第3章管理活动目录域

活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。

NT的"域（domain）"的概念是⽬录服务的⼀个基本单元。

"⼀次登录，Single Logon"在Windows NTServer 的环境下有了具体的应⽤，⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来，⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。

Windows 2000 Server在Windows NT Server 4.0的基础上，进⼀步发展了"活动⽬录（Active Directory）"。

活动⽬录充分体现了微软产品的"ICE"，即集成性（Integration），深⼊性(Comprehensive)，和易⽤性(Ease of Use)等优点。

活动⽬录是⼀个完全可扩展，可伸缩的⽬录服务，既能满⾜商业ISP的需要，⼜能满⾜企业内部⽹和外联⽹的需要。

活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。

它采⽤的是Exchange Server的数据存储，称为：Extens ible Storage Service （ESS）。

其特点是不需要事先定义数据库的参数，可以做到动态地增长，性能⾮常优良。

这个数据存储之上已建⽴索引的，可以⽅便快速地搜索和定位。

活动⽬录的分区是"域（Domain）"，⼀个域可以存储上百万的对象。

域之间还有层次关系，可以建⽴域树和域森林，⽆限地扩展。

在数据存储之上，微软建⽴了⼀个对象模型，以构成活动⽬录。

这⼀对象模型对LDAP有纯粹的⽀持，还可以管理和修改Schema。

Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义，其本⾝也是活动⽬录的内容之⼀，在整个域森林中是唯⼀的。

WindowsServer2022R2域与活动目录什么是域域（Domain）是Window网络中独立运行的单位，域之间相互访问则需要建立信任关系（TrutRelation）。

信任关系是连接在域与域之间的桥梁。

当一个域与其他域建立了信任关系后，两个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。

为什么需要域如果资源分布在N台服务器上，那么用户需要资源时就要分别登陆这N台服务器，也就需要N个账号。

一个用户如此，那M个呢，管理员也就需要给他们创建N某M个账户，这样不仅负责而且难管理。

有了域，管理员只需要给每个用户创建一个域用户，用户只需在域中登陆一次就可以访问域中的资源，实现了单一登陆。

用户信息是存放在域中的域控制器（DC，DomainController）上，上图中，可以在服务器中选定一台或者几台服务器作为域控制器。

有多台域控制器时，各个域控制器是平等的，每个域控制器上都有所在域的全部用户的信息，域控制器之间需要同步这些信息。

而其它不适域控制器的服务器仅仅是提供资源。

什么是活动目录活动目录（ActiveDirectory）是Window2003Server平台提供的目录服务。

在中央数据库中存放信息，使用户在网络上只拥有一个用户账号。

目录是存储各种对象的一个物理上的容器，目录服务是使目录中所有信息和资源发挥作用的服务。

信息的安全性大大增强，引入基于策略的管理，使系统的管理更加明朗，具有很强的可扩展性、可伸缩性、智能的信息复制能力，与DNS集成紧密、与其他目录服务具有互操作性、具有灵活的查询。

活动目录逻辑结构：域、组织单元、树、林。

域控制器（DC,DomainController）上存放着域中所有用户、组、计算机等信息（实际上域控制器存放的信息还不止这些），域控制器把这些信息存放在活动目录中。

活动目录和DNS的关系在TCP/IP网络中，DNS（DomainNameSytem）是用来解决计算机名字和IP地址的映射关系的，活动目录和DNS是紧密不可分的，活动目录使用DNS服务器来登记域控制器的IP、各种资源的定位等，在一个域林中至少要有一个DNS服务器存在，所以安装活动目录时需要同时安装DNS。

