域的應(yīng)用基本圖示

1、下次課開(kāi)始于2022/10/5 MICROSOFT EDUCATIONAND CERTIFICATION目錄服務(wù)基礎(chǔ)結(jié)構(gòu)設(shè)計(jì)與管理Microsoft Windows 2000課程號(hào)2154A，考試號(hào)70-217（一）2022/10/5MCSE:Windows2000張東輝高培信息辦 TEL:5988204Email:zhangdh個(gè)人信息Systems EngineerMicrosoftCertifiedProfessional2022/10/5Windows 2000中的活動(dòng)目錄介紹12022/10/51-1概述活動(dòng)目錄簡(jiǎn)介輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議LDAP活動(dòng)目錄邏輯結(jié)構(gòu)組織單元OU、域、樹(shù)、林2

2、000集中式和非集中式管理活動(dòng)目錄物理結(jié)構(gòu)DC如何用于AD中的復(fù)制多主控和單主控的操作角色管理2000網(wǎng)絡(luò)的方法AD和組策略、委派控制2022/10/51-2多媒體：Windows 2000中活動(dòng)目錄的概念2022/10/5對(duì)象object：屬性setting的集合用戶(hù)、組、計(jì)算機(jī)、打印機(jī)、共享夾、聯(lián)系人OU、域、樹(shù)、林站點(diǎn)SITE活動(dòng)目錄AD的目錄服務(wù)提供用于組織、管理和控制網(wǎng)絡(luò)資源的結(jié)構(gòu)和功能2022/10/5活動(dòng)目錄存儲(chǔ)整個(gè)網(wǎng)絡(luò)上資源的信息便于用戶(hù)查找、管理和使用這些資源小型網(wǎng)絡(luò)：UNC路徑大型網(wǎng)絡(luò)：難以確定資源位置、名稱(chēng)所以需要目錄服務(wù)快速定位資源對(duì)用戶(hù)透明、高效不需要知道資源的物理位

3、置，如何連接1-3活動(dòng)目錄介紹2022/10/5什么是活動(dòng)目錄?目錄服務(wù)的功能組織管理控制資源集中管理單點(diǎn)管理用戶(hù)只需登錄一次，就可訪(fǎng)問(wèn)整個(gè)活動(dòng)目錄的資源目錄服務(wù)：存儲(chǔ)網(wǎng)絡(luò)資源的信息，使信息可有效利用實(shí)質(zhì)為后臺(tái)服務(wù)，表現(xiàn)為管理、用戶(hù)工具目錄服務(wù)2022/10/5活動(dòng)目錄對(duì)象對(duì)象：網(wǎng)絡(luò)資源 屬性：關(guān)于對(duì)象的信息屬性名姓登錄名屬性打印機(jī)名打印機(jī)位置活動(dòng)目錄PrintersPrinter1Printer2Suzan FineUsersDon Hall屬性值對(duì)象打印機(jī)用戶(hù)Printer32022/10/5目錄服務(wù)使用用戶(hù)可以通過(guò)查找對(duì)象的一個(gè)或多個(gè)具體屬性來(lái)確定對(duì)象的位置2022/10/5活動(dòng)目錄架構(gòu)

4、（Schema）對(duì)象類(lèi)例如：打印機(jī)計(jì)算機(jī)用戶(hù)用戶(hù)屬性可能包括：accountExpiresdepartmentdistinguishedNamemiddleName屬性列表accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName 屬性 例如：活動(dòng)目錄架構(gòu)動(dòng)態(tài)獲得動(dòng)態(tài)更新通過(guò)DACLs保護(hù)對(duì)象和屬性2022/10/5查看并編輯架構(gòu)（Schema）安裝MMC插件找到I386schmmgmt.dl_（58K）復(fù)制到system32 下自動(dòng)解壓為 sc

5、hmmgmt.dll（158K）Regsvr32 schmmgmt.dll架構(gòu)的改變可通過(guò)ADSI函數(shù)集進(jìn)行目錄服務(wù)編程實(shí)現(xiàn)開(kāi)發(fā)ADSI（活動(dòng)目錄服務(wù)接口）函數(shù)集，可制作個(gè)性化的管理工具但應(yīng)先在一個(gè)林中進(jìn)行測(cè)試 2022/10/5輕型目錄訪(fǎng)問(wèn)協(xié)議（LDAP）為活動(dòng)目錄中的對(duì)象標(biāo)識(shí)LDAP命名路徑標(biāo)識(shí)名DN（完整路徑）如：CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft相對(duì)標(biāo)識(shí)名RDN如： CN=Suzan FineDC 域組件OU 組織單元CN 普通名字2022/10/52022/10/51-4活動(dòng)目錄的邏輯結(jié)構(gòu)(logic Structure)具有伸縮性，包

6、括下列組件：域Domain：核心單元組織單元OU域目錄樹(shù)與目錄林TreeForest全局目錄GC2022/10/5活動(dòng)目錄使你能夠通過(guò)名字（屬性）找到資源，而不是物理位置,這樣使網(wǎng)絡(luò)的物理結(jié)構(gòu)對(duì)用戶(hù)透明域Domains組織單元OU樹(shù)Tree和林ForestDomain域域目錄樹(shù)域域域目錄樹(shù)目錄林域OUOUOU邏輯結(jié)構(gòu):組織網(wǎng)絡(luò)資源2022/10/5域安全邊界域管理員只能在域內(nèi)進(jìn)行管理，除非明確得到其它域的授權(quán)復(fù)制單元域控制器DC在域內(nèi)參加復(fù)制，并且包含它的域目錄信息的完整副本W(wǎng)indows 2000域User1User2User1User2復(fù)制2022/10/5安全邊界復(fù)制管理安全策略組策略2

7、022/10/5組織單元OU（Organizational Units）組織結(jié)構(gòu)SalesVancouverRepairUsersSalesComputers網(wǎng)絡(luò)管理模式利用OU可以把對(duì)象組織到一個(gè)邏輯結(jié)構(gòu)中，使其最好地適應(yīng)你的組織需求可以把管理控制權(quán)委派給OU內(nèi)的對(duì)象，通過(guò)指定權(quán)限到一個(gè)或幾個(gè)用戶(hù)和組2022/10/5組織結(jié)構(gòu)通過(guò)組織OU，可建立一個(gè)層次結(jié)構(gòu)ouououououou深層次/淺層次的結(jié)構(gòu)ouououou2022/10/5目錄樹(shù)和目錄林 japan. china. 目錄樹(shù)目錄林japan. china. Tree(root)域 Windows NT 4.0單向不可傳遞信任關(guān)系雙向

8、可傳遞信任關(guān)系2022/10/5什么是目錄樹(shù)父域 子域連續(xù)的名字空間，（域后綴延續(xù) ）sales.contoso.msft父域子域新域目錄樹(shù)根 域contoso.msftsales.contoso.msft2022/10/5什么是目錄林?nwtraders.msftmarketing. nwtraders.msftsales. nwtraders.msftcontoso.msftsales. contoso.msft在目錄林中的所有域共用一個(gè)公共配置、架構(gòu)Schema、全局目錄GC一個(gè)目錄林是一個(gè)或多個(gè)目錄樹(shù)在目錄林中的目錄樹(shù)不共同一個(gè)連續(xù)的名字空間目錄林目錄樹(shù)目錄樹(shù)2022/10/5什么是目

