windows 2008域管理5-活动目录维护

Windows Server 2008中Active Directory域的配置管理摘要：随着计算机技术的发展，利用域管理网内计算机的新技术得到广泛应用，本文图例介绍了windows平台的active directory 域及配置管理方法关键词：windows server active directory域配置管理中图分类号：tp316 文献标识码：a 文章编号：1007-9416(2012)02-0155-02活动目录（active directory）是windows server 2008操作系统提供的一种新的目录服务。

所谓目录服务其实就是提供了一种按层次结构组织的信息，然后按名称关联检索信息的服务方式。

这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企业的管理负担。

另外，它还为用户和应用程序提供了对其所包含信息的安全访问。

活动目录作为用户、计算机和网络服务相关信息的中心，支持现有的行业标准ldap（lightweight directory access protocal，轻量目录访问协议）第8版，使任何兼容ldap 的客户端都能与之相互协作，可访问存储在活动目录中的信息，如linux、novell系统等。

创建域之前需验证windows server 2008系统具备以下条件：(1)在安装windows server 2008的计算机上至少有一个ntfs分区，至少有250m的空间。

(2)计算机上必须配置好ip地址和dns服务器地址。

(3)具须具备管理员权限。

dns服务可以在安装活动目录前安装，也可以在活动目录集成安装，即在安装活动目录过程中安装。

1、安装active directory域一般情况下，在新安装系统时，系统会提示是否选择安装【活动目录】选项，通常不安装活动目录，以便用户有时间来规划与活动目录有关的协议和系统结构。

活动目录服务一般需要在安装windows server 2008后进行安装，可以使用“dcpromo”命令，“dcpromo”是一个图形化的向导程序，它将引导用户一步一步地建立域控制器。

Windows Server 2008出来好一阵子了，自己也用了段时间，但一直没机会体验其AD功能的强大，下面简单的讲解下Windows Server 2008 Active Directory域服务的安装步骤：1.点击“开始”->“运行”，输入“dcpromo”并回车，弹出如下窗口：直接点击“下一步”，一般不需要“使用高级模式”，(除非你的添加第二个DC做他用或者对各种设定都非常熟悉)2.点击“下一步”；3.因为是新建DC，所以选择“在新林中新建域”；4.在目录林根级域FQDN(F)一栏中，输入想建立之网域名称，如确定无误后，按下“下一步”，稍后会进行检查同网段上是否有无网域名称重复；5. 在“设置林功能级别”页面，如林内网域控制站皆为Windows Server 2008担任，则可将林功能等级提升至Windows Server 2008，但有些应用程序需绑AD，则暂不建议将网域等级升至Windows Server 2008。

确定无误后，则按下“下一步”，则会开启“其它域控选项”页面6.DNS当然得选了，直接选择“下一步”；7. 对了，在进行DNS服务器角色安装之前，会先行检查该服务器是否已设定固定IP 地址。

同时，会出现该警示提示(下图)，是因为IPv6预设是为启动，而该Lab使用的是IPv4，故该警示可忽略，按下“是，该计算机将使用动态分配的IP地址(不建议)”---当然，首先固定IP是最好了8. 出现此警示讯息则说明如该网域如为子网域时，则必须先升级问为父系网域，然后设定DNS服务器委派的动作，因该Lab为的网域，故可忽略此警示讯息，按下“是”即可；9.这个…基本不用更改，前提是都是NTFS格式；10.设置还原密码，跟2003一样，够复杂能记住就行；11.到这里就可以检查一下前面的步骤有无错误，没有就可以直接“下一步”；12.正在配置各种设定和服务，大约5~6分钟；13.至此，AD域服务已经安装完毕！重启即可，记得下次登录需要选择Domain哦，否则会拒之门外的！以后会陆续讲解其他功能，如ADSI Edit、Hyper...。

在域范围内的操作主机角色有主域控制器材仿真主机（PDC Emulator）`相对ID （RID）主机·基础结构主机。

在第个域中这些角色都必须是唯一的。

架构主机（schema master）1.架构主机控制整个林的架构的全部更新。

在整个林中，只能有一个架构主机。

架构主机的管理工具不是默认并不安装，需要手工安装。

在DC的运行中输入“regsvr32 schmmgmt.dll“命令，如图表示架构管理工具注册成功Schmmgmt.dll文件在%systemroot%\system32下，如果上面命令不成功，可以写全路径如“regsvr32%systemroot%\system32\schmmgmt.dll“在运行中输入“mmc“命令，打开控制台。

