不要纠结于怎么创，如果非要纠结也行，请预习第八章。 、管路敷设技术通过管线敷设技术，不仅可以解决吊顶层配置不规范问题，而且可保障各类管路习题到位。在管路敷设过程中，要加强看护关于管路高中资料试卷连接管口处理高中资料试卷弯扁度固定盒位置保护层防腐跨接地线弯曲半径标高等，要求技术交底。管线敷设技术中包含线槽、管架等多项方式，为解决高中语文电气课件中管壁薄、接口不严等问题，合理利用管线敷设技术。线缆敷设原则：在分线盒处，当不同电压回路交叉时，应采用金属隔板进行隔开处理；同一线槽内，强电回路须同时切断习题电源，线缆敷设完毕，要进行检查和检测处理。、电气课件中调试对全部高中资料试卷电气设备，在安装过程中以及安装结束后进行高中资料试卷调整试验；通电检查所有设备高中资料试卷相互作用与相互关系，根据生产工艺高中资料试卷要求，对电气设备进行空载与带负荷下高中资料试卷调控试验；对设备进行调整使其在正常工况下与过度工作下都可以正常工作；对于继电保护进行整核对定值，审核与校对图纸，编写复杂设备与装置高中资料试卷调试方案，编写重要设备高中资料试卷试验方案以及系统启动方案；对整套启动过程中高中资料试卷电气设备进行调试工作并且进行过关运行高中资料试卷技术指导。对于调试过程中高中资料试卷技术问题，作为调试人员，需要在事前掌握图纸资料、设备制造厂家出具高中资料试卷试验报告与相关技术资料，并且了解现场设备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况，然后根据规范与规程规定，制定设备调试高中资料试卷方案。、电气设备调试高中资料试卷技术电力保护装置调试技术，电力保护高中资料试卷配置技术是指机组在进行继电保护高中资料试卷总体配置时，需要在最大限度内来确保机组高中资料试卷安全，并且尽可能地缩小故障高中资料试卷破坏范围，或者对某些异常高中资料试卷工况进行自动处理，尤其要避免错误高中资料试卷保护装置动作，并且拒绝动作，来避免不必要高中资料试卷突然停机。因此，电力高中资料试卷保护装置调试技术，要求电力保护装置做到准确灵活。对于差动保护装置高中资料试卷调试技术是指发电机一变压器组在发生内部故障时，需要进行外部电源高中资料试卷切除从而采用高中资料试卷主要保护装置。

域与活动目录的管理

单元一：Windows Server 2008域与活动目录 任务一：安装Windows Server 2008域控制器 任务描述： 企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。虽然活动目录具有强大的功能，但是安装Windows Server 2008操作系统时并未自动生成活动目录。因此，管理员必须通过安装活动目录来建立域控制器，并通过活动目录的管理来实现针对各种对象的动态管理与服务。同时客户机登录域的操作也是组建域网络必不可少的部分，也是网络管理员应该熟练掌握的基本技能之一。 任务目标： 作为网络管理员，只有明确安装域控制器的条件和准备工作，掌握域网络的组建流程和操作技术，才能在服务器上安装好Windows Server 2008操作系统。为此，可以启用活动目录安装向导，成功安装活动目录后，将使得一个独立服务器升级为域控制器。同时通过任务，还应能够区分登录窗口，例如是登录域不是登录本机的登录框。 任务实施： 一、建立第一台域控制器： 活动目录是Windows Server 2008非常关键的服务，它不是孤立的，与许多协议和服务有着非常紧密的关系，并涉及整个操作系统的结构和安全。因此，活动目录的安装并非一般Windows组件那样简单，必须在安装前完成一系列的准备，注意事项如下： （1）文件系统和网络协议：Windows Server 2008所在的分区必须是NTFS文件系统，同样活动目录必须安装在NTFS分区，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP协议。 （2）域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。在组建一个全新的Windows Server 2008网络时，所安装的第一台域控制器将生成第一个域，这个域也被称为根域，选择根域最为关键。根域名字的选择可以有以下几种方案： 使用一个已经注册的DNS域名作为活动目的根域名，使得企业的公共网络