9、錄林根域?目錄林根域是在林中第一個(gè)建立的域contoso.msft目錄林目錄林根域nwtraders.msft目錄樹(shù)目錄樹(shù)根域全局目錄配置和架構(gòu)企業(yè)Enterprise AdminsSchema Adminsmarketing.nwtraders.msftsales.contoso.msft目錄樹(shù)2022/10/5多層域的特征降低復(fù)制流量維護(hù)域唯一的安全策略單元保留 Windows NT早期版本的域結(jié)構(gòu)支持大量用戶(hù)和多域名2022/10/5全局目錄服務(wù)器（GC服務(wù)器）全局目錄GC服務(wù)器對(duì)象屬性DomainDomainDomainDomainDomainDomain查詢(xún)利用通用組成員身份的信息登

10、錄網(wǎng)絡(luò)2022/10/5GC和登錄過(guò)程GC提供為用戶(hù)帳號(hào)提供通用組權(quán)利信息 當(dāng)用戶(hù)登錄用一個(gè)用戶(hù)主要名稱(chēng)UPN（如：）時(shí)，提供域信息User登錄域域域域域GC服務(wù)器2022/10/5建立一個(gè)GC服務(wù)器AD Sites and ServicesConsole Window HelpActive ViewTreeNameTypeDescriptionActive Directory Sites and ServicesSitesDefault-First-Site-NameServersInter-Site TransportsSubnetsATLANTALONDONNew Active Dire

11、ctory ConnectionNewAll TasksNew Window from HereDeleteRefresh屬性HelpNTDS Settings PropertiesGeneralObjectSecurityNTDS SettingsDescription:Query Policy:全局編錄Domain ControllerDefault Query Policy啟用或者禁用全局編錄GC2022/10/51-5活動(dòng)目錄的物理結(jié)構(gòu)（Physical Structure）與邏輯結(jié)構(gòu)相互獨(dú)立，之間沒(méi)有必然的聯(lián)系一般用來(lái)配置管理網(wǎng)絡(luò)交流DC和站點(diǎn)組成活動(dòng)目錄的物理結(jié)構(gòu)定義復(fù)制和登錄發(fā)生

12、的時(shí)間和地點(diǎn)域控制器DC存儲(chǔ)AD的副本，管理信息的變化和復(fù)制一至多個(gè)，建議最少兩個(gè)容錯(cuò)2022/10/5復(fù)制DC-BDC-CDC-A多主控制復(fù)制2022/10/5活動(dòng)目錄復(fù)制多主控復(fù)制同步以前，DC上會(huì)在短時(shí)間內(nèi)有不同的信息解決方法：以后第11章再講單主控操作指定一個(gè)或幾個(gè)單主控操作規(guī)則一個(gè)域控制器執(zhí)行操作，不允許同時(shí)進(jìn)行2022/10/5站點(diǎn)（Site）：連接性能較好（高帶寬）的子網(wǎng)的集合，通常是一個(gè)LAN活動(dòng)目錄對(duì)象在AD中，反映網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)關(guān)于復(fù)制站點(diǎn)內(nèi)復(fù)制：基于變化通知，不壓縮站點(diǎn)間復(fù)制：基于時(shí)間調(diào)度，壓縮一致性差一些所用協(xié)議：RPC、SMTP2022/10/5站點(diǎn)IP 子網(wǎng)IP

13、 子網(wǎng)橋頭堡服務(wù)器站點(diǎn)內(nèi)復(fù)制站點(diǎn)IP 子網(wǎng)IP子網(wǎng)橋頭堡服務(wù)器站點(diǎn)內(nèi)復(fù)制慢速網(wǎng)絡(luò)鏈路上的復(fù)制優(yōu)化復(fù)制交流用戶(hù)可靠、高帶寬登錄一個(gè)站點(diǎn)可有幾個(gè)域一個(gè)域也可有幾個(gè)站點(diǎn)一般為后者2022/10/51-6管理Windows 2000網(wǎng)絡(luò)的方法利用活動(dòng)目錄和組策略集中管理/委派管理控制權(quán)利用活動(dòng)目錄實(shí)行集中式管理一個(gè)管理員就可以集中管理網(wǎng)絡(luò)資源管理員很容易確定對(duì)象的信息把相似的管理和安全要求對(duì)象組織到OU中利用組策略管理站點(diǎn)、域、OU2022/10/5管理用戶(hù)環(huán)境利用組策略對(duì)用戶(hù)可用范圍加以限制集中管理應(yīng)用程序的安裝、修復(fù)、更新、轉(zhuǎn)移配置用戶(hù)數(shù)據(jù)跟隨用戶(hù)，無(wú)論在線(xiàn)或離線(xiàn)委派管理控制權(quán)如三個(gè)OU，三個(gè)管理

14、員指定具體的權(quán)限，或定制控制臺(tái)也可同樣任務(wù)的權(quán)限，如在所有OU中重設(shè)密碼2022/10/5利用DNS（域名系統(tǒng)）來(lái)支持活動(dòng)目錄22022/10/52-1概述DNS和AD集成2000關(guān)鍵特性使用相同的分層命名結(jié)構(gòu)域、計(jì)算機(jī)成為AD的對(duì)象/DNS資源記錄客戶(hù)機(jī)可通過(guò)查詢(xún)DNS找到DC（或其它對(duì)象）使DNS主區(qū)域結(jié)構(gòu)存儲(chǔ)于AD，并隨AD復(fù)制指DNS的AD集成區(qū)域2022/10/52-2活動(dòng)目錄中的DNS角色介紹名字解析（正向，反向）DNS將計(jì)算機(jī)名稱(chēng)轉(zhuǎn)化為IP地址計(jì)算機(jī)使用DNS在網(wǎng)絡(luò)中互相查找Windows 2000域的命名協(xié)定2000AD使用DNS的域名命名標(biāo)準(zhǔn)DNS域和AD域共享一公共的分層命

15、名結(jié)構(gòu)如查找活動(dòng)目錄的物理成分DNS通過(guò)提供的服務(wù)來(lái)驗(yàn)證域服務(wù)器計(jì)算機(jī)使用DNS來(lái)查找DC和GC2022/10/5DNS域和AD域使用相同的分層命名結(jié)構(gòu)和域名但實(shí)際上域名空間是不同的好處：使2000網(wǎng)絡(luò)計(jì)算機(jī)能夠利用DNS查找提供AD相關(guān)服務(wù)的DC和計(jì)算機(jī)2-3 DNS和活動(dòng)目錄2022/10/5DNS和活動(dòng)目錄的域名空間sales. training. trainingmicrosoftDNS域名空間AD域名空間= DNS節(jié)點(diǎn)(域/計(jì)算機(jī))= AD域salescomputer1（DNS根域）“.”com.Internet2022/10/5要點(diǎn)：使域和計(jì)算機(jī)成為DNS的節(jié)點(diǎn)AD的對(duì)象并相對(duì)應(yīng)活

