1、域DNS的作用域的概念將計算機加入域DC的條件創建域 域用戶帳戶安裝AD組安全組/通訊組本地域組/全局組/通用組用戶配置文件用戶主文件夾創建域帳戶域帳戶屬性OUOU的委派功能OU概念域的基本概念域的基本概念 域將網絡中多臺計算機邏輯上組織到一起，進行集中管理，這種區別于工作組的邏輯環境叫做域域是組織與存儲資源的核心管理單元活動目錄提供了存儲網絡上對象信息并使網絡用戶使用該數據的方法域的基本概念域的基本概念活動目錄 活動目錄（Active Directory）是Windows Server 2003平臺提供的目錄服務，在中央數據庫中存放信息，使用戶在網絡上只擁有一個用戶賬號。 活動目錄是一個全面

2、的目錄服務管理方案，也是一個企業級的目錄服務，具有很好的可伸縮性。活動目錄采用了Internet的標準協議，它與操作系統緊密地集成在一起。 活動目錄可以管理諸如計算機對象、用戶賬戶、打印機之類的網絡資源。 域的基本概念域的基本概念 活動目錄包括兩個方面：目錄和與目錄相關的服務。目錄是存儲各種對象的一個物理上的容器 目錄服務是使目錄中所有信息和資源發揮作用的服務，活動目錄是一個分布式的目錄服務，信息可以分散在多臺不同的計算機上，保證用戶能夠快速訪問（1） 信息的安全性大大增強 1 1、活動目錄集中控制用戶授權、活動目錄集中控制用戶授權 2 2、 提供存儲和應用程序作用域的安全策提供存儲和應用程序

3、作用域的安全策略，提供安全策略的存儲和應用范圍。略，提供安全策略的存儲和應用范圍。（2） 引入基于策略的管理，使系統的管理更加明朗 作為目錄，它存儲著分配給特定環境的作為目錄，它存儲著分配給特定環境的策略，稱為組策略對象策略，稱為組策略對象（3） 具有很強的可擴展性 管理員可以在計劃中增加新的對象類，或者管理員可以在計劃中增加新的對象類，或者給現有的對象類增加新的屬性。給現有的對象類增加新的屬性。 計劃包括可以存儲在目錄中的每一個對象計劃包括可以存儲在目錄中的每一個對象類的定義和對象類的屬性。類的定義和對象類的屬性。活動目錄作用活動目錄作用（4）具有很強的可伸縮性 活動目錄可包含在一個或多個域

4、，每個域具活動目錄可包含在一個或多個域，每個域具有一個或多個域控制器，以便調整目錄的規模以有一個或多個域控制器，以便調整目錄的規模以滿足任何網絡的需要滿足任何網絡的需要（5） 智能的信息復制能力 信息復制為目錄提供了信息可用性、容錯、信息復制為目錄提供了信息可用性、容錯、負載平衡和性能優勢，活動目錄使用多主機復制負載平衡和性能優勢，活動目錄使用多主機復制，允許在任何域控制器上而不是單個主域控制器，允許在任何域控制器上而不是單個主域控制器上同步更新目錄上同步更新目錄（6）與DNS集成緊密 活動目錄使用域名系統（活動目錄使用域名系統（DNSDNS）來為服務器目錄命名）來為服務器目錄命名（7）與其他

5、目錄服務具有互操性 LDAPLDAP是用于在活動目錄中查詢和檢索信息的目錄訪問是用于在活動目錄中查詢和檢索信息的目錄訪問協議。因為它是一種工業標準服務協議，所以可使用協議。因為它是一種工業標準服務協議，所以可使用LDAPLDAP開發程序，與同時支持開發程序，與同時支持LDAPLDAP的其他目錄服務共享活動目錄的其他目錄服務共享活動目錄信息。信息。（8）具有靈活的查詢 任何用戶可使用任何用戶可使用【開始開始】菜單、菜單、【網上鄰居網上鄰居】或或【活活動目錄用戶和計算機動目錄用戶和計算機】上的上的【搜索搜索】命令，通過對象屬性命令，通過對象屬性快速查找網絡上的對象。快速查找網絡上的對象。AD活動目

