剛active directory共10章節(jié)第1章搭建單域環(huán)境

1 知道在域環(huán)境中通過(guò)DNS能夠?qū)indowsServer2003的域控制器升級(jí)到WindowsServer 工作組域功域 服務(wù)器在域環(huán)境中的作活動(dòng)域服務(wù)角色要求系統(tǒng)(DNS)服務(wù)按名稱查找計(jì)算機(jī)、域控制器、成員服務(wù)器和網(wǎng)絡(luò)服務(wù)。DNS服務(wù)器角色通過(guò)將名稱到IP地址為基于TCP/IP的網(wǎng)絡(luò)提供DNS名稱解析服務(wù)，從而使計(jì)算機(jī)可以查找ADDS 通常情況下，DNS和DC兩個(gè)服務(wù)裝在同一個(gè)計(jì)算機(jī)上。DNS上的SRV記錄是由域控制器上去的?？蛻魴C(jī)如果要想找到域控制器，客戶機(jī)的DNS必須指向域控制器的上DNS。首先搭建一個(gè)單域環(huán)境，掌握活動(dòng)的功能，后面的章節(jié)將會(huì)講授活動(dòng)樹活動(dòng)林，以及林之間的信任。在現(xiàn)階段只介紹單域單域控制器環(huán)境中如何使用活動(dòng)集中管理和統(tǒng)一驗(yàn)證。XP和Windows7計(jì)組織單元，實(shí)現(xiàn)集中的管理。網(wǎng)絡(luò)環(huán)境如圖1-1所示。1-1實(shí)驗(yàn)環(huán) EduPC1是培訓(xùn)部的計(jì)算機(jī)，安裝的Windows7marketPC1是市場(chǎng)部的計(jì)算機(jī)，安裝WindowsXP1.2.1在DCServer上安裝活 和DNS服作為DNS服務(wù)器和域控制器，要求IP地址必須是固定的。因此安裝活動(dòng) 前需要將IP地址設(shè)成固定的。域控制器需要向DNS相應(yīng)的SRV記錄，因此將首選的DNS服務(wù)器設(shè)置為自己的IP地址。 圖1-2更改IP地址和首選 圖1-3安裝活 命圖1-4準(zhǔn)備二進(jìn)制文 圖1-5安裝活 向圖1-6操作系統(tǒng)兼容 圖1-7在新林中新建如圖1-8所示，在出現(xiàn)名框，輸入 圖1-8輸 林的名 圖1-9選擇林功能級(jí)圖1-10選擇域功能級(jí) 圖1-11同時(shí)安裝DNS服務(wù)圖1-12提示 圖1-13指定數(shù)據(jù)庫(kù)文件和日志文件位 和確圖1-14指定活 圖1-151-16安裝活 后的檢 后，首選DNS會(huì)指定成，所以啟動(dòng)后的第一件事就是將首選的DNS指向自己的IP地址。提示：這些SRV記錄是域控制器的。通過(guò)這些記錄，客戶機(jī)能夠找到 后，發(fā)現(xiàn)SRV記錄不全?？蛻舳司蜎](méi)有辦法找到域控制器。如何做呢？請(qǐng)看下面的任務(wù)。圖1-17將首選的DNS指向本機(jī)的IP地 圖1-18域控制器項(xiàng)DNS的SRV記 “ActiveDirectory用戶和計(jì)算機(jī)”→ ，如圖1-19所示。 圖1-19活 默認(rèn)結(jié) 圖1-20啟用高級(jí)功 1-21啟用高級(jí)功能后看讓域控制器向DNS服務(wù)器SRV記 域控制器向DNSSRV記錄。如圖1-22所示，右擊 辦法通過(guò)DNS找到 圖1-22刪除整個(gè)區(qū) 圖1-23新建正向查找區(qū)區(qū)域自己的IP地址。圖1-24指定區(qū)域類 圖1-25指定活 提示：_msdcs這是固定格式，比如您安裝的林的名稱是 圖1-26創(chuàng)建正向查找 圖1-27允許安全更 圖1-28創(chuàng)建正向查找區(qū) 圖1-29創(chuàng)建好的兩個(gè)正向查找netlogon服務(wù)。該服務(wù)只有域中的計(jì)算機(jī)是自動(dòng)啟動(dòng)的，工作組中的計(jì)算機(jī)默認(rèn)該服務(wù)是關(guān)閉的。圖1-30重啟netlogon服 圖1-31域控制器向DNSSRV記錄成 記錄不成功的可能的原 有可能還是不能SRV記錄到DNS服務(wù)器上，以下是總結(jié)的需要檢查的幾點(diǎn)。 