16、動(dòng)目錄和Internet如DNS的.com服務(wù)器中包含(zone)使別的域利用Internet來(lái)查找(domain)反之，你也可通過(guò)(domain).com來(lái)查找Internet上的域名服務(wù)器的資源記錄2022/10/5DNS主機(jī)名稱(chēng)和Windows 2000計(jì)算機(jī)名稱(chēng)DNS的主機(jī)記錄和AD計(jì)算機(jī)對(duì)象對(duì)應(yīng)同一物理計(jì)算機(jī)DNS允許計(jì)算機(jī)查找AD中的DC活動(dòng)目錄BuiltinComputersComputer1Computer2DNS“.”com.salestrainingcomputer1microsoftFQDN = Windows 2000 計(jì)算機(jī)名 = Computer12022/10/5

17、DNS主機(jī)名與AD中計(jì)算機(jī)帳號(hào)是相同的計(jì)算機(jī)名可認(rèn)為是特殊的域名FQDN：完全有效域名計(jì)算機(jī)的全稱(chēng)域名計(jì)算機(jī)的全名2022/10/52-4活動(dòng)目錄中DNS名字解析服務(wù)資源記錄（SRV記錄）2000計(jì)算機(jī)通過(guò)DNS的SRV記錄來(lái)查找DC本域、特定域、樹(shù)狀結(jié)構(gòu)中的域還可查找全局目錄GC、Kerberos KDC服務(wù)器的域控制器將服務(wù)和DNS計(jì)算機(jī)名稱(chēng)一一對(duì)應(yīng)服務(wù)記錄和資源記錄2022/10/5SRV 記錄格式_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft. 字段描述Service 指定服務(wù)名，如LDAP或kerber

18、osProtocol 指出傳輸協(xié)議的形式，如TCP或UDPName 指定資源記錄中提到的域名Ttl 指定標(biāo)準(zhǔn)DNS資源記錄的連線(xiàn)時(shí)間值（秒）Class 指定標(biāo)準(zhǔn)DNS資源記錄的類(lèi)值，在Internet里，總為INPriority 指定主機(jī)的優(yōu)先權(quán)，客戶(hù)嘗試與最低優(yōu)先權(quán)的主機(jī)相連Weight 指定負(fù)擔(dān)調(diào)節(jié)機(jī)理，隨機(jī)選擇較高負(fù)擔(dān)的服務(wù)記錄Port 顯示該主機(jī)的服務(wù)端口Target 指定支持提供該服務(wù)的主機(jī)的全稱(chēng)域名（FQDN）2022/10/5由域控制器配置的服務(wù)記錄運(yùn)行Windows 2000的域控制器額外注冊(cè)SRV記錄 _msdcs 子域，格式如下:_Service._Protocol.DcT

19、ype._msdcs.DNS域名SRV記錄查找標(biāo)準(zhǔn)ldap._tcp.DNS域名.允許計(jì)算機(jī)在該域中查找LDAP服務(wù)器，所有DC配置這個(gè)記錄_ldap._tcp.站點(diǎn)名._sites.dc._msdcs.DNS域名.允許計(jì)算機(jī)查找該域控制器和該站點(diǎn)，所有DC配置這個(gè)記錄_gc._tcp.DnsForestName.允許計(jì)算機(jī)DNS域名查找該林全局目錄服務(wù)器，僅GC且為2000DC配置這個(gè)記錄_gc._tcp.站點(diǎn)名._sites.Dns林名.允許計(jì)算機(jī)查找該林該站點(diǎn)的的全局目錄服務(wù)器，僅GC且為2000DC配置這個(gè)記錄_kerberos._tcp.DNS域名.允許計(jì)算機(jī)在該域中查找KDC服務(wù)器

20、，所有K5DC配置這個(gè)記錄_kerberos._tcp.站點(diǎn)名._sites.DNS域名.允許計(jì)算機(jī)查找該域該站點(diǎn)的KDC服務(wù)器，所有K5DC配置這個(gè)記錄2022/10/5怎樣使用DNS來(lái)查找域控制器DNS 服務(wù)器區(qū)域數(shù)據(jù)庫(kù)SRV記錄客戶(hù)機(jī)聯(lián)系域控制器6域控制器響應(yīng)7運(yùn)行在DC上的LDAP服務(wù)器8客戶(hù)發(fā)送請(qǐng)求到域控制器用戶(hù)登錄，或AD搜索1發(fā)送帶有客戶(hù)信息的DNS查詢(xún)3網(wǎng)絡(luò)登錄收集客戶(hù)機(jī)信息2返回IP地址列表 5DNS查詢(xún)合適的SRV記錄4客戶(hù)2022/10/52-5活動(dòng)目錄的集成區(qū)域活動(dòng)目錄域控制器DCDNS服務(wù)器AD集成區(qū)域區(qū)域數(shù)據(jù)庫(kù)在活動(dòng)目錄中存儲(chǔ)主要區(qū)域DNS區(qū)域復(fù)制隨AD復(fù)制進(jìn)行20

21、22/10/5好處：消除了主DNS服務(wù)器作為單個(gè)主控帶來(lái)的不足之處能夠進(jìn)行安全可靠的動(dòng)態(tài)更新對(duì)那些沒(méi)有配置為域控制器的DNS服務(wù)器執(zhí)行標(biāo)準(zhǔn)區(qū)域傳送2022/10/52-6安裝和配置DNS以支持活動(dòng)目錄DNS的執(zhí)行必須支持SRV記錄配置正向和反向區(qū)域活動(dòng)目錄的DNS需求沒(méi)有DNS無(wú)法安裝活動(dòng)目錄SRV服務(wù)記錄DNS動(dòng)態(tài)更新協(xié)議增量區(qū)域傳送增量復(fù)制IXFR，全量復(fù)制AXFR2000的DNS服務(wù)器，以上三點(diǎn)全支持NT4+SP42022/10/5安裝和配置DNS分配靜態(tài)IP地址配置DNS的主后綴安裝DNS服務(wù)器服務(wù)創(chuàng)建正向區(qū)域與活動(dòng)目錄域同名，并動(dòng)態(tài)更新創(chuàng)建反向區(qū)域（可選）驗(yàn)證DNS服務(wù)是有效的Nsl

