Windows Server 2003活动目录与域控制器
Windows Server 2003 活动目录和域控制器的配置与管理
六 Windows Server 2003活动目录实验要求:1、在虚拟机中安装操作系统时,你要设想你是在服务器上安装操作系统,设想你自己是网络管理员。
注意保证网络连通。
虚拟硬盘为25G。
2、五个人一组,五个人要相互分工合作。
全班可以分为X组,第一组的IP范围为121.87.1.100-121.87.1.200,第X组的IP范围为121.87.X.100-121.87.X.200。
参考书本图7-1为我们学院建立一个域树,林根域是,该域的默认的管理员帐户administrator改为admin_xcvtc1,密码设置为ABC123456789def (第一组在xcvtc后面加一个1,第二组加个2……) 。
3、域下面有两个子域: 一个是系部的,你可以任意选择一个系部,如选择信息工程系则其子域完整域名为,默认的管理员账户administrator改为admin_xxgcx;另一个是行政部分(),默认的管理员账户administrator改为admin_xz。
密码均可自行设置或者为空白。
4、系部有两个组织单位,“领导办公室”(ldb)和“教研室”(jys),在“领导办公室”组织单位中创建XLD用户,密码自行设置;行政部分有“教务处”(jwc)和“人事处”(rsc)两个组织单位,在“教务处”组织单位中创建JWC用户。
并将“领导办公室”组织单位的创建用户和组的权限委派给XLD用户,将“教务处”组织单位的修改组名的权限委派给JWC 用户。
5、在林根域中添加用户主体后缀名称。
6、你们一组中除了三个域控制器外还有几台计算机(可以称为客户端)。
“领导办公室”(ldb)和“人事处”(rsc)两个组织单位中分别创建ldb(对应其中一个客户端)和rsc 两个计算机帐户(对应另外一台客户端)。
7、将你们一组中除了三台域控制器外的两台计算机加入到与相应的域中(要求在客户端上进行设置,一台客户端的计算机名称改为ldb,其隶属于系部的子域。
windows server 2003 系统管理 第六章
目录是存储有关网络上对象信息的层次结构。目录服务,Active Directory,提供了用于存储目录数据并使该数据可由网络用户和管理员使用 的方法。例如,Active Directory 存储了有关用户帐户的信息,如名称、密码、 电话号码等,并允许相同网络上的其他已授权用户访问该信息。“分布式数 据库。”
活动目录概述
2 域、域树和树林 (1). 域 域定义了安全界限。目录包含一个或多个域,每个域均有自己 的安全策略以及与其他域的信任关系。域是复制的单位。特定 域中的所有域控制器可以接收更改内容,并将这些内容复制到 域中的所有其他域控制器中。单域可以跨越多个物理位置或站 点。使用单域极大地简化了管理的开销。 (2). 域树 域可以合并为称作域树的层次结构示。域树中的第一个域称作 根域,相同域树中的其他域为子域,相同域树中直接在另一个 域上层的域称为子域的父。具有公用根域的所有域构成连续名 称空间。 (3). 树林 树林包括多个域树。树林中的域树不形成邻接的名称空间。 树林内所有域树中的所有Windows 2000域都共享下列特征: 域之间的可传递信任关系;域树之间的可传递信任关系;公用 架构;公用配置信息;公用全局编录。
安装和设置域控制器
2 安装域控制器 利用“Active Directory安装向导”可以在Windows 2000 Server计 算机上安装活动目录服务,从而将该计算机升级为域控制器。 (1)单击“开始”,依次指向“程序”和“管理工具”,然后单击 “配置服务器”。 (2)在配置服务器对话框左侧,单击“Active Directory”链接。 (3)向下拖动对话框右边的滚动条,然后单击“启动”链接,以启动 活动目录安装向导。 (4)单击“下一步”,然后单击“新域的域控制器”,再单击“下一 步”。 (5)单击“创建一个新的域目录树”,然后单击“下一步”。 (6)单击“创建新的域目录林”,然后单击“下一步”。 (7)键入新域的DNS全名(如),然后单击“下一步”。 (8)键入新域的NetBIOS名称(如TEST),然后单击“下一步”。 (9)指定存储活动目录数据库和日志文件的位置,然后单击“下一 步”。 (10)指定作为系统卷共享的文件夹的位置,然后单击“下一步”。 (11)安装或配置DNS服务器。 (12)键入并确认管理员密码,然后单击“下一步”。 (13)单击“下一步”,然后单击“完成”按钮。
第12章-Windows Server 2003活动目录简介
森林 树
nwtraders.msft asia. contoso.msft au. contoso.msft
双向、可传递的信任
树
asia. nwtraders.msft au. nwtraders.msft
12.2.3 组织单位(Organization Unit)
网络管理模型 组织结构来自内容总结• • • • • 理解Windows Server 2003活动目录的概念 掌握活动目录的特点和好处 掌握活动目录的逻辑结构组成 掌握活动目录的物理结构组成 理解活动目录和DNS服务的关系
Sales Users Computers
Vancouver Sales Repair
• 使用OU把对象组织到逻辑结构中,以此更好地 满足公司的需要 • 通过为用户或组分配特定的权限,从而给他们 委派对某个OU中的对象进行管理控制的能力
