第4章-域與活動目錄(改)

第4章域與活動目錄學(xué)習(xí)要點域與活動目錄的概念活動目錄的創(chuàng)建與配置活動目錄的備份與恢復(fù)管理組織單元管理信任關(guān)系管理復(fù)制WindowsServer2003網(wǎng)絡(luò)操作系統(tǒng)域的定義

域英文叫DOMAIN

域(Domain)是Windows網(wǎng)絡(luò)中獨立運行的單位，域之間相互訪問則需要建立信任關(guān)系(即TrustRelation)。信任關(guān)系是連接在域與域之間的橋梁。當(dāng)一個域與其他域建立了信任關(guān)系后，2個域之間不但可以按需要相互進行管理，還可以跨網(wǎng)分配文件和打印機等設(shè)備資源，使不同的域之間實現(xiàn)網(wǎng)絡(luò)資源的共享與管理。

域既是Windows網(wǎng)絡(luò)操作系統(tǒng)的邏輯組織單元，也是Internet的邏輯組織單元，在Windows網(wǎng)絡(luò)操作系統(tǒng)中，域是安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問或者管理其他的域;每個域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。

4.1域與活動目錄活動目錄是Windows網(wǎng)絡(luò)中的目錄服務(wù),有兩方面內(nèi)容：目錄和與目錄相關(guān)的服務(wù)。4.1.1活動目錄活動目錄是一個分布式的目錄服務(wù)，信息可以分散在多臺不同的計算機上，保證用戶能夠快速訪問。既提高了管理效率，又使網(wǎng)絡(luò)應(yīng)用更加方便。第4章域與活動目錄活動目錄(ActiveDirectory)主要提供以下功能：①基礎(chǔ)網(wǎng)絡(luò)服務(wù)：包括DNS、WINS、DHCP、證書服務(wù)等。

②服務(wù)器及客戶端計算機管理：管理服務(wù)器及客戶端計算機賬戶，所有服務(wù)器及客戶端計算機加入域管理并實施組策略。

③用戶服務(wù)：管理用戶域賬戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認(rèn)證、用戶授權(quán)管理等，按省實施組管理策略。

④資源管理：管理打印機、文件共享服務(wù)等網(wǎng)絡(luò)資源。

⑤桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、安全配置限制等。

⑥應(yīng)用系統(tǒng)支撐：支持財務(wù)、人事、電子郵件、企業(yè)信息門戶、辦公自動化、補丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。4.1域與活動目錄

域是在WindowsNT/2000/2003網(wǎng)絡(luò)環(huán)境中組建客戶機/服務(wù)器網(wǎng)絡(luò)的實現(xiàn)方式。所謂域，是由網(wǎng)絡(luò)管理員定義的一組計算機集合，實際上就是一個網(wǎng)絡(luò)。在這個網(wǎng)絡(luò)中，至少有一臺稱為域控制器的計算機,充當(dāng)服務(wù)器角色。4.1.2域和域控制器（DC）4.1域與活動目錄當(dāng)需要配置一個包含多個域的網(wǎng)絡(luò)時，應(yīng)該將網(wǎng)絡(luò)配置成域目錄樹結(jié)構(gòu)。域目錄樹是一種樹型結(jié)構(gòu)。4.1.3域目錄樹

在整個域目錄樹中，所有域共享同一個活動目錄，即整個域目錄樹中只有一個活動目錄。

活動目錄的域名仍然采用DNS域名的命名規(guī)則進行命名。目錄樹目錄樹：共用連續(xù)名字空間的域就組成一個域目錄樹。4.1域與活動目錄

如果網(wǎng)絡(luò)的規(guī)模比前面提到的域目錄樹還要大，甚至包含了多個域目錄樹，這時可以將網(wǎng)絡(luò)配置為域目錄林（也稱森林）結(jié)構(gòu)。4.1.4域目錄林