22、ookup type=ns DNS域名2022/10/5在安裝AD的過(guò)程中安裝DNS在提示時(shí)安裝安裝DNS服務(wù)創(chuàng)建正向區(qū)域配置為AD集成區(qū)域使之動(dòng)態(tài)更新注意：不會(huì)創(chuàng)建反向區(qū)域2022/10/5 2-7 實(shí)驗(yàn)A：安裝和配置DNS來(lái)支持活動(dòng)目錄Ipconfig /registerdns 將自己的A記錄、PTR記錄立即注冊(cè)到DNS服務(wù)器2022/10/5創(chuàng)建Windows 2000域32022/10/53-1概述Windows 2000的域控制器DC：2000S、AS、DS安裝活動(dòng)目錄Dcpromo.exeAD安裝進(jìn)程檢查AD默認(rèn)結(jié)構(gòu)執(zhí)行后活動(dòng)目錄的安裝任務(wù)2022/10/53-2介紹如何創(chuàng)建Win

23、dows 2000域域是2000網(wǎng)絡(luò)中的核心管理單元用來(lái)限定信息和資源的組織管理方式新目錄林中的第一個(gè)域?yàn)榱指颍指├肁D安裝向?qū)?，可以?chuàng)建域和DC新目錄林、第一個(gè)DC、附加DC子域、新目錄樹(shù)2022/10/53-3安裝活動(dòng)目錄運(yùn)行dcpromo.exe準(zhǔn)備工作、指定信息可利用自動(dòng)應(yīng)答文件來(lái)安裝AD2022/10/5計(jì)算機(jī)上運(yùn)行的是Windows2000 S、AS、DSAD數(shù)據(jù)庫(kù)至少需要200 MBAD數(shù)據(jù)庫(kù)的事務(wù)日志文件，另需50 MB若為GC，還需一定的空間系統(tǒng)卷（SYSVOL）文件夾，必須NTFS 安裝TCP/IP并且配置了DNS如果是在現(xiàn)存的2000網(wǎng)絡(luò)上創(chuàng)建域，那么還需要?jiǎng)?chuàng)建域

24、所需的管理特權(quán)活動(dòng)目錄安裝準(zhǔn)備TCP/IPNTFS2022/10/5創(chuàng)建第一個(gè)域（多媒體演示）啟動(dòng)AD安裝向?qū)В篸cpromo.exe選擇域控制器和域類(lèi)型指定所需信息域、DNS和NetBIOS名AD數(shù)據(jù)庫(kù)、日志文件和共用系統(tǒng)卷SYSVOL的位置選擇權(quán)限：以前兼容/2000指定“目錄服務(wù)恢復(fù)模式”管理員密碼 AD不啟動(dòng)，由NT的一個(gè)小SAM庫(kù)來(lái)驗(yàn)證AD安裝向?qū)?安裝活動(dòng)目錄AD把計(jì)算機(jī)轉(zhuǎn)換為域控制器DC2022/10/5添加附加域控制器為了容錯(cuò)，一個(gè)域中至少兩個(gè)DC在域中，一個(gè)以上的DC也可用來(lái)分布負(fù)載登錄請(qǐng)求、GC查詢(xún)、其它服務(wù) 運(yùn)行Dcpromo.exe加一個(gè)DC到已存在的域AD安裝向?qū)?/p>

25、:轉(zhuǎn)換計(jì)算機(jī)為域控制器DC復(fù)制活動(dòng)目錄AD從一個(gè)已存在的DC 至少有一個(gè)DC聯(lián)機(jī)2022/10/52022/10/52022/10/52022/10/5使用無(wú)人值守安裝腳本來(lái)安裝活動(dòng)目錄DCInstallRebootOnSuccess=YesDatabasePath=C:WinntntdsLogPath=C:WinntntdsSYSVOLPath=C:WinntSysvolSiteName=Default-First-Site-NameReplicaOrNewDomain=DomainTreeOrChild=TreeCreateOrJoin=Create2022/10/5DomainNetbi

26、osName=gpmcseNewDomainDNSName=DNSOnNetwork=NoNo表示不利用已有的，為新域創(chuàng)建新的DNSAutoConfigDNS=Yes運(yùn)行：dcpromo.exe /answer:應(yīng)答文件2022/10/53-4 實(shí)驗(yàn)A：創(chuàng)建Windows 2000域?qū)嶋H操作：,dns指向自己2022/10/53-5活動(dòng)目錄安裝進(jìn)程配置參數(shù)用戶(hù)界面驗(yàn)證管理員、2000S/AS/DS等命名驗(yàn)證AD站點(diǎn)和服務(wù)sitesdefault first site nameserverss58不可重名，否則s58將被刪除TCP/IP配置驗(yàn)證必須有效IP（靜態(tài)/動(dòng)態(tài)）2022/10/5DNS：

27、必須動(dòng)態(tài)更新的DNS否則將安裝一個(gè)DNS和NetBIOS域名字的生效必須唯一NetBIOS名字，有效15位用戶(hù)身份驗(yàn)證新林，不需要加入，需林管理員文件位置的驗(yàn)證SYSVOL需NTFS有足夠的空間2022/10/5站點(diǎn)配置確定新DC加入哪個(gè)站點(diǎn)若有子網(wǎng)，加入到該子網(wǎng)關(guān)聯(lián)的站點(diǎn)若無(wú)子網(wǎng)，則加入default first site name并在合適的位置，創(chuàng)建服務(wù)器對(duì)象目錄服務(wù)配置對(duì)各種類(lèi)型的安裝都相同的活動(dòng)的目錄操作創(chuàng)建要求的注冊(cè)選項(xiàng)設(shè)置AD的執(zhí)行計(jì)數(shù)器配置服務(wù)器，使它向“第一資格授權(quán)”自動(dòng)申請(qǐng)X.509域控制器資格對(duì)基于SMTP的復(fù)制是必須的2022/10/5啟動(dòng)Kerero V5鑒定服務(wù)安裝A

28、D管理工具的快捷方式目錄分區(qū)配置架構(gòu)目錄分區(qū)林中所有DC配置目錄分區(qū)林中所有DC域目錄分區(qū)域中所有DC2022/10/5服務(wù)和安全配置設(shè)置自動(dòng)啟動(dòng)服務(wù)RPC Locator服務(wù)Net Logon服務(wù)KDC服務(wù)Intersite MessagingDistributed Link Tracking ServerWindows Time設(shè)置安全目錄服務(wù)和SYSVOL在AD的文件和對(duì)象上配置默認(rèn)DACLs使用安全模板配置默認(rèn)的域組策略Winntinfdcfirst.inf,defltdc.inf,dcup.inf2022/10/5附加活動(dòng)目錄安裝操作設(shè)置計(jì)算機(jī)DNS根域名字，作為新域的名字確定服務(wù)器

29、是不是域的成員在新域的“DC”這個(gè)OU中，創(chuàng)建計(jì)算機(jī)帳號(hào)用戶(hù)提供的密碼，作為管理員的密碼在配置容器中創(chuàng)建交互參考對(duì)象LDAP利用該對(duì)象來(lái)確定其它域中資源的位置加入域安全策略，域控制器安全策略的快捷方式創(chuàng)建SYSVOL文件夾組策略信息、網(wǎng)絡(luò)登錄文件2022/10/5在創(chuàng)建目錄林根域時(shí)創(chuàng)建架構(gòu)和配置容器指定PDC仿真、RID、域命名、架構(gòu)、基礎(chǔ)結(jié)構(gòu)主控2022/10/53-6 檢查活動(dòng)目錄默認(rèn)結(jié)構(gòu)組策略可用于OU，但不能用于容器查看高級(jí)功能2022/10/5檢查活動(dòng)目錄默認(rèn)結(jié)構(gòu)Active Directory Users and ComputersConsole Window HelpActive

