活动目录管理及维护-第一章 部署 Windows 域

WindowsServer2022R2域与活动目录什么是域域（Domain）是Window网络中独立运行的单位，域之间相互访问则需要建立信任关系（TrutRelation）。

信任关系是连接在域与域之间的桥梁。

当一个域与其他域建立了信任关系后，两个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。

为什么需要域如果资源分布在N台服务器上，那么用户需要资源时就要分别登陆这N台服务器，也就需要N个账号。

一个用户如此，那M个呢，管理员也就需要给他们创建N某M个账户，这样不仅负责而且难管理。

有了域，管理员只需要给每个用户创建一个域用户，用户只需在域中登陆一次就可以访问域中的资源，实现了单一登陆。

用户信息是存放在域中的域控制器（DC，DomainController）上，上图中，可以在服务器中选定一台或者几台服务器作为域控制器。

有多台域控制器时，各个域控制器是平等的，每个域控制器上都有所在域的全部用户的信息，域控制器之间需要同步这些信息。

而其它不适域控制器的服务器仅仅是提供资源。

什么是活动目录活动目录（ActiveDirectory）是Window2003Server平台提供的目录服务。

在中央数据库中存放信息，使用户在网络上只拥有一个用户账号。

目录是存储各种对象的一个物理上的容器，目录服务是使目录中所有信息和资源发挥作用的服务。

信息的安全性大大增强，引入基于策略的管理，使系统的管理更加明朗，具有很强的可扩展性、可伸缩性、智能的信息复制能力，与DNS集成紧密、与其他目录服务具有互操作性、具有灵活的查询。

活动目录逻辑结构：域、组织单元、树、林。

域控制器（DC,DomainController）上存放着域中所有用户、组、计算机等信息（实际上域控制器存放的信息还不止这些），域控制器把这些信息存放在活动目录中。

活动目录和DNS的关系在TCP/IP网络中，DNS（DomainNameSytem）是用来解决计算机名字和IP地址的映射关系的，活动目录和DNS是紧密不可分的，活动目录使用DNS服务器来登记域控制器的IP、各种资源的定位等，在一个域林中至少要有一个DNS服务器存在，所以安装活动目录时需要同时安装DNS。

Windows域维护手册一、域的安装步骤1.安装windows2003 server企业版2.设置首选DNS地址为本机IP3.打开开始菜单，输入“DCPROMO”，回车，4.回车后，出现“Active Directory 安装向导”，点击“下一步”，出现“操作系统兼容性”信息后，单击“下一步”，5.选择“新域的域控制器”，点“下一步”，6.选择“在新林中的域”，点击“下一步”，7.“新域的 DNS全名”输入“”，点击“下一步”8.点击“下一步”，表示使用“TEST”作为域NetBIOS名9.直接点“下一步”，数据库和日志文件文件夹放在默认目录10.注意：SYSVOL文件夹必须在NTFS卷上，即这个文件夹所在的磁盘格式必须为NTFS，点“下一步”11.选择第二项，点“下一步”12.设置好你的还原模式密码之后，点“下一步”，出现“Active Directory 安装选项摘要”，单击“下一步”开始安装 Active Directory。

13.在出现以上提示时，请把 Windows Server 2003 安装盘放入光驱中，点确定（以上提示会出现两次，不过需要使用的文件不同）。

下面就按照提示点“下一步”直至“完成”。

14.重启你的计算机，这样你的Win Server 2003服务器就成为了域控制器了。

二、创建组织单位、用户、设置密码1. 创建组织单位：打开管理工具->Active Directory 用户和计算机，右键单击“”，新建->组织单位。

2. 建立用户：在组织单位名称上点右键，新建->用户。

3. 设置密码。

设置密码的时候，会提示你密码不符合密码策略，从而不能新建用户。

解决方法：打开管理工具->Active Directory 用户和计算机，右键单击“”，属性->选择组策略，默认选择的是 Default Domain Policy，点“编辑”，这样就打开组策略，选择计算机配置->Windows 设置->安全设置->账户策略->密码策略。

