第3章管理活动目录域
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第3章管理活动目录域
教学要求:
理解:域的概念、特点;活动目录的架构;组织单位的概念、特点;域用户账户的概念、特点;域组账户的概念、特点;域组账户的使用原则;
掌握:创建域;将计算机加入或脱离域;将域控制器降级为独立服务器或成员服务器;管理组织单位;管理域用户账户的工作;管理域组账户的工作;
3.1活动目录的概述
活动目录(ActiveDirectory,AD)服务能把网络中的众多资源有效地组织在一起,实现集中管理与统一保护,最大限度地保证资源的可用性与安全性。
活动目录以数据库的形式存放在网络中的一些特定计算机上,这个数据库称为“活动目录数据库”。
1
2
1
2输入:
3
4-6User 3.2
。
一个活动目录的完整逻辑结构称为“域森林”,一个域森林由若干“域树”组成,一个域树有若干“域”组成。
1、域的定义
在活动目录中,域是一种重要的逻辑管理单元,代表了一个独立的安全范围,能包含大量对象的一种容器。
2、域中计算机的角色
有域控制器、成员服务器、工作站。
域控制器是存放活动目录数据库的,是域中必须要有的。其它两种则不是必须的。
所以最简单的域将只包含一台计算机,这台计算机是该域的域控制器。
3、计算机账户
每台计算机都有一个账户来标识自己,这个账户称为“计算机账户”。在Computers容器内
4
5
创建组账户的主要目的是为用户账户分配资源访问权限,但是管理员不能直接对组账户指定管理策略,也就是不能直接控制组账户中各对象的更复杂的行为。
当删除一个组账户时,其包含的用户账户并不会被删除。但删除一个组织单位时,其包含的所有活动目录对象都将随之删除。
(4)组织单位和其他活动目录容器的区别
图标有所不同
普通容器仅起到把一些活动目录对象组织在一起的作用,管理员不能对其设置组策略。
在组策略中只能看到组织单位而看不到普通容器,这说明只能对组织单位设置组策略而不能对普通容器设置组策略。
在上图中右击“DefaultDomainControllers Pllicy”组策略对象,然后在快捷菜单中选择编辑。可以看到各种组策略。
1、域树的含义
若干域组成的集合称为“域树”。
2、信任关系
单向信任与双向信任
不可传递的信任与可传递的信任
3、域树的结构
域树中,各域之间利用双向的、可传递的信任关系联系在一起。第一个域称为父域,各分部的域称为该域的子域。
4、域树的特点
若干个域树的组合称为“域森林”
3.3活动目录的物理结构
3.4
3.5
3.6
●
●
●
●
在
1
●DNS域名
●DNS服务器
●NTFS分区
2、安装第一台域控制器
以管理员的身份登陆,然后使用以下两种方式登陆。单击屏幕左下角的服务器管理器图标,如下
图。
单击开始——运行,输入dcpromo.exe后,单击确定。
3、检查域的建立是否正常
●检查DNS服务器(检查域控制器是否已到DNS服务器那里注册了自己的IP地址和服务记录)
●检查活动目录数据库文件和SYSVOL文件夹。
●检查新添加的活动目录管理工具。
4、提升域与森林的功能级别
方法为:开始——管理工具——ActiveDirectory域和信任关系。右击ActiveDirectory域和信任
关系,在快捷菜单中选中提升林功能级别。
5、添加额外的域控制器(图略)
多台域控制器具有容错、负载平衡的优点。
6、将Windows计算机加入域或脱离域
(1)将Windows计算机加入域
(2)在域中计算机上登陆
在域中计算机上登陆的方式有两种:“登陆到域”和“登陆到计算机”。其中,用户在域控制器上只能选择“登陆到域”;在成员服务器和工作站上可以选择“登陆到域”或“登陆到计算机”。
(3)、脱离域
7
8
3.6.2
1
2
3.7
“域1
3
8.8
管理员可以再域的活动目录数据库中创建组账户。由于这种组账户只存在于域中,所以称为“域组账户”。与本地组账户不同,一个域组账户能够对域用户账户进行组织,而且能够为其分配访问域中任何计算机的资源访问权限和权利。
在WindowsServer2008R2域中,组账户分为两种类型:安全组和通信组。
安全组:管理员可以为安全组分配权限和权利。
通信组:管理员不能为安全组分配权限和权利
对于安全组而言,还可以根据使用范围的不同,将其分为三种:全局组、本地域组和通用组。
在全局中,只能够包含所在域中的域用户账户和全局组。
在本地域组中,能够包含森林中任何域的域用户账户、全局组和本域的本地域组。
开始——管理工具——ActiveDirectory用户和计算机
建议按照以下原则使用组,即“A-G-DL-P”,其中A代表用户账户,G代表全局组,DL代表本地域组,P代表权
限。
使用这种组的嵌套原则分配权限有以下好处:
由于给组而不是给每个用户账户分配权限,所以大大减少了权限的分配次数。
只要打开这个本地域组就能够根据全局组的名称判断这些用户所在的公司部门。
如果不希望某个部门的某个用户访问这个共享文件夹,只要从那个部门所对应的全局组中删掉这个用户账户即可。
如果不希望某个部门访问这个共享文件夹,则只要从本地域组中删掉这个部门所对应的全局组即可。