4.1域與活動目錄

為了讓每一用戶能夠快速查找到另一個域內(nèi)的對象，微軟設(shè)計了全局編錄（GlobalCatalog，GC）。全局編錄包含了整個活動目錄中每一個對象的最重要屬性（即部分屬性，而不是全部），這使得用戶或者應(yīng)用程序即使不知道對象位于哪個域內(nèi)，也可以迅速找到被訪問的對象。4.1.5全局編錄域目錄林目錄林是一個或多個目錄樹的集合。目錄林中的目錄樹并不共用相同的連續(xù)的名字空間。4.2活動目錄的創(chuàng)建與配置

圖4-3網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D4.2活動目錄的創(chuàng)建與配置

4.2.1創(chuàng)建第一個域（1）首先確認(rèn)“本地連接”屬性TCP/IP中首選DNS指向了自己。4.2活動目錄的創(chuàng)建與配置啟動WindowsServer2003系統(tǒng)，以Administrator權(quán)限登錄。4.2.1創(chuàng)建第一個域ActiveDirectory安裝向?qū)崾静僮飨到y(tǒng)兼容性選擇域控制器類型選擇創(chuàng)建的域的類型指定域名指定域的NetBIOS名稱指定放置ActiveDirectory數(shù)據(jù)庫和日志文件的文件夾數(shù)據(jù)庫日志和系統(tǒng)卷設(shè)置DNS注冊診斷選擇兼容模式設(shè)定還原模式管理員密碼安裝選項摘要提示重啟計算機以使更改生效安裝完成后，需要重啟計算機4.2.2安裝后檢查1、計算機名安裝后檢查2.管理工具中會添加包括“ActiveDirectory用戶和計算機”、“ActiveDirectory站點和服務(wù)”、“ActiveDirectory域和信任關(guān)系”等管理工具。3.活動目錄對象

安裝后檢查安裝后檢查4.ActiveDirectory

數(shù)據(jù)庫ActiveDirectory數(shù)據(jù)庫文件保存在%SystemRoot%\Ntds文件夾中，主要的文件有：Ntds.dit：數(shù)據(jù)庫文件。Edb.log：日志文件。Edb.chk：檢查點文件。Res1.log、Res2.log：保留的日志文件。Temp.edb：臨時文件。安裝后檢查5.DNS記錄

（1）首先要在

服務(wù)器上檢查“本地連接”屬性，確認(rèn)能否正常通信。4.2.3安裝額外的域控制器4.2活動目錄的創(chuàng)建與配置

（2）運行“ActiveDirectory”安裝向?qū)А?/p>

（3）將該計算機設(shè)置為現(xiàn)有域的額外域控制器。

（4）輸入擁有將該計算機升級為域控制器權(quán)力的用戶名和密碼。（5）安裝向?qū)脑械挠蚩刂破魃祥_始復(fù)制活動目錄。4.2.5安裝額外的域控制器在一個域中可以有多臺域控制器。在安裝額外的DC時，需要將活動目錄數(shù)據(jù)庫由現(xiàn)有的域控制器復(fù)制到這臺新的DC上。

（1）在要升級為域控制器的獨立服務(wù)器上，設(shè)置“本地連接”屬性。4.2.4創(chuàng)建子域4.2活動目錄的創(chuàng)建與配置（2）運行活動目錄安裝向?qū)?。?）選擇“新域的域控制器”單選按鈕，單擊“下一步”按鈕；選擇“在現(xiàn)有域樹中的子域”單選按鈕，單擊“下一步”按鈕。4.2.4創(chuàng)建子域4.2活動目錄的創(chuàng)建與配置（4）輸入父域的域名以及管理員的賬戶、密碼等。4.2.4創(chuàng)建子域4.2活動目錄的創(chuàng)建與配置（5）接著輸入子域的NetBIOS名。（6）重新啟動計算機，用管理員登錄到域中。1.創(chuàng)建DNS域4.2.5創(chuàng)建域林中的第二棵域樹4.2活動目錄的創(chuàng)建與配置（1）展開DNS管理窗口左部的列表，右擊“正向查找區(qū)域”，選擇“新建區(qū)域”命令。

