Windows Server 網(wǎng)絡(luò)管理課件第13章 活動(dòng)目錄

第13章活動(dòng)目錄本章的任務(wù)了解域和活動(dòng)目錄的相關(guān)知識(shí)，為企業(yè)設(shè)計(jì)活動(dòng)目錄的結(jié)構(gòu)在服務(wù)器上安裝活動(dòng)目錄，把服務(wù)器提升為域控制器；把成員服務(wù)器、用戶計(jì)算機(jī)加入到域中活動(dòng)目錄引入后，各服務(wù)器需要根據(jù)域的特點(diǎn)重新進(jìn)行配置，例如：用戶和組需要在域中進(jìn)行創(chuàng)建、文件夾的安全和共享權(quán)限需要分配給域用戶等13.1域與活動(dòng)目錄簡(jiǎn)介13.1.1為什么需要域如果資源分布在多臺(tái)服務(wù)器上，那就需要在每臺(tái)服務(wù)器分別為每一員工建立一個(gè)用戶（共M*N個(gè)），員工則需要在每臺(tái)服務(wù)器上（共M臺(tái)）登錄。13.1.1為什么需要域有了域，員工只需要在域中擁有一個(gè)域用戶，因此管理員只須為員工創(chuàng)建一個(gè)域用戶；員工只需要在域中登錄一次就可以訪問(wèn)域中的資源了，實(shí)現(xiàn)了單一登錄。域用戶信息是存放在域中的域控制器(DC，DomainController)上，上圖中，可以在服務(wù)器中選定一臺(tái)或者幾臺(tái)服務(wù)器作為域控制器。有多臺(tái)域控制器時(shí)，各個(gè)域控制器是平等的，每個(gè)域控制器上都有所在域的全部用戶的信息，域控制器之間需要同步這些信息。而其它不是域控制器的服務(wù)器僅僅是提供資源。13.1.2什么是活動(dòng)目錄一臺(tái)域中的服務(wù)器如果安裝了活動(dòng)目錄，它就成為了域控制器；反之，域控制器就是安裝了活動(dòng)目錄的服務(wù)器。域控制器（DC，DomainController）上存放有域中所有用戶、組、計(jì)算機(jī)等信息（實(shí)際上域控制器存放的信息還不止這些），域控制器把這些信息存放在活動(dòng)目錄中。13.1.3活動(dòng)目錄和DNS的關(guān)系在TCP/IP網(wǎng)絡(luò)中，DNS（DomainNameSystem）是用來(lái)解決計(jì)算機(jī)名字和IP地址的映射關(guān)系的，WindowsServer2008的活動(dòng)目錄和DNS是緊密不可分的，活動(dòng)目錄使用DNS服務(wù)器來(lái)登記域控制器的IP、各種資源的定位等，在一個(gè)域林中至少要有一個(gè)DNS服務(wù)器存在，所以安裝活動(dòng)目錄時(shí)需要同時(shí)安裝DNS。此外，WindowsServer2008中域的命名也是采用DNS的格式來(lái)命名的。13.1.4活動(dòng)目錄中的組織單元對(duì)象：有用戶、計(jì)算機(jī)、打印機(jī)、組等等。每個(gè)對(duì)象都有自己的屬性以及屬性值。組織單元（OU，OrganizationUnit）：組織單元用來(lái)組織對(duì)象：用戶、打印機(jī)、服務(wù)器、組、應(yīng)用程序等，組織單元把這些對(duì)象按邏輯進(jìn)行分組，便于管理、查找、授權(quán)和訪問(wèn)。組織單元是類(lèi)型為容器的對(duì)象，所謂的容器是可以包含其它對(duì)象的對(duì)象。值得注意的是組織單元是在某個(gè)域下的。13.1.5活動(dòng)目錄設(shè)計(jì)1.域名與控制器的安裝位置中小企業(yè)，為簡(jiǎn)單起見(jiàn)，在網(wǎng)絡(luò)中只安裝一個(gè)域控制器域的名字應(yīng)該和DNS域名一樣，為：其它所有計(jì)算機(jī)加入到域中2.組織單元的設(shè)計(jì)我們這里根據(jù)公司的行政架構(gòu)來(lái)設(shè)計(jì)OU各部門(mén)的用戶、組、計(jì)算機(jī)、打印機(jī)等均放到對(duì)應(yīng)的組織單元上13.2安裝活動(dòng)目錄13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域不要立即重新啟動(dòng)計(jì)算機(jī)，而是檢查“本地連接”屬性中的TCP/IP設(shè)置，確定首選DNS是否指向了自己。