1-32正向查找區(qū)允許安 圖1-33域控制器的全名必須有后 圖1-34提示 默認(rèn)已經(jīng)選中了“在域成員變化時(shí)，更改主DNS后綴”，如圖1-36所示，輸入 1-36圖1-37在DNS中此連接的地將計(jì)算機(jī)加入 中創(chuàng)建計(jì)算機(jī)帳號(hào)，每臺(tái)加入域并運(yùn)行WindowsNT、Windows2000、WindowsXP或WindowsVista的計(jì)算機(jī)或者運(yùn)行WindowsServer2003或WindowsServer2008的服務(wù)器都具有@echo join 圖1-38內(nèi)以下將會(huì)將計(jì)算機(jī)加入 @echo join 圖1-39更改使用的首選 圖1-40更改系統(tǒng)屬圖1-41輸入域帳戶和圖1-42成功加入圖1-43登錄 圖1-44選擇登錄的帳如圖1-45所示，輸入netdom puterprofile/newname:fileserver更改“join /REBoot:5圖1-45更改計(jì)算機(jī)名 圖1-46加入域重 用戶和計(jì)算機(jī)管理工具，查看加入域的計(jì)算機(jī)帳號(hào)，默認(rèn)會(huì)放在computers 1-47默認(rèn)計(jì)算機(jī)帳戶位將計(jì)算機(jī)加入到指定組將計(jì)算機(jī)加入到域，會(huì)自動(dòng)的在computers中創(chuàng)建計(jì)算機(jī)帳號(hào)，如果想計(jì)算機(jī)計(jì)算機(jī)加入域時(shí)自動(dòng)的出現(xiàn)

象象圖1-48創(chuàng)建組織單 圖1-49輸入組織單元名圖1-50在組織單元中創(chuàng)建用 圖1-51輸入用戶信圖1-52輸入和確認(rèn)圖1-53完成用戶創(chuàng)圖1-54新建計(jì)算機(jī)帳 圖1-55輸入計(jì)算機(jī)名圖1-56查找用戶 圖1-57選擇用圖1-58打開網(wǎng)絡(luò)和共享中 圖1-59打開本地連圖1-60更改使用的DNS服務(wù) 圖1-61打開服務(wù)器屬 圖1-62更改設(shè) 圖1-63加入到圖1-64輸入帳 圖1-65加入域成禁用計(jì)算機(jī)1-66禁用計(jì)算機(jī)帳圖1-67登錄到 圖1-68登錄失將計(jì)算機(jī)退 中刪除，如圖1-69所示，。1-69將計(jì)算機(jī)退出域您也可以使用將WindowsServerCore計(jì)算機(jī)退出域：@echooffnetdomremove /1-70將計(jì)算機(jī)退出域環(huán)境中計(jì)算機(jī)名稱解WINS服務(wù)器來(lái)實(shí)現(xiàn)。在域環(huán)境中，計(jì)算機(jī)可以使用DNS實(shí)現(xiàn)計(jì)算機(jī)名解析，而不用配置WINS服務(wù)器。定，通過(guò)DNS服務(wù)器解析出IP地址。比如域中的計(jì)算機(jī)marketPC1計(jì)算機(jī)需要解析eduPC1，會(huì)構(gòu)DNS觀察域中DNS配置客戶機(jī)自DNS名 圖1-71域中計(jì)算機(jī)的A記 圖1-72打開區(qū)域?qū)偃鐖D1-73所示，在出現(xiàn)的 如圖1-74所示，在marketPC1上，右擊 圖1-73DNS的區(qū)域必須允許動(dòng)態(tài)更 圖1-74域中計(jì)算機(jī)全 圖1-75配置使用的 圖1-76在DNS中此連接的地如圖1-77所示，在命令行提示符下輸入ipconfig/all可以看到主DNS后綴： 以看到DNS搜索列表： 和。 會(huì)在計(jì)算機(jī)名后添加edu2act后綴構(gòu)造完整的計(jì)算機(jī)名，通過(guò)DNS解析。這就是DNS搜索列表的作用。 圖1-77查主DNS后綴和DNS搜索列 圖1-78構(gòu)造的完整的 一個(gè)IT管理兩個(gè)城市的銷售部。組織單位的創(chuàng)建應(yīng)該以部門優(yōu)先，在以地理位置創(chuàng)建子組織單位，如圖1-80所示。1-80以部門創(chuàng)建組織單 組織單元設(shè)計(jì)過(guò) 組織要求的管理IT結(jié)構(gòu)。