《Windows网络操作系统》电子初九年级数学教案
图一公司域环境示意图
要求如下:
一．创建域long.,域控制器地计算机名称为Win二零一六-一。

二．检查安装后地域控制器。

三．安装域long.地额外域控制器,域控制器地计算机名称为Win二零一六-二。

四．创建子域china.long.,其域控制器地计算机名称为Win二零一六-三,成员服务器地计算机名称为Win二零一六-四。

五．创建域smile.,域控制器地计算机名称为Server一。

六．创建long.与smile.双向可传递地林信任关系。

七．备份smile.域地活动目录,并利用备份行恢复。

八．建立组织单位sales,在其下建立用户testdomain,并委派对OU地管理。

活动目录与用户管理
一.创建活动目录
1.开始→程序→管理工具→管理您的服务器→（单击）添加删除角色→配置您的服务器向导→（选择）域控制器→安装
在新域的界面输入新的完整的域名
在NetBIOS域名窗口确认NetBIOS
在“数据库日志文件文件夹”窗口接收数据库和日志文件的默认位置，或者浏览另一个位置
在共享系统卷窗口中设置SYSYOL文件的位置必须在NTFS分区
在权限窗口中选择一个权限选项（取决于客户端的WINDOW版本）若网络中有NT系统控制器选择第一项，若网络中全部是DNS服务器选择第二项
在“目录服务还原模式的管理员密码”窗口中，设置一个密码。

这个密码用于文件损坏后的
恢复
单击下一步后，完成服务器配置。

2.安装完毕重启windows server2003
二.安装后检查
1.查看windows server2003计算机名
2.查看活动目录对象
三．创建域用户管理
在下图窗口中，可以看到企业的域名，单击域。

查看详细的信息，右侧显示全部的域中的各个容器。

四．将Windows XP加入域中。

《Windows活动目录管理》课程标准适用专业：计算机网络专业课程编码：C3-1-3开设时间：第6阶段课时数：36一、课程概述《Windows活动目录》是湖南铁道职业技术学院计算机网络专业的一门专业拓展课程。

课程的主要内容包括：活动目录的基本概念、活动目录基本管理任务、组策略的管理与应用、管理活动目录的信任关系、对活动目录数据库的管理及对活动目录进行恢复等。

本课程学分为1.5学时，总教学时数为36学时，其中理论课时与实践课时各占一半。

通过本课程的学习使学生掌握活动目录的逻辑结构组成，掌握活动目录的基本管理任务，掌握组策略的应用，了解活动目录数据库的管理与维护，初步具备Windows 活动目录的管理的能力。

二、培养目标1．方法能力目标：（1）独立学习能力；（2）职业生涯规划能力；（3）获取新知识能力、信息搜索能力；（4）决策能力；（5）理论联系实际的能力和严谨的工作作风；2．社会能力目标：（1）培养学生的沟通能力及团队协作精神；（2）培养学生分析问题、解决问题的能力；（3）培养学生敬业乐业的工作作风；（4）培养学生的表达能力；3．专业能力目标：（1）掌握Windows活动目录的基本管理任务；（2）掌握组策略的创建、继承、解决组重策略冲突、组策略部署、GPMC工具的使用；（3）学生通过学习能解决在企业中如何利用组策略来管理用户的工作环境和实现软件部署；（4）培养应用Windows活动目录对网络资源进行管理的技能；三、与前后课程的联系1．与前续课程的联系《Windows网络操作系统》课程让学生了解网络操作系统域管理与使用、掌握建立域的方法、掌握域用户与组账户的管理等操作与技能。

2．与后继课程的关系该课程为学生后续课程《网络组建与维护》、毕业设计等课程提供操作保障。

四、教学内容与学时分配根据职业岗位网络管理工程师的要求，将本课程的教学内容分解为14个项目。

五、教材的选用1．教材选取的原则教材选用时遵循“够用、实用”的原则，以真实任务为驱动，在真实环境和任务中介绍Windows活动目录的相关知识，采用“理论实践一体化”的教学思想，符合“做中学，学中做”的教学理念。

