第11章AD中的安裝及設(shè)置

新華網(wǎng)技windows

Server

2003

Enterprise創(chuàng)建Windows

2003域11新華網(wǎng)技windows

Server

2003

Enterprise教學(xué)目的：掌握在AD中組的類型及作用范圍掌握AGDLP的授權(quán)策略熟悉對比在工作組狀態(tài)下的身份驗(yàn)證問題；用戶帳號和組了解說明集中管理用戶帳號的好處、SAM數(shù)據(jù)庫了解用戶帳號中眾多的屬性新華網(wǎng)技windows

Server

2003

Enterprise重點(diǎn)：域用戶創(chuàng)建與管理

難點(diǎn)：域用戶是如何進(jìn)行驗(yàn)證的，同時如何進(jìn)行對資源的管理的。（授權(quán)的策略）新華網(wǎng)技windows

Server

2003

Enterprise講解過程新華網(wǎng)技windows

Server

2003

Enterprise11-1概述Windows

2003的域控制器DC：2003S、En、DS安裝活動目錄Dcpromo.exeAD安裝進(jìn)程檢查AD默認(rèn)結(jié)構(gòu)執(zhí)行后活動目錄的安裝任務(wù)新華網(wǎng)技windows

Server

2003

Enterprise11-2介紹如何創(chuàng)建Windows

2003域域是2003網(wǎng)絡(luò)中的核心管理單元用來限定信息和資源的組織管理方式新目錄林中的第一個域?yàn)榱指颍指├肁D安裝向?qū)В梢詣?chuàng)建域和DC新目錄林、第一個DC、附加DC子域、新目錄樹新華網(wǎng)技windows

Server

2003

Enterprise11-3安裝活動目錄運(yùn)行dcpromo.exe–準(zhǔn)備工作、指定信息新華網(wǎng)技windows

Server

2003

Enterprise√計算機(jī)上運(yùn)行的是Windows

2003

S、E、DS√AD數(shù)據(jù)庫至少需要200

MB√AD數(shù)據(jù)庫的事務(wù)日志文件，另需50MB√若為GC，還需一定的空間√系統(tǒng)卷（SYSVOL）文件夾，必須NTFS√安裝TCP/IP并且配置了DNS√如果是在現(xiàn)存的2003網(wǎng)絡(luò)上創(chuàng)建域，活動目錄安裝準(zhǔn)備TCP/IP√那么還需要創(chuàng)建域所需的管理特權(quán)NTFS新華網(wǎng)技windows

Server

2003

Enterprise創(chuàng)建第一個域（多媒體演示）?啟動AD安裝向?qū)В篸cpromo.exe?選擇域控制器和域類型?指定所需信息域、DNS和NetBIOS名AD數(shù)據(jù)庫、日志文件和共用系統(tǒng)卷SYSVOL的位置選擇權(quán)限：以前兼容/2003指定“目錄服務(wù)恢復(fù)模式”管理員密碼–AD不啟動，由NT的一個小SAM庫來驗(yàn)證?AD安裝向?qū)?安裝活動目錄AD把計算機(jī)轉(zhuǎn)換為域控制器DC新華網(wǎng)技windows

Server

2003

Enterprise添加附加域控制器為了容錯，一個域中至少兩個DC在域中，一個以上的DC也可用來分布負(fù)載登錄請求、GC查詢、其它服務(wù)運(yùn)行Dcpromo.exe加一個DC到已存在的域AD安裝向?qū)?轉(zhuǎn)換計算機(jī)為域控制器DC復(fù)制活動目錄AD從一個已存在的DC–至少有一個DC聯(lián)機(jī)新華網(wǎng)技windows

Server

2003

Enterprise新華網(wǎng)技windows

Server

2003

Enterprise新華網(wǎng)技windows

Server

2003

Enterprise新華網(wǎng)技windows

Server

2003

Enterprise11-4實(shí)驗(yàn)A：創(chuàng)建Windows

2003域?qū)嶋H操作：,dns指向自己新華網(wǎng)技windows

Server

2003

Enterprise11-5活動目錄安裝進(jìn)程配置參數(shù)用戶界面驗(yàn)證管理員、2003S/En/DS等命名驗(yàn)證

AD站點(diǎn)和服務(wù)—sites—default

first

sitename—servers—s58不可重名，否則s58將被刪除TCP/IP配置驗(yàn)證必須有效IP（靜態(tài)/動態(tài)）新華網(wǎng)技windows

Server

2003

Enterprise–DNS：必須動態(tài)更新的DNS否則將安裝一個DNS和NetBIOS域名字的生效必須唯一NetBIOS名字，有效15位用戶身份驗(yàn)證新林，不需要加入，需林管理員文件位置的驗(yàn)證SYSVOL需NTFS有足夠的空間新華網(wǎng)技windows

Server

2003

Enterprise檢查活動目錄默認(rèn)結(jié)構(gòu)Active

Directory

Users

and

ComputersConsole

Window

HelpActive

View8

objectsForeignSecurityPrincipalsLostAndFoundSystemUserscontoso.msftNameBuiltinComputersDomain

ControllersForeignSecurityPrincipalsLostAndFoundSystemUsersInfrastructureTreeActive

Directory

Users

and

Co..contoso.msftBuiltinComputersDomain

Controllers默認(rèn)的Windows

2003安全組默認(rèn)的計算機(jī)帳號存儲位置默認(rèn)的DC的計算機(jī)帳號存儲位置外部安全原則：保存外部有信任關(guān)系的域的SID保存獨(dú)立的對象保存一些內(nèi)置的系統(tǒng)設(shè)置用戶帳號和組帳號的默認(rèn)位置新華網(wǎng)技windows

