項(xiàng)目6ActiveDirectory域服務(wù)的配置與管理.ppt

Windows server 2008 服務(wù)器配置與管理,第6章 Active Directory域服務(wù)的配置與管理,項(xiàng)目6 Active Directory域服務(wù)的配置與管理,本章要點(diǎn) Active Directory與域。 創(chuàng)建Active Directory域。 將Windows計(jì)算機(jī)加入域。 管理Active Directory內(nèi)的組織單位和用戶賬戶。 管理Active Directory中的組賬戶。 技能目標(biāo) 理解域和工作組的區(qū)別，熟悉活動目錄的相關(guān)概念。 掌握Active Directory域的創(chuàng)建條件、安裝與配置方法。 掌握將Windows計(jì)算機(jī)加入和登錄域的方法，能夠使用活動目錄中資源。 掌握Active Directory內(nèi)的組織單位創(chuàng)建和管理方法，用戶賬戶創(chuàng)建和管理方法。 理解域內(nèi)組賬戶的類型和作用域，掌握Active Directory內(nèi)的組賬戶的創(chuàng)建和管理方法。,項(xiàng)目6 Active Directory域服務(wù)的配置與管理,6.1 真實(shí)情景導(dǎo)入 6.2 Active Directory與域 6.3 任務(wù)1-安裝Windows Server 2008域控制器 6.4 任務(wù)2-Windows Server 2008活動目錄的管理 6.5 回到工作情景 6.6 項(xiàng)目實(shí)訓(xùn)-活動目錄的安裝與管理,6.1 真實(shí)情景導(dǎo)入,工作場景 Contoso是一家IT公司，隨著該公司規(guī)模的不斷壯大，不僅部門增多，個人計(jì)算機(jī)和服務(wù)器的數(shù)量也越來越多。作為網(wǎng)管員的小明面對各種各樣的管理問題，比如因?yàn)閹装倥_計(jì)算機(jī)要上千人公用，還要能保證安全，就要給每個人在每臺機(jī)器上都設(shè)置用戶名密碼，來了新同事，要在每臺機(jī)器上給他開新賬號，他離職了，還要每臺機(jī)器刪除該賬號，這無疑是一個令人瘋狂的工作，但是，小明想到了域控制器和活動目錄。假設(shè)該公司的域名是。,引導(dǎo)問題,(1) 如何創(chuàng)建Active Directory？創(chuàng)建時對服務(wù)器有什么要求？創(chuàng)建完成后如何管理？ (2) 一臺Windows客戶機(jī)如何添加到域中？如何使用Active Directory中的資源？ (3) 組織單位是什么？如何創(chuàng)建和管理？ (4) 域用戶賬戶和本地用戶賬戶有何區(qū)別？如何創(chuàng)建和管理域用戶賬戶？ (5) 域組賬戶和本地組賬戶有何區(qū)別？如何創(chuàng)建和管理域組賬戶？,6.2.1 工作組,1工作組的概念 2如何加入和退出工作組,6.2.2 域,1域名例子 2域（Domain） 是一個比工作組更嚴(yán)格的單位，但它可以包含若干個工作組。 3. 域控制器 在“域”模式下，至少有一臺計(jì)算機(jī)負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡寫為DC） 4.活動目錄 域控制器中包含了由這個域的賬戶、密碼甚至該域其他計(jì)算機(jī)的軟硬件信息等構(gòu)成的數(shù)據(jù)庫，該數(shù)據(jù)庫也稱為活動目錄（Active Directory，簡寫為AD）,6.2.3 域和工作組的區(qū)別,工作組可以說是“自由市場”， 有幾個工作組就有幾個“自由市場”， 你可以隨時自由出入而沒什么限制，從網(wǎng)上鄰居最先看到的往往是自己機(jī)器所在的工作組的機(jī)器們。而域是嚴(yán)格控制權(quán)限的“私人會所”， 沒有正確的域用戶是根本無法登錄到域上的，也就無法訪問域所控制的資源。,6.2.4 域樹和域林,域,域樹,域林,6.2.5 活動目錄及其結(jié)構(gòu),活動目錄（Active Directory）是Windows Server 2008系統(tǒng)中提供的目錄服務(wù)，用于存儲網(wǎng)絡(luò)上各種對象的相關(guān)信息，以便于管理員查找和使用。 目錄是一個用于存儲用戶感興趣的對象信息的信息庫。