1、項目6-Active-Directory域服務的配置與管理項目6 Active Directory域服務的配置與管理域服務的配置與管理 n6.1 真實情景導入 n6.2 Active Directory與域與域 n6.3 任務1-安裝Windows Server 2008域控制器 n6.4 任務2-Windows Server 2008活動目錄的管理 n6.5 回到工作情景n6.6 項目實訓-活動目錄的安裝與管理 6.1 真實情景導入 工作場景Contoso是一家IT公司，隨著該公司規(guī)模的不斷壯大，不僅部門增多，個人計算機和服務器的數(shù)量也越來越多。作為網(wǎng)管員的小明面對各種各樣的管理問題，比如因

2、為幾百臺計算機要上千人公用，還要能保證安全，就要給每個人在每臺機器上都設置用戶名密碼，來了新同事，要在每臺機器上給他開新賬號，他離職了，還要每臺機器刪除該賬號，這無疑是一個令人瘋狂的工作，但是，小明想到了域控制器和活動目錄。假設該公司的域名是。 引導問題n(1) 如何創(chuàng)建Active Directory？創(chuàng)建時對服務器有什么要求？創(chuàng)建完成后如何管理？n(2) 一臺Windows客戶機如何添加到域中？如何使用Active Directory中的資源？n(3) 組織單位是什么？如何創(chuàng)建和管理？n(4) 域用戶賬戶和本地用戶賬戶有何區(qū)別？如何創(chuàng)建和管理域用戶賬戶？n(5) 域組賬戶和本地組賬戶有何區(qū)

3、別？如何創(chuàng)建和管理域組賬戶？ 6.2.1 工作組n1工作組的概念 n2如何加入和退出工作組6.2.2 域域 n1域名例子 n2域（Domain） 是一個比工作組更嚴格的單位，但它可以包含若干個工作組。 n3. 域控制器 在“域”模式下，至少有一臺計算機負責每一臺聯(lián)入網(wǎng)絡的電腦和用戶的驗證工作，相當于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡寫為DC） n4.活動目錄 域控制器中包含了由這個域的賬戶、密碼甚至該域其他計算機的軟硬件信息等構(gòu)成的數(shù)據(jù)庫，該數(shù)據(jù)庫也稱為活動目錄（Active Directory，簡寫為AD） 6.2.3 域和工作組的區(qū)別域和工作組的區(qū)別

4、 n 工作組可以說是“自由市場”， 有幾個工作組就有幾個“自由市場”， 你可以隨時自由出入而沒什么限制，從網(wǎng)上鄰居最先看到的往往是自己機器所在的工作組的機器們。而域是嚴格控制權(quán)限的“私人會所”， 沒有正確的域用戶是根本無法登錄到域上的，也就無法訪問域所控制的資源。 6.2.4 域樹和域林域樹和域林 域 域樹 域林 6.2.5 活動目錄及其結(jié)構(gòu)活動目錄及其結(jié)構(gòu) n活動目錄（Active Directory）是Windows Server 2008系統(tǒng)中提供的目錄服務，用于存儲網(wǎng)絡上各種對象的相關(guān)信息，以便于管理員查找和使用。 n目錄是一個用于存儲用戶感興趣的對象信息的信息庫。所謂目錄服務就是結(jié)構(gòu)

5、化的網(wǎng)絡資源信息庫，如計算機、用戶、打印機、服務器等。 6.2.6 域中的計算機分類域中的計算機分類 n（1）域控制器 n（2）成員服務器 n（3）獨立服務器n（4）域中的客戶端 6.3 任務1-安裝Windows Server 2008域控制器 n6.3.1 建立第一臺域控制器 n6.3.2 在域中創(chuàng)建新用戶 n6.3.3 客戶機登錄到域 6.3.1 建立第一臺域控制器建立第一臺域控制器 n1域控制器的安裝域控制器的安裝 （1） 在安裝好windows server 2008之后，啟動后會彈出“初始任務配置窗口”，如圖6.9所示。 圖6.9 初始配置任務 n（2）選擇“自定義此服務器”中的“