30、 ViewActive Directory Users and Co.contoso.msft 8 objectsNameBuiltinComputersDomain ControllersForeignSecurityPrincipalsLostAndFoundSystemUsersBuiltinComputersDomain ControllersForeignSecurityPrincipalsLostAndFoundSystemUsersInfrastructurecontoso.msftTree默認(rèn)的 Windows 2000安全組默認(rèn)的計(jì)算機(jī)帳號(hào)存儲(chǔ)位置默認(rèn)的DC的計(jì)算機(jī)帳號(hào)存儲(chǔ)位

31、置外部安全原則：保存外部有信任關(guān)系的域的SID保存獨(dú)立的對(duì)象保存一些內(nèi)置的系統(tǒng)設(shè)置用戶(hù)帳號(hào)和組帳號(hào)的默認(rèn)位置2022/10/5驗(yàn)證 SRV記錄，DNS驗(yàn)證系統(tǒng)卷 SYSVOL，WINNTSYSVOL驗(yàn)證目錄數(shù)據(jù)庫(kù)和日志文件,WINNTNTDS通過(guò)檢查事件日志驗(yàn)證安裝結(jié)果SYSVOLDNSDatabase and Log Files驗(yàn)證活動(dòng)目錄安裝3-7執(zhí)行后活動(dòng)目錄安裝任務(wù)2022/10/5驗(yàn)證活動(dòng)目錄安裝驗(yàn)證SRV資源記錄DNS管理器NslookupLs -t srv 域名驗(yàn)證SYSVOLDomain、staging、staging areas、sysvol共享：netlogonsysvol

32、domainscripts sysvolsysvol 驗(yàn)證目錄數(shù)據(jù)庫(kù)和日志文件Ntds.dit,edb.*,res*.log2022/10/5實(shí)現(xiàn)AD集成區(qū)域DNS可利用AD存儲(chǔ)和復(fù)制區(qū)域數(shù)據(jù)庫(kù)DNS服務(wù)器contoso.msft區(qū)域數(shù)據(jù)庫(kù)AD集成區(qū)域在DNS中使用AD集成區(qū)域?qū)崿F(xiàn)正向區(qū)域?qū)崿F(xiàn)反向區(qū)域2022/10/5確保AD集成區(qū)域：安全更新只有AD集成區(qū)域才可配置：僅安全更新在DNS的AD集成區(qū)域使用：安全更新這樣你可以控制區(qū)域和資源記錄的訪(fǎng)問(wèn)DNS服務(wù)器contoso.msftAD集成區(qū)域區(qū)域數(shù)據(jù)庫(kù)安全更新客戶(hù)2022/10/5轉(zhuǎn)換域模式本機(jī)模式域控制器DC (Windows 2000

33、only)混合模式域控制器DC(Windows 2000)和域控制器DC (Windows NT 4.0)AD安裝后，運(yùn)行在混合模式下，提供對(duì)已存在的NT域的支持 但組嵌套和安全通用組必需域在本機(jī)模式下2022/10/5混合模式本機(jī)模式單向不可逆操作管理工具AD用戶(hù)和計(jì)算機(jī)/AD域和信任域?qū)傩猿Ｒ?guī)改變模式2022/10/5設(shè)計(jì)組織單元OU結(jié)構(gòu)UsersSalesComputers如果你想要設(shè)計(jì)OU結(jié)構(gòu)增強(qiáng)管理控制 對(duì)網(wǎng)絡(luò)資源委派管理控制 組織相似的網(wǎng)絡(luò)資源到OU 簡(jiǎn)單對(duì)象管理和控制網(wǎng)絡(luò)資源的訪(fǎng)問(wèn) 使資源管理更有效控制組策略的應(yīng)用使用“AD用戶(hù)和計(jì)算機(jī)”在域/OU中建立一個(gè)OU權(quán)限要求父：讀，列

34、表，創(chuàng)建子，列組件2022/10/53-8實(shí)驗(yàn)B：執(zhí)行后活動(dòng)目錄安裝任務(wù) 2022/10/53-9解決AD安裝過(guò)程中出現(xiàn)的問(wèn)題在創(chuàng)建或添加DC的時(shí)候，訪(fǎng)問(wèn)被拒絕，（新：本管，加：域管） Err orDNS或NetBIOS域名稱(chēng)不統(tǒng)一 Err or不能與域取得聯(lián)系Err or磁盤(pán)空間不足 Err or2022/10/53-10 刪除活動(dòng)目錄域控制器DC (Windows 2000)提供管理證書(shū)Enterprise Admins組成員Domain Admins組成員刪除活動(dòng)目錄AD刪除活動(dòng)目錄通過(guò)：Remove Active Directory by:AD安裝向?qū)?提供適當(dāng)?shù)墓芾碜C書(shū) AD安裝向?qū)?/p>

35、，執(zhí)行特定的刪除操作依賴(lài)于DC的類(lèi)型2022/10/5設(shè)置和管理用戶(hù)和組42022/10/54-1概述活動(dòng)目錄一種目錄服務(wù)保存和維護(hù)網(wǎng)絡(luò)資源所需的數(shù)據(jù)用戶(hù)帳號(hào)：登錄域/本地機(jī)組帳號(hào)：用戶(hù)帳號(hào)的集合組類(lèi)型：安全組、分發(fā)組組作用范圍：全局組、域本地組、通用組2022/10/54-2介紹用戶(hù)帳號(hào)和組為每個(gè)人創(chuàng)建一個(gè)唯一登錄的用戶(hù)帳號(hào) 利用批處理成批創(chuàng)建用戶(hù)帳號(hào)利用組來(lái)方便地管理用戶(hù)對(duì)共享資源的訪(fǎng)問(wèn) 將組加入組來(lái)減少管理工作量用戶(hù)共享資源Permissions組2022/10/54-3用戶(hù)登錄名每個(gè)用戶(hù)帳號(hào)用戶(hù)主要名UPN前綴后綴2000以前版本的用戶(hù)登錄名2022/10/5User Principa

36、l Name用戶(hù)主要名稱(chēng)UPN后綴默認(rèn)為根域/當(dāng)前域林管理員可改變只能在2000域中使用不需要是有效的DNS域利于域間移動(dòng)；同EMAIL地址格式用戶(hù)登錄名（2000以前版本）登錄時(shí)，用戶(hù)需選擇域介紹用戶(hù)登錄名后綴前綴suzanfcontoso.msft+用戶(hù)名域contoso/suzanf2022/10/5用戶(hù)登錄名唯一性原則全名（顯示名稱(chēng)）在容器內(nèi)必須唯一zhangdonghui用戶(hù)主名在林中必須唯一zhangdh用戶(hù)登錄名在域中必須唯一zhangdh2022/10/5創(chuàng)建用戶(hù)主名UPN后綴（林管理員）AD域和信任關(guān)系A(chǔ)ction ViewTreeNameTypeActive Directo