設(shè)計(jì)組織單元的第一步是識(shí)別組織的結(jié)構(gòu)。整理現(xiàn)在的的組織結(jié)構(gòu)：當(dāng)整理現(xiàn)在的組織結(jié)構(gòu)時(shí)，將管理任務(wù)分類，然后決定每類管理任務(wù)由哪些IT部門合并對(duì)管理來(lái).確定每中的管理員和用戶以及他們管理的資源.這些信息將幫助你明確指派給組織單元的所有者和影響組織單元結(jié)構(gòu)的部門組織的IT部門的用戶，這些用戶成為本地的管理員來(lái)支持本地用戶。分散的IT：這種類型的組織有不同的商業(yè)單元，可以選擇適當(dāng)?shù)腎T模式來(lái)提供服務(wù)。比如有多個(gè)IT團(tuán)隊(duì)來(lái)滿足不同的需要和目標(biāo)。任何時(shí)候，只要進(jìn)行公司范圍的技術(shù)整合，比如升級(jí)一個(gè)信息應(yīng)用程序，這IT團(tuán)隊(duì)必須一起工作實(shí)現(xiàn)變化。限時(shí)，必須由第給該組織授予適當(dāng)?shù)臋?quán)限。這樣該組織的IT團(tuán)隊(duì)，就可以在權(quán)限允許的范圍內(nèi)管理組支有他們自己的管理團(tuán)隊(duì)來(lái)管理本地資源。組織單元結(jié)IT組織是集中的，但網(wǎng)絡(luò)管理地理上分散，那么，根據(jù)位置位置組織活動(dòng)結(jié)構(gòu)可能是最好的策略，分布管理的集中的IT可以選擇該策略。組織：通過(guò)部門或分部分開的管理的組織，可以選擇基于組織結(jié)構(gòu)的活動(dòng)設(shè)計(jì)。當(dāng)設(shè)計(jì)的活動(dòng)你設(shè)計(jì)活動(dòng)結(jié)構(gòu)來(lái)反映組織圖，將很難委派權(quán)限，因?yàn)榛顒?dòng)中的對(duì)象，如和文件夾，可能沒(méi)有分散的IT功能的組織可以從該策略中受益。商業(yè)功能：一個(gè)分散管理的組織可以選擇基于組織功能的活動(dòng)結(jié)構(gòu)設(shè)計(jì)。一個(gè)基于功能的層次對(duì)工作任IT功能和部門分開性很強(qiáng)的分散的組織，可以采用具有基于位置的上部的層和基于什么是委派管理可以為適當(dāng)?shù)挠脩艉徒M指派一定范圍的管理任務(wù)?？梢詾槠胀ㄓ脩艉徒M指派基本管理任務(wù)，而讓Admins和EnterpriseAdmins組的成員執(zhí)行域范圍和林范圍的管理。通過(guò)委派管理，可以使組織內(nèi)的組地控制ActiveDirectory定義了特定的權(quán)限和用戶權(quán)利，可用于委派或限制管理控制權(quán)。通過(guò)使用組織單位、組和權(quán)限組織單元的管理任 委派管理控制指導(dǎo)你可以委派管理權(quán)限來(lái)到簡(jiǎn)化管理和降低管理成本。在委派管理以前，你必須確定誰(shuí)能夠活動(dòng)對(duì)象以ActiveDirectoryActiveDirectory對(duì)象的默認(rèn)權(quán)限 WindowsServer2003中的控制列表(ACL)具有單實(shí)例的特性：如果多個(gè)對(duì)象擁有相同的控制列表(ACL)，ActiveDirectory將只ACL的一個(gè)實(shí)例。有關(guān)ActiveDirectory對(duì)象的繼承方式的詳細(xì)信，對(duì)他們每個(gè)人使用一個(gè)控制項(xiàng)(ACE)將很有意義，而不是授予對(duì)于整個(gè)用戶對(duì)象的寫入權(quán)限來(lái)嘗試只使用一個(gè)ACE。使用組委派的權(quán)限。如果一組用戶需要“”權(quán)限，另一組用戶需要“更改”權(quán)限，則應(yīng)為每一組用如果所有ActiveDirectory權(quán)限的總大小接近域控制器的磁盤空間或處理速度能力，域操作可能受到影響。 員，需要委派培訓(xùn)部門的用戶帳戶能夠在該部門創(chuàng)建和管理用戶和組。