所謂目錄服務(wù)就是結(jié)構(gòu)化的網(wǎng)絡(luò)資源信息庫，如計(jì)算機(jī)、用戶、打印機(jī)、服務(wù)器等。,6.2.6 域中的計(jì)算機(jī)分類,（1）域控制器 （2）成員服務(wù)器 （3）獨(dú)立服務(wù)器 （4）域中的客戶端,6.3 任務(wù)1-安裝Windows Server 2008域控制器,6.3.1 建立第一臺域控制器 6.3.2 在域中創(chuàng)建新用戶 6.3.3 客戶機(jī)登錄到域,6.3.1 建立第一臺域控制器,1域控制器的安裝 （1） 在安裝好windows server 2008之后，啟動后會彈出“初始任務(wù)配置窗口”，如圖6.9所示。,圖6.9 初始配置任務(wù),（2）選擇“自定義此服務(wù)器”中的“添加角色”，彈出“添加角色向?qū)А保鐖D6.10所示，在開始之前首先，要求驗(yàn)證管理員是否具有強(qiáng)密碼，是否已配置靜態(tài)IP地址，是否已安裝最新的安全更新，如果上面的部分沒有完成，再后續(xù)的步驟中會出現(xiàn)警告信息或者錯誤，嚴(yán)重的會導(dǎo)致域控制器無法安裝。,1域控制器的安裝,圖6.10添加角色向?qū)?1域控制器的安裝,（3）選擇“自定義此服務(wù)器”中的“添加角色”，在“添加角色向?qū)А睂υ捒蛑械淖筮呥x擇“服務(wù)器角色”，右邊選擇“Active Directory域服務(wù)”，如圖6-11所示。,圖6.11 選擇服務(wù)器角色,1域控制器的安裝,（4）需要注意的是由于AD在某些版本的windows server 2008上必須有“.NET Framework”功能的支持，所以在這一步后有時要求安裝“.NET Framework 3.5.1功能”，此時只需按照向?qū)Ф鄨?zhí)行一步即可。演示用的版本不需安裝。點(diǎn)擊【下一步】即可。,圖6.12 Active Directory域服務(wù),1域控制器的安裝,（5）在“Active Directory域服務(wù)”對話框中，向?qū)o出四點(diǎn)注意事項(xiàng)，如圖6.12所示，根據(jù)這些注意事項(xiàng)可以了解到安裝AD前后操作應(yīng)該執(zhí)行的任務(wù)和AD需要的服務(wù)。點(diǎn)擊【下一步】繼續(xù)。點(diǎn)擊【安裝】繼續(xù)，最終達(dá)到如圖6.14安裝結(jié)果。,圖6-14 安裝結(jié)果,1域控制器的安裝,6）當(dāng)出現(xiàn)“安裝結(jié)果”對話框時，如果沒有錯誤，只有如圖6.14所示的沒有開啟更新的警告信息，則可以直接忽略，此時AD的安裝準(zhǔn)備已經(jīng)完成，但是由于該臺計(jì)算機(jī)還不能完全正常運(yùn)行DC，所以提示需要啟用AD安裝向?qū)В╠cpromo.exe）來完成安裝安裝結(jié)束，選擇“關(guān)閉該向?qū)Р覣ctive Directory域服務(wù)器安裝向?qū)В╠cpromo.exe）”或者直接點(diǎn)下面的【關(guān)閉】按鈕，然后在運(yùn)行對話框中輸入“dcpromo“，如圖6.15所示。,圖6.15 運(yùn)行dcpromo命令,1域控制器的安裝,（7）確定后經(jīng)過系統(tǒng)自動檢測，將出現(xiàn)AD安裝向?qū)У臍g迎界面，如圖6.15所示。在該對話框中可以選擇使用標(biāo)準(zhǔn)或高級模式來進(jìn)行安裝。對于高級模式是提供給有經(jīng)驗(yàn)的用戶，該模式對安裝過程有更多的控制。此外，還可直接在命令提示符下運(yùn)行帶有/adv開關(guān)的dcpromo命令（dcpromo /adv）來啟動高級向?qū)?。這里我們暫不選擇高級模式。直接【下一步】按鈕繼續(xù)安裝，如圖6.16所示和圖6.17所示。,圖6.16 域服務(wù)安裝向?qū)?圖6.17 操作系統(tǒng)兼容性,1域控制器的安裝,（8）由于目的是部屬企業(yè)中的第一個DC，所以在此應(yīng)選擇“在新林中新建域”。因?yàn)?，?chuàng)建新林需要管理員權(quán)限，所以必須是正在其上安裝AD的服務(wù)器本地管理員組的成員。繼續(xù)【下一步】按鈕，如入6.18所示。,圖6.18 選擇部署配置,1域控制器的安裝,（9）在“域服務(wù)安裝向?qū)А敝羞x擇“在新林中新建域”，下一步，對域林的根域進(jìn)行命名，如圖6.19所示。