37、ry 域和信任關(guān)系 contoso.msftnwtraders.msftdomain.DNSdomain.DNScontoso.msftnwtraders.msftOpens property sheet for the current selection.Connect to Domain ControllerOperations MasterViewRefreshExport ListHelp屬性Active Directory Domains and Trusts PropertiesUPN 后綴The names of the current domain and the root d

38、omain are the default user principal name (UPN) suffixes. Adding alternative domain names provides additional logon security and simplifies user logon names.If you want alternative UPN suffixes to appear during user creation, add them to the following list.其它UPN后綴:contoso.msftAddRemoveOKCancelApply添

39、加新的后綴2022/10/5創(chuàng)建用戶(hù)主名后綴的目的：附加的登錄安全性必須在用戶(hù)帳號(hào)中選用備用的UPN后綴才行登錄到林中另一個(gè)域簡(jiǎn)化管理G常改為根域，如2022/10/54-4創(chuàng)建多用戶(hù)帳號(hào)成批導(dǎo)入/導(dǎo)出程序使用CSVDE創(chuàng)建多用戶(hù)帳號(hào)逗號(hào)分隔符目錄交換使用LDIFDE創(chuàng)建多用戶(hù)帳號(hào)輕型目錄訪(fǎng)問(wèn)協(xié)議互換格式目錄交換2022/10/5成批導(dǎo)入程序用于導(dǎo)入的文本文件必須包含用戶(hù)帳號(hào)的OU，對(duì)象的類(lèi)型以及用戶(hù)登錄名的路徑用戶(hù)主名，啟用/禁用不指定：禁用可包含個(gè)人信息不可包含密碼2022/10/5使用CSVDE創(chuàng)建多用戶(hù)帳號(hào)只能用來(lái)添加對(duì)象，不能用于刪除/修改可使用Excel、Word另存為.csv導(dǎo)入

40、/導(dǎo)出為導(dǎo)入準(zhǔn)備一個(gè)CSVDEDn,objectclass,samaccountname,userprincipalname,displayname,useraccountcontrol“cn=suzan fine,ou=human resources,dc=asia,dc=contose,dc=msft”,user,suzanf,suzanfcontoso.msft,suzan fine,512512啟用，514禁用見(jiàn)光盤(pán)上文件使用CSVDE命令Csvde i-f 文件名2022/10/5使用LDIFDE創(chuàng)建多用戶(hù)帳號(hào)可用于添加/刪除/修改對(duì)象為導(dǎo)入準(zhǔn)備一LDIF文件Dn:cn=suzan

41、fine,ou=human resources,dc=asia,dc=contose,dc=msftObjectclass:userSamaccountname:suzanfUserprincipalname: suzanfcontoso.msftDisplayname:suzan fineuseraccountcontrol:512使用LDIFDE命令ldifde i-f 文件名2022/10/5用戶(hù)帳號(hào)的日常管理及維護(hù)執(zhí)行公共管理任務(wù)重設(shè)密碼、解除鎖定、重命名、禁用/啟用、刪除、域內(nèi)不同OU間移動(dòng)查詢(xún)用戶(hù)帳號(hào)4-5管理用戶(hù)帳號(hào)2022/10/5執(zhí)行公共管理任務(wù)Active Director

42、y Users and ComputersActive Directory Users and ComputersConsole Window HelpAction ViewTreeAccounting 4 objectsNameTypecontoso.msftAccountingBuiltinComputersDomain ControllersUsersAnne PaperUserCreates a new user, copying information from the selected user.HelpCopyAdd members to a group禁用帳戶(hù)重設(shè)密碼移動(dòng)Ope

43、n home pageSend mailAll Tasks刪除重命名Refresh屬性Account is locked out帳號(hào)被鎖定2022/10/5同理，可查詢(xún)其它對(duì)象如：計(jì)算機(jī)、打印機(jī)、共享夾等操作AD用戶(hù)和計(jì)算機(jī)域查找網(wǎng)上鄰居目錄域查找屬性少，只三個(gè)常規(guī)、地址、公司查詢(xún)用戶(hù)帳號(hào)2022/10/5查找用戶(hù)帳號(hào)Find Users, Contacts, and GroupsFile Edit View HelpFind:Entire DirectoryUsers, Contacts, and GroupsIn:Find NowStopClear AllBrowse.AddRemoveN

44、ameDescriptionTypeJoe PakDon HallAnne PaperUserUserUserEntire DirectorycontosoAccountingFieldUsers, Contacts, and GroupsAdvanced31 item(s) found選擇搜索的屬性指定屬性的值設(shè)置條件在結(jié)果框中管理用戶(hù)帳號(hào)搜索整個(gè)目錄/域/OU2022/10/54-6實(shí)驗(yàn)A：設(shè)置和管理用戶(hù)帳號(hào)2022/10/5兩種組類(lèi)型安全組（有SID）用于與安全性有關(guān)的功能，如資源權(quán)限也可用于向多用戶(hù)發(fā)送e-mail信息（此時(shí)功能與分發(fā)組相同）分發(fā)組（無(wú)SID）與安全性無(wú)關(guān)，不能為其授權(quán)

45、仍是必要的，某些應(yīng)用程序只能夠讀分發(fā)組如MS Exchange Server 2000（針對(duì)AD設(shè)計(jì)）注意：應(yīng)用程序必須支持AD，才可使用分發(fā)組駐留在AD中4-7在活動(dòng)目錄中使用組2022/10/5介紹活動(dòng)目錄中的組組可以加入別的組當(dāng)中（組嵌套）用戶(hù)可以是多個(gè)組的成員組組組可使指派資源權(quán)限簡(jiǎn)單化組組組組組組2022/10/5范圍：域本地、全局、通用以前我們討論過(guò)用戶(hù)帳號(hào)的使用范圍：本地帳號(hào)本地機(jī)資源域帳號(hào)域內(nèi)資源接下來(lái)討論：各種組什么范圍內(nèi)的資源在混合域模式下，同樣組之間不能嵌套組最多5000個(gè)成員2022/10/5使用全局組全局組規(guī)則可加入組成員作用范圍權(quán)限范圍混合模式: 同一個(gè)域的用戶(hù)帳號(hào)

46、本機(jī)模式: 同一個(gè)域的用戶(hù)帳號(hào)和全局組混合模式: 域本地組本機(jī)模式: 任何域的通用組和域本地組，同域全局組訪(fǎng)問(wèn)本域和所有信任域目錄林中所有的域 本機(jī)模式：加入加入全 局 組2022/10/5使用域本地組混合模式域本地組規(guī)則可加入成員作用范圍權(quán)限范圍混合模式: 任何域的用戶(hù)和全局組 本機(jī)模式: 林中任何域的用戶(hù)、全局組、通用組，同域的域本地組 混合模式: 不能加入任何組本機(jī)模式: 同一域的域本地組只能訪(fǎng)問(wèn)自己的域域本地組所在的域加入加入全局組域域本地組域本地組2022/10/5使用通用組（集全局組和域本地組的所有優(yōu)點(diǎn)）可加入通用組規(guī)則成員混合模式: 安全通用組不可使用本機(jī)模式: 目錄林中的任何域