02 实现活动目录域服务 (AD DS)

微思网络，福建IT精英的发源地！ 第二章实现活动目录域服务

章节概述 创建AD DS域前的准备工作 安装AD DS 确认AD DS域是否正常 提升域与林功能级别 部署额外域控制器 部署RODC 将计算机加域或脱离域 在域成员计算机内安装AD DS管理工具删除域控制器与域 域升级与现有域环境中安装域控制器

第1 节：创建AD DS域前的准备工作 选择适当的域名 准备好用了支持AD DS的DNS服务器 选择Active Directory数据库的存储位置 安装AD DS 的要求

选择适当的域名 https://www.wendangku.net/doc/c55735261.html, https://www.wendangku.net/doc/c55735261.html, AD DS 域名必须使用DNS 名称，如https://www.wendangku.net/doc/c55735261.html, 。 https://www.wendangku.net/doc/c55735261.html, https://www.wendangku.net/doc/c55735261.html, 可以使用右侧的选项将AD DS 域名与外部命名空间集成?同一命名空间 ?外部命名空间的子域 ?域名和本地名不同的其他命名空间

准备好用了支持AD DS的DNS服务器 安装AD DS前，网络中必须要有一台DNS服务器，且此DNS服务器必须支持SRV记录，最好支持动态更新。 两种方式架设DNS服务器： ?在将服务器升级为域控制器时，让系统自动在这台服务器上安装DNS服务器角色 ?使用现有DNS 服务器或另外安装一台DNS服务器创建一个支持AD DS 域的区域

选择Active Directory数据库的存储位置 建议将Active Directory数据库与日志文件分别存储到不同硬盘内以提高运行效率及提高还原数据库的能力。 3个与Active Directory有关的数据： ?Active Directory数据库 ?日志文件 ?SYSVOL文件夹 提示：SYSVOL文件夹必须存储到NTFS磁盘内。

3-1 活动目录的域、域树、森林的实现与管理

《应用系统集成与管理》指导 活动目录的域、域树、森林的实现与管理 【实训目的】 1.理解Active Directory、域、域树、森林等概念； 2.掌握创建域的方法； 3.熟悉创建域树和森林的方法； 4.了解如何解决在创建域、树、森林过程中出现的问题的方法。 【参考资料】 1．戴有炜. Windows Server 2003用户管理指南, 清华大学出版社, 2004 2．戴有炜. Windows Server 2003 Active Directory配置指南, 清华大学出版社, 2004 【实训内容】 1.建立Windows Server 2003域 建立域的方法是先安装一台独立服务器或成员服务器，然后在将其升级为域控制器。可以利用两种方法来建立整个网络中的第一台域控制器：1)利用Active Directory安装向导； 2)标准安装。在建立域之前，要先完成以下准备工作： ●DNS域名； ●DNS服务器。可以采用两种方式来架设DNS服务器，1)在独立服务器或成员服务 器升级为域控制器时，系统会自动在这台服务器上安装Microsoft DNS服务器；2) 使用现有的DNS服务器，或是另外安装一台DNS服务器，然后在这台DNS服务 器内建立一个用来支持Active Directory域的区域。 ●足够的硬盘空间； ●一个NTFS硬盘分区。 2.确认Active Directory是否正常 Active Directory安装完成之后，应检查DNS的SRV记录、SYSVOL文件夹、Active Directory数据库文件等数据是否已经正常建立等。 3.建立域树和森林 具有树状结构的多个域构成域树，域树中最上层是根域，其下有子域，子域下还可以有子域的子域。要建立子域，必须先安装一台独立服务器，或利用一台隶属于其他域的现有成员服务器，然后将这台服务器升级为子域的域控制器。建立子域时要首先为子域的域控制器指定DNS服务器的IP地址。 把一个域树添加到另一个域树中就形成最初的森林。添加域树的方法，是通过建立此域树中的第一个域来完成的，而建立第一个域的方法是通过建立第一台域控制器来完成的。另外，在建立新域树的第一域控制器的时候，必须能够通过DNS服务器来找到整个森林中的“域命名主机”。“域命名主机”默认是由森林（或首次要加入的域树）中的第一台域控制器所承担的。除此之外，还必须先在DNS服务器内建立一个名字为新域名的“主要区域”。【实训任务】 1．建立森林中的第一个域，并构建两台域控制器。 1)建立网络中的第一台域控制器。 在建立网络中的第一台域控制器时，会同时建立此域控制器所隶属的域以及该域所 隶属的域树。 2)添加额外的域控制器。 3)确认Active Directory是否正常。

