委派 Active Directory 管理最佳实践概论

Active Directory操作主机管理
一、实训要求
1、五大操作主机查看；
2、五大操作主机转移；
3、五大操作主机占有；
二、实训步骤
1.五大操作主机查看；
首先查看域操作主机
在域和信任关系查看操作主机
开始运行regvrr32 schmmgmt.all
开始运行mmc 打开控制台点击添加/删除
在Active上右击操作主机查看架构主机
打开我的电脑双击win2003 点击SUPPOPT 和TOOLS 找到SUPTOOS.MSI 安装
安装完成之后，开始运行输入cmd 输入命令netdom query fsmo查看五大操作主机
2、五大操作主机转移；管理ntdsutil 在输入Roles
连接到一个特定域控制器输入Connections
连接到你要转移的域控制器名
成功后的提示
连接后退出设置
接着输入命令完成转移
提示
在用户和计算机中点击查看点下高级功能前面就有钩了
点击操作所有任务操作主机
3、五大操作主机占有；
在这里你可以看见提示
完成了。

Active Directory操作主机管理一、实训要求1、五大操作主机查看；2、五大操作主机转移；3、五大操作主机占有；二、实训步骤1.五大操作主机查看；首先查看域操作主机在域和信任关系查看操作主机开始运行regvrr32 schmmgmt.all开始运行mmc 打开控制台点击添加/删除在Active上右击操作主机查看架构主机打开我的电脑双击win2003 点击SUPPOPT 和TOOLS 找到SUPTOOS.MSI 安装安装完成之后，开始运行输入cmd 输入命令netdom query fsmo查看五大操作主机2、五大操作主机转移；管理ntdsutil 在输入Roles连接到一个特定域控制器输入Connections连接到你要转移的域控制器名成功后的提示连接后退出设置接着输入命令完成转移提示在用户和计算机中点击查看点下高级功能前面就有钩了点击操作所有任务操作主机3、五大操作主机占有；在这里你可以看见提示完成了当我被上帝造出来时，上帝问我想在人间当一个怎样的人，我不假思索的说，我要做一个伟大的世人皆知的人。

于是，我降临在了人间。

我出生在一个官僚知识分子之家，父亲在朝中做官，精读诗书，母亲知书答礼，温柔体贴，父母给我去了一个好听的名字：李清照。

小时侯，受父母影响的我饱读诗书，聪明伶俐，在朝中享有“神童”的称号。

小时候的我天真活泼，才思敏捷，小河畔，花丛边撒满了我的诗我的笑，无可置疑，小时侯的我快乐无虑。

“兴尽晚回舟，误入藕花深处。

争渡，争渡，惊起一滩鸥鹭。

”青春的我如同一只小鸟，自由自在，没有约束，少女纯净的心灵常在朝阳小，流水也被自然洗礼，纤细的手指拈一束花，轻抛入水，随波荡漾，发髻上沾着晶莹的露水，双脚任水流轻抚。

身影轻飘而过，留下一阵清风。

可是晚年的我却生活在一片黑暗之中，家庭的衰败，社会的改变，消磨着我那柔弱的心。

我几乎对生活绝望，每天在痛苦中消磨时光，一切都好象是灰暗的。

“寻寻觅觅冷冷清清凄凄惨惨戚戚”这千古叠词句就是我当时心情的写照。

activedirectory教程入门active directory教程入门active directory教程入门。

对于刚接触活动目录的朋友们来说，寻找一份适合active directory入门循序渐进的教程比较难，很少有资料进行active directory介绍。

本文就收集了一些这样的资源，供大家学习active directory活动目录。

目录Active Directory是什么？Active Directory教程下载Active Directory安装Active Directory配置Active Directory下载Active Directory备份Active Directory DNS首先让我们来看看：active directory是什么简单来说，活动目录的首要任务或者说主要目标是客户端的安全管理，然后是客户端的标准化管理。

再对这两个概念进行一下扩展：您看到的文章来自活动目录seo安全管理：说的形象一些，举个例子。

你的用户使用计算机是不是经常的乱装软件，乱拷东西，然后病毒一堆，而这些破事儿却要怪罪到你的头上？标转化管理：也举个例子。

你的老板是不是曾经让你把所有计算机的软件或者桌面都统一一下，不要在桌面上放超级女生快乐男孩的图片？如果这两点完成了，那么再往高级了说，活动目录将成为企业基础架构的根本，所有的高级服务都会向活动目录整合，以利用其统一的身份验证、安全管理以及资源公用。

