微软域活动目录培训材料

写入属性
写入扩展属性
删除子文件夹及文件
删除 读取权限 更改权限 取得所有权 同步
允许或拒绝删除子文件夹和文件，即使尚未授予对子文件夹或文件的“删除”权限。（适用于文件夹。）
允许或拒绝删除文件或文件夹。如果您没有对文件或文件夹的“删除”权限，但是在父文件夹中已被授予“删除子 文件夹及文件”权限，则您仍然可以删除它。 允许或拒绝读取文件或文件夹的权限，例如完全控制、读取、写入。 允许或拒绝更改文件或文件夹的权限，例如完全控制、读取和写入。 允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限，无论存在任何保护该文件或 文件夹的权限。 允许或拒绝不同的线程等待文件或文件夹的句柄，并与另一个可能向它发信号的线程同步。该权限只应用于多线程、
Windows 2008 Active Directory 安装
设定DNS
Windows 2008 Active Directory 安装
更改本地连接DNS为 127.0.0.1或者外部DNS
Windows 2008 Active Directory 安装
安装日志文件 C:\windows\DEBUG\dcpromo.log C:\windows\DEBUG\dcpromoUI.log
• Directory ？ 可以想像等同于一个电话本 • Active Directory ？ 将一个公司内的电话本相关信 息统一组织起来，并提供给用户查询，达到公共 资源的统一管理 ！ • 这种Active Directory被称为活动目录服务！主要 作用可以统一对网络资源进行管理，摆脱工作组 分散、放权的管理模式！提高整体工作效率！ • Active Directory 是 Windows Server 系列操作系 统一个非常重要部分，它在实施组织的网络、进 而实现组织的商业目标中占有重要地位。
百度文库信任关系方向
单向信任
信任网域(资源网域)
被信任网域(账户网域)
双向信任
信任网域(资源网域) 被信任网域(账户网域) 被信任网域(账户网域) 信任网域(资源网域)
Active Directory相关术语
自动信任
域 A.com
域 B.com
WIN2008 自动建立双 向信任关系
域 C.com
Active Directory相关术语

Windows 2008 Active Directory 管理
其中“更改权限” 权限可以授权可用户， 使得用户对资源没有 访问的权限，但可以 为该资源分配权限。 一般情况下将该权限 授予Administrators 组，以便管理员可以 控制资源的访问权。 “取得所有权”权 限可以让用户获得某 个资源的所有权，一 般情况下文件或文件 夹的创建者自动获得 “取得所有权”权限 。为了获得文件或文 件夹的所有权，操作 者必须对该资源拥有 “完全控制”的权限 或“取得所有权”这 一特殊NTFS权限。
写入属性
写入扩展属 性 删除子文件 夹及文件 删除 读取权限 更改权限 取得所有权
〇
〇 〇 〇 〇 〇 〇
〇
〇
〇
〇
〇 〇 〇 〇 〇
“〇”代表标准NTFS权限包含这些特殊权限
权限
描述 对于文件夹：“遍历文件夹”允许或拒绝通过文件夹来移动，以到达其他文件或文件夹，即使用户没有禁止的文件 夹的权限。（仅适用于文件夹。）只有当“组策略”管理单元中没有授予组或用户“忽略通过检查”用户权 限时，禁止文件夹才起作用。（默认情况下，授予 Everyone 组“忽略通过检查”用户权限。） 对于文件：“运行文件”允许或拒绝运行程序文件。（仅适用于文件。） 设置文件夹的“遍历文件夹”权限不会自动设置该文件夹中所有文件的“运行文件”权限。 “列出文件夹”允许或者拒绝查看文件夹内的文件名和子文件夹名。“列出文件夹”只影响该文件夹的内容，不影 响是否列出正在设置其权限的文件夹。（仅适用于文件夹。） 读取数据允许或拒绝查看文件中的数据。（仅适用于文件。）
• • •
被信任用户( 帐户网络)
账户网域使用者可在所属网域中的计算机登入且可透过网络存取资源网域所 分享出来的资源 账户网域使用者可在资源网域中的计算机登入 资源网域使用者可以列出账户网域中使用者、群组及计算机等信息，并可将 以上对象加入资源网域中的群组或资源之存取控制清单（ACL）中
Active Directory相关术语