Server

2003

Enterprise驗(yàn)證SRV記錄，DNS驗(yàn)證系統(tǒng)卷SYSVOL，WINNT\SYSVOL驗(yàn)證目錄數(shù)據(jù)庫和日志文件,WINNT\NTDS通過檢查事件日志驗(yàn)證安裝結(jié)果DNSSYSVOLDatabase

andLogFiles驗(yàn)證活動目錄安裝11-7執(zhí)行后活動目錄安裝任務(wù)新華網(wǎng)技windows

Server

2003

Enterprise驗(yàn)證活動目錄安裝驗(yàn)證SRV資源記錄DNS管理器NslookupLs-t

srv域名或set

type=srv驗(yàn)證SYSVOLDomain、staging、staging

areas、sysvol共享：netlogon—sysvol\domain\scripts sysvol—sysvol驗(yàn)證目錄數(shù)據(jù)庫和日志文件Ntds.dit,edb.*,res*.log新華網(wǎng)技windows

Server

2003

Enterprise實(shí)現(xiàn)AD集成區(qū)域DNS服務(wù)器區(qū)域數(shù)據(jù)庫AD集成區(qū)域contoso.msftDNS可利用AD存儲和復(fù)制區(qū)域數(shù)據(jù)庫在DNS中使用AD集成區(qū)域?qū)崿F(xiàn)正向區(qū)域?qū)崿F(xiàn)反向區(qū)域新華網(wǎng)技windows

Server

2003

Enterprise確保AD集成區(qū)域：安全更新只有AD集成區(qū)域才可配置：僅安全更新在DNS的AD集成區(qū)域使用：安全更新這樣你可以控制區(qū)域和資源記錄的訪問DNS服務(wù)器contoso.msftAD集成區(qū)域區(qū)域數(shù)據(jù)庫安全更新客戶新華網(wǎng)技windows

Server

2003

Enterprise混合模式 本機(jī)模式單向不可逆操作管理工具—AD用戶和計算機(jī)/AD域和信任—域—屬性—常規(guī)—改變模式新華網(wǎng)技windows

Server

2003

Enterprise設(shè)計組織單元OU結(jié)構(gòu)UsersSalesComputers如果你想要設(shè)計OU結(jié)構(gòu)增強(qiáng)管理控制√對網(wǎng)絡(luò)資源委派管理控制√組織相似的網(wǎng)絡(luò)資源到OU√簡單對象管理和控制網(wǎng)絡(luò)資源的訪問√使資源管理更有效控制組策略的應(yīng)用使用“AD用戶和計算機(jī)”在域/OU中建立一個OU權(quán)限要求?父：讀，列表，創(chuàng)建子，列組件新華網(wǎng)技windows

Server

2003

Enterprise11-8實(shí)驗(yàn)B：執(zhí)行后活動目錄安裝任務(wù)新華網(wǎng)技windows

Server

2003

Enterprise11-9解決AD安裝過程中出現(xiàn)的問題在創(chuàng)建或添加DC的時候，訪問被拒絕，（新：本管，加：域管）ErrorDNS或NetBIOS域名稱不統(tǒng)一Error不能與域取得聯(lián)系Error磁盤空間不足Error新華網(wǎng)技windows

Server

2003

Enterprise11-10刪除活動目錄刪除活動目錄通過：Remove

Active

Directory

by:AD安裝向?qū)峁┻m當(dāng)?shù)墓芾碜C書AD安裝向?qū)?，?zhí)行特定的刪除操作依賴于DC的類型域控制器DC(Windows

2003)提供管理證書?Enterprise

Admins組成員?Domain

Admins組成員刪除活動目錄AD新華網(wǎng)技windows

Server

2003

Enterprise歸納與總結(jié)本節(jié)課如果不深入進(jìn)去學(xué)習(xí)，可能會錯誤的理解為是前面的用戶管理的翻版，其實(shí)在域中的用戶管理和實(shí)現(xiàn)都會比前面的用戶管理深入很多。所以這一點(diǎn)一定要著重講到新華網(wǎng)技windows

Server

2003

Enterprise?上機(jī)作業(yè)1、創(chuàng)建域用戶：注意事項：DC上不能創(chuàng)建本地用戶；利用“AD用戶和計算機(jī)”建立并管理域用戶賬戶；2、使創(chuàng)建的用戶能夠從DC本機(jī)登錄默認(rèn)情況下，只有某些特殊組內(nèi)賬戶有權(quán)限從DC上登錄。所創(chuàng)建的普通用戶不能夠從DC本機(jī)登錄，須通過以下設(shè)置才可：管理工具——域控制器安全策略——Windows設(shè)置——安全設(shè)置——本地策略——用戶權(quán)限指派——允許本地登錄——添加用戶和組；開始——運(yùn)行——gpupdate

/target:computer

/force注：若為win2000

DC則運(yùn)行：secedit

/refreshpolicy

machine_policy3、域用戶賬戶的管理域用戶賬戶的屬性設(shè)置；域用戶賬戶的禁用、啟用、重命名及刪除等。新華網(wǎng)技windows

Server

2003

Enterprise課后習(xí)題

1:為了更好的管理企業(yè)網(wǎng)絡(luò)，企業(yè)管理員現(xiàn)對公司的2個部門分別建立了全局組ga和gb，為了在管理時提供最大的靈活性并降低網(wǎng)絡(luò)的復(fù)雜性，在實(shí)施管理時管理員應(yīng)：(2分)根據(jù)需要直接對ga和gb分配權(quán)限根據(jù)需要建立適當(dāng)?shù)挠虮镜亟M，將用戶放入域本地組并對域本地組進(jìn)行賦權(quán)將兩個部門的用戶放入全