需要在之前對DNS基礎(chǔ)結(jié)構(gòu)有一個完整的計(jì)劃。必須了解該林的完整DNS名稱。可以在安裝AD之前先安裝DNS服務(wù)器服務(wù)，或者在下面安裝過程中直接選擇讓AD安裝向?qū)О惭bDNS服務(wù)器服務(wù)。,圖6.19 設(shè)置域名,2.設(shè)置林功能級別,（1）建議選擇“windows server 2008”，但此時只能向該林中添加運(yùn)行Windows Server 2008或更高版本的域控制器。由于選擇2000時，某些高級功能在該域控上不可用，如圖6.20所示。,圖6.20 選擇林功能級別,2.設(shè)置林功能級別,（2）單擊【下一步】按鈕，安裝DNS服務(wù)器。如圖6.21所示。,圖6.21 為域控制器選擇其他選項(xiàng),2.設(shè)置林功能級別,（3）單擊【下一步】按鈕會彈出如圖6.22的警告對話框，選擇“是”。這個對話框的出現(xiàn)是由于配置其它服務(wù)器時，選擇了“DNS服務(wù)器”選項(xiàng)，而當(dāng)前計(jì)算機(jī)又未找到指定域的權(quán)威父域Windows DNS服務(wù)器，從而無法確定是否對指定域進(jìn)行了委派導(dǎo)致的。,圖6.22 警告信息,2.設(shè)置林功能級別,（4）接下來確定AD數(shù)據(jù)庫、日志文件和SYSVOL放置的位置，如圖6.23所示。對于數(shù)據(jù)庫來講主要存儲有關(guān)用戶、計(jì)算機(jī)和網(wǎng)絡(luò)中其它對象的信息；日志文件記錄與AD有關(guān)的活動；SYSVOL存儲組策略對象和腳本，其默認(rèn)是位于C:windows目錄中的操作系統(tǒng)文件的一部分。,圖6.23 設(shè)置存儲位置,2.設(shè)置林功能級別,（5）點(diǎn)擊【下一步】按鈕，向?qū)б筝斎搿澳夸涍€原模式的Administrator密碼。如圖6.24所示。,圖6.24 輸入目錄還原模式的Administrator密碼,2.設(shè)置林功能級別,（6）點(diǎn)擊【下一步】按鈕，顯示安裝摘要如圖6.25所示，并且可以單擊“導(dǎo)出設(shè)置”將在此向?qū)е兄付ǖ脑O(shè)置保存到一個應(yīng)答文件。然后，可以使用應(yīng)答文件自動執(zhí)行AD的后續(xù)安裝。,圖6.25 安裝摘要,2.設(shè)置林功能級別,（7）點(diǎn)擊【下一步】按鈕，安裝向?qū)?zhí)行安裝操作（如圖6.26）。如果沒有勾選“完成后重新啟動”復(fù)選框，則執(zhí)行完畢后，AD安裝向?qū)⒊霈F(xiàn)完成安裝頁，如圖6.27所示。,圖6.26 安裝操作,圖6.27 完成安裝,2.設(shè)置林功能級別,（8）點(diǎn)擊【完成】按鈕。系統(tǒng)會提示需要重新啟動計(jì)算機(jī)配置才能生效如圖6.28所示。點(diǎn)擊“立即重新啟動”完成DC安裝操作。,圖6.28 重啟提示,2.設(shè)置林功能級別,（9）重啟后我們來驗(yàn)證下域控制器是否安裝成功，首先看一下AD數(shù)據(jù)文件是否產(chǎn)生，打開“計(jì)算機(jī)本地磁盤C:windowsNTDS文件夾，如果有ntsd.dit文件，說明AD數(shù)據(jù)文件正常，如圖6.29所示。,圖6.29 ntds文件存在,2.設(shè)置林功能級別,（10）再者是看DNS服務(wù)是否工作正常，與域相關(guān)的資源記錄，特別是SRV記錄是否正確寫入。如圖6.30所示。,圖6.30 DNS服務(wù)正常,6.3.2 在域中創(chuàng)建新用戶,（1）點(diǎn)擊“開始” “管理工具”“Active Directory用戶和計(jì)算機(jī)”，打開Users文件夾，如圖6.31 所示，在右面，我們最常用到的3個用戶是Administrator、Domain Admins和Domain users。,圖6.31 域用戶,（2）要新建域賬戶的話，直接在左側(cè)Users文件夾上右擊，選擇“新建”“用戶”，建立名為zhangming的賬戶，如圖6.32所示。,6.3.2 在域中創(chuàng)建新用戶,圖6.32 新建用戶,（3）點(diǎn)擊【下一步】按鈕，輸入并確認(rèn)密碼，如圖6.33所示。