需要市場(chǎng)部門的用戶帳 EduPC1是培訓(xùn)部的計(jì)算機(jī)，安裝的Windows7marketPC1是市場(chǎng)部的計(jì)算機(jī)，安裝WindowsXP在DCServer上創(chuàng)建組織單 圖1-81創(chuàng)建組織單 圖1-82輸入組織單元名1-83創(chuàng)建的服務(wù)器組組在組織單元中創(chuàng)建 圖1-84創(chuàng)建用 圖1-85輸入用戶信如圖1-86所示，在出現(xiàn)的輸入框，輸入 圖1-86輸入和確認(rèn)圖1-87完成用戶創(chuàng)將計(jì)算機(jī)和用戶移動(dòng)到選中computers 右擊選中的計(jì)算機(jī)帳戶，點(diǎn)擊“移動(dòng)”，如圖1-88所示。圖1-88移動(dòng)選定的計(jì)算 圖1-89選擇目標(biāo)組織單1-90委派圖1-91委派控 圖1-92委派控制向圖1-93添加委派的用 圖1-94選擇用戶改戶改圖1-95選擇用 圖1-96委派常規(guī)任圖1-97完成委派控制向 圖1-98對(duì)市場(chǎng)部進(jìn)行委派控圖1-99委派控制向 圖1-100添加要委派的用圖1-101選擇用 圖1-102選擇用圖1-103創(chuàng)建自定義的任務(wù)去委 圖1-104選擇對(duì)象類圖1-105選擇完全控 圖1-106完成委派控驗(yàn)證委派 二次登錄（SecondarylogonRunasWindows命令，它允許一個(gè)用戶使用不同用 圖1-107安裝WindowsServer2003管理工 圖1-108使用域用戶登如圖1-109所示，點(diǎn)擊“開始”→“所有程序”→“管理工具”→“ActiveDirectory用戶 圖1-109打開ActiveDirectory用戶和計(jì)算 圖1-110新建圖1-111輸入組的名 圖1-112禁用用圖1-113禁用用 圖1-114將用戶添加到如圖1-115所示，在出現(xiàn)的選擇組 圖1-115輸入組 圖1-116對(duì)其他組織單元沒(méi)有管理權(quán)圖1-117二次登 圖1-118更改用戶圖1-119驗(yàn)證完全控制 圖1-120對(duì)其他組織的權(quán)撤銷委派（ACL任務(wù) 圖1-121啟用高級(jí)功 圖1-122打開培訓(xùn)部屬圖1-123查看安 圖1-124刪除特定權(quán)驗(yàn)證撤銷的1-125驗(yàn)證撤銷的權(quán)刪除組織

圖1-126啟用高級(jí)功 圖1-127打開組織單元屬圖1-128去掉保 圖1-129刪除組織單圖1-130刪除組織單winNTwin2000、win2003、win2008都提供提供活動(dòng)功能，然而不同操作系統(tǒng)運(yùn)行的域都提供不同功Windwos2003ActiveDirectory中提供了比Windows2000ActiveDirectory更高的功能級(jí)別，稱為提升到Windwos2003模式。森林功能級(jí)別的提升需要手動(dòng)完成。域功能域功能激活只影響整個(gè)域和該域的功能。WindowsServer20008功能級(jí)別支持五功能級(jí)別，一下分別介紹五功1：Windows2000混合模式（默認(rèn)）Windows2000WindowsNT的任意組合系統(tǒng)。Windows2000域控制器和WindowsNT4.0備份域控制器可以在同一個(gè)域中無(wú)縫共存而不會(huì)出現(xiàn)任何問(wèn)題。當(dāng)然Windwos3：WindowsServer2003Windows2003WindowsNT4域控制器的混合使用。但不能與Windows2000域控制器混合使用。顯見支持的域控為Windows2003WindowsNT4.此級(jí)別內(nèi)沒(méi)有域范圍的激活功能。該模式只在將NT4的域控升級(jí)到Windows2003域控時(shí)使用4：WindowsServer2003Windows2003Windows2008。支持的功能包括：Netdom.exe提供的域控制器重命名功能、更新登錄時(shí)間戳。將使用用戶或計(jì)算機(jī)的上次登錄時(shí)間來(lái)更新lastLogonTimestamp屬性?？梢栽谟騼?nèi)該在 puters,<域根>和cn=Users,<域根>。該功能可用于定義這些帳戶新的已知位置。