12.2.4 全局编录(Global Catalog)
• 存储了活动目录中的所有对象以及每个对 象的部分属性信息
12.2.1 域
• 域是一个管理界限
– 域管理员只能对本域范围内的对象进行管理,不能 管理其它域,除非被明确分配了对其它域的管理权 利
• 域是复制的单元
– 域中的域控制器参与活动目录的复制工作,它包含 了本域目录信息的完整副本
复制
Windows 2003域
12.2.2 域树和域目录林
双向、可传递的信任
Seattle New York Chicago Los Angeles
IP 子网
站点
站点: 优化复制流量 使用户能够通过一条可靠、高速的连接登录到 一台域控制器上
IP 子网
12.4 设置DNS服务支持活动目录
在windows server 2003活动目录域中添加Windows Server 2008额外域控制器
在windows server 2003活动目录域中添加Windows Server2008额外域控制器在windows server 2003活动目录域中添加Windows Server 2003额外域控制器是非常简单的,但是在03中添加08就没那么简单了,添加的时候还得进行域准备、林准备、提升架构等操作。
好了,不多说了,现在我们就开始做吧!有两台计算机一台计算机的操作系统是windows server 2003操作系统,另一台是windows se rver 2008操作系统。
windows server 2003是DC、DNS服务器,IP:192.168.1.11 ,域名;windows server 200 8是域中的成员服务器,IP:192.168.1.10,DNS:192.168.1.11建域在这我就不多说了,下面是windows server 2003这台计算机的IP属性,DNS是它本身。
这是windows server 2008的IP属性,DNS指向的是windows server 2003计算机。
一、将Windows server 2008加入域中下面我们将Windows server 2008这台计算机加入 域中,让Windows server 2008计算机成为域中的成员服务器,加域很简单我们就不一一介绍了,如下图所示,我们已经将Windows server 2008计算机加入了域中了。
二、林准备首先,我们需要在域控制器中放入Windows Server 2008的安装光盘,因为在接下来进行的架构扩展需要使用到光盘中的文件。
放入光盘后,在开始运行中输入“CMD”命令,进入盘符D路径如下所示,然后运行"adprep /forestprep"命令域控制器进行林架构的扩展,如下图所示。
运行“adprep/forestprep”命令后,会提示“如果环境中Windows 20 00的域控制器,架构提升之前这些域控制器需要先打上SP4或者更新的补丁”在满足上述的条件之后按键盘中的"C"”,然后按"回车"键.如下图所示,正在进行林架构的扩展Ok!经过几分钟后林架构扩展完毕。
《windows server 2003服务器操作系统》第13章 活动目录基础
2、组织单元 活动目录允许管理员在一个域内创建一个满 足其组织需要的层次结构。建立这些层次结构要选 择的对象类是Orgnizational Unit类,这是一个通 用容器,该容器可以因管理上的目的而将其他大多 数对象类组合到一起。活动目录中的一个组织单元 与文件系统中的一个目录是类似的,它是一个可以 包容其他对象的容器。
第8章 活动目录基础
主要知识点:
一、活动目录逻辑结构 二、活动目录物理结构 三、活动目录的安装 (了解) (了解) (掌握)
四、将计算机加入到域
(掌握)
一 活动目录介绍
1、什么是活动目录 活动目录(Active Directory)是Windows Server 2003平台提供的目录服务,在中央数据库 中存放信息,使用户在网络上只拥有一个用户账号。 Windows Server 2003中的活动目录是高度完善的、 自适应能力很强的目录服务。它支持用户进行大范 围的修改来满足特定的商务和组织需要。活动目录 支持多域结构,由一个或多个域组成。每个域拥有 与其他域相关的安全策略和安全关系。这种多域模 式可以使Windows Server 2003具有更高的安全性。
(1)管理层次
组织单元可以被嵌套在一起来创建一个域中 的层次结构,并为用户、组和资源对象形成逻辑上 的管理单元,如打印机、计算机、应用程序和文件 共享。一个域中的组织单元层次结构独立于其他域 的结构;每个域可以组织自己的层次结构。同样, 由一个集中的权威机构管理的多个域可以实现相似 的组织单元层次结构。这种结构是灵活的,它使得 一个组织可以创建一个与其管理模型相同的环境, 不管它是集中的还是分散的。
DNS的主要功能是将用户可以识别的计算机 名字映射到计算机可识别的IP地址上。因此,DNS 为计算机名字定义了一个名字空间,根据这些名字 可以解析出IP地址,反之亦然。在Windows NT 4.0或更早的版本中,DNS名字是不需要的,域和 计算机使用NetBIOS名字,这种名字通过使用 Windows Internet名字服务(WINS)而映射到IP 地址。尽管对Windows Server 2003域和基于 Windows Server 2003的计算机来说,它们是需要 DNS名字的,但为了达到跟Windows NT 4.0域及 那些运行Windows NT 4.0或更早版本、Windows for Workgroups、Windows 98或Windows 95的客 户机之间的兼容性,Windows Server 2003中也支 持NetBIOS名字。