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
读取扩展属性 创建文件/写入数据 创建文件夹/附加数据
允许或拒绝查看文件或文件夹的属性，例如只读和隐藏。属性由 NTFS 定义。
允许或拒绝查看文件或文件夹的扩展属性。扩展属性由程序定义，可能因程序而变化。 “创建文件”允许或拒绝在文件夹内创建文件。（仅适用于文件夹。） “写入数据”允许或拒绝对文件进行更改与覆盖现有内容。（仅适用于文件。） “创建文件夹”允许或拒绝在文件夹内创建文件夹。（仅适用于文件夹。） “附加数据”允许或拒绝更改文件的末尾，而不是更改、删除或覆盖已有的数据。（仅适用于文件。） 允许或拒绝更改文件或文件夹的属性，例如只读或隐藏。属性由 NTFS 定义。 “写入属性”权限不表示可以创建或删除文件或文件夹，它只包括更改文件或文件夹属性的权限。要允许（或者拒 绝）创建或删除操作，请参阅“创建文件/写入数据”、“创建文件夹/附加数据”，“删除子文件夹及文件 ”和“删除”。 允许或拒绝更改文件或文件夹的扩展属性。扩展属性由程序定义，可能因程序而变化。 “写入扩展属性”权限不表示可以创建或者删除文件或文件夹，它只包括更改文件或文件夹属性的权限。要允许（ 或者拒绝）创建或删除操作，请参阅“创建文件/写入数据”、“创建文件夹/附加数据”、“删除子文件夹 及文件”和“删除”。
标准NTFS权限 特殊NTFS 权限 遍历文件夹 /运行文件 列出文件夹 /读取数据 读取属性 读取扩展属 性 创建文件/ 写入数据 创建文件夹 /附加数据 完全控制 〇 〇 〇 〇 〇 〇 修改 〇 〇 〇 〇 〇 〇 读取及运行 〇 〇 〇 〇 〇 〇 〇 〇 〇 读取 写入 列出文件夹 目录 〇
CN=胡明,OU=BelleUsers,DC=belle,DC=com
Relative Distinguished Name [RDN] 相对可分辨名称
CN=胡明
Global Unique Identifier [GUID] 全局唯一标识符 128bit f58acf78a47aaa4181f9cf049afa4279 User Principal Name [UPN] 用户规则名 hum@belle.com
Windows 2008 Active Directory 安装
安装Windows 2008 磁盘格式为NTFS格式 如果是FAT 格式，可以用如下命令转换 Convert c: /fs:NTFS 安装SP2补丁 更改域的电脑名 如 server 、dc、ad 设定IP地址 准备根域名 如 hnbelle.com 安装DNS服务器 (这一步可以一起装)
安装前的准备
内部网络规划 IP规划 提前做好 计算机名 建议采用 部门代号+类型+流水号 计算机描述 网络拓朴图 服务器规划 磁盘分区 建议全部采用NTFS格式 DNS域名 belle.com 用户名命名规则
总部内网IP规划表
硬件配置建议
和域的数量以及计算机的数量有关，200用户建议： 中央处理器：Intel Xeon CPU 3.20GHz * 2 物理内存： 2G 硬盘： 100G 网卡：千兆 为了保障域登录的速度，不推荐使用普通机器 总部的配置 （联想 T350） 中央处理器：Intel Xeon CPU 2.5GHz * 2 物理内存： 4G 硬盘(Raid 5)：100G 网卡：千兆
Active Directory相关术语
深圳总部域结构
zhongjp@belle.com hum@belle.com
belle.com
public@belle.com
Active Directory相关术语
理想的域结构
总公司
Belle.com
华南分 公司 Hn.Belle.com
华北分 公司 Hb.Belle.com
容器和组织单位
容器和组织 单位
Active Directory相关术语
Domain Tree [域树]
根域 root domain
域 树
自动信任
具体双向传递性 (Kerberos 协议完成)
Active Directory相关术语
Forest 林
林
Microsoft.com
Belle.com
Bj.microsoft.c Sz.microsoft. Nc.microsoft. om com com
Windows Server 2