47、的用戶(hù)、全局組、其它通用組混合模式: 不可使用本機(jī)模式: 任何域的本地組和通用組作用范圍訪(fǎng)問(wèn)目錄林中所有域權(quán)限范圍目錄林中所有的域從多層域加入全局組通用組2022/10/5增：組在GC中的表現(xiàn)GC中全局組、本地組的名稱(chēng)，無(wú)其成員的內(nèi)容通用組，含其成員的內(nèi)容通用組的成員變化會(huì)引起GC變化，進(jìn)行林內(nèi)復(fù)制，增加流量解決：少做成員改變，成員盡量為組2022/10/5增：在本機(jī)模式下：組的類(lèi)型、作用范圍可改變?nèi)滞ㄓ茫蛄海┯虮镜亟M原則仍是：AGDLPAGDLP原則DL可能是其它域的若直接給每個(gè)用戶(hù)賦權(quán)每次都要麻煩對(duì)方域的管理員刪除組，并不會(huì)刪除其下的用戶(hù)但注意：不可恢復(fù)（用戶(hù)帳號(hào)也是一樣）2022/1

48、0/54-8在域中使用組的策略本章在討論在單域中使用組第十章在討論在多域中使用組（通用組）范圍：域本地、全局、通用2022/10/5使用全局組和域本地組（本機(jī)模式）用戶(hù)帳號(hào)全局組全局組域本地組權(quán)限AGDLPGDLG加域用戶(hù)帳號(hào)到全局組(對(duì)于多層次部門(mén)可選) 加全局組到另一個(gè)全局組加全局組到域本地組對(duì)域本地組指派資源的權(quán)限2022/10/54-9 實(shí)驗(yàn)B：在單域中建立和管理組2022/10/54-10解決域用戶(hù)帳號(hào)和組的問(wèn)題不能建立用戶(hù)帳號(hào)和組，可能違反了唯一性規(guī)則Err or不能更新用戶(hù)帳號(hào)的屬性，權(quán)限不夠Err or用戶(hù)不能訪(fǎng)問(wèn)資源，一票否決（考題）Err or2022/10/5在活動(dòng)目錄上

49、發(fā)布資源52022/10/55-1概述如何在活動(dòng)目錄上發(fā)布資源打印機(jī)、共享夾網(wǎng)絡(luò)管理應(yīng)保障發(fā)布資源具有安全性和選擇性便于用戶(hù)在網(wǎng)絡(luò)上尋找信息2022/10/55-2發(fā)布資源介紹發(fā)布資源: 在活動(dòng)目錄中建立對(duì)象:包含所需信息對(duì)所需信息提供參考有一些資源已經(jīng)在活動(dòng)目錄中，如：用戶(hù)帳戶(hù)發(fā)布的資源應(yīng)相對(duì)靜態(tài)，很少改變使管理員和用戶(hù)能夠定位資源，即使資源的物理位置發(fā)生了改變 已被發(fā)布資源服務(wù)器1資源 活動(dòng)目錄發(fā)布到活動(dòng)目錄2022/10/55-3設(shè)置和管理發(fā)布打印機(jī)按照預(yù)設(shè)：所有2000上的打印機(jī)都自動(dòng)發(fā)布到AD上組策略中可改組計(jì)管打印機(jī)非2000上的打印機(jī)AD用戶(hù)和計(jì)算機(jī)Pubprn.vbs腳本202

50、2/10/5打印機(jī)發(fā)布介紹發(fā)布打印機(jī)的預(yù)設(shè)特性:任何運(yùn)行在2000的打印服務(wù)器上的共享打印機(jī)將被自動(dòng)發(fā)布到活動(dòng)目錄 如果打印服務(wù)器從網(wǎng)絡(luò)上刪除，打印機(jī)也將自動(dòng)從活動(dòng)目錄中刪除 每個(gè)打印服務(wù)器負(fù)責(zé)發(fā)布在活動(dòng)目錄中的各自打印機(jī)Windows2000自動(dòng)在活動(dòng)目錄中更新打印機(jī)對(duì)象的屬性被發(fā)布的打印機(jī)2022/10/5管理打印機(jī)發(fā)布瀏覽打印機(jī)對(duì)象在“AD用戶(hù)和計(jì)算機(jī)”查看用戶(hù)、組和計(jì)算機(jī)作為容器此時(shí)可看到相應(yīng)計(jì)算機(jī)下的共享打印機(jī)控制打印機(jī)發(fā)布在“打印機(jī)”屬性 列在目錄中默認(rèn)：自動(dòng)選中默認(rèn)域策略計(jì)算機(jī)配置管理模板打印機(jī)，設(shè)置“自動(dòng)在AD上公布新的打印機(jī)”2022/10/5管理孤立打印機(jī)AD利用孤立切斷器

51、刪除孤立打印機(jī)對(duì)象如打印服務(wù)器關(guān)閉時(shí)的打印機(jī)對(duì)象孤立切斷器將不斷地從不存在的打印機(jī)中刪除對(duì)象檢查3次，每次間隔8小時(shí)仍未找到，則刪除2022/10/5發(fā)布不是運(yùn)行2000計(jì)算機(jī)的打印機(jī)發(fā)布不是運(yùn)行2000計(jì)算機(jī)下的打印機(jī)1.安裝并共享打印機(jī)2.在活動(dòng)目錄中發(fā)布打印機(jī)用下列方法之一，發(fā)布不是運(yùn)行2000計(jì)算機(jī)下的打印機(jī)AD用戶(hù)和計(jì)算機(jī)，相應(yīng)OU，新建打印機(jī)，UNC路徑Pubprn.vbs腳本文件Cscript c:winntsystem32pubprn.vbs 參數(shù)已被發(fā)布打印機(jī)安裝并共享活動(dòng)目錄發(fā)布到活動(dòng)目錄打印機(jī)2022/10/5發(fā)布所有安裝在contoso.msft域中Sales OU上的

52、打印機(jī)Pubprn.vbs server “LDAP:/OU=Sales,dc=contoso,dc=msft”發(fā)布contoso.msft域中Accounting OU上的名為Printer打印機(jī)Pubprn.vbs serverprinter LDAP:/OU=Accounting,dc=contoso,dc=msft 以上兩例上server為服務(wù)器名2022/10/5管理發(fā)布打印機(jī) 將安裝在多個(gè)計(jì)算機(jī)上的相關(guān)打印機(jī)移到一個(gè)OU中 移動(dòng)的打印機(jī)，依然由原打印管理器管理在發(fā)布的打印機(jī)上執(zhí)行其它的管理任務(wù)Active Directory Users and ComputersConsole W