管理器能夠?qū)⑵洳呗栽贏ctiveDirectory域服務(wù)(ADDS)中包含受限制的委派，以便使應(yīng)用程序可通過(guò)Kerberos驗(yàn)證協(xié)議充分利用用戶憑據(jù)的安全委派。可以將委SYSVOL的分布式文件系統(tǒng)支持，可提供SYSVOL內(nèi)容的更穩(wěn)健更詳細(xì)的Kerberos協(xié)議的高級(jí)加密服務(wù)（AES128256）域功能級(jí)別的評(píng)僅僅適合從NT域環(huán)境升級(jí)到Windows20003：WindowsServer20034：WindowsServer2003域級(jí)別windows2003windows20085：WindowsServer2008域級(jí)別林的功能ActiveDirectoryActiveDirectory功能及以下功能：值（組成員中的更改為各個(gè)成員并值，而不是作為單個(gè)單位整個(gè)成員。在不WindowsServer2008(RODC)改進(jìn)的知識(shí)一致性檢查器(KCC)的算法和可伸縮性。站點(diǎn)間拓?fù)?ISTG)使用改進(jìn)的算法，可縮放以支Windows2000ISTGWindows2000林功能級(jí)別選擇ISTG的性較小的機(jī)制。改進(jìn)的ISTG算法（更好的縮放ISTG用于連接林中所有站點(diǎn)的算法。 將inetOrg 對(duì)象實(shí)例轉(zhuǎn)換為User對(duì)象實(shí)例的功能，反之亦然。 協(xié)議(LDAP)查詢組）類型的實(shí)例以支持基于角色的驗(yàn)證WindowsServer2003林功能級(jí)別上可用的所有功能，但不提供任何其他功能。但在默認(rèn)情況下，隨后添加到林的所有域，將在WindowsServer2008域功能級(jí)別進(jìn)行操作。提升域功能Windows2003Windows2008WindowsServer2008則 升級(jí)到 BDCS域中的附加域控制器，安裝WindowsServer20031.6.1PDCServerActiveDirectoryWindowsServer2008Adprep.exe來(lái)準(zhǔn)備林和域。請(qǐng)務(wù)必運(yùn)行WindowsServer2008安裝介質(zhì)隨附的Adprep版本。此版本的Adprep可以添加運(yùn)行WindowsServer2008的域控制器所需的架構(gòu)對(duì)象和屬性，并且可以修改對(duì)新對(duì)象和現(xiàn)有對(duì)象的權(quán)限。添加運(yùn)行WindowsServer2008的域控制器之前，請(qǐng)?jiān)诔休d架構(gòu)操作主機(jī)角色（架構(gòu)主機(jī)）的林中的域控制器中運(yùn)行一次adprep/forestprep。若要運(yùn)行此命令，您必須是包括架構(gòu)主機(jī)的域的EnterpriseAdmins組、SchemaAdmins組和 Admins組的成員。此外，請(qǐng)?jiān)谟?jì)劃將運(yùn)行WindowsServer2008的域控制器添加到其中的每個(gè)域中，在承載基礎(chǔ)結(jié)構(gòu)操作主機(jī)角（基礎(chǔ)結(jié)構(gòu)主機(jī)的域控制器上運(yùn)行一次adprep/ prep/gpprep。若要運(yùn)行此命令，您必須為Admins(RODC)adpreprodcprep。您可以在林中的任何計(jì)算機(jī)上運(yùn)行此命令。若要運(yùn)行此命令，您必須為EnterpriseAdmins組的成員。想在包含WindowsServer2000或WindowsServer2003域域環(huán)境中添加WindowsServer2008域控制器前需要拓展活動(dòng)schema。 升級(jí)操作系統(tǒng)至WindowsServer圖1-131提升域功能級(jí) 圖1-132提升到WindowsServer如圖1-133所示， WindowsServer2008安裝光盤，定位到sources\adprep 運(yùn)行adprep/forestprep 圖1-133升級(jí)活 架 圖1-