活动目录之域功能详解

一概念 从win NT到win2000、win2003、win2008都提供提供活动目录功能，然而不同操作系统运行的域都提供不同功能的服务，在域内由不同类型的操作系统组合而成的域，支持不同的功能、服务，这就称之为域的功能级别。同理在林中也存在林的功能这个概念 在Windwos2003的Active Directory中提供了比Windows2000 Active Directory 更高的功能级别，称为windows2003临时模式和windows2003模式。只有把所有的与控制器升级到Windows2003模式，整个森林才能被提升到Windwos2003模式。森林功能级别的提升需要手动完成。 二：域功能级别 域功能激活只影响整个域和该域的功能。Windows Server 20008功能级别支持 五功能级别，一下分别介绍五功能级别及其功能级别所支持的域控制器 1：Windows 2000 混合模式（默认）其网络配置使用Windows 2000和Windows NT 的任意组合系统。Windows 2000 域控制器和Windows NT 4.0 备份域控制器可 以在同一个域中无缝共存而不会出现任何问题。当然Windwos 2003域控制器也支持此模式。激活的功能包括本地与全局组并支持全局编录 2：Windows 2000本机模式。域中所有域控制器都可以运行Windows2000或Windwos2003.激活的功能包括组嵌套、通用组、Sidhistory、安全组与通讯组之间的转换、 3：Windows Server 2003临时模式。允许Windows 2003域控和Windows NT 4 域控制器的混合使用。但不能与Windows2000域控制器混合使用。显见支持的域控为Windows 2003和Windows NT4.此级别内没有域范围的激活功能。该模式只在将NT4的域控升级到Windows2003域控时使用 4：Windows Server 2003模式。域中所有域控制器只能是Windows 2003和Windows2008。支持的功能包括： Netdom.exe提供的域控制器重命名功能、 更新登录时间戳。将使用用户或计算机的上次登录时间来更新lastLogonTimestamp 属性。可以在域内复制该属性。 在 inetOrgPerson 和用户对象上将 userPassword 属性设置为有效密码的功能。

项目 活动目录和域的建立

项目活动目录和域的建立 4.1 项目内容 1 项目目的 通过安装活动目录，理解活动目录和域的关系，了解域、域树和域林的概念，并掌握控制器的安装和配置，以及成员服务器的设置。 2项目任务: 某公司组建了单位内部的办公网络，该局域网是一个基于工作组的对等网，近期公司的发展很快，新增了了许多员工，计算机用户激增，网络的管理和安全都出现了问题，这是考虑将基于工作组的网络升级为基于域的网络，现在需要将一台计算机升级为域控制器，并将其它所有计算机加入到域成为成员服务器。 3 任务目标 1)学会规划和安装局域网中的活动目录； 2)学会在Windows 2003 Server中创建域； 3)学会在Windows 2003 Server中添加和管理各种域服务器。 4)学会将局域网中的计算机加入到在Windows 2003 Server的域服务器中。 4.2项目设计 1设计 有两个域树：https://www.wendangku.net/doc/c55735261.html,和https://www.wendangku.net/doc/c55735261.html,，其中https://www.wendangku.net/doc/c55735261.html,域树下有https://www.wendangku.net/doc/c55735261.html,子域，在https://www.wendangku.net/doc/c55735261.html,域中有两个域控制器；在https://www.wendangku.net/doc/c55735261.html,域中有一个域控制器和有一个成员服务器；下面先创建https://www.wendangku.net/doc/c55735261.html, 的域树，然后再创建https://www.wendangku.net/doc/c55735261.html,的域树。 2 设备清单 为了搭建网络环境，需要如下设备： 1)安装Windows 2003 Server的PC计算机5台； 2)Windows Windows XP计算机1台； 3)Windows Server 2003安装光盘。 4.3 项目实施 步骤1：创建第一个域https://www.wendangku.net/doc/c55735261.html, 创建域可以把一台已经安装Windows Server 2003的对立服务器升级为域控制器。 步骤如下： （1）首先确认“本地连接”属性TCP/IP中首选DNS指向了自己。 （2）其次，打开“开始”菜单，选择“管理工具”菜单中的“管理您的服务器”命令启动配置向导，在此管理介面中出现该服务器已具备功能，如图所示。 （3）选择“添加或删除角色”命令，出现“配置您的服务器向导”介面。 （4）单击“下一步”，选择要安装的服务器角色，在此要安装的是域控制器（Active