6、錄作用: 通過將企業網絡中的各種資源，例如電腦，用戶，共享的打印機，服務器等等組織起來形成活動目錄域，在這個域中把這些信息進行分類形成目錄樹。這樣，用戶通過一定的形式，就可以很方便的訪問活動目錄域中的信息. 這種便利的訪問機制，也需要安全的保障機制！ad活動目錄域正是基于這種信息共享基礎上的安全管理規范。 安裝了活動目錄的計算機稱為“域控制器”，只要加入并接受域控制器的管理就可以在一次登錄之后全網使用，方便地訪問活動目錄提供的網絡資源。對于管理員，則可以通過對活動目錄的集中管理就能夠管理全網的資源。域域控制器 域是基本管理單位 域中可包含大量對象計算機用戶打印機共享文件夾 域是活動目錄的組成部

7、分OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2Windows Server 2003 Windows Server 2003 域概述域概述OU2OU1User1Computer1Printer1User2域域域DomainDomainDomainOUOUOU域樹域森林OU-組織單位對象 域及目錄服務概述域及目錄服務概述 活動目錄是一個數據庫 活動目錄是一個目錄服務 可以定制活動目錄 簡化的管理 可擴展性 便捷的網絡資源訪問 域、域樹、域森林域、域樹、域森林n根域下面可以建立多層子域n域和子域構建成域樹n多棵

8、域樹構建成森林n域之間自動建立雙向信任關系A根TB樹XTB樹OU-OU-組織單位組織單位 OU是活動目錄中的一種對象 OU中可以建立子對象 利用OU可以模擬管理模型OUOUOU對象域控制器域控制器 域控制器是存儲活動目錄數據庫的計算機 一個域最少一臺域控制器 多臺域控制器需要同步數據庫 域控制器存儲著目錄數據并管理用戶域的交互，其中包括用戶登錄過程、身份驗證和目錄搜索。域控制器域控制器域User1User2User1User2User3User4User3User4站點站點 每個地理位置中的若干臺域控制器可以劃分為一個站點 站點內部優先同步活動目錄數據庫，同步后再和其他站點中的域控制器同步站點

9、1域控制器遠程線路站點2 活動目錄安裝與卸載活動目錄安裝與卸載 安裝者必須具有本地管理權限 操作系統必須滿足條件（Windows Server 2003 Web版除外都滿足） 本地磁盤至少有一個分區是NTFS文件系統 系統盤應該有最少300MB的剩余空間。 安裝TCP/IP協議和相應的DNS服務器支持。 有相應的DNS服務器支持活動目錄安裝與卸載活動目錄安裝與卸載 啟動安裝向導 使用管理您的服務器向導 使用命令DCPROMO安裝活動目錄安裝活動目錄 主要步驟是否創建新域 新域的DNS全名 新域的NetBIOS名 數據庫和日志文件文件夾 共享的系統卷 DNS注冊診斷域兼容性 還原模式密碼 DNS

10、DNS在域中的作用在域中的作用 DNS在域中有兩個作用域名的命名采用DNS標準 辦公網絡與Internet集成 定位DC 1）客戶機發送DNS查詢請求給DNS服務器 2）DNS服務器查詢匹配的SRV資源記錄 3）DNS服務器返回相關DC的IP地址列表給客戶機 4）客戶機聯系到DC 5）DC響應客戶機的請求 域的DNS區域維護SRV資源記錄可以定位DC活動目錄安裝與卸載活動目錄安裝與卸載安裝活動目錄后操作系統的變化 （1）查看域控制器的計算機名 安裝活動目錄后DC（Domain Controller，即域控制器）的計算機名會發后變化，在DC上右鍵單擊【我的電腦】，選擇【屬性】，在彈出的【系統屬性