单击方件——添加删除管理单元，先择active directory 架构，单击添加保存文件。

2域命名主机（domain naming master）.域命名主机控制林中域的添加或删除，可以防止林中的域名重复。

在整个林中只能有一个域命名主机。

任何运行windows server 2003或windows server 2008的域控制器都可以担当域命名主机这一角色。

如果运行windows 2000 server 的域控制器担当域命名主机角色，则必须启用为全局编录服务器。

使用“active directory 域和信任关系”可以查看当前域命名主机，从管理工具中打开“active directory域和信任关系”右击“active directory域和信任关系“，选择“操作主机”，显示域命名主机所在的DC3.PDC仿真主机（PDC Emulator master）PDC仿真主机作为windows 2000 以前的客户机模拟windows NT PDC(主域控制器)功能，林中的第个域中只能有一个PDC 仿真主机。

PDC仿真主机的主要作用如下。

*管理来自客户端（windows95/98/nt）密码更改。

第4单元域与活动目录的管理一、填空题1.域树中的子域和父域的信任关系是双向、可传递的。

2.活动目录存放在注册表中3.你是一个Windows Server 2008域的管理员，域名为，现在你需要在该域下面创建一个新的子域，那么在创建遇到类型时，该选择在现有的域树中的子域4.独立服务器上安装了活动目录就升级为域控制器。

5.域控制器包含了由这个域的用户、网络中的其他对象以及属于这个域的计算机等信息构成的数据库。

6.活动目录中的逻辑单元包括域、域树、域林和组织单元。

7.SYSVOL是位于操作系统系统分区%windir%目录中的操作系统文件的一部分，必须位于NTFS分区。

8.网络中的第一台安装活动了目录的服务器通常会默认被设置为主域控制器，其他域控制器（可以有多台）称为辅助（备份）域控制器，主要用于主域控制器出现故障时及时接替其工作，继续提供各种网络服务，不致造成网络瘫痪，同时用于备份数据。

9.活动目录的物理结构的两个重要概念是站点和域控制器。

10.域中的计算机分类是哪4种：域控制器、成员服务器、独立服务器、域中的客户端。

11.域中的计算机使用DNS来定位域控制器和服务器以及其他计算机、网络服务等。

12.企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。

二、选择题1.下列（ D ）不是域控制器存储所有的域范围内的信息。

A.安全策略信息B.用户身份验证信息C.账户信息D.工作站分区信息2.活动目录和（ A ）的关系密不可分，使用此服务器；来登记域控制器的IP、各种资源的定位等A.DNSB.DHCPC.FTPD.HTTP3.下列（ C ）不属于活动目录的逻辑结构。

A.域树B.域林C.域控制器D.组织单元4.活动目录安装后，管理工具里没有增加（ D ）菜单。

A.Active Directory用户和计算机B.Active Directory域和信任关系C.Active Directory域站点和服务器D.Active Directory管理5.你是一台Windows Server 2008计算机的系统管理员，你可以使用（ C ）工具来管理该计算机中的组账号。

Windows Server2008R2 Active directory实操作参考第一章安装活动目录服务器简介：提升Windows Server 服务器为活动目录服务器，那么管理员需要将DNS服务器指向本机，并且使用dcpromo 向导完成提升操作1：添加AD域服务2、运行dcpromo3、以下的步骤就和Windows server 2003一样了4、安装完成后，重启计算机5、活动目录服务器安装完成第二章客户端加域简介：将客户端加入到域，需要将客户端的DNS 设置指向DC，同时，需要以本地管理员组的成员登录来完成操作第三章创建组织单位简介：组织单位(OU)能够有效的组织活动目录中的用户、计算机等对象，并且从Windows Server 2008开始，对于组织单位，可以启用防删除特性，防止组织单位被意外误删除。

如需删除启用防止容器被意外删除功能的容器，需进行以下操作取消该功能第四章创建用户简介：在活动目录当中，管理员可以使用Active Directory 用户和计算机这一个管理工具来创建用户对象，同时对于属性相同的用户，还可以使用复制的方式创建。