AD实施：域管理手册

深圳市海格物流股份有限公司操作主机与AD DB管理 文档编号：SXD- HGWL--01 版本： 编写：索信达运维服务 部 最后修订：2015年09月22日 深圳市索信达实业有限公司

目录

第一章管理域中的操作主机角色 (一)操作主机介绍 Active Directory 支持域中所有域控制器之间的目录数据存储 的多主机复制，因此域中的所有域控制器实质上都是对等的。但是， 某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机 可以保证一致性并消除AD DS数据库中出现冲突的项目的可能性。 AD D S中的五个操作主机角色分别是：架构主机（Schema M aster）、域命名主机（Domain Naming Master）、RID主机（RID Master）、PDC 仿真器（PDC E mulator）、基础结构主机（Infrastructure Master）架构主机和域命名主机是林范围角色，即每个林只有一台架构主 机和一台域命名主机。RID主机、PDC仿真器、基础结构主机是域范 围角色，这3种操作主机角色在林中的每个域中分别只有一个。当在林中安装AD DS并创建第一台域控制器时，它会拥有所有5个角色，类似地，在向林中添加域时，每个新域中的第一台域控制器也会获得 每域的操作主机角色。 架构主机（Schema Master） 宿主架构主机角色的域控制器负责对林的架构进行更新和修改， 其他域控制器则只包含架构的只读副本。要更新或修改林的架构，您必须具备访问架构主机的权限。如果做出架构改变后，架构更新就会复制到林中的所有其他域控制器。在整个林中，架构主机是唯一的， 只能有一个架构主机。

活动目录域 学习笔记

一、计算机内的存储结构：线性存储，树状存储（在存储大量内容时，检索速度较快） 二、C:\windows\ntds\ntds.dit 记录的域中所有的内容安全主体访问安全对象域的架构（记录了域中存储的元素）：规定了域中可以存在哪些元素。这些元素是主体是对象这些元素有哪些属性对象：计算机、用户、组 三、域的存储 活动目录域会把所有的内容记录在数据库中，形成一个目录，这个目录分成了五个分区，用来存储不同的内容 1、域目录分区----〉域中的用户和计算机以及组 2、配置目录分区----〉域中的配置信息 3、架构目录分区----〉架构：规定了域中可以存在哪些元素这些元素包括哪些内容（安全主体、安全对象：分别具体哪些属性） 4、全局编录分区 5、应用程序目录分区 四、域的组织 1、统一的边界的管理父域的管理员可以管理子域，子域的管理员不能管理父域或其他子域。 2、分散管理，相互信任（信任边界），实现跨边界的管理，就要建立林信任关系，在多个域中建立信任关系，方便域之间的协作，同时形成一个新的管理团队。林中有一个特别的域叫做根域，根域的管理员可以协调域之间的协作关系，使两个及其两个以上的域关系密切，通过传递性而得到的信任关系，可称为隐性的信任关系！ 五、DNS的问题使得多个管理边界无法合并，只能是分散管理，互相信任 1、活动目录域需要DNS的支持 2、不同的二级DNS域不能合并成一个管理边界 六、将xp加入contoso域思考：1、如果xp 未配置DNS 2、如果XP DNS配置错误 3、如果XP配置正常但域控上的ＤＮＳ服务不正常会有什么结果？ １、结果：没有ＤＮＳ，ＡＤ可以正常工作，借助于（NETBIOS）ＮＢＮＳ缺点：（１）在互联网上表现很差，以至于在大型网络里表现也很差；（２）缺乏集中管理。如果使用ＡＤ＋ＮＢＮＳ，则不利于大型网络的管理，使ＡＤ的功能大打折扣，所以使用ＡＤ＋ＤＮＳ如果DNS安全、可靠并且支持SRV记录，最好能支持自动更新，可以使用不是windows 下的DNS有这些功能的就可以使用 七、定义AD的需求 行政管理需求 技术需求 项目约束 企业的各种需求是说服领导层同意部署的最好的理由