Active Directory介绍的更多文章请参考安装活动目录的作用和意义|微软Windows2000-2003-2008Activedirectory ...活动目录,破门而入! 活动目录SEO活动目录ActiveDirectories的作用以及优势活动目录SEOActive Directory|windows 2008域服务(1) 活动目录SEO更多内容请参考活动目录ActiveDirectories的作用以及优势Active Directory教程下载在哪里下载？请访问“活动目录”系列讲座――“Active Directory week”Active Directory教程有哪些？•将 Windows Server 2003 安装为域控制器本文档是一个分步指南系列的第一部分，该分步指南介绍如何建立通用网络结构以部署 Microsoft WindowsServer 2003 操作系统。

A c t i v e D i r e c t o r y管理之六Active Directory管理之六:活动目录数据库维护维护活动目录数据库是一个很重要的管理任务，它需要定期帮助覆盖丢失和出错的数据，修正活动目录数据库。

活动目录数据库存储包含有 AD中所有数据，所以活动目录数据库维护是一项非常重要的工作。

一般情况下，管理员很少会直接管理活动目录数据库，因为有规律维护活动目录数据库是一个很重要的管理任务，它需要定期帮助覆盖丢失和出错的数据，修正活动目录数据库。

活动目录数据库存储包含有 AD中所有数据，所以活动目录数据库维护是一项非常重要的工作。

一般情况下，管理员很少会直接管理活动目录数据库，因为有规律的自动化数据库管理可以维护数据库健康。

这些自动进程包括活动目录数据库联机碎片整理和清除已删除的垃圾收集。

对于需要直接管理活动目录数据库，可以使用ntdsutil工具进行管理。

一、活动目录数据文件介绍活动目录数据文件默认存储在C:\Windows\NTDS目录下：1.edb.chk：这是检查点文件。

edb.chk文件存储数据库的检查点，这些检查点标识数据库引擎需要重复播放日志的点，通常在恢复或初始化时。

2.edbxxxxx.log：事务日志文件。

edb.log是日志文件，对数据库进行更改后，将该更改写入到edb.log文件中。

当edb.log文件充满事务之后，会被重新命名为 edbxxxxx.log，日志文件从edb00001开始，并使用十六进制数累加。

由于ActiveDirectory使用循环记录，所以在旧日志文件写入数据库之后，这些旧日志文件会及时删除。

在任何时刻都可以找到edb.log文件，而且还可能有一个或多个Edbxxxxx.log文件。

3.edbresxxxx.jrs：这些文件是保留的日志文件仅当含有日志文件的磁盘空间不足时使用。

如果当前的日志文件填满了且由于磁盘剩余空间不足服务器不能创建新的日志文件，服务器会将当前记忆体中的活动目录处理记录到两个保留日志文件中然后关闭活动目录。

Active Directory管理之六:活动目录数据库维护维护活动目录数据库是一个很重要的管理任务，它需要定期帮助覆盖丢失和出错的数据，修正活动目录数据库。

活动目录数据库存储包含有 AD 中所有数据，所以活动目录数据库维护是一项非常重要的工作。

一般情况下，管理员很少会直接管理活动目录数据库，因为有规律维护活动目录数据库是一个很重要的管理任务，它需要定期帮助覆盖丢失和出错的数据，修正活动目录数据库。

活动目录数据库存储包含有 AD 中所有数据，所以活动目录数据库维护是一项非常重要的工作。

一般情况下，管理员很少会直接管理活动目录数据库，因为有规律的自动化数据库管理可以维护数据库健康。

这些自动进程包括活动目录数据库联机碎片整理和清除已删除的垃圾收集。

对于需要直接管理活动目录数据库，可以使用ntdsutil工具进行管理。

一、活动目录数据文件介绍活动目录数据文件默认存储在C:\Windows\NTDS目录下：1.edb.chk：这是检查点文件。

edb.chk文件存储数据库的检查点，这些检查点标识数据库引擎需要重复播放日志的点，通常在恢复或初始化时。

2.edbxxxxx.log：事务日志文件。

edb.log是日志文件，对数据库进行更改后，将该更改写入到edb.log文件中。

当edb.log文件充满事务之后，会被重新命名为 edbxxxxx.log，日志文件从edb00001开始，并使用十六进制数累加。

由于ActiveDirectory使用循环记录，所以在旧日志文件写入数据库之后，这些旧日志文件会及时删除。

在任何时刻都可以找到edb.log文件，而且还可能有一个或多个Edbxxxxx.log文件。