11、】對話框中選擇【計算機名】標簽，可以查看當前域控制器的計算機名查看管理工具 在DC上依次打開【開始】【程序】【管理工具】，可以看到新增加5個與活動目錄相關的工具與活動目錄相關的五個工具 Active Directory用戶和計算機：該工具用于管理域中的用戶、組、計算機賬號及OU等 Active Directory域和信任關系：該工具用于管理活動目錄域之間的信任關系 Active Directory站點和服務：該工具用于管理與活動目錄復制相關的站點信息 域安全策略：該工具用于創建和管理域的安全策略 域控制器安全策略：該工具用于創建和管理域控制器的安全策略 查看用戶和組賬號的位置 活動目錄安裝成功

12、后，計算機上的用戶和組賬號的位置會發生變化。在DC上打開【計算機管理】控制臺，發現已經看不到【本地用戶和組】工具。計算機管理控制臺工具 在DC上使用【Active Directory用戶和計算機】工具來管理用戶和組賬號。在DC上依次打開【開始】【程序】【管理工具】【Active Directory用戶和計算機】，在控制臺下打開Users容器qiufen【Active Directory用戶和計算機】工具管理用戶和組 查看SYSVOL（系統卷）文件夾對DC來說SYSVOL文件夾非常重要，如果SYSVOL文件夾創建的不正確，那么存儲在此文件夾下的組策略、腳本等就不能正確的分發給域中的計算機，也無法

13、在DC之間進行復制。SYSVOL文件夾位于%systemroot%下，其中包含以下幾個文件夾，如后圖所示。nDomain（域）nStaging（分級）nStaging areas（分級區域）nSysvol（系統卷）驗證SYSVOL文件夾 （5）查看活動目錄數據庫和日志文件 缺省情況下活動目錄數據庫和日志文件存放在%systemroot%NTDS文件夾下，其中ntds.dit是活動目錄數據庫文件，還有檢查點文件edb.chk、日志文件edb.log和保留日志文件res*.log等。驗證活動目錄數據庫和日志文件 活動目錄域與DNS服務是緊密結合的，如果要使一個活動目錄域正常工作，必須要有相應的DN

14、S區域來支持它，而且還要有服務資源記錄（SRV記錄）。如下圖所示為在DNS服務器上打開DNS控制臺查看活動目錄域的區域情況。在DNS服務器中查看活動目錄域的SRV記錄 查看查看DNSDNS數據庫數據庫查看事件日志 安裝活動目錄后打開事件查看器可以看到增加了一個日志“目錄服務”，在此會記錄有關活動目錄的信息。查看事件查看器 五五 將計算機加入到域將計算機加入到域 1、哪些計算機能成為Windows Server 2003域的成員 下面的操作系統主機可以成為域的成員：nWindows NTnWindows 2000nWindows XPnWindows Server 2003 系統屬性對話框中“計

15、算機名”標簽 把計算機加入到域 為了更好地管理網絡中的資源，充分利用活動目錄的特點，應該把網絡中的客戶端計算機加入到域，這樣管理員就可以對域中的計算機進行集中的配置和管理步驟1、配置客戶機的首選DNS服務器2、將計算機加入域指定該計算機要加入的域的名稱 xhce輸入有加入該域權限的用戶名和密碼 加入域成功對話框 OUOU的創建的創建功能型SCMS SalesC ConsultantsM - Marketing混合型例子 功能 組織 位置 功能 組織 位置組織型MERM ManufacturingE EngineeringR - Research位置型NFIN Norway F FranceI

16、Indonesia 可以根據各種因素創建OU域模式域模式lWindows 2000混合模式域控制器 (Windows 2000/Server 2003)域控制器 (Windows NT 4.0)lWindows Server 2003 模式域控制器全部都是(Windows Server 2003 )lWindows 2000本機模式域控制器 (Windows 2000)域控制器 (Windows Server 2003 ) 域模式是用來為了兼容老版本操作系統的域控制器，而限制某些新的功能。Active DirectoryActive Directory對象類別如下對象類別如下 1、 用戶（Us