第章管理活动目录域

第章管理活动目录域 Prepared on 22 November 2020

第3章管理活动目录域 教学要求： 理解：域的概念、特点；活动目录的架构；组织单位的概念、特点；域用户账户的概念、特点；域组账户的概念、特点；域组账户的使用原则； 掌握：创建域；将计算机加入或脱离域；将域控制器降级为独立服务器或成员服务器；管理组织单位；管理域用户账户的工作；管理域组账户的工作； 活动目录的概述 活动目录（Active Directory，AD）服务能把网络中的众多资源有效地组织在一起，实现集中管理与统一保护，最大限度地保证资源的可用性与安全性。 活动目录的含义 活动目录以数据库的形式存放在网络中的一些特定计算机上，这个数据库称为“活动目录数据库”。 管理员可以利用活动目录来集中执行组织、管理与控制网络资源的各项功能。用户也能够通过活动目录方便迅速的找到所需要的资源、使用所需要的功能。 活动目录的容量可以动态调整； 活动目录的结构可以动态调整。 活动目录的特点 动态的组织形式 方便的资源查找 集中管理与分散管理相结合

资源访问的分级管理 活动目录的基本概念 1、对象和属性 在活动目录中，存储着众多的资源、规则、策略等，它们被称作“活动目录对象”，简称对象。 一个活动目录对象所具有的各种各样的特征，称为“属性”。一个对象可认为是一系列属性的集合。 2、活动目录的架构 活动目录中所有对象和属性的定义存储在“活动目录架构”中，只有Schema Admins组的成员才有权限添加或修改架构中的内容。一个活动目录共享一个共同的架构。

查看活动目录架构的具体步骤为 1、以Schema Admins组的一个用户账户身份登录 2、注册Active Directory Schema控制面板的动态链接库。在命令窗口中输 入： .

创建和管理域

实验二创建和管理域 一、实验目的 1．掌握Windows Server 2003域的创建（安装活动目录）； 2．学会将计算机加入到域； 3．学会创建和管理域用户账户； 4．学会创建和管理域中的组。 二、实验内容 1．在Windows Server 2003 上安装活动目录（即安装Active Directory）； 2．将计算机加入到域； 3．创建和管理域用户账户； 4．创建和管理域中的组。 三、基础知识 1．活动目录 活动目录（Active Drectory）是一个存储在网络中多台服务器上的分布式数据库，这个数据库中存储了整个网络中的账户信息（包括用户账户、计算机账户等各种权限和资源信息），当用户登陆网络时，活动目录将进行身份验证，并分配许可的资源和权限。 2．域和域控制器 域（Domain）是Windows Server 2003计算机网络的单一安全边界。域控制器是指控制域的服务器，亦即安装了活动目录的服务器。活动目录由一个或多个域组成，域是目录服务的一个基本单元。 3．组和安全组、分布组的领域 组（Group）是活动目录或者本地计算机对象，它包含用户、联系人、计算机和其他的组。安全组显示在访问控制列表（ACL）中，定义了网络资源和对象的权限。分布组则没有安全性，不在访问控制列表中显示。 4．活动目录用户与计算机账户 用户或者计算机要登陆到网络以使用网络资源，必须是活动目录用户或计算机账户，以便于通过安全验证。活动目录用户与计算机账户是用户的安全凭据。 四、实验环境 1．一台安装有Windows Server 2003 Enterprise Edition中文版的计算机YZCITSVMAIN 作为服务器，安装其操作系统的默认选项，并且设置该计算机的静态IP地址：，子网掩码：； 2．两台安装好Windows 2000 Professional的计算机，两台安装好Windows XP的计算机作为客户机成员，两台安装好Windows Server 2003的计算机作为域中的成员服务器； 3．连接好的10 BASE T或100 BASE T以太网； 4．Windows Server 2003 Enterprise Edition中文版安装光盘。 五、实验步骤 1．安装Acitive Directory创建域 （1）打开准备安装目录服务服务器计算机的电源，启动计算机，以Administrator身份登录，将Windows Server 2003 Enterprise Edition中文版安装光盘放入光盘驱动器。