第五章委派控制简介：在活动目录当中，可以在组织单位之上启用委派，允许普通用户对于组织单位中的对象有相应的权限，同时，可以创建任务板视图为用户自定义管理工具。

第六章活动目录管理工具活动目录提供了各种类型的管理工具，管理员可以灵活的使用相应的管理工具来完成活动目录中的各项管理任务，同时管理员可以在Windows 7 中安装RSAT 的远程管理工具实现远程管理活动目录服务器。

1、安装Windows 7 Service Pack 1 (SP1) 远程服务器管理工具2、在控制面中添加要管理的对象第七章命令行管理域7-1：dsadd 添加用户7-2：CSVDE 批量导入导出用户7-3：LDIFDE 批量导入导出用户7-4：批量修改用户属性7-5：命令行工具管理组7-6：导入导出组7-7：命令行加域第八章设置用户加域配额简介：默认情况下，普通域用户能够添加10台计算机到域中，作为安全设置，管理员可以将配额设置为0，不允许普通用户将计算机加入到域中打开ADSI编辑器：开始---管理工具---ADSI编辑器，然后如图操作第九章发布共享简介：管理员可以集中的在活动目录当中发布文件共享，打印机共享，统一管理，同时客户端也能够轻松地搜索到所需要的共享资源。

网络操作系统复习题1、以下对Windows 2008企业版硬件要求的描述中，错误的是（）。

（选择1项）a)CPU速度最低1GHz（x86）和1.4GHz（x64），推荐大于2GHzb)内存最低512MB，推荐不少于2GBc)硬盘可用空间不少于4GB，推荐40GB以上d)硬盘可用空间不少于10GB，推荐40GB以上2、在Windows 2008中，添加或删除服务器“功能”（例如telnet）的工具是（）。

（选择1项）a)功能与程序b)管理您的服务器c)服务器管理器d)添加或删除程序3、在一台安装了Windows 2008操作系统的计算机上，如果想让用户具有创建共享文件夹的权限，可以把该用户加入（）。

（选择1项）a)Administratorsb)Power Usersc)Backup Operatorsd)Print Operators4、Windows Server 2008总共有多少个版本（选择1项）a)2个b)4个c)6个d)8个5、一台系统为Windows Server 2008的域控制器，（）能将其活动目录数据库备份到本地磁盘E盘。

（选择1项）a)通过Windows Server Backup备份系统状态到E盘b)利用Ghost备份系统状态到E盘c)复制C:\Windows文件夹到E盘d)利用NTbackup备份系统状态到E盘7、那个命令可以修改系统配置信息、服务信息和启动信息。

（选择1项）a)MSConfig b)ipconfig c)ping d)cmd8、windows Server 2008默认安装的位置是（）（选择1项）a)C:\Winntb)C:\Windows 2008c)C:\Windowsd)C:\Windows Server 20089、在Windows 2008系统上，可以通过右击文件夹，选择“共享”来创建共享文件夹，以下（）权限级别不属于通过该种方式创建共享应有的权限。

windowsserver2008活动⽬录的安装活动⽬录的安装⼀、步骤⼀：安装活动⽬录1、安装Active Directory域服务○1添加⾓⾊○2单击下⼀步，3选择⾓⾊，单击选择你要的⾓⾊，然后点击安装4单击下⼀步，打开域服务对话框，其中简要介绍了域服务作⽤和注意事项5、单击安装，正式进⾏安装域服务。

