WindowsServer2019服務器配置實訓教程學習單元2

活動目錄的配置與用戶管理任務1建立域控制器任務背景與分析1.客戶需求需求

網絡中心王主任對工程師小溫的工作很滿意，他向小溫介紹了學校現在校園網絡的基本情況、部門劃分、人員組成等情況。提出基于今后網絡管理和維護的工作量的角度考量，希望小溫能完成對智慧校園網絡資源的統一管理，并且對內部網絡資料安全問題提出了自己的擔憂。需求任務背景與分析2.任務分析求

根據該校校園網絡的業務需求并結合該學校的具體網絡實際，可以看出該網絡規模還是很大的。客戶要求安裝域控制器來對各部門和相關教師的辦公計算機進行統一管理。要完成此任務，就必須了解活動目錄及域控制器的有關知識和操作。任務背景與分析2.任務分析求

工作流程：

確認用戶需求與功能分析→填寫安裝工單→安裝規劃→實施域控制器安裝→完成配置基本服務。任務背景與分析3.任務工單求邁聯公司工程任務工單客戶名稱：xx學校網絡中心

任務單號：P2021060201現場地點XX學校網絡中心機房日期：2021年9月2日客戶要求1）建立域控制器2）通過CMD指令行驗證AD是否安裝成功3）確認NetBios域名，指定ADDS數據庫、日志和SYSVOL的存儲位置，并查看配置的詳細信息4）域控制器名稱為“”現場環境及參數3臺windowsserver2019服務器，其中一臺為域控制器聯系方式聯系人：王主任聯系電話：133XX000001工時4任務背景與分析4．知識儲備求

要想完成活動目錄相關服務的添加、配置與管理，管理員應該了解活動目錄的相關知識。在日常管理工作中，經常將數據存儲作為目錄的代名詞。目錄包含了有關對象，如用戶、用戶組、計算機、域、組織單位（OU）以及安全策略的信息。這些信息可以被發布出來，以供用戶和管理員使用。

目錄存儲在被稱為域控制器的服務器上，并且可以被網絡應用程序或者服務所訪問。一個域可能擁有一臺以上的域控制器。每一臺域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器復制到域、域樹或者域林中的其它域控制器上。由于目錄可以被復制，而且所有的域控制器都擁有目錄的一個可寫副本，因此用戶和管理員可以在域的任何位置方便地獲得所需的目錄信息。通常，目錄數據存儲在域控制器上的Ntds.dit文件中。任務背景與分析4．知識儲備求1）活動目錄。活動目錄是微軟WindowsServer中負責架構中大型網絡環境的集中式目錄管理服務（DirectoryServices）。它處理了在組織中的網絡對象，對象可以是用戶、組群、計算機、域名控制站、郵件、設置文件、組織單位、樹系等等。只要是在活動目錄結構定義文件（schema）中定義的對象，就可以存儲在活動目錄數據文件中，并利用活動目錄（ServiceInterface）來訪問。活動目錄包括兩個方面：目錄和與目錄相關的服務。目錄是存儲各種對象的一個物理上的容器，從靜態的角度來理解活動目錄與以前所結識的“目錄”和“文件夾”沒有本質區別，就是實際存在的對象，或者說是實體；而目錄服務是使目錄中所有信息和資源發揮作用的服務。活動目錄是一個分布式的目錄服務，信息可以分散在多臺不同的計算機上，保證用戶能夠快速訪問，因為多臺機上有相同的信息，不管用戶從何處訪問或信息處在何處，都對用戶提供統一的視圖。任務背景與分析4．知識儲備求

2）域。域（Domain）是網絡中對計算機和用戶的一種邏輯分組，是出于管理而定義的對象集合，是活動目錄的分區，定義了安全邊界，在沒經過授權的情況下，不允許其他域中的用戶訪問本域的資源。3）域樹。當需要配置一個包含多個域的網絡時，應該將網絡配置成域目錄樹結構。域樹由多個域組成，這些域共享同一個表結構和配置，形成一個連續的名字空間。樹中的域通過雙向信任關系連接起來。域樹中的域層次越深級別越低，一個“.”代表一個層次，如下圖所示任務背景與分析4．知識儲備求