53、indow HelpActive ViewActive Directory Users and DENVER2154 1 objectsNameTypeTreeDenverDOM2154.msftAccountingBuiltinComputersDomain ControllersDENVER2154UsersMoves the current selection to anotherPrinterDENVER2154 Apple Printer移動(dòng)連接打開(kāi)All TasksDeleteRenameRefreshHelp屬性在計(jì)算機(jī)上安裝打印機(jī)改變打印隊(duì)列屬性在域內(nèi)移動(dòng)打印機(jī)打開(kāi)并管理打印機(jī)

54、隊(duì)列2022/10/5新增：實(shí)現(xiàn)打印機(jī)位置步驟為組織建立命名約定 如：gp/mcse位置名稱(chēng)格式如下：name/name/name/name/.（斜杠 / 必須是除號(hào)。） 如：china/hlj/dq/gp/building1/floor3/room301名稱(chēng)可以由除斜杠 / 之外的任意字符組成。 名稱(chēng)的等級(jí)數(shù)限制為 256。 name 的最大長(zhǎng)度是 32 個(gè)字符。整個(gè)位置名稱(chēng)的最大長(zhǎng)度是 260 個(gè)字符。 2022/10/5新增：實(shí)現(xiàn)打印機(jī)位置步驟在目錄服務(wù)中創(chuàng)建子網(wǎng)對(duì)象設(shè)置站點(diǎn)和子網(wǎng)的位置屬性啟用位置跟蹤（組計(jì)管打印機(jī)）預(yù)設(shè)打印機(jī)位置搜索文本設(shè)置每臺(tái)打印機(jī)的位置測(cè)試設(shè)置。2022/10/5

55、5-4實(shí)現(xiàn)打印機(jī)位置以子網(wǎng)為單位，實(shí)現(xiàn)打印機(jī)的定位建立子網(wǎng)對(duì)象AD站點(diǎn)和服務(wù)設(shè)置“位置”屬性詳見(jiàn)幫助：“啟用打印機(jī)位置跟蹤”2000網(wǎng)絡(luò)上，允許用戶(hù)定位打印機(jī)，并連接到物理位置較近的打印設(shè)備上需要的時(shí)候，也可連接與他們工作位置不同的打印機(jī)上2022/10/5什么是打印機(jī)位置?當(dāng)用戶(hù)搜索打印機(jī)時(shí)：SubnetLocationObjectSecurityLocation:USA/Seattle/Building 1Browse/20 Properties11. AD尋找與用戶(hù)計(jì)算機(jī)所在位置的IP子網(wǎng)相一致的子網(wǎng)對(duì)象PRIV0118 PropertiesDevice SettingsPrinter

56、CommandsFont SelectionGeneralSharingPortsAdvancedSecurityPRIV0118USA/Seattle/Building 1/Near 1134Location:2. AD利用子網(wǎng)對(duì)象位置屬性中的值搜索具有同樣值的打印機(jī)23. AD顯示一系列位置值與子網(wǎng)對(duì)象位置值相匹配的計(jì)算機(jī)NameLocationModelPRIV0080PRIV0039PRIV0118CORP0071CORP0032CORP0099CORP0026CORP0051USA/Seattle/Building 1/Near 1119 USA/Seattle/Building 1

57、/Near 2005USA/Seattle/Building 1/Near 1134USA/Seattle/Building 1/Near COPY ROOMUSA/Seattle/Building 1/Near 1280USA/Seattle/Building 1/Near 1218USA/Seattle/Building 1/Near 1218USA/Seattle/Building 1/Near 1182HP ColorHP LaserHP Laser HP Laser HP LaserHP ColorHP LaserHP Laser32022/10/5打印機(jī)位置要求帶有兩個(gè)或兩個(gè)以上I

58、P子網(wǎng)的活動(dòng)目錄網(wǎng)絡(luò)否則都處于同一物理位置，沒(méi)有差別與網(wǎng)絡(luò)物理拓?fù)湎嘁恢碌腎P尋址方案同一子網(wǎng)，物理位置也較近每個(gè)站點(diǎn)的子網(wǎng)對(duì)象代表活動(dòng)目錄中IP子網(wǎng) 包含活動(dòng)目錄用來(lái)搜索具有相同物理位置的打印機(jī)的位置屬性可以搜索活動(dòng)目錄的客戶(hù)計(jì)算機(jī)2022/10/5定義位置名稱(chēng)每一個(gè)位置名稱(chēng)與具體的IP子網(wǎng)相一致必須利用同一個(gè)命名規(guī)則為子網(wǎng)對(duì)象和打印機(jī)確定位置屬性的值可為打印機(jī)添加更多層的節(jié)點(diǎn)，以便更具體地確定打印機(jī)的物理位置USA/Seattle/Building1/floor3/office3334,最大長(zhǎng)度：名32，級(jí)256，總：260USADenverSeattleBuilding 1192.168

59、.30.*Building 2192.168.32.*USA/Seattle/Building 1USA/Seattle/Building 2Floor 2192.168.10.*Floor 3192.168.11.*USA/Denver/Floor 2USA/Denver/Floor 3Entire DirectoryUSABuilding 1DenverBuilding 2Seattle2022/10/5配置打印機(jī)位置任務(wù)利用組策略進(jìn)行位置跟蹤組策略計(jì)算機(jī)配置管理模板打印機(jī)在活動(dòng)目錄中建立子網(wǎng)對(duì)象AD站點(diǎn)和服務(wù)站點(diǎn)子網(wǎng)如：/24設(shè)置子網(wǎng)對(duì)象的位置屬性子網(wǎng)屬性位置設(shè)置打印機(jī)的位置屬性打印機(jī)屬

60、性位置2022/10/55-5設(shè)置和管理發(fā)布的共享文件夾發(fā)布共享文件夾AD用戶(hù)和計(jì)算機(jī)相應(yīng)OU新建共享夾輸入U(xiǎn)NC路徑為發(fā)布的共享文件夾配置搜索選項(xiàng)共享文件夾屬性描述、關(guān)鍵字（可多個(gè)）移動(dòng)發(fā)布的共享文件夾同移動(dòng)其它對(duì)象共享文件夾的物理位置并不改變2022/10/5設(shè)置和管理發(fā)布的共享文件夾被發(fā)布的共享文件夾服務(wù)器1活動(dòng)目錄發(fā)布到活動(dòng)目錄共享文件夾發(fā)布共享文件夾：1.將文件夾共享在活動(dòng)目錄中發(fā)布共享文件夾AD用戶(hù)和計(jì)算機(jī)相應(yīng)位置新建共享文件夾添加共享夾對(duì)象的描述和關(guān)鍵詞，以便于用戶(hù)搜索當(dāng)需要時(shí)，移動(dòng)發(fā)布的共享夾對(duì)象到其它容器或OU中2022/10/55-6發(fā)布對(duì)象與共享資源的比較Accounti