13.2.1創(chuàng)建域13.2.1創(chuàng)建域重新啟動(dòng)計(jì)算機(jī)，由于活動(dòng)目錄的存在，啟動(dòng)時(shí)間會(huì)變長(zhǎng)。在域控制器上登錄時(shí)，只能以域中的用戶登錄。雖然用戶名仍為Administrator，但是該Administrator是域用戶。13.2.1創(chuàng)建域13.2.2把服務(wù)器（或計(jì)算機(jī)）加入到域中三種角色：域控制器、成員服務(wù)器和獨(dú)立服務(wù)器。服務(wù)器的這三個(gè)角色可以發(fā)生改變。13.2.2把服務(wù)器（或計(jì)算機(jī)）加入到域中確認(rèn)“本地連接”屬性中的TCP/IP首選DNS指向了域的DNS服務(wù)器13.2.2把服務(wù)器（或計(jì)算機(jī)）加入到域中13.2.2把服務(wù)器（或計(jì)算機(jī)）加入到域中輸入要加入的域的管理員用戶和密碼13.2.2把服務(wù)器（或計(jì)算機(jī)）加入到域中13.2.2把服務(wù)器（或計(jì)算機(jī)）加入到域中在成員服務(wù)器上，可以登錄到域中，也可以登錄到本地，需要在用戶名前加域名。如圖13-29，如果輸入的用戶名是“XYZ\administrator”說(shuō)明是以域用戶（XYZ是域的NETBIOS名）進(jìn)行登錄；如果輸入的用戶名是“WIN2008-2\administrator”說(shuō)明是以本地用戶進(jìn)行登錄。13.2.3把服務(wù)器（或計(jì)算機(jī)）從域中脫離13.3安裝活動(dòng)目錄后的變化13.3.1使用“ActiveDirectory用戶和計(jì)算機(jī)”管理工具應(yīng)該使用“ActiveDirectory用戶和計(jì)算機(jī)”工具來(lái)管理用戶和組等。創(chuàng)建組織單元?jiǎng)?chuàng)建用戶組作用域的區(qū)別全局組成員只來(lái)自本地域的用戶成員可以訪問(wèn)同一域林中的任何域中的資源本地域組成員可來(lái)自同一域林中的任何域的用戶、組成員只能訪問(wèn)本地域的資源通用組成員可來(lái)自同一域林中的任何域成員可以訪問(wèn)同一域林中的任何域的資源有兩種組類(lèi)型：通訊組和安全組?？梢允褂猛ㄓ嵔M來(lái)創(chuàng)建電子郵件分發(fā)列表，而使用安全組來(lái)分配共享資源的權(quán)限。在組織單元下添加計(jì)算機(jī)、用戶、組13.3.2文件和文件夾安全及共享權(quán)限的變化域控制器上的文件和文件夾安全及共享權(quán)限：域控制器上只有域用戶或者組，因此域控制器上的文件和文件夾安全權(quán)限、共享權(quán)限必須分配給域用戶或者組。域控制器上的文件和文件夾安全及共享權(quán)限域控制器上的文件和文件夾安全及共享權(quán)限成員服務(wù)器上的文件和文件夾安全及共享權(quán)限成員服務(wù)器上還存在本地用戶和組，因此成員服務(wù)器上的文件和文件夾安全權(quán)限、共享權(quán)限可以分配給域用戶或者組，也可以分配給本地計(jì)算機(jī)上的用戶和組。13.3.3DHCP服務(wù)器的變化安裝活動(dòng)目錄后，域中的DHCP需要先進(jìn)行授權(quán)才能工作。13.3.4遠(yuǎn)程撥號(hào)的變化遠(yuǎn)程撥號(hào)時(shí)可以用訪問(wèn)服務(wù)器的用戶名撥號(hào)，也可使用域的用戶名撥號(hào)。如果使用域的用戶名撥號(hào)，應(yīng)指明域名XYZ（XYZ是的NETBIOS名）。13.3.5WEB、FTP服務(wù)的變化WEB服務(wù)的變化：安裝活動(dòng)目錄后，如果在WEB服務(wù)器上設(shè)置身份驗(yàn)證，則應(yīng)該使用域中的用戶進(jìn)行登錄。13.3.5WEB、FTP服務(wù)的變化FTP服務(wù)的變化：如果在FTP服務(wù)器上設(shè)置身份驗(yàn)證，則應(yīng)該使用域中的用戶進(jìn)行登錄。如果創(chuàng)建