windows server 2003 活动目录 (初识AD)
1.1 活动目录简介
域中的所有域控制器之间都是平等关系,不再
区分主域控制器和备份域控制器,这是因为 Win2003采用了动态活动目录服务,在进行目 录复制时不是沿用一般目录服务的主从方式, 而是采用多主复制方式。通过这种方式,任何 一个域控制器上的活动目录库的变更都会被自 动复制到其他域控制器上。 为了克服DNS管理困难的缺点,Windows 2003将DNS与其特有的DHCP和WINS紧密配合 起来,从而使DNS更加易于管理。
三、可调整性
四、信息复制
活动目录使用多主复制。对目录数据所做的更 改将复制到所有的域控制器中,每个域控制器的 目录数据都保持同步。 信息复制提供了有效性、容错和加载平衡等优 点。在一个域中使用多个域控制器可提供容错和 加载平衡。如果域中的某个域控制器减慢、停止 或失败,同一域中的其他域控制器可提供必要的 目录访问,因为它们包含着相同的目录数据。在 广域网中,目录访问可由与每个网络客户机最近 的域控制器执行。
1.2 活动目录的优点
一、基于策略的管理 二、扩展性 三、可调整性 四、信息复制 五、与DNS的集成 六、灵活的查询 七、信息安全性
一、基于策略的管理
活动目录服务包括数据存储和逻辑分层结构。 作为逻辑结构,它为策略应用程序提供分层的 环境。作为目录,它存储着分配给特定环境的 策略(称为组策略对象)。组策略对象表示一 套规则,包括应用环境的有关设置,目录对象 和域资源的访问确定,用户可使用什么域资源 以及这些域资源的配置使用等。
Windows 2003 Server支持多种网络安全协议, 这些协议提供更强大、更有效的安全性。
2、Active Directory的创建
FYI…
Windows Server 2003环境下域控制器挂掉后的处理步骤
Windows Server 2003环境下域控制器挂掉后的处理步骤前提必须是域内有多域控制器,如果没有,还是老老实实地去做全盘备份和恢复吧。
实验环境:●域名:●第一台域控制器:⏹计算机名:⏹IP:192.168.5.1⏹子网掩码:255.255.255.0⏹DNS:192.168.5.1⏹并且FSMO五种角色及GC全部在第一台域控上。
●第二台域控制器:⏹计算机名:⏹IP:192.168.5.2⏹子网掩码:255.255.255.0⏹DNS:192.168.5.2灾难情况第一台域控制器由于硬件原因,导致无法启动。
客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了。
操作目的让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。
操作步骤首先,要把第一台域控制器的所有信息从活动目录里面删除。
点击“开始-运行”,输入:“cmd”并回车,在命令提示符下输入:“ntdsutil”,然后回车。
选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令:显示一下Site中的域:结果找到两个,其中“1”是我建的子域,所以这里要先择“0”:通过上面的信息,我们可以看到两个服务器,其中SERVER是我们要删除的,因为它已经DOWN机了。
所以这里要选择“0”:选中后,按“q”退出到上一层菜单:接下去删除服务器信息,出现提示后点是。
在上图中点击“是”:然后再按2个“q”退出。
再使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象。
打开后,找到如下位置:点击右键,然后选“删除”就可以了。
在“管理工具”里,打开“AD站点和服务”,找到如下位置:把复制连接也删除了:把FSMO角色强行夺取过来。
先要连接到目标服务器上:连接成功后,按“q”退出到上层菜单,并且看一下帮助信息:这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。
Windows Server 2003网络操作系统第4章 域与活动目录(改)
4.2 活动目录的创建与配置
4.2.4 创建子域
(4)输入父域的域名以及管理员的账户、密码等。
4.2 活动目录的创建与配置
4.2.4 创建子域
(5)接着输入子域的NetBIOS名。 (6)重新启动计算机,用管理员登录到域中。
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
1. 创建DNS域
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
2. 安装域树的域控制器
(1)确认服务器上“本地连接”属性中的TCP/IP的首选DNS指向。
(2)运行活动目录安装向导。 (3)选择“新域的域控制器” 。
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
2. 安装域树的域控制器
下一步选择“在现有的林中的域树” 。
4.2 活动目录的创建与配置
4.2.5 创建域林中的第二棵域树
2. 安装域树的域控制器
(4)输入已有域树的根域的域名和管理员的账户、密码。