2、安装活动⽬录1、打开开始菜单，在开始搜索⽂本框输⼊dcpromo.exe命令，按回车启动安装向导。

2、单击下⼀步，打开操作“系统兼容性”对话框。

3、单击下⼀步按钮，打开“选择某⼀部部署配置”对话框，如果是第⼀台域控制器，就选择第⼆个选项“在新林中新建域”，如果不是，就选择“现有林”。

4、单击下⼀步按钮，打开“命名林根域”对话框，在“⽬录林根域的FQDN”⽂本框中输⼊你准备好的DNS 域名，如/doc/6e17995561.html。

5、单击下⼀步，开始检查该域名及其相应的NetBIOS 名是否在⽹络中使⽤，完成后打开“设置林功能级别”对话框。

安装向导提供3种模式，分别是windows server2000、2003、2008，根据⽹络中存在的最低windows版本的域控制器来选择。

6、设置域功能级别7、单击下⼀步按钮，开始检查DNS配置，并打开警告框，提⽰没有找到⽗域。

8、单击是，打开“数据库、⽇记⽂件和SYSVOL的位置”对话框，为了提⾼系统性能，并便于⽇后出现故障时恢复，建议将数据库和⽇记⽂件夹指定为⾮系统分区。

9、单击下⼀步按钮，打开“⽬录服务还原模式的Administrator 密码”对话框，⽤于设置在还原⽬录服务是的密码，这⼀步很重要，对于⽇后的维护还原时要⽤到，所以密码要牢记。

（在活动⽬录恢复是就需要⽤到了）10、单击下⼀步，打开“摘要”对话框，其中列出了前⾯所做的配置信息。

11、单击下⼀步，安装向导开始配置域服务。

过程需要⼏分钟或⼏⼩时，因此，如果你很忙，也可选中“完成后重新启动”复选框，完成后有系统⾃动重启。

Windows 2008系统活动目录权限管理服务介绍熟悉Windows Server 2003的朋友，相信对RMS（权限管理服务）都不会陌生，它能够有效的保护我们的数字资产在相应授权范围之外不会泄露。

在Windows Server 2008中，这一重要特性得以改进和提升，微软把它称之为AD RMS （Active Directory Rights Management Services），即活动目录权限管理服务。

相对于2003下的RMS有了较大的改进与提升，例如：不需要单独下载即可安装、不再需要连接到Microsoft去进行登记等等。

AD RMS 系统包括基于 Windows Server 2008 的服务器（运行用于处理证书和授权的 Active Directory 权限管理服务（AD RMS）服务器角色）、数据库服务器以及 AD RMS 客户端。

AD RMS 系统的部署为组织提供以下优势：1.保护敏感信息。

如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用 AD RMS，从而帮助保护敏感信息。

用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。

组织可以创建子自定义的使用策略模板（如“机密 - 只读”），这些模板可直接应用于上述信息。

2.永久性保护。

AD RMS 可以增强现有的基于外围的安全解决方案（如防火墙和访问控制列表（ACL）），通过在文档本身内部锁定使用权限、控制如何使用信息（即使在目标收件人打开信息后）来更好地保护信息。

3.灵活且可自定义的技术。

独立软件供应商（ISV）和开发人员可以使用启用了 AD RMS 的任何应用程序或启用其他服务器（如在 Windows 或其他操作系统上运行的内容管理系统或门户服务器），与 AD RMS 结合使用来帮助保护敏感信息。

启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案（如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查）中。

Server2008活动目录域服务实战前言Microsoft Windows Server 2008 Active Directory Domain Services (AD DS) 在不同的领域给用户带来了很多增强的特性。

我们将具体介绍Windows Server 2008 Directory Services，以及它是如何结合Windows Server 2008特有的在安全和管理性方面的大量原则。

Read-Only Domain Controller (RODC) 是Windows Server 2008中最大的特性并有拥有最强的增强。

在Windows Server 2008过去的两年半时间内，大约有80%的开发资源是投入到RODC。

RODC的特性是非常丰富和令人兴奋的。

管理角色的分离允许管理员将管理权限指派给Read-Only DC级别的一些用户。

这极大地减轻了拥有许多域管理员的负担并提高了安全性。

Server Core和DC角色被显著地增强来大大地减少了服务器受攻击的层面。

组策略有许多新特性和新设置，使用起来更容易，扩展了它的范围，并变的更加稳定。

下面让我们浏览一下Windows Server 2008 Directory Services 的新特性和增强。

安全的增强Windows Server 2008中的活动目录域服务（AD DS）提供了安全领域的增强。

在安全领域，只读域控制器（RODC）扮演了一个重要的角色。

RODC为在那些地方部署域控制器提供了一个更安全的方法。

它们要求快速、可靠和坚固的认证服务，但也有安全限制，如禁止部署可写域控制器。

RODC主要设计用于部署在远程基础结构环境中。

在这样的环境中一般有相对比较少的用户，物理安全比较薄弱，到中心站点的网络带宽比较少，以及很少的本地IT经验。

域名称服务和域控制器，RODC，和完整DCs 支持活动目录Server Core角色。

除了账号密码，RODC持有所有可写域控制器持有的AD DS对象和属性，但是不能对存储在RODC上副本做修改。

WindowsServer2008R2活动目录服务部署（一）测试环境：硬件环境：IBM X3250M3 软件环境：wmware esxi 5.1.0 客户端：VMware vSphere Client 5.1.0服务器：计算机名LMDC1,已安装Windows Server 2008 R2。