3.edbresxxxx.jrs：这些文件是保留的日志文件仅当含有日志文件的磁盘空间不足时使用。

如果当前的日志文件填满了且由于磁盘剩余空间不足服务器不能创建新的日志文件，服务器会将当前记忆体中的活动目录处理记录到两个保留日志文件中然后关闭活动目录。

4.2.5 实训思考题●安装Hyper-V服务器的硬件条件是什么？●内部虚拟网络与外部虚拟网络的区别是什么？●请使用Microsoft Visio 2003/2010完成专用虚拟网络、内部虚拟网络、外部虚拟网络的网络拓扑示意图，用图示的方式说明各种不同方式的区别与应用。

4.2.6 实训报告要求●实训目的。

●实训内容。

●实训步骤。

●实训中的问题和解决方法。

●回答实训思考题。

●实训心得与体会。

●建议与意见。

4.3 部署与管理Active Directory域服务环境4.3.1 实训目的●理解域环境中计算机4种不同的类型。

●熟悉Windows Server 2008域控制器、额外域控制器以及子域的安装。

●掌握确认域控制器安装成功的方法。

4.3.2 实训环境1．部署需求在部署目录林根级域之前需满足以下要求。

●设置域控制器的TCP/IP属性，手工指定IP地址、子网掩码、默认网关和DNS服务器IP地址等。

● 在域控制器上准备NTFS卷，如C:。

2．部署环境所有实例被部署在该域环境下。

域名为。

win2008-1和win2008-2是Hyper-V服务器的2台虚拟机。

读者在做实训时，为了不相互影响，建议Hyper-V服务器中虚拟网络的模式选“专用”。

网络拓扑图及参数规划如图4-91所示。

图4-91 创建目录林根级域的网络拓扑图第４章 W i n d o w s S e r v e r 2008网络操作系统将已经安装Windows Server 2008 X64 的Hyper-V 服务器，按要求进行IP 地址、DNS 服务器、计算机名等的设置，为后续工作奠定基础。

由于域控制器所使用的活动目录和DNS 有着非常密切的关系，因此网络中要求有DNS 服务器存在，并且DNS 服务器要支持动态更新。

如果没有DNS 服务器存在，可以在创建域时一起把DNS 安装上。

这里假设图4-91中的win2008-1服务器未安装DNS，并且是该域林中的第一台域控制器。

第一章活动目录(Active Directory)综述内容摘要Windows 2000 操作系统的功能非常强大，用户要了解如何实现这些功能，以及它对完成企业目标能够提供哪些帮助,首先必须了解其核心：活动目录目录服务。

活动目录在实施组织的网络，进而实现组织的商业目标中占有重要地位。

通过本章学习,您将了解到以下一些主要内容：目录服务和活动目录的概念活动目录的优点活动目录的逻辑结构组织信息在逻辑结构中的流通活动目录的安全机制活动目录的目录服务模块考点提示本章主要概括了活动目录中的主要概念性知识，读者应重点熟悉以下内容：逻辑结构/物理结构的作用和区别信任关系1.1 目录和目录服务一般来说，目录是用来存储信息的信息源,如电话簿用来存储电话号码、文件系统用来存放文件信息。

而在计算机网络上下文环境中，目录（又称数据存储区）是存储网络对象信息的分层结构。

对象包括共享资源，如服务器、共享卷和打印机；网络用户和计算机帐户；域、应用程序、服务、安全策略，以及网络上的其他所有内容。

以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例：一般情况下，目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。

用户通过目录服务来使用目录中的信息，如用户可能需要使用网络中的某样资源，如打印机，但不知道它在网络上确切位置，有了目录服务，用户只要了解该打印机的一项属性，就可以通过查询活动目录来使用它。

我们可以把目录服务看作既是一个管理工具，同时也是一个面向最终用户的工具。

系统管理员用它可以定义、安排和管理对象（如打印机、用户）及其特征，以使它们能被用户和应用程序使用；而用户可以用它来获得感兴趣的信息。

换一个角度，理解目录服务就是要理解它和目录的不同之处：它既是目录信息源，又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。

理想情况下，目录服务会使物理拓扑和协议（两个服务间传输数据所用的格式）透明化；这样，即使用户不知道资源的物理连接位置和连接方法，也能够访问资源。

Active Directory站点部署一、实训要求1、Active Directory站点规划；2、Active Directory站点创建：1）创建站点；2）创建子网；3）移动DC到对应站点。