东莞三洲物产电子有限公司FILES- Server方案目的：建立高效，稳定，安全的办公网络，有效的实现办公网络信息资源的共享管理机制．一．现有网络结构：（WORKGROUP）工作组环境．1.管理分散，文件储存为每台计算机，安全性差等.二．升级后网络结构：（DOMAIN）域网络环境.1.集中管理，统一储存公司重要文件，安全性高等．三．活动目录域及命名方案.1.公司域名（DOMAIN NAME）: 四．域用户帐号和计算机账号方案1.域用户命名规则：（以在公司员工＂工号＂命名）2.密码由用户自已设定．3.计算机帐号按现有网络标识不改变．五．域扑结构图：域用户计算机用户计算机服务器服务器用户登录名:PESGD/工号或工号@PESGD计算机名：按现行标识六：安装域控制器(DC) :SERVER1,SERVER21.安装操作系统Windows Server 2003(Enterpries企业版)．计算机名称：, ,IP:192.168.1.3 ; 192.168.1.4 ;子网掩码:255.255.255.0网关：192.168.1.3DNS:192.168.1.3（DOMAIN）（DC）主域，备份域控制器由于承担了整个域控制器的功能，对系统的稳定要要求比较高，域控制器通过Active Directory 功能实现对用户帐号的管理，主要承担域名定义，用户帐号管理以及DNS服务的功能用户密码的验证等，同时也提供DHCP,WINS服务。

在大多数部署方案中，建议用户采用单独的Windows 域控制器服务器，因为如果运行在一个域控制器中，它将仅使用该域控制器。

如果域控制器发生故障，建议用户采用备份域控制器。

如果一个服务器发生故障，采用备份域控制器可保证Active Directory 信息的安全。

2. 关于域控制器的备份及恢复Windows server 2003的NTBackup工具提供了对数据以及系统状态信息的备份及恢复功能，使用对系统状态信息的备份，可以备份Active Directory中的帐户信息，这样，当域控制器出现故障时，可以使用NTBackup进行帐号恢复。

任务一、创建域、dns服务器以及额外的域控制器1、修改第一台服务器的名称和地址参数信息Intermit 步iSJK壬 4 (TCP/IP^4)任住如岸网缩支括此功as , JW可以茯阪自IP iaa.吝例」歩EB从网洛産統w理舉处毂缶适当的IP i5S.。

es?r?43 IP teiiiCO) 处<S)任用"F面的IP Wlt(S):IP itaUkG)：于网猝码(5默认网关g”DMS BBJSWtffitiL(B)旬伐用FDn的DIMS 8B® SStTBtlCE )：F2 DMS gKS-MrCP-)：材用DNS股备鈴(A):确定取浩计算机名慮更改X 你可以更改该计算机的名称和成员身份。

更改可能会影啊对网帘资源的访问。

计苣睥〔C):serverl计算机全名:serverl琵届于。

域(D);③工作MW)：WORKGROUP诡定取消2、在serverl ±创建域控制器3、在serverl 上创建新的域确认安装所选内容 CT 刼百劫靜启动旨若 …―•”".*.可B8会在比KU 二3^司此能刘我丄具，因无巳目检弃W 坚项S& Ml 果小望受此冬可汪?! 能.者堕壬•上T"以港聞复注恒Arrive Dirxlory XtES应E 语暗建二貝隹主*1具ADDSfn AD LDS 工MV/indoM Pa^erSholl 幻 Active Directory AD DS 工具Acbve Directory 言理中心 AD DS 骨耋里*企令拧工昌誕JEW 碍 国备用源軽石聲营跡貧荃：定券以匚気邑魚演另旳弟话車芳玄齒L开始之前安噩类型 肪男器洗择 眼劳色 为蚱＜上TE下一地＞ADDS4、将server 设置为dns 服务器以及全局编目服务器查看安敖我Q gW 若君更匿已在6g” WS 祁Active Directory BK^使1±辻算Fl 成力SESJZSSyi 行其比成。

第1章网络操作系统导论【教学目标】通过本章学习，使学生了解各种网络操作系统，并对Windows Server 2008有初步的了解，并进一步掌握网络操作系统规划。