17、er）：作為安全主體，被授予安全權限，可登錄到域中作為安全主體，被授予安全權限，可登錄到域中。 2、計算機（Computer）：表示網絡中的計算機實體，加入到域的表示網絡中的計算機實體，加入到域的Windows NT/2000/XP/2003Windows NT/2000/XP/2003計算機都可創建相應的計算機賬戶。計算機都可創建相應的計算機賬戶。 3、聯系人（Contact）：一種個人信息記錄。聯系人沒有任何安全權一種個人信息記錄。聯系人沒有任何安全權限，不能登錄網絡，主要用于通過電子郵件聯系的外部用戶。限，不能登錄網絡，主要用于通過電子郵件聯系的外部用戶。 4、組（Group）：某些用戶

18、、聯系人、計算機的分組，用于簡化大量某些用戶、聯系人、計算機的分組，用于簡化大量對象的管理。對象的管理。 5、 組織單位（Organization Unit）：將域細分的將域細分的Active Active DirectoryDirectory容器。容器。 6、 打印機（Printer）：在在Active DirectoryActive Directory中發布的打印機。中發布的打印機。 7、 共享文件夾（Shared Folder）：在在Active DirectoryActive Directory中發布中發布的共享文件夾。的共享文件夾。 8、 InterOrgPersion：標準的用戶對

19、象類，對于標準的用戶對象類，對于Windows Server Windows Server 20032003域功能級別來說，可以作為安全主體。域功能級別來說，可以作為安全主體。管理容器管理容器 1、 Builtin：用來存放默認內置組（如用來存放默認內置組（如Account Account OperatorsOperators或或AdministratorsAdministrators）對象。）對象。 2、Computers：包含包含Windows 2000Windows 2000、Windows Windows XPXP和和Windows Server 2003Windows Server

20、2003計算機對象計算機對象。 3、 Domain Controllers：運行運行Windows 2000Windows 2000或或Windows Server 2003Windows Server 2003的域控制器的計算機對象的域控制器的計算機對象。 4、 ForeignSecurityPrincipals：存儲有信任存儲有信任關系的域的對象。關系的域的對象。 5、 Users：包含域內用戶賬戶和組。包含域內用戶賬戶和組。域用戶和計算機帳戶域用戶和計算機帳戶 活動目錄用戶帳戶 用戶帳戶是用來記錄用戶的用戶名和密碼、隸屬的組、可以訪問的網絡資源，以及用戶的個人文件和設置。 每個用戶都應在

21、域控制器中有一個用每個用戶都應在域控制器中有一個用戶帳戶，才能訪問服務器，使用網絡上的資源戶帳戶，才能訪問服務器，使用網絡上的資源 域用戶賬戶域用戶賬戶本地用戶帳號 (存儲在本地計算機)域用戶帳號 (存儲在活動目錄中)Windows Server 2003 域 域用戶賬戶的創建域用戶賬戶的創建 輸入用戶的基本信息和登錄名稱 用戶密碼用戶屬性對話框 用戶登錄名用戶登錄名（Windows 2000以前版本）在域中必須惟一最長20字符 登錄時間限制用戶登錄到域的時間 可以登錄的計算機定義了賬戶可以登錄的計算機列表 配置域用戶賬戶的屬性配置域用戶賬戶的屬性基于位置的設計UsersNorth Ameri

22、caUsersSouth America基于業務的設計UsersAccountingUsersSales域用戶賬戶的創建域用戶賬戶的創建 用戶的存放地點帳號選項說明User must change password at next logon用戶在下次登錄時必須修改用戶在下次登錄時必須修改密碼密碼User cannot change password用戶無權修改自己的密碼用戶無權修改自己的密碼Password never expires用戶密碼永不過期用戶密碼永不過期Account is disabled用戶不能使用此帳號登錄用戶不能使用此帳號登錄域用戶賬戶的創建域用戶賬戶的創建 管理域用戶和