6、添加角色”，彈出“添加角色向?qū)А保鐖D6.10所示，在開始之前首先，要求驗證管理員是否具有強密碼，是否已配置靜態(tài)IP地址，是否已安裝最新的安全更新，如果上面的部分沒有完成，再后續(xù)的步驟中會出現(xiàn)警告信息或者錯誤，嚴重的會導致域控制器無法安裝。 1域控制器的安裝域控制器的安裝圖6.10添加角色向?qū)?1域控制器的安裝域控制器的安裝n（3）選擇“自定義此服務器”中的“添加角色”，在“添加角色向?qū)А睂υ捒蛑械淖筮呥x擇“服務器角色”，右邊選擇“Active Directory域服務”，如圖6-11所示。 圖6.11 選擇服務器角色 1域控制器的安裝域控制器的安裝n（4）需要注意的是由于AD在某些版本的wi

7、ndows server 2008上必須有“.NET Framework”功能的支持，所以在這一步后有時要求安裝“.NET Framework 3.5.1功能”，此時只需按照向?qū)Ф鄨?zhí)行一步即可。演示用的版本不需安裝。點擊【下一步】即可。 圖6.12 Active Directory域服務 1域控制器的安裝域控制器的安裝n（5）在“Active Directory域服務”對話框中，向?qū)o出四點注意事項，如圖6.12所示，根據(jù)這些注意事項可以了解到安裝AD前后操作應該執(zhí)行的任務和AD需要的服務。點擊【下一步】繼續(xù)。點擊【安裝】繼續(xù)，最終達到如圖6.14安裝結(jié)果。 圖6-14 安裝結(jié)果 1域控制器

8、的安裝域控制器的安裝n6）當出現(xiàn)“安裝結(jié)果”對話框時，如果沒有錯誤，只有如圖6.14所示的沒有開啟更新的警告信息，則可以直接忽略，此時AD的安裝準備已經(jīng)完成，但是由于該臺計算機還不能完全正常運行DC，所以提示需要啟用AD安裝向?qū)В╠cpromo.exe）來完成安裝安裝結(jié)束，選擇“關(guān)閉該向?qū)Р覣ctive Directory域服務器安裝向?qū)В╠cpromo.exe）”或者直接點下面的【關(guān)閉】按鈕，然后在運行對話框中輸入“dcpromo“，如圖6.15所示。 圖6.15 運行dcpromo命令 1域控制器的安裝域控制器的安裝n（7）確定后經(jīng)過系統(tǒng)自動檢測，將出現(xiàn)AD安裝向?qū)У臍g迎界面，如圖6.

9、15所示。在該對話框中可以選擇使用標準或高級模式來進行安裝。對于高級模式是提供給有經(jīng)驗的用戶，該模式對安裝過程有更多的控制。此外，還可直接在命令提示符下運行帶有/adv開關(guān)的dcpromo命令（dcpromo /adv）來啟動高級向?qū)А＿@里我們暫不選擇高級模式。直接【下一步】按鈕繼續(xù)安裝，如圖6.16所示和圖6.17所示。 圖6.16 域服務安裝向?qū)?圖6.17 操作系統(tǒng)兼容性 1域控制器的安裝域控制器的安裝n（8）由于目的是部屬企業(yè)中的第一個DC，所以在此應選擇“在新林中新建域”。因為，創(chuàng)建新林需要管理員權(quán)限，所以必須是正在其上安裝AD的服務器本地管理員組的成員。繼續(xù)【下一步】按鈕，如入6.

10、18所示。 圖6.18 選擇部署配置 1域控制器的安裝域控制器的安裝n（9）在“域服務安裝向?qū)А敝羞x擇“在新林中新建域”，下一步，對域林的根域進行命名，如圖6.19所示。需要在之前對DNS基礎結(jié)構(gòu)有一個完整的計劃。必須了解該林的完整DNS名稱。可以在安裝AD之前先安裝DNS服務器服務，或者在下面安裝過程中直接選擇讓AD安裝向?qū)О惭bDNS服務器服務。圖6.19 設置域名 2.設置林功能級別設置林功能級別 n（1）建議選擇“windows server 2008”，但此時只能向該林中添加運行Windows Server 2008或更高版本的域控制器。由于選擇2000時，某些高級功能在該域控上不可用