,6.3.2 在域中創(chuàng)建新用戶,圖6.33 設(shè)置密碼和密碼策略,（4）單擊【下一步】按鈕完成。如此時彈出錯誤提示，一般是因?yàn)橛脩裘艽a的復(fù)雜度不夠，參照項(xiàng)目3更改密碼復(fù)雜度即可。如圖6.34所示。,6.3.2 在域中創(chuàng)建新用戶,圖6.34 用戶創(chuàng)建完成,（5）用戶創(chuàng)建完成后，出現(xiàn)zhangming賬戶，如圖6.35所示。,6.3.2 在域中創(chuàng)建新用戶,圖6.35 新賬戶出現(xiàn),6.3.3 客戶機(jī)登錄到域,（1）客戶機(jī)要登錄到域，首先需要跟域控制器聯(lián)通，比如我們以windowsXP為例，設(shè)置客戶機(jī)的地址如圖6.40所示，設(shè)置后可在命令行界面使用ping命令測試兩臺計(jì)算機(jī)是否能通信。,圖6.40 填寫IP,6.3.3 客戶機(jī)登錄到域,（2）如果能夠聯(lián)通，右擊“我的電腦”，選擇“屬性”，在打開的“系統(tǒng)屬性”中選擇“計(jì)算機(jī)名”選項(xiàng)卡， 選擇【更改】按鈕，彈出“計(jì)算機(jī)名稱更改”對話框，填寫域名，如圖6.41所示。,圖6.41 填寫圖域名,6.3.3 客戶機(jī)登錄到域,點(diǎn)擊【確定】按鈕，要求輸入“有加入該域權(quán)限的賬戶的名稱和密碼”，此時既可以使用域控制器的賬戶和密碼，也可回到域控制器，在上面新建一組所需權(quán)限的賬戶和密碼，輸入即可，這里我們使用DC原有的賬戶administrator密碼123，如圖6.42所示。,圖6.42 輸入DC中的賬戶和密碼,6.3.3 客戶機(jī)登錄到域,（3）點(diǎn)擊【確定】按鈕，加入域成功，要求重啟計(jì)算機(jī)生效。如圖6.43所示。 （4）重啟后就可以用administrator和密碼123的域賬戶登錄了。登陸后發(fā)下系統(tǒng)是一個全新的環(huán)境了。登錄時選擇登錄到contoso，輸入密碼后就以域用戶的身份登錄了，如圖6.44所示。,圖6.43 加入域成功,圖6.44 登錄到域,6.3.3 客戶機(jī)登錄到域,（5）在域控制器中，點(diǎn)擊“開始” “管理工具” “Active Directory用戶和計(jì)算機(jī)”，我們發(fā)現(xiàn)，機(jī)器“CHARRY”已經(jīng)在DC中了。如圖6.45所示。,圖6.45 客戶機(jī)已加入域中,6.4 任務(wù)2-Windows Server 2008活動目錄的管理,6.4.1 活動目錄用戶和計(jì)算機(jī) 6.4.2 活動目錄域和信任關(guān)系 6.4.3 活動目錄站點(diǎn)復(fù)制服務(wù),6.4.1 活動目錄用戶和計(jì)算機(jī),活動目錄用戶和計(jì)算機(jī)管理的具體操作步驟如下。 （1）單擊“開始” “管理工具”“Active Directory用戶和計(jì)算機(jī)”菜單項(xiàng)，打開“Active Directory用戶和計(jì)算機(jī)”窗口，如前面的圖6.31所示。 （2）在圖6.31所示窗口的左邊，選擇“Computers”，可以顯示當(dāng)前域中的計(jì)算機(jī)，即成員服務(wù)器和工作站，這里是我們新建的域，所以無服務(wù)器和工作站。 （3）在圖6.31所示窗口的左邊，選擇“Domain Controllers”，可以顯示當(dāng)前域中的域控制器。 （4）在圖6.-31所示窗口的左邊，選擇“Users”或者“Builtin”，可以顯示域中的用戶或組等情況。,6.4.2 活動目錄域和信任關(guān)系,（1） 傳遞信任關(guān)系。 （2）不傳遞信任關(guān)系。 （3）單向信任關(guān)系。 （4）雙向信任關(guān)系。,6.4.3 活動目錄站點(diǎn)復(fù)制服務(wù),（1）站點(diǎn)間復(fù)制 （2）站點(diǎn)內(nèi)復(fù)制 （3）管理復(fù)制,6.5 回到工作情景,工作過程一：安裝Active Directory域服務(wù)器 (1)規(guī)劃與安裝操作系統(tǒng) (2)利用添加角色向?qū)О惭bActive Directory域服務(wù) (3)運(yùn)行Active Directory域服務(wù)安裝向?qū)?(4)檢查DNS服務(wù)器內(nèi)SRV記錄的完整性 工作過程二：將客戶機(jī)加入域 (1)在客戶