4）名稱空間。名稱空間是一種命名規則，通常用來定義網絡資源的唯一名稱。活動目錄本質上就是一個名稱空間，包含了很多的對象，每個對象都有自己的名字。在這里，可以把他們的關系形象地理解成是一種解析關系。例如，通訊錄可以形成一個名稱空間，每個人的名字都可以被解析為對應的地址等信息。windows的文件系統也可以形成一個名稱空間，每個文件名都可以被解析為具體的某個文件。5）活動目錄(ActiveDirectory)主要提供以下功能①基礎網絡服務：包括DNS、WINS、DHCP、證書服務等。②服務器及客戶端計算機管理：管理服務器及客戶端計算機賬戶，所有服務器及客戶端計算機加入域管理并實施組策略。任務背景與分析4．知識儲備求

③用戶服務：管理用戶域賬戶、用戶信息、企業通訊錄（與電子郵件系統集成）、用戶組管理、用戶身份認證、用戶授權管理等，按省實施組管理策略。④資源管理：管理打印機、文件共享服務等網絡資源。⑤桌面配置：系統管理員可以集中配置各種桌面配置策略，如：用戶使用域中資源權限限制、界面功能的限制、應用程序執行特征限制、網絡連接限制、安全配置限制等。⑥應用系統支撐：支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。在WindowsServer2019上安裝活動目錄域服務的步驟視頻如下：任務實施WindowsServer2019上安裝活動目錄域服務在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務1）設置指定AD角色服務器的IP地址和DNS服務器地址，因為是安裝活動目錄，所以二者要一致。2）單擊“服務器管理器”，彈出如圖2-2所示界面。圖2-2服務器管理器界面在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務3）單擊“添加角色和功能”按鈕。4）進入“添加角色和功能向導”，單擊“下一步”按鈕。5）選擇“基于角色或基于功能的安裝”，然后單擊“下一步”按鈕，如圖2-3所示。圖2-3選擇安裝類型界面在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務6）服務器選擇默認，如果同時有多個服務器可供選擇，則選擇所需要的服務器，單擊“下一步”按鈕。7）勾選“ActiveDirectory域服務”（見圖2-4），彈出對話框時單擊“添加功能”即可，然后單擊“下一步”。圖2-4選擇服務器角色界面在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務8）選擇和確認需要在服務器上安裝的功能，單擊“下一步”按鈕。9）閱讀AD角色的功能及注意事項，單擊“下一步”按鈕。10）勾選“如果需要，自動重新啟動目標服務器”按鈕，之后單擊“安裝”按鈕，如圖2-5所示。11）安裝完成，單擊“關閉”按鈕。圖2-5服務器安裝完成在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務12）單擊服務器管理器右上角的通知欄，并單擊“將此服務器提升為域控制器”，如圖2-6所示。圖2-6將服務器提升為域控制器在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務13）選擇“將域控制器添加到現有域”或“添加新林”選項，如圖2-7所示，并確定域的信息，單擊“下一步”按鈕。圖2-7確認域控制器位置和信息任務實施從光盤安裝WindowsServer2019操作系統域的相關知識：

如果網絡的規模很大，甚至包含了多個域目錄樹，那么這時一個或多個域目錄樹的集合就形成了域目錄林。域林中的所有域樹共享同一個表結構、配置和全局目錄。

為了解決用戶跨域訪問資源的問題，可以在域之間引入“信任”。域的信任關系包括單向信任、雙向信任、傳遞信任、不可傳遞信任、信任協議。知識拓展在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務14）確認制定域控制器的功能和站點信息，并設置DSRM密碼，單擊“下一步”按鈕，如圖2-8所示。圖2-8設置域控制器選項在WindowsServer2019上安裝活動目錄域服務的步驟：任務實施WindowsServer2019上安裝活動目錄域服務15）確認NetBios域名，指定ADDS數據庫、日志和SYSVOL的存儲位置，并查看配置的詳細信息，單擊“安裝”按鈕直到顯示安裝完成。16）驗證安裝。在“控制面板”的“管理工具”下，看看有沒有AD活動目錄用戶和計算機以及相應設置管理項，如果有就說明安裝成功了，如圖2-9所示。還可以直接打開CMD命令行，輸入DCDIAG/a驗證AD是否安裝成功，如圖2-10所示。圖2-9管理工具驗證AD安裝成功圖2-10在命令行環境下驗證AD安裝是否成功任務實施從光盤安裝WindowsServer2019操作系統

域控制器安裝完之后，有時因工作要求要對域控制器進行重新定義或直接卸載。進入“刪除角色和功能向導”，在“服務器角色”界面，取消勾選ActiveDirectory域服務，依次按照操作