11、，如圖6.20所示。 圖6.20 選擇林功能級別 2.設置林功能級別設置林功能級別n（2）單擊【下一步】按鈕，安裝DNS服務器。如圖6.21所示。 圖6.21 為域控制器選擇其他選項 2.設置林功能級別設置林功能級別n（3）單擊【下一步】按鈕會彈出如圖6.22的警告對話框，選擇“是”。這個對話框的出現(xiàn)是由于配置其它服務器時，選擇了“DNS服務器”選項，而當前計算機又未找到指定域的權(quán)威父域Windows DNS服務器，從而無法確定是否對指定域進行了委派導致的。圖6.22 警告信息 2.設置林功能級別設置林功能級別n（4）接下來確定AD數(shù)據(jù)庫、日志文件和SYSVOL放置的位置，如圖6.23所示。對

12、于數(shù)據(jù)庫來講主要存儲有關(guān)用戶、計算機和網(wǎng)絡中其它對象的信息；日志文件記錄與AD有關(guān)的活動；SYSVOL存儲組策略對象和腳本，其默認是位于C:windows目錄中的操作系統(tǒng)文件的一部分。 圖6.23 設置存儲位置 2.設置林功能級別設置林功能級別n（5）點擊【下一步】按鈕，向?qū)б筝斎搿澳夸涍€原模式的Administrator密碼。如圖6.24所示。圖6.24 輸入目錄還原模式的Administrator密碼2.設置林功能級別設置林功能級別n（6）點擊【下一步】按鈕，顯示安裝摘要如圖6.25所示，并且可以單擊“導出設置”將在此向?qū)е兄付ǖ脑O置保存到一個應答文件。然后，可以使用應答文件自動執(zhí)行AD

13、的后續(xù)安裝。圖6.25 安裝摘要2.設置林功能級別設置林功能級別n（7）點擊【下一步】按鈕，安裝向?qū)?zhí)行安裝操作（如圖6.26）。如果沒有勾選“完成后重新啟動”復選框，則執(zhí)行完畢后，AD安裝向?qū)⒊霈F(xiàn)完成安裝頁，如圖6.27所示。圖6.26 安裝操作 圖6.27 完成安裝2.設置林功能級別設置林功能級別（8）點擊【完成】按鈕。系統(tǒng)會提示需要重新啟動計算機配置才能生效如圖6.28所示。點擊“立即重新啟動”完成DC安裝操作。圖6.28 重啟提示2.設置林功能級別設置林功能級別n（9）重啟后我們來驗證下域控制器是否安裝成功，首先看一下AD數(shù)據(jù)文件是否產(chǎn)生，打開“計算機本地磁盤C:windowsNTD

14、S文件夾，如果有ntsd.dit文件，說明AD數(shù)據(jù)文件正常，如圖6.29所示。圖6.29 ntds文件存在2.設置林功能級別設置林功能級別n（10）再者是看DNS服務是否工作正常，與域相關(guān)的資源記錄，特別是SRV記錄是否正確寫入。如圖6.30所示。圖6.30 DNS服務正常6.3.2 在域中創(chuàng)建新用戶在域中創(chuàng)建新用戶n（1）點擊“開始” “管理工具”“Active Directory用戶和計算機”，打開Users文件夾，如圖6.31 所示，在右面，我們最常用到的3個用戶是Administrator、Domain Admins和Domain users。圖6.31 域用戶n（2）要新建域賬戶的話

15、，直接在左側(cè)Users文件夾上右擊，選擇“新建”“用戶”，建立名為zhangming的賬戶，如圖6.32所示。6.3.2 在域中創(chuàng)建新用戶在域中創(chuàng)建新用戶圖6.32 新建用戶n（3）點擊【下一步】按鈕，輸入并確認密碼，如圖6.33所示。6.3.2 在域中創(chuàng)建新用戶在域中創(chuàng)建新用戶圖6.33 設置密碼和密碼策略n（4）單擊【下一步】按鈕完成。如此時彈出錯誤提示，一般是因為用戶密碼的復雜度不夠，參照項目3更改密碼復雜度即可。如圖6.34所示。6.3.2 在域中創(chuàng)建新用戶在域中創(chuàng)建新用戶圖6.34 用戶創(chuàng)建完成n（5）用戶創(chuàng)建完成后，出現(xiàn)zhangming賬戶，如圖6.35所示。6.3.2 在域中創(chuàng)