(5)接着输入新域的NetBIOS名,按照原步骤继续设置,直到完成。
Temp.edb:临时文件。
安装后检查
5. DNS记录
4.2 活动目录的创建与配置
4.2.3 安装额外的域控制器
(1)首先要在 服务器上检查“本地连接”属 性,确认能否正常通信。
(2)运行“Active Directory”安装向导。 (3)将该计算机设置为现有域的额外域控制 器。 (4)输入拥有将该计算机升级为域控制器权 力的用户名和密码。 (5)安装向导从原有的域控制器上开始复 制活动目录。
4.1 域与活动目录
4.1.3 域目录树
当需要配置一个包含多个域的网络时, 应该将网络配置成域目录树结构。域目录 树是一种树型结构。 活动目录的域名仍然采用DNS域名的命 名规则进行命名。
Windows Server 2003活动目录简介
2、树和信任关系 域是安全的最小边界、而域树是由多个域树组成的,因此多个域之间互相访问 时就需要一种信任关系。在 window server 2003 的域树中父域和子域之间可以 自动建立一种双向可传递的信任关系。 如果两个域之间有双向信任关系,则可以达到以下结果: 》这两个域就像一个域一样,A 域中的帐号可以在 B 域中登陆 A 域 》A 域中的用户可以访问 B 域中有权限访问的资源 可以说这种双向信任关系淡化了不同域之间的界线。而在 windiws server 2003 的域树中,父域和子域之间的信任关系不但是双向的,而且是可传递的。
2/7
活动目录的逻辑结构 》域 》域树 》域目录林 》组织单位 在 ad 中有很多资源对象,要对这些资源进行很好的管理,就必须把他们有机地组织起来, 活动目录的逻辑结构就是用来组织资源的。 通常将 ad 的逻辑结构和公司的组织结构框架结合起来。通过对资源进行逻辑组织,使用户 可以通过名称而不是通过物理位置来查找资源,并且使网络的物理结构对用户来说是透明 的。 活动目录的逻辑结构包括域(DOMAIN)、域树、域目录林和组织单位 一、域的概念
3.2 站点 1、dc 实际存储 ad 的地方 2、站点 站点一般与地理位置相对应,它由一个或几个物理子网组成,创建站点的目的是为了优 化 dc 之间的复制的流量。 站点具有以下特点: 》一个站点可以有一个或多个 ip 子网 》一个站点中可以有一个或多个域 》一个域可以属于多个站点
三、DNS 服务支持 ad dns 服务的作用 dns 域活动目录名称空间 服务资源记录 活动集成区域 设置 DNS 服务支持活动目录
注意: 活动目录、域和域控制器的关系: 域是一种逻辑的组织形式,能够对网络中资源进行统一的管理,就像工作组模式对网络 进行松散管理一样。要想实现域的管理,必须在一台计算机上安装 ad 才能实现,而安 装了 ad 的计算机就是域控制器。
Windows2003server操作系统安装配置与管理2
2.1 活动目录
Windows Server 2003的活动目录和 DNS是紧密不可分的,它使用DNS服务器 来登记域控制器的IP、各种资源的定位等 在一个域林中至少要有一个DNS服务器存 在。 Windows Server 2003中域的命名也 是采用DNS的格式来命名的。
2.2活动目录的对象
林和树之间的区别是什么? A.林是一组域,树是一组共用相同命名空间的林 B.树是一组使用相同命名空间的域,林是一组共 用相同命名空间的树 C.树是一组使用相同命名空间的域,林是一组不 共用相同命名空间的树 D.林是一组具有相同命名空间的域,树是一组不 共用相同命名空间的林
2.5 创建第一个域
• 输入要加入的域的 名字 • 输入要加入的域的 管理员账户和密码
• 重新启动计算机
2.7 成员服务器、独立服务器
3. 成员服务器降级为独立服务器
• 选择“工作组”,并 输入从域中脱离后要 加入的工作组的名字 • 输入要脱离的域的管 理员账户和密码 • 重新启动计算机即可
• 输入新域的DNS全名
2.5 创建第一个域
•指定新的NetBIOS名
•可以改变活动目录数据库以及日志存放的路径 •选择在该计算机上安装DNS
2.5 创建第一个域
如果网络中只有 Windows 2000 Server 和Windows Server 2003的服务器,可以选 择“只与Windows 2000 或Windows Server 2003操作系统兼容的权 限”
确认“本地连接”属性中的TCP/IP首选DNS指 向了域的DNS服务器 从“开始”→“控制面板”→“系统”菜单中, 打开“系统属性”窗口,选择“计算机名”选 项卡 点击“更改”按钮,打开“计算机名称更改” 窗口
Windows Server 2003域控制器基本配置
Page 27/32
指派与发布的区别
利用组策略实现分发软件(2)
发布软件(用户)——只在一机上生效,当用户注销 后,在“添加/删除程序”中的“添加程序”里,可发 现可安装的发布的软件,然后安装就可以直接使用了 。
Page 4/37
安装活动目录 启动安装向导
使用管理您的服务器向导 使用命令DCPROMO
Page 5/37
安装活动目录2-2
还原模式密码 DNS 域兼容性 是否创建新域 新域的 数据库和日志文件文件夹 注册诊断 NetBIOS DNS 全名名 共享的系统卷
Page 6/37
将客户端计算机加入域
云计算技术
Windows Server 2003域控制器基本配置
创建WINDOWS域环境
域的概念
域
将网络中多台计算机逻辑上组织到一起,进行集中管理, 这种区别于工作组的逻辑环境叫做域 域是组织与存储资源的核心管理单元