域与活动目录的管理题目

第4单元域与活动目录的管理 一、填空题 1.域树中的子域和父域的信任关系是双向、可传递的。 2.活动目录存放在注册表中 3.你是一个Windows Server 2008域的管理员，域名为https://www.wendangku.net/doc/c55735261.html,，现在你需要在该域下面创建一个新的子域https://www.wendangku.net/doc/c55735261.html,，那么在创建遇到类型时，该选择在现有的域树中的子域 4.独立服务器上安装了活动目录就升级为域控制器。 5.域控制器包含了由这个域的用户、网络中的其他对象以及属于这个域的计算机等信息构成的数据库。 6.活动目录中的逻辑单元包括域、域树、域林和组织单元。 7.SYSVOL是位于操作系统系统分区%windir%目录中的操作系统文件的一部分，必须位于NTFS分区。 8.网络中的第一台安装活动了目录的服务器通常会默认被设置为主域控制器，其他域控制器（可以有多台）称为辅助（备份）域控制器，主要用于主域控制器出现故障时及时接替其工作，继续提供各种网络服务，不致造成网络瘫痪，同时用于备份数据。 9.活动目录的物理结构的两个重要概念是站点和域控制器。 10.域中的计算机分类是哪4种：域控制器、成员服务器、独立服务器、域中的客户端。 11.域中的计算机使用DNS来定位域控制器和服务器以及其他计算机、网络服务等。 12.企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。 二、选择题 1.下列（D ）不是域控制器存储所有的域范围内的信息。 A.安全策略信息 B.用户身份验证信息 C.账户信息 D.工作站分区信息 2.活动目录和（A ）的关系密不可分，使用此服务器；来登记域控

制器的IP、各种资源的定位等 A.DNS B.DHCP C.FTP D.HTTP 3.下列（ C ）不属于活动目录的逻辑结构。 A.域树 B.域林 C.域控制器 D.组织单元 4.活动目录安装后，管理工具里没有增加（ D ）菜单。 A.Active Directory用户和计算机 B.Active Directory域和信任关系 C.Active Directory域站点和服务器 D.Active Directory管理 5.你是一台Windows Server 2008计算机的系统管理员，你可以使用（C ）工具来管理该计算机中的组账号。 A.活动目录用户和计算机 B.域用户和计算机 C.活动目录用户与用户组 D.本地用户和组 6.关于组可以包含粗的描述，正确的是（C ）。 A.组在任何时候都可包含组 B.组在任何时候都可以加入组 C.在工作组模式下，本地组不能包含本地组 D.在工作组模式下，本地组可以包含内置组 7.一个用户账户可以加入（ D ）个组。 A.1 B.2 C.3 D.多 8.办公网络中计算机的逻辑组织形式可以有两种，工作组和域。下列关于工作组的描述中正确的是（C ）。 A.工作组中的每台计算机都在本地存储账户 B.本计算机的账户可以登录到其它计算机上 C.工作组中的计算机的数量最好不要超过10 台 D.工作组中的操作系统必须一样 9.公司需要使用域控制器来集中管理域账户，你装域控制器必须具备以下条件（B ）。 A.操作系统版本是Windowsserver20 B.本地磁盘至少有一个NTFS分区 C.本地磁盘必须全部是NTFS分区