1.創(chuàng)建DNS域4.2.5創(chuàng)建域林中的第二棵域樹4.2活動目錄的創(chuàng)建與配置（3）選擇如何復(fù)制DNS區(qū)域數(shù)據(jù)。1.創(chuàng)建DNS域4.2.5創(chuàng)建域林中的第二棵域樹4.2活動目錄的創(chuàng)建與配置（4）輸入DNS區(qū)域名稱，選擇“只允許安全的動態(tài)更新”或者“允許非安全和安全動態(tài)更新”單選按鈕。（5）單擊“完成”按鈕。4.2活動目錄的創(chuàng)建與配置4.2.5創(chuàng)建域林中的第二棵域樹2.安裝域樹的域控制器（1）確認(rèn)服務(wù)器上“本地連接”屬性中的TCP/IP的首選DNS指向。（2）運行活動目錄安裝向?qū)?。?）選擇“新域的域控制器”。4.2活動目錄的創(chuàng)建與配置4.2.5創(chuàng)建域林中的第二棵域樹2.安裝域樹的域控制器下一步選擇“在現(xiàn)有的林中的域樹”。4.2活動目錄的創(chuàng)建與配置4.2.5創(chuàng)建域林中的第二棵域樹2.安裝域樹的域控制器（4）輸入已有域樹的根域的域名和管理員的賬戶、密碼。（5）接著輸入新域的NetBIOS名,按照原步驟繼續(xù)設(shè)置，直到完成。4.2活動目錄的創(chuàng)建與配置4.2.5創(chuàng)建域林中的第二棵域樹2.安裝域樹的域控制器

（6）重新啟動計算機，用管理員賬戶登錄，單擊“開始”→“管理工具”→“ActiveDirectory域和信任關(guān)系”菜單項，可以看到域已經(jīng)存在了。4.2.6成員服務(wù)器和獨立服務(wù)器4.2活動目錄的創(chuàng)建與配置

1．域控制器降級為成員服務(wù)器。具體步驟：1）刪除活動目錄注意要點4.2.6成員服務(wù)器和獨立服務(wù)器4.2活動目錄的創(chuàng)建與配置2）刪除活動目錄

2．獨立服務(wù)器提升為成員服務(wù)器

3．成員服務(wù)器降級為獨立服務(wù)器

1．域控制器降級為成員服務(wù)器。具體步驟：1）刪除活動目錄注意要點4.2.6成員服務(wù)器和獨立服務(wù)器4.2活動目錄的創(chuàng)建與配置2）刪除活動目錄

2．獨立服務(wù)器提升為成員服務(wù)器

3．成員服務(wù)器降級為獨立服務(wù)器刪除活動目錄刪除時要注意以下三點：（1）如果該域內(nèi)還有其他域控制器，則該域會被降級為該域的成員服務(wù)器。（2）如果這個域控制器是該域的最后一個域控制器，則被降級后，該域內(nèi)將不存在任何域控制器了。因此，該域控制器被刪除，而該計算機被降級為獨立服務(wù)器。（3）如果這臺域控制器是“全局編錄”，則將其降級后，它將不再擔(dān)當(dāng)“全局編錄”的角色，因此請先確定網(wǎng)絡(luò)上是否還有其他的“全局編錄”域控制器。ActiveDirectory安裝向?qū)志庝洿_認(rèn)刪除域控制器應(yīng)用程序目錄分區(qū)確認(rèn)刪除管理員密碼4.2.6成員服務(wù)器和獨立服務(wù)器4.2活動目錄的創(chuàng)建與配置

2．獨立服務(wù)器提升為成員服務(wù)器4.2.6成員服務(wù)器和獨立服務(wù)器4.2活動目錄的創(chuàng)建與配置

3．成員服務(wù)器降級為獨立服務(wù)器（1）Windows備份4.3活動目錄的備份與恢復(fù)1.活動目錄的備份（1）Windows備份1.活動目錄的備份4.3活動目錄的備份與恢復(fù)4.3活動目錄的備份與恢復(fù)1.活動目錄的備份（2）命令行備份