3、站点连接桥配置。

二、实训步骤——1——Active Directory站点规划在一个高速且可靠性高的网络环境下如局域网，我们可将这个局域网划分为一个站点让域中的计算机之间复制数据，在森林中的多个域树将每个域树划分为一个站点用来森林复制。

站点规划应当遵循网络传输速度以及链接可靠性来划分在这里我就作一个相对比较简单的实验。

A站点有两台计算机实现域树中的复制B站点与A站点实现森林复制（这里不是说两个不同的森林之间复制，而是在一个森林中，两个树域的复制）这个实验用4台电脑来做，其中一台来做路由配置两张网卡保证两个域之前能够相互通信——2——Active Directory站点创建：1）创建站点；在站点和服务中右击sites创建站点在servers文件夹中放着域控制器每一台电脑可以看到它的直接复制伙伴和复制伙伴的协议为了直观我就建立站点A和站点B 2）创建子网；3）移动DC到对应站点。

把对应的域控制器移到站点中去——3——站点连接桥配置在这里我们需要三个站点配置好相关的子网和域控制器然后选择“喜好的bridgehead服务器”（原本由站点内拓扑产生器选择）我们等于是手动选择bridgehead服务器对一个站点内你想选择作为bridgehead服务器的域控制器属性然后添加一个ip协议值得注意的是如果你在一个站点中有多台域控制器做bridgehead的话AD在复制的时候只会使用其中的一台，但是当其中某一台服务器损坏时可以使用其他服务器继续工作自动生成连接三、总结操作没有多少步骤但是理论性非常强！。

简述active directoryActive Directory是一种由Microsoft开发的目录服务，它提供了一种统一的方式来管理网络中的用户、计算机、应用程序和其他资源。

Active Directory是Windows Server操作系统中的一个核心组件，它允许管理员在整个网络中集中管理和控制访问权限。

一、Active Directory的概述1.1 什么是Active DirectoryActive Directory是Windows Server操作系统中的一个目录服务，它提供了一种统一的方式来管理网络中的用户、计算机、应用程序和其他资源。

它可以帮助管理员集中管理和控制访问权限，从而提高网络安全性和效率。

1.2 Active Directory的架构Active Directory采用了分层架构，由域、树和森林三个层次组成。

域是最基本的单位，它包含了一组用户、计算机和其他资源。

多个域可以组成一个树，而多个树又可以组成一个森林。

1.3 Active Directory的功能Active Directory具有以下功能：- 用户和计算机管理：允许管理员集中管理网络上所有用户和计算机。

- 访问控制：允许管理员控制用户对各种资源（如文件夹、打印机等）的访问权限。

- 身份验证：允许管理员验证用户身份，并限制未经授权者对系统资源的访问。

- 目录服务：允许管理员存储和检索网络上所有资源的信息。

二、Active Directory的组成部分2.1 域域是Active Directory中最基本的单位，它是一个逻辑组，可以包含一组用户、计算机和其他资源。

每个域都有一个唯一的名称和标识符，并且可以与其他域建立信任关系以实现资源共享。

2.2 树树是由多个域组成的层次结构，它们共享相同的命名空间。

树中每个域都有一个父域和一个子域，除了根域以外。

树允许管理员在不同的域之间建立信任关系，并共享资源。

2.3 森林森林是由多个树组成的集合，它们共享相同的目录架构、配置和全局目录。

Active Directory 技术Active DirectoryActive Directory是指Windows 2000网络中的目录服务。

它有两个作用：1.目录服务功能。

Active Directory提供了一系列集中组织管理和访问网络资源的目录服务功能。

Active Directory使网络拓扑和协议对用户变得透明，从而使网络上的用户可以访问任何资源（例如打印机），而无需知道该资源的位置以及它是如何连接到网络的。

Active Directory被划分成区域进行管理，这使其可以存储大量的对象。

基于这种结构，Active Direct ory可以随着企业的成长而进行扩展。

从仅拥有一台存储几百个对象的服务器的小型企业，扩展为拥有上千台存储数百万个对象的服务器的大型企业。

2.集中式管理。

Active Directory还可以集中管理对网络资源的访问，并允许用户只登陆一次就能访问在Active Direct ory上的所有资源。

Active Directory 的优点在Windows 2000 操作系统中引入Active Directory 有以下优点：∙与DNS 集成。

Active Directory 使用域名系统(DNS)。

DNS 是一种Internet 标准服务，它将用户能够读取的计算机名称（例如）翻译成计算机能够读取的数字Internet 协议(IP) 地址（由英文句号分隔的四组数字）。