IPV4:172.168.88.2,255.255.0.0 网关地址172.168.88.1管理员：administrator实验要求：安装第一个企业根据域控制器域名为部署过程：方法一：手动部署1、首先进行系统诊断，确保安装前系统的状态正常.并使用事件查看器(EventVWR.MSC），查看日志情况。

2、打开网络连接，设置网卡的IP4地址为一静态地址，同时将DNS服务器地址设置为127.0.0.13、运行DCPROMO,出现设置向导。

检测系统是否安装AD域服务二进制文件，如果没有，系统会自动安装(也可以在运行命令之前，通过服务器管理器，添加活动目录域服务角色来安装）3、弹出活动目录域服务安装向导，选择高级模式（如果不选择此项，安装过程中将无法对有些设置进行更改，如域Netbios名的更改等）5、由于这是森林中的第一台服务器，所以选择在新林中新建域。

6、功能级别，所提供的功能不同。

如要使用R2新增的活动目录回收站功能，必须将功能级别提升到2008 R2功能级别。

要使用棵粒化密码策略，须将功能级别提升到2008。

R2新增了一种功能级别即2008 R2级别。

注意功能级别的操作是单向，即当提升到一个高功能级别后，它不能再降为低功能级别。

除非得新安装AD域服务7、此实验环境中，DC1也是一台DNS服务器，所以要勾选DNS 服务器。

同时，这是森林中的第一台DC，所以全局编录（GC），只读域控制器（RODC）不可操作。

森林中必须至少有一台GC，同时要安装RODC，域中必须首先有一台可写的DC。

12、指定活动目录数据库的存放位置。

在Windows Server 2008中，活动⽬录域服务（Active Directory Domain Services缩写AD DS）相⽐前⼀代操作系统⼜有了重⼤的提升和改进，本⽂简要介绍⼀下其新特性。

⼀、审核策略 在Windows Server 2008中，你现在能够通过使⽤新的审核策略的⼦类（⽬录服务更改）来建⽴AD DS审核策略。

当活动⽬录对象及它们的属性发⽣变化时，新的审核策略可以记录新旧属性值。

AD DS审核能⼲什么？ 我们定义本策略设置（通过修改默认域控制器策略），能够指定审核成功的事件，失败的事件，或者什么也不审核。

能够在AD DS对象的属性对话框中的安全选项卡中设置系统访问控制列表。

”审核⽬录服务访问“在应⽤上同审核对象访问⼀致。

但只适⽤与AD DS对象上⽽不是⽂件对象或注册表对象。

审核AD DS访问 在AD DS中新的审核策略⼦类（⽬录服务更改）增加了以下的功能： 当对对像的属性修改成功时，AD DS会纪录先前的属性值以及现在的属性值。

如果属性含有⼀个以上的值时，只有作为修改操作结果变化的值才会被记录。

如果新的对像被创建，属性被赋予的时间将会被记录，属性值也会被记录，在多数情景中，AD DS分配缺省属性给诸如sAMAccountName等系统属性，这些系统属性值将不被记录。

如果⼀个对像被移动到同⼀个域中，那么先前的以及新的位置（以distinguished name 形式）将被记录。

当对象被移动到不同域时，⼀个创建事件将会在⽬标域的域控制器上⽣成。

如果⼀个对象被反删除，那么这个对象被移动到的位置将会被记录。

另外如果在反删除操作中属性被增加，修改或者删除，那么这些属性的值也会被记录。

当"⽬录服务更改"审核⼦类别启⽤以后，AD DS会在安全⽇志中记录事件当对象属相的变化满⾜管理员指定的审核条件。

下⾯的这张表格描述了这些事件。

事件号事件类型事件描述 5136 修改这个事件产⽣于成功的修改⽬录对象属性。