16、建新用戶在域中創(chuàng)建新用戶圖6.35 新賬戶出現(xiàn)6.3.3 客戶機登錄到域客戶機登錄到域n（1）客戶機要登錄到域，首先需要跟域控制器聯(lián)通，比如我們以windowsXP為例，設置客戶機的地址如圖6.40所示，設置后可在命令行界面使用ping命令測試兩臺計算機是否能通信。圖6.40 填寫IP6.3.3 客戶機登錄到域客戶機登錄到域n（2）如果能夠聯(lián)通，右擊“我的電腦”，選擇“屬性”，在打開的“系統(tǒng)屬性”中選擇“計算機名”選項卡， 選擇【更改】按鈕，彈出“計算機名稱更改”對話框，填寫域名，如圖6.41所示。圖6.41 填寫圖域名6.3.3 客戶機登錄到域客戶機登錄到域n點擊【確定】按鈕，要求輸入“有加

17、入該域權(quán)限的賬戶的名稱和密碼”，此時既可以使用域控制器的賬戶和密碼，也可回到域控制器，在上面新建一組所需權(quán)限的賬戶和密碼，輸入即可，這里我們使用DC原有的賬戶administrator密碼123，如圖6.42所示。圖6.42 輸入DC中的賬戶和密碼6.3.3 客戶機登錄到域客戶機登錄到域n（3）點擊【確定】按鈕，加入域成功，要求重啟計算機生效。如圖6.43所示。n（4）重啟后就可以用administrator和密碼123的域賬戶登錄了。登陸后發(fā)下系統(tǒng)是一個全新的環(huán)境了。登錄時選擇登錄到contoso，輸入密碼后就以域用戶的身份登錄了，如圖6.44所示。圖6.43 加入域成功圖6.44 登錄到域

18、6.3.3 客戶機登錄到域客戶機登錄到域n（5）在域控制器中，點擊“開始” “管理工具” “Active Directory用戶和計算機”，我們發(fā)現(xiàn)，機器“CHARRY”已經(jīng)在DC中了。如圖6.45所示。圖6.45 客戶機已加入域中6.4 任務2-Windows Server 2008活動目錄的管理活動目錄的管理n6.4.1 活動目錄用戶和計算機n6.4.2 活動目錄域和信任關(guān)系n6.4.3 活動目錄站點復制服務6.4.1 活動目錄用戶和計算機n活動目錄用戶和計算機管理的具體操作步驟如下。n（1）單擊“開始” “管理工具”“Active Directory用戶和計算機”菜單項，打開“Activ

19、e Directory用戶和計算機”窗口，如前面的圖6.31所示。n（2）在圖6.31所示窗口的左邊，選擇“Computers”，可以顯示當前域中的計算機，即成員服務器和工作站，這里是我們新建的域，所以無服務器和工作站。n（3）在圖6.31所示窗口的左邊，選擇“Domain Controllers”，可以顯示當前域中的域控制器。n（4）在圖6.-31所示窗口的左邊，選擇“Users”或者“Builtin”，可以顯示域中的用戶或組等情況。6.4.2 活動目錄域和信任關(guān)系（1） 傳遞信任關(guān)系。（2）不傳遞信任關(guān)系。 （3）單向信任關(guān)系。（4）雙向信任關(guān)系。6.4.3 活動目錄站點復制服務 （1）站點間復制（2）站點內(nèi)復制（3）管理復制6.5 回到工作情景n工作過程一：安裝安裝Active Directory域服務器域服務器(1)規(guī)劃與安裝操作系統(tǒng)(2)利用添加角色向?qū)О惭bActive Directory域服務(3)運行Active Directory域服務安裝向?qū)?4)檢查DNS服務器內(nèi)SRV記錄的完整性n工作過程二：將客戶機加入域?qū)⒖蛻魴C加入域(1)在客戶機上，配置 TCP/IP屬性，指定DNS服務器的地址(2)打開【系統(tǒng)屬性】對話框，選中【域】單選按鈕，輸入要加入的域的名稱。(3)輸入具有加入到域權(quán)限的賬戶名稱和密碼(4)重新啟動客戶機，登錄到域n【工作過程三】創(chuàng)建組織