这样，在TCP/IP 网络计算机上运行的进程即可相互识别并进行连接。

∙灵活的查询。

用户和管理员如果要通过对象属性快速查找网络中的对象，可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是Active Directory 用户和计算机管理单元。

例如，您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。

而且,使用全局编录优化了查找信息的操作。

∙可扩展性。

Active Directory 是可扩展的；也就是说，管理员既可以在架构中添加新的对象类别，也可在原有的对象类别中添加新属性。

Active Directory 概述一、工作组和域：Windows Server 2003 支持两种用户帐户：域帐户和本地帐户。

域帐户可以登录到域上，并获得访问该网络的权限；本地帐户则只能登录到一台特定的计算机上，并访问该计算机上的资源。

在工作组模式的网络中，各服务器都是独立的，各服务器中的账户和资源也是各自进行管理的。

所以，管理员需要为每台服务器建立账户。

管理时也需要分别登录各服务器完成管理工作。

授权用户访问不同的服务器时，也需要分别登录。

在域模式的网络中，服务器可以集中进行管理，域中的账户和资源也是集中管理的。

所以，管理员登录一次就可以管理整个域。

授权访问用户登录一次就可以访问所有共享资源。

在域结构的网络中，需要一个对账户和资源进行统一管理的机制，这个机制就是活动目录（Active Directory）。

域中所有的账户和共享资源都需要在活动目录中进行登记。

用户可以利用活动目录查找和使用这些资源。

基于域结构的网络可大大减轻管理的复杂度和工作量，通常用于结构较复杂的网络。

二、相关概念：域(Domain)：一个域就是一系列的用户账户、访问权限和其他各种资源的集合。

域是网络的独立安全范围，是 Windows 的逻辑管理单位。

一个网络可以建立一个或多个域。

活动目录(Active Directory)：活动目录是一个信息库，它用来存放域内的用户账户、组、网络打印机、共享文件夹等对象。

名字空间：每个域都必须命名，域的名字遵循 DNS 命名规则，并且通过 DNS 服务器解析域名。

信任关系：如果一个网络中建立了多个域，各个域之间可通过 Kerberos 协议建立信任关系，具有信任关系的各个域构成域群，它们的共享资源可以互相访问。

域间的信任关系一般是双向的、可传递的。

系统定义了两种默认信任类型：父子、树根。

使用“新建信任向导”还可以创建另外4种信任类型：外部、领域、林、快捷。

构建域群有两种方式：域树和域林域树(Tree)：把多个域按“父子”信任关系构建成具有层次结构的域群。

Active DirectoryActive Directory就是我们常说的活动目录，在很多的情况下我们会听到这个词，有人说Active Directory就是把一个局域网的所有资源都当成目录的一部分来管理的一种服务。

我整理一些资料希望对要研究Active Directory的人有点帮助。

Microsoft 的Active Directory 是一种目录服务，它提供用户信息、网络资源和服务等中心分层存储器。

还可以扩展这个目录服务中的信息，同时存储企业感兴趣的自定义数据。

例如，MicrosoftExchange Server 和Microsoft Dynamics 广泛使用Active Directory 来存储公共文件夹和其他项。

在Active Directory 发布之前，Exchange Server 使用它自己的私有存储器来存储对象。

系统管理员必须为一个人配置两个用户ID：Windows NT 域中的用户账户(启用登录)，和Exchange Directory中的用户账户。

这是必需的，因为需要用户的其他信息(如电子邮件地址，电话号码等)，NT 域的用户信息不能扩展，以添加需要的信息。

Active Directory 的功能Active Directory 的功能可以总结为：● Active Directory 中的数据以分层的方式组合。

对象可以存储在其他容器对象中。

用户并不是放在一个大型用户列表中，而是组合到组织单元中。

因为组织单元可以包含其他组织单元，所以以这种方式可以构建一个树型视图。

● Active Directory 使用多主机复制方式(multimaster replication)。

在Active Directory 中，每个域控制器(DC)都是主机。

在多主机模型中，更新可以应用于所有DC。

与单主机模型相比，这个模型的伸缩性比较高，因为可以同时在不同的服务器上进行更新。

该模型的缺点是复制起来比较复杂。