活动目录提供了存储网络上对象信息并使网络用户 使用该数据的方法 活动目录有以下特点
Authoritative Restore 授权还原:恢复活动目录的特定对象 执行授权还原的步骤
1)重启DC,进入【目录服务还原模式】 2)使用备份工具恢复活动目录到原始位置 3)打开命令提示符,键入ntdsutil 4)键入“authoritative restore”
步骤
配置客户机的首 选DNS服务器 将计算机加入域
Page 7/37
创建域用户账户
输入用户的基本信息和登录名称 用户密码 用户在下次登录时必须更改密码 用户不能更改密码 密码永不过期 帐户已禁用
Windows Server 2003安装为域控制器
将Windows Server 2003安装为域控制器目的:将一台主机架设成Windows Server 2003 域控制器,用域来控制局域网内的主机。
准备工作:1. Windows Server 2003 安装盘一张。
2. 将服务器的操作系统安装为Windows Server 2003。
(服务器要有光驱)一、将服务器配置为DHCP服务器。
1. 打开“管理您的服务器向导”(开始->管理工具->管理您的服务器),点击“添加或删除角色”点击“添加或删除角色”后,出现如下画面:直接点击“下一步”,选择“自定义配置”,点击“下一步”,选择“DHCP 服务器”,点击“下一步”,按照提示点“下一步”,直到出现“新建作用域向导”点击“下一步”,对于名称,输入“TEST DOMAIN”(随便你输入名称),描述为空,点“下一步”,输入起始IP:192.168.1.2,结束IP192.168.1.254,子网掩码:255.255.255.0。
(这个根据实际情况而定,看你的主机的IP地址、子网掩码、默认网关。
我的情况如下是:IP:192.168.1.27,子网掩码:255.255.255.0;网关:192.168.1.1。
所以,这里起始IP为192.168.1.2,结束IP为192.168.1.254,网关为192.168.1.1,这样就可以使整个局域网内的主机都可以加入域进行控制。
)点击“下一步”,很显然,这里网关要输入:192.168.1.1,(上面已经讲清楚了),点“下一步”,对于“域名称和DNS服务器”中的“父域”输入“ “,对于“IP地址”输入你本机的IP地址,即:192.168.1.27,这个IP地址就是你的域服务器的IP,点“添加”,点“下一步”,肯定是选择“激活作用域”了,点“下一步”。
点击两次“完成”,重启你的计算机。
到此,域服务器已经设置为DHCP服务器。
二、将服务器设置为域控制器打开开始菜单,输入“DCPROMO”,回车,回车后,出现“Active Directory 安装向导”,点击“下一步”,出现“操作系统兼容性”信息后,单击“下一步”,选择“新域的域控制器”,点“下一步”,选择“在新林中的域”,点击“下一步”,“新域的 DNS全名”输入“”,点击“下一步”,点击“下一步”,表示使用“TEST”作为域NetBIOS名,直接点“下一步”,数据库和日志文件文件夹放在默认目录下就可以了,注意:SYSVOL文件夹必须在NTFS卷上,即这个文件夹所在的磁盘格式必须为NTFS,点“下一步”,呵呵,出现这个画面不要以为出现错误了,选择第二项,点“下一步”,选择“只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限”(默认),然后单击“下一步”,设置好你的还原模式密码之后,点“下一步”,出现“Active Directory 安装选项摘要”,单击“下一步”开始安装 Active Directory。
Windows2003活动目录
第一章
初步认识Windows 2003 活动目录
概述
什么是域 什么是域控制器(DC) 什么是活动目录(AD)
域
域是一种网络架构
这种架构能实现统一化管理,与工作组相对
域是安全的边界
除非管理员得到其他域的明确授权,否则域管理员只能
在该域内有必要的管理权限
域是一个复制单元
域内的域控制器包含活动目录的副本并参与活动目录的 复制
–
分散:作委派ຫໍສະໝຸດ 域控制器(DC) 安装了活动目录的这台主机 – 在域架构中管理所有client的一台服务器 在DC中存放了活动目录的数据库
活动目录(AD)
存放活动目录对像的数据库 – AD存在目的是为了方便用户查找活动目 录的对像信息,只有DC上才存在ADDB
域的优点
统一化管理 – 集中
1、用户帐号集中存储及管理
Windows2003 Active Directory域控制器
Windows2003 Active Directory域控制器今天教大家用windows server2003系统建立Active Directory域控制器,客户机是XP 系统。
准备工具Windows server2003系统盘。
控制面板--管理工具--配置您的服务器,出现向导点下一步正在检测等待一下自定义配置,下一步。
选择域控制器,下一步。
出现AD向导,点下一步。
出现AD安装向导,点下一步。
选择新域的控制器。
选择新的域林。
配置DNS,记得一定要配置。
填入你需要的域名。
这里早期的Windows用户采用的是netbios来标示域,我这里写的YAZI,下一步。
活动目录的数据库和日志建议放在别的盘符,点浏览找到你想放的盘符和具体文件夹。