23、計算機帳戶 就活動目錄的管理而言，【Active Directory用戶和計算機】是使用最為頻繁的工具。該工具可以用來建立、編輯或刪除網絡中的用戶、計算機、組、組織單位、域、域控制器，以及發布網絡共享資源 域用戶賬戶的刪除和移動域用戶賬戶的刪除和移動組織單元 1組織單元 2域 刪除用戶 移動用戶直接鼠標拖動配置域用戶賬戶的屬性配置域用戶賬戶的屬性 登錄名 登錄時間 可以登錄的計算機 配置文件/主文件夾組的實現與管理組的實現與管理GroupGroupGroupGroupGroupGroupGroupGroup 組的分類組的分類組的類型說明安全組用于設置用戶權限和權利，用于設置用戶權限和權利，也可

24、用于郵件分布列表也可用于郵件分布列表通訊組只用于郵件分布列表只用于郵件分布列表 組的作用域與成員資格組的作用域與成員資格支持的域控制器Windows NT Server 4.0, Windows 2000, Windows Server 2003Windows 2000, Windows Server 2003Windows Server 2003支持的組的范圍全局全局, 域本地域本地全局全局, 域本地域本地, 通用通用全局全局, 域本地域本地, 通用通用Windows 2000 mixed (default)Windows 2000 nativeWindows Server 2003域本地組

25、域本地組成員Mixed mode: 任何域中的用戶帳號和全任何域中的用戶帳號和全局組局組Native mode: 任何域中的用戶帳號、全任何域中的用戶帳號、全局組和通用組，以及同一個域中的域本局組和通用組，以及同一個域中的域本地組地組 可成為成員Mixed mode: 無無Native mode: 同一個域的域本地組同一個域的域本地組范圍域本地組所屬的域域本地組所屬的域權限域本地組所屬的域域本地組所屬的域全局組全局組成員Mixed mode: 同一個域的用戶帳號同一個域的用戶帳號Native mode: 同一個域的用戶帳號和全局組同一個域的用戶帳號和全局組可成為成員Mixed mode: 任何

26、域的域本地組任何域的域本地組Native mode: 任何域的域本地組和通用組，以任何域的域本地組和通用組，以及同一個域的全局組及同一個域的全局組范圍本域和所有被信任的域本域和所有被信任的域權限森林中所有的域森林中所有的域通用組通用組成員Native mode: 森林中任何域中的用戶帳號、全森林中任何域中的用戶帳號、全局組、和其他通用組局組、和其他通用組Mixed mode: 不可用不可用可成為成員Mixed mode: 不可用不可用Native mode: 任何域中的域本地組和通用組任何域中的域本地組和通用組范圍森林中的所有域森林中的所有域權限森林中的所有域森林中的所有域管理域中的組管理域中

27、的組 創建組創建組 設置組信息設置組信息 添加組成員添加組成員 設置組管理者設置組管理者 AGDLP域用戶A加入到域全局安全組G，然后在“本地用戶和計算機”中創建一個本地組DL，把G加入到DL中，最后為DL分配權限。 組的成員和隸屬于屬性組的成員和隸屬于屬性團隊或組全局組域本地組成員隸屬于N/ADenver AdminsTom, Jo, and Kim成員Member OfN/AVancouver AdminsSam, Scott, and Amy成員隸屬于Tom, Jo, KimDenver OU AdminsDenver Admins成員隸屬于Tom, Jo, KimDenver OU AdminsDenver Admins成員隸屬于Sam, Scott, AmyVancouver OU AdminsVancouver AdminsDenver OU Admins成員隸屬于Denver Admins,Vancouver AdminsN/A 用戶配置文件概念 用戶的桌面工作環境，包括桌面、開始菜單、我的文檔、以及其他指定的設置一般存儲在操作系統所在分區上的Documents and Settingsusername文件夾里 用戶配置文件類型 本地用戶配置文件 漫游用戶配置文件 強制用戶配置文件 臨時用戶配置文件 實現漫游用戶配置文件