若要將活動目錄以“backup.bkf”為文件名備份到“D:\backup.bkf”文件夾下，可以在命令提示符下輸入：ntbackupbackupsystemstate/J“BackupJob1”/F“D:\backup.bkf”4.3活動目錄的備份與恢復(fù)2.活動目錄的恢復(fù)活動目錄的恢復(fù)應(yīng)用在下面的三種情況。（1）網(wǎng)絡(luò)中只有一臺域控制器，在重新安裝系統(tǒng)后，必須恢復(fù)活動目錄。（2）如果服務(wù)器發(fā)生故障，借助于備份文件恢復(fù)。（3）利用備份的數(shù)據(jù)，快速安裝新的額外的域外控制器。4.3活動目錄的備份與恢復(fù)2.活動目錄的恢復(fù)4.3活動目錄的備份與恢復(fù)4.4活動目錄的管理

OU是組織單元，在活動目錄（ActiveDirectory，AD）中扮演特殊的角色，它是一個當(dāng)普通邊界不能滿足要求時創(chuàng)建的邊界。OU把域中的對象組織成邏輯管理組，而不是安全組或代表地理實體的組。OU是可以應(yīng)用組策略和委派責(zé)任的最小單位。4.4.1在活動目錄中使用OU

組織單元是包含在活動目錄中的容器對象。創(chuàng)建組織單元的目的是對活動目錄對象進行分類。1．組織單元4.4.1在活動目錄中使用OU

創(chuàng)建組織單元有如下好處：（1）可以分類組織對象，使所有對象結(jié)構(gòu)更清晰。（2）可以對某些對象配置組策略，實現(xiàn)對這些對象的管理和控制。（3）可以委派管理控制權(quán)，如管理員可以給不同部門的網(wǎng)絡(luò)主管授權(quán),讓他們管理本部門的賬號。4.4活動目錄的管理● 謹(jǐn)慎添加OU：只在必要的時候才添加OU，不要建太多的OU,建議不要為個別用戶創(chuàng)建OU。●保持層次簡單：不要一開始就創(chuàng)建多層OU，也不要使OU的層次太深?！馩U與組的區(qū)別：真正的差別在于安全模型-組策略與權(quán)限。2．使用OU注意要點4.4.1在活動目錄中使用OU4.4活動目錄的管理4.4活動目錄的管理（1）在左窗格中右擊該OU的父對象。如果是第一個OU，域?qū)⑹歉笇ο?。?）從快捷菜單中選擇“新建”→“組織單位”，打開“新建對象-組織單位”對話框。（3）為新OU輸入名稱。（4）單擊“確定”完成OU創(chuàng)建。4.4.1在活動目錄中使用OU3．使用OU的步驟4.4活動目錄的管理（1）在左窗格中右擊OU對象，并從快捷菜單中選擇“委派控制”。打開“控制委派向?qū)А保瑔螕簟跋乱徊健保?）單擊“添加”打開“選擇用戶、計算機或組”對話框。使用對話框中的選項選擇委派對象的對象類型和位置。4.4.2委派OU的管理1．操作步驟（3）在接下來的窗口中，選擇想要委派的任務(wù)。4.4活動目錄的管理4.4.2委派OU的管理1．操作步驟4.4活動目錄的管理4.4.2委派OU的管理1．操作步驟（1）在“ActiveDirectory用戶和計算機”的菜單欄中選擇“查看”→“高級功能”。4.4活動目錄的管理4.4.2委派OU的管理（2）啟用了“高級功能”之后，右擊某個OU，選擇“屬性”，就可以看見“安全”選項卡了。2.查看OU的安全屬性4.4活動目錄的管理4.4.2委派OU的管理2.查看OU的安全屬性4.4活動目錄的管理1．信任關(guān)系信任關(guān)系是網(wǎng)絡(luò)中