指定系统卷共享的文件夹,建议放在别的盘符,但是要主要的是盘符必须放在NTFS格式的分区里面。
选择下面一个:只与windows2000或者windows server2003输入还原密码,这个是目录还原模式的密码,而不是系统管理员的密码。
确定无误后点下一步。
等待一下。
AD安装完成提示你启动。
启动后出现了一行登陆选项。
最后提示你:此服务器选择是域控制器了,点击完成。
开始--程序--管理工具---找到Active Directory用户和计算机。
然后展开域名,找到Users鼠标右键--新建--用户创建姓名,简写。
然后创建用户的登陆名。
别写中文的。
选择密码永不过期,密码是:英文+数字+符号。
不然提示你密码不和规范。
[分享1楼发表于: 2009-04-27 08:39:41 只看该作者| 小中大最后点击完成。
出现你刚刚建立的用户。
接着配置客户端,我的电脑属性--选择网络ID或者更改都行,注意计算机名最好是英文的。
选择的域,然后输入你要加入的域.接着提示你输入你要加入域的用户帐户和密码。
提示你加入成功。
提示你启动计算机才有效。
启动客户端后是不是发现也多了一行登录选项,注意这里的用户名就是域管理员个的你帐户,而不是你以前的系统登录名了。
Win2003Part3_活动目录和域
Active Directory功能
1.简化管理 2.增强信息的安全性 3.智能的信息复制能力 4.与DNS集成紧密 5.灵活的查询功能
Active Directory结构
Active Directory是一个分布式的目录服务, 因为信息可以分散在多台不同的计算机上,保 证各计算机用户快速访问和容错;同时不管用 户从何处访问或信息处在何处,对用户提供统 一的视图,使用户更容易理解和掌握。 Active Directory采用域、域树、域林构成的 层次化的目录结构。
网络工程师培训 —— Windows 2003
主讲:曾爱国
Active Directory基础
Active Directory是Windows Server 2003提 供的目录服务。Active Directory可以存储各 种对象的有关信息,并使该信息易于管理员和 用户查找及使用,它使用结构化的数据存储作 为目录信息的逻辑层次结构的基础,同时将安 全性集成到了Active Directory中,通过网络 登陆,系统管理员能够管理整个网络中的目录 数据和单位,而且获得授权的网络用户也可以 访问网络上的任何地方的资源。
域结构
通常有4种基本类型的域结构:单一域模型、 主域模型、多主域模型和完全信任模型。企业 根据其规模、地理分布以及其他资源条件,可 以选择不同的域结构。
单一域模型
单一域模型(Single Domain Model)是最常 见也是最适合小型企业的模式,如图如示。
域控制器
服务器
服务器
工作站
域树
域树由多个域组成。域树中的第一个域称作根域。相同域树中的 其他域为子域。相同域树中直接在另一个域上一层的域称为父域。 具有公用根域的所有域构成连续名称空间。这意味着单个域目录 中的所有域共享一个等级命名结构。 域树中的Windows Server 2003域通过双向可传递信任关系连接 在一起。由于这些信任关系是双向的而且是可传递的,因此在域 树中新创建的域可以立即与域树或域林中其他的Windows Server 2003域建立信任关系。这些信任关系允许单一登录过程在 域树或域林中的所有域上对用户进行身份验证。不过,这也并不 意味着经过身份验证的用户在域树的所有域中都拥有相应的权利 和权限。因为域是安全界限,所以必须在每个域的基础上指派权 利和权限。
Windwos-Server-2003-操作主机与活动目录数据库维护
第十一章操作主机与活动目录数据库维护11.1操作主机操作主机(Operations Masters,简称OM),或称为操作主控(Flexible Single Master Operation,简称FSMO),尽管名称有所区别,但它们所代表的含义完全相同。
操作主机,是Active Directory数据库中的特殊对象,具备此类对象的域控制器肩负着Active Directory 的核心功能。
在域环境里,我们不得不考虑活动目录的复制问题,我们知道大多数DC之间的复制是一种多主复制的机制。
而有一些特定的操作必须采用单主机复制,而复制的源就是操作主机。
当然操作主机也是DC,无非有着特殊的功能而矣。
11.1.1操作主机角色Active Directory域中有5种类型的操作主机,分别是:⏹架构主机(Schema Master)。
⏹域命名主机(Domain Naming Master)。
⏹PDC仿真器(PDC Emulator)。
⏹RID主机(RIDMaster)。
⏹基础架构主机(Infrastructure Master)。
在每个林中,至少有5个指派给一个或多个域控制器的操作主机角色。
在每个林中,林范围的操作主机角色必须只出现一次。
在林中的每个域中,域范围的操作主机角色必须在每个域中出现一次。
每个林必须具有以下角色:⏹架构主机。
⏹域命名主机。
在林中这些角色必须是唯一的。
这意味着在整个林中,只能有一个架构主机和一个域命名主机。
林中的每个域都必须有下列角色:⏹RID主机。
⏹PDC主机。
⏹基础架构主机。
在每个域中这些角色都必须是唯一的,即林中的每个域都只能有一个RID主机、PDC 主机,以及基础架构主机。
操作主机在Active Directory环境中,肩负着重要的作用,如果操作主机出现问题,将会出现以下问题:当架构主机不可用时,不能对架构进行更改。