【教学要求】（1）了解网络操作系统概述、发展简史、功能与特性、分类。

（2）了解网络操作系统的功能、特性及分类。

（3）掌握网络操作系统的选用原则及网络规划。

【教学重、难点】重点：网络操作系统的功能。

难点：网络操作系统的选用原则及网络规划。

【学时分配】4学时【授课方式】讲授、课堂讨论操作系统（Operating System，简称OS）是计算机系统中，负责支撑应用程序的运行环境以及用户操作环境的系统软件，同时也是计算机系统的核心与基石。

它的职责包括对硬件的直接监管、对各种计算资源（如内存、处理器时间等）的管理、以及提供诸如作业管理之类的面向应用程序的服务等。

网络操作系统（Network Operating System，简称NOS）除了实现单机操作系统的全部功能外，还具备管理网络中的共享资源，实现用户通信以及方便用户使用网络等功能，是网络的心脏和灵魂，所以，网络操作系统可以理解为网络用户与计算机网络之间的接口，是计算机网络中管理一台或多台主机的软硬件资源、支持网络通信、提供网络服务的程序集合。

操作系统的类型：操作系统（个人版）包括：Windows 98、Windows ME、Windows 2000 Professional、Windows xp、linux 个人版等（工作站）网络操作系统：Windows 2000 server 、Windonws server 2003 、Windows server 2008Unix 、Linux （自由软件和开放源代码）、NETW ARE（服务器）操作系统（个人版）与网络操作系统的区别：网络操作系统与运行在工作站上的单用户操作系统或多用户操作系统由于提供的服务类型不同而有差别。

一般情况下，网络操作系统是以实现网络相关特性、网络应用为目的，如控制用户对计算机资源的访问、共享数据文件、软件应用、网络服务（FTP、WEB、EMAIL、DNS等），以及共享硬盘、打印机、调制解调器、扫描仪和传真机等。

《Windows活动目录管理》课程标准适用专业：计算机网络专业课程编码：C3-1-3开设时间：第6阶段课时数：36一、课程概述《Windows活动目录》是湖南铁道职业技术学院计算机网络专业的一门专业拓展课程。

课程的主要内容包括：活动目录的基本概念、活动目录基本管理任务、组策略的管理与应用、管理活动目录的信任关系、对活动目录数据库的管理及对活动目录进行恢复等。

本课程学分为1.5学时，总教学时数为36学时，其中理论课时与实践课时各占一半。

通过本课程的学习使学生掌握活动目录的逻辑结构组成，掌握活动目录的基本管理任务，掌握组策略的应用，了解活动目录数据库的管理与维护，初步具备Windows 活动目录的管理的能力。

二、培养目标1．方法能力目标：（1）独立学习能力；（2）职业生涯规划能力；（3）获取新知识能力、信息搜索能力；（4）决策能力；（5）理论联系实际的能力和严谨的工作作风；2．社会能力目标：（1）培养学生的沟通能力及团队协作精神；（2）培养学生分析问题、解决问题的能力；（3）培养学生敬业乐业的工作作风；（4）培养学生的表达能力；3．专业能力目标：（1）掌握Windows活动目录的基本管理任务；（2）掌握组策略的创建、继承、解决组重策略冲突、组策略部署、GPMC工具的使用；（3）学生通过学习能解决在企业中如何利用组策略来管理用户的工作环境和实现软件部署；（4）培养应用Windows活动目录对网络资源进行管理的技能；三、与前后课程的联系1．与前续课程的联系《Windows网络操作系统》课程让学生了解网络操作系统域管理与使用、掌握建立域的方法、掌握域用户与组账户的管理等操作与技能。

2．与后继课程的关系该课程为学生后续课程《网络组建与维护》、毕业设计等课程提供操作保障。

四、教学内容与学时分配根据职业岗位网络管理工程师的要求，将本课程的教学内容分解为14个项目。

五、教材的选用1．教材选取的原则教材选用时遵循“够用、实用”的原则，以真实任务为驱动，在真实环境和任务中介绍Windows活动目录的相关知识，采用“理论实践一体化”的教学思想，符合“做中学，学中做”的教学理念。