活动目录的功能级别

关于活动目录的功能级别 编号：Windows003 作者：遗忘冰河 出版日期：2007-08-09 E-Mail：xwg9999@https://www.wendangku.net/doc/c55735261.html, 为什么要讲功能级别，因为Windows 的活动目录的功能级别不同，Windows 网络就有有不同的兼容性和不同的功能。 如果企业当中又有NT4,有windows 2000,还有windows 2003情况下,，大家知道，如果设置不 当，就会引起这几种系统之间的通信，特别是早期的NT4.0，当为了发挥系统的最大功能，设置不同的功能级别，这样可能做的选择就会与其中的部分服务器产生兼容性的问题，也可能解决部分服务器产生兼容性的问题。 一般情况下有两种功能级别：域的功能级别和森林的功能级别。 再早期使用 Windows 2000 域中，有两种域模式可供选择： 1、混合模式（缺省设置）：其网络中使用Windows 2000和Windows NT 的任意组合系统。Windows 2000 域控制器和Windows NT 4.0 备份域控制器可以在同一个域中共存而不会出现任何问题。 2、本机模式：域中的域控制器只能运行Windows 2000系统。在这种模式下，可享受到一些更高级的功能。 但是windows 2003的出现，网络变的越来越复杂，域模式的种类将会变得更多，Windows Server2003有四种模式可以选择，多出模式来的主要是体现Windows Server 2003功能的优势。 冰 河工作室p :/ /w w w .m c s e .o r g .c n

1、Windows2000混合模式:Windows mixed 也是默认模式；这种模式下，Windows Server 2003域可以兼容NT4域控制器, Windows Server 2000域控制器, Windows Server 2003域控制器，也就是说在windows 2003的域中可以安装NT4域控制器和Windows Server 2000域控制器。 2、Windows 2000本机模式（native）：windows 2003域可以兼容Windows Server 2000,域控制器和Windows Server 2003域控制器，不兼容ＮＴ４域控制器 3、Windows 2003临时模式（interim）：这种模式只存在于NT4域升级到Windows Server 2003域当中。但是不允许Windows Server2000的域控制器 4、Windows 2003模式（family）：只允许有Windows Server 2003域控制器。在4种域级别中，它的功能级别最高，域中所有的域控制器都只能运行Windows Server 2003。可享受Windows Server 2003域所提供的完整特性和功能。 森林的功能级别 域中的Windows Server 2003域控制器部署完毕后，还可以根据需要选择森林的功能级别。一般森林的功能级别有三种： 1、Windows 2000模式(Default):森林当中，允许有NT4、Windows Server 2000、Windows Server 2003的域控制器，属于默认状态下的森林功能级别，可提供了最基础的森林结构特性与功能。 2、Windows 2003临时模式（interim）：适用于NT4域升级到Windows Server 2003域模式 3、Windows 2003模式family：森林当中只允许存在Windows Server 2003域控制器。 企业的域适合采用哪种功能级别？ 应该根据本公司目前及日后可能的需求，根据自己的操作系统版本，然后参照以上关于功能级别的介绍，来设置域和森林的功能级别。 下面列举出了四种域功能级别的优缺点，你可根据本公司自身的需求，加以选择。 Windows2000混合模式：对于那些并没有完全淘汰Windows NT 域控制器的企业而言，这种域级别显然是最佳选择。它最大的缺点是：自2004年年底起，微软公司正在慢慢削减对Windows NT 的支持服务。 Windows 2000本机模式：如果你已经部署了从Windows NT 到Windows 2000的AD 迁移，那 么，这个功能级别显然是最适合你的。它最大的特点是：只适合于从Windows NT 环境升级到Windows 2000 Active Directory 的情况。 Windows 2003临时模式：事实证明，Windows Server 2003是一套性能非常稳定的操作系统， 冰 河工作室p :/ /w w w .m c s e .o r g .c n