在大多数网络环境中,对架构更改的频率很低,并且应提前进行规划,以便使架构主机的故障不至于产生任何直接的问题。
实验二 Win2003活动目录设置
实验二Win Server 2003活动目录设置一、实验目的:熟练掌握Win2003活动目录的安装和设置;了解“域”的概念。
二、实验属性:设计型三、实验环境Pentium 550Hz以上的CPU;建议至少256MB的内存;建议硬盘至少2GB,并有1GB空闲空间。
四、实验内容在安装Active Directory前首先确定DNS服务正常工作,下面来安装根域为的第一台域控制器。
运行Active Directory安装向导将Windows server 2003计算机配置为域控制器,创建一个新域或者向现有的域添加其他域控制器。
五、实验步骤1、安装(1)利用配置服务器启动位于%System root%\System32中的Active Directory安装向导程序Dcpromo.exe,单击[下一步]。
(2)由于所建立的是域中的第一台域控制器,所以选择[新域的域控制器]单击[下一步]。
(3)选择[创建一个新域的域目录树],单击[下一步]。
(4)选择[创建一个新域的域目录林],单击[下一步]。
(5)在[新域DNS全名]中输入要创建的域名,单击[下一步]。
(6)安装向导自动将域名控制器的NetBIOS名设置为“nt2003”,单击[下一步]。
(7)显示数据库、目录文件及Sysvol文件的保存位置,一般不必做修改,单击[下一步]。
(8)配置DNS服务器,单击[下一步],如果在安装Active Directory之前未配置DNS 服务器可以在此让安装向导配置DNS,推荐使用这种方法。
(9)为用户和组选择默认权限,单击[下一步](10)输入目录恢复模式下的管理员密码,单击[下一步]。
(11)安装向导显示摘要信息,单击[下一步]。
(12)安装完成,重新启动计算机。
2、检查Active Directory安装是否正确,在安装过程中一项最重要的工作就是在DNS 数据库中添加服务记录(SRV记录),下面介绍一下如何检查安装是否正确。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验二Windows Server 2003活动目录与域控制器
[注意事项]:
1、在虚拟机软件里自己安装的网络操作系统中做实验。
2、有两种方式打开安装或删除活动目录的界面:
(1)用命令“开始——管理工具——配置您的服务器向导”(Server 2003才有)。
(2)用命令“开始——运行——输入‘dcpromo’”。
3、密码可以设置与5.1管理员相同的密码或设置另外的密码,并且一定要书面记住密码。
4、安装结束后出现配置DNS服务器的选项,选择让系统自动配置。
5、安装活动目录成功后的标志见下图5.19。
6、安装好活动目录后,请不要再次运行“dcpromo”命令,否则会删除已安装的活动目录。
一、实验目的
学习活动目录的安装和删除(实验只要求安装)。
二、实验内容
1.活动目录的安装(升级)
2.活动目录的删除(降级)——理论上掌握,具体实验不要做
三、实验理论基础
活动目录是Windows Server 2003网络中提供的目录服务。
目录服务也是一种网络服务,它把网络中的资源信息集中存储起来,并将其提供给用户和应用程序使用。
它提供了一种一致化的命名、描述、定位、管理和设置相应安全的方法。
通过提供通用的网络资源接口和直观的网络资源访问界面,使用户能够以一致的方式管理自己的整个网络。
由于活动目录中网络资源信息集中存放和管理,使得网络的物理结构和网络所使用的传输协议对用户来讲变得透明起来。
当用户访问网络时,无需了解资源的物理位置和连接方法,就可以访问资源。
这对于多数缺乏网络专业知识的网络普通用户来说,显得格外有意义。
使管理员和一般用户可以方便地查找和使用网络信息,同时也更便于网络管理员有效的管理网络。
活动目录是由组织单位(OU)、域(Domain)、域树(Domain Tree)和森林(Domain Forest)组成的层次结构,它存储有关计算机网络对象的信息。
例如,用户、组、计算机、组织、帐户、共享资源和打印机等等。
域是网络对象的分组,如用户、组和计算机。
它是最基本的管理单元,同时也是最基层的容器,它可对用户、计算机等基本数据进行存储,域中的对象均为该域的成员。
在一个AD中可以根据需要建立多个域。
在域中作为服务器的计算机可以充当成员服务器或域控制器中的任何一个角色,而不在域中的服务器则为独立服务器。
成员服务器是属于某个域,并安装了Windows 2000Server家族或Windows Server 2003家族的操作系统的计算机。
该计算机不是域控制器,不处理帐户登录、不参与活动目录的复制,也不存储域安全策略信息。
成员服务器通常用作以下几种类型的服务器:文件服务器、应用程序服务器、数据库服务器、Web服务器、证书服务器、防火墙和远程访问服务器。
域控制器是安装了Windows 2000Server家族或Windows Server 2003家族的操作系统的计算机。
该计算机使用活动目录以存储域数据库的读/写副本、参与多主机复制,并验证用户。
域控制器存储目录数据并管理用户和域之间的通信,包括用户登录进程、身份验证和目录搜索。
域控制使用多主机复制来同步目录数据,从而确保前后信息的一致。