活动目录的安装与windows 2000 server不同，为了安全起见，windows server 200 3初始安装时几乎不提供任何的服务。

因此，安装活动目录与其他服务器一样，也需要有系统管理员手工安装，从而将普通的服务器升级到域控制器。

2.1.1 记录与设置服务器的相关的参数将windows server 2003升级到域控制器时候，首先应对计算机的相关的参数的设置。

以administration登陆到windows server 2003计算机，显示网络连接属性，查看当前的TCP/IP地址,如下图所示：注意：对于要升级到active directory服务器的计算机来说，首选DNS服务器必须设置为本机的IP地址。

2.1.2 升级到活动目录所谓域控制器，其实就是安装了活动目录的windows server 2003的计算机。

第一步：用administration登陆到windows server 2003计算机上，在“开始”——“允许——“dcpromo”，开始进行活动目录的安装。

在“操作系统的兼容性”对话框中单击“下一步”按钮。

显示“域控制器类型”对话框。

如下图：第二步：选择“新域的控制器”单击“下一步“按钮，弹出“创建一个新域“对话框。

第三步：选择“在新林中的域“单击”下一步“，显示”新的域名“对话框。

第四步：输入““，单击”下一步“，显示“NETBIOS域名”对话框，在此选择默认即可。

第五步：单击“下一步“按钮，显示”数据库日志文件夹“对话框，选择默认即可。

第六步：单击“下一步”按钮，显示”共享系统卷“设置对话框，选择默认即可。

第七布：单击“下一步”按钮，选择“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设置为这台计算机的首选DNS服务器。

”第八步：单击“下一步”按钮，显示权限设置对话框，在此选择“只与windows 2003或windows server 2003操作系统兼兼容的权限”如果网络中有以前的网络操作系统，选择“与windows 2000之前的操作系统兼容的权限”。

活动目录、域及组策略-WindowsServer-WinOS中文技术论坛专注微...活动目录、域及组策略活动目录、域和组策略在很多用户那里都有所运用，如果刚开始接触这些内容时难免会觉得很复杂，这主要是因为专业名词太多，同时也许个人心理因素上存在畏难情绪，因此，在和客户交流过程中，有些发蒙，觉得底气不足，无法和客户继续沟通下去，也就无法了解客户企业完整的网络架构，那就无法从客户的实际环境出发，帮助客户提出一个完备的解决方案。

因此，今天我在这里对一些专业术语、易混淆的地方以及本人认为是难点的地方做一简单诠释，主要是做一个抛砖引玉，希望各位同仁指正。

活动目录活动目录存储整个网络上资源的信息，便于用户查找、管理和使用这些资源。

活动目录是Windows 2000网络中的目录服务。

它存储关于网络资源的信息，并使用户或应用程序可以访问这些资源。

活动目录使物理网络拓扑和协议透明化，这样网络上的用户可以访问任何资源，而不需要知道资源在什么地方，或物理上它是如何连接到网络上的。

以前我们访问网络资源，一是通过网上邻居，选择某个工作组，进入你所要访问的计算机，并且还需要目标计算机的用户名和密码才能访问上面的资源。

或者通过IPC$，输入目标计算机的IP地址和访问盘符，但是同样需要目标计算机的用户名和密码。

而通过活动目录，管理员可以把分布在网络各处各台计算机上的资源，比如打印机、共享文件，分门别类的放在一起。

活动目录提供对网络资源集中控制，允许用户只登录一次就可以访问整个活动目录的资源了。

用户打开网络邻居，所见到的不再是计算机，而是一个个目录文件夹形式：放着打印机资源的目录文件夹名称叫做打印机，技术部门的所有共享文件放在一个称做技术资料的目录文件夹中。

这就是活动目录名字的由来。

活动目录的对象代表网络资源，如用户、组、计算机和打印机。

而且，网络中所有的服务器、域和站点都作为对象。

因为活动目录代表了所有网络资源，只需要一个管理员就可以管理这些资源。