独立服务器是运行Windows 2000Server或Windows Server 2003但不参与域的服务器。
独立服务器在只有其自身的用户数据库,并且自己处理登录请求。
它不与其他计算机共享帐户信息,并且不提供对域帐户的访问权限,但它能够加入工作组。
域和域控制器是相互依赖的,域存在于域控制器上,而一台安装了Windows Server 2003的计算机也因为提供了域服务而成为域控制器。
所以当建立一个域的时候,也就是建立这个域中的第一台域控制器。
四、实验步骤
1.实验前的准备工作
为讲解方便,这里设域名为,服务器类型为主域控制器。
学生做实验时(图5.14)取域名为LYZY※※.COM,其中※※为学生序号。
实验器材如表5.3所示。
表5.3 所需实验器材
2.活动目录的安装
每个学生都在虚拟机软件里自己安装的网络操作系统中做实验。
可通过系统自带的安装向导来完成,具体步骤如下:
(1)“开始”→“管理工具”→“配置您的服务器向导”→“下一步”,出现“预备步骤”对话框,如图5.9所示(或运行dcpromo命令)。
(2)单击“下一步”,出现检测网络设备的界面。
(3)稍后,出现“配置选项”对话框,选择“自定义配置”,如图5.10所示。
(4)单击“下一步”,出现“服务器角色”对话框,如图5.11。
(5)在服务器列表中查看“域控制器(Active Directory)”项后的值是否为“否”,“否”表示还未安装。
则选择该项,单击“下一步”,出现“域控制器类型”对话框,单击“下一步”,如图5.12所示。
(6)若域中没有现成的DC,则应该选择“新域的域控制器”,该域将成为新域中的第一个DC;若该网络中已有了一个或多个DC,则应该选择“现有域的额外域控制器”,这样就可组建域树。
这里假设没有域,选择“新域的域控制器”→“下一步”,出现“创建一个新域”对话框,如图5.13所示。
图5.9“预备步骤”对话框
图5.10“配置选项”对话框
图5.11“服务器角色”对话框
图5.12“域控制器类型”对话框
图5.13“创建一个新域”对话框
(7)在这里因为要创建第一个新域,所以选择第一个“在新林中的域”→“下一步”,出现“新的域名”对话框,如图5.14所示。
图5.14“新的域名”对话框
(8)输入域名“lyzy※※.com”→“下一步”,出现“NetBIOS域名”对话框,如图5.15所示。
图5.15“NetBIOS域名”对话框
(9)输入NetBIOS名,也可采用默认值→“下一步”,出现“数据库和日志文件文件夹”对话框。
(10)指定数据库文件夹及日志文件夹所存放的位置,默认在系统盘上,不必修改。
单击“下一步”,出现“共享的系统卷”对话框。
(11)指定SYSVOL文件夹存放的位置,要求必须是NTFS文件格式的分区。
SYSVOL 文件夹存放域的公用文件的服务器副本。
SYSVOL广播的内容被复制到域中的所有域控制器,其文件夹位置一般不作修改,单击“下一步”,如图5.16所示。
图5.16“DNS注册诊断”对话框
(12)在“DNS注册诊断”对话框中,可根据需要进行选择,这里选择第二个。
单击“下一步”,出现“权限”对话框。
(13)根据实际情况选择用户和组对象的默认权限,这里选择第一个,如图5.17所示。
图5.17选择用户和组对象的默认权限
(14)单击“下一步”,出现“目录服务还原模式的管理员密码”对话框,输入要设定的密码。
单击“下一步”,如图5.18所示。
图5.18输入目录服务还原模式的管理员密码
(15)出现AD安装的动态画面。
(16)在安装的过程中,需要的一些文件,可用插盘或搜索查找的方法解决。
等待一些时间,AD安装完毕。
(17)单击“完成”,即完成了AD的安装。
安装完成之后,重新启动计算机即可。
(18)验证安装是否成功
重启计算机后,单击“开始”→“所有程序”→“管理工具”,发现它的下一级菜单增加了3条与活动目录有关的管理工具。
如图5.19所示。
图5.19活动目录安装后菜单的变化
通过菜单中的“Active Directory用户和计算机”可进入控制台,主要是对活动目录中的用户、计算机、用户组和其他内容进行管理。
另外两个工具则分别用于管理域之间的信任关系、创建站点及与活动目录相关的信息。
对于普通的域环境来说,“Active Directory用户和计算机”工具最为关键。
注意:计算机安装了AD后,开机和关机变慢是正常现象。
3.启动Active Directory用户和计算机
选择“开始”→“所有程序”→“管理工具”→“Active Directory用户和计算机”选项,弹出“Active Directory用户和计算机”对话框,如图5.20的所示,以便进行后面的操作。
图5.20 活动目录用户和计算机界面
4.活动目录的删除
活动目录的删除(本实验不做这一步)步骤如下:
(1)单击“开始”→选择“运行”→输入“dcpromo”,让活动目录降级,出现如图5.21所示界面。
单击“下一步”→“确定”。
(2)在“删除Active Directory”对话框中,勾选“这个服务器是域中的最后一个域控制器(T)”→单击“下一步”,如图5.22所示。
活动目录删除成功后需重启系统。
注意:若计算机没有安装AD,使用“dcpromo”命令将进入AD的安装界面,可进行AD的安装。
图 5.21活动目录卸载画面
图5.22活动目录卸载画面
五、分析与讨论
1.是否所有的操作系统都能安装活动目录?什么样的操作系统才可以安装活动目录?
2.安装活动目录后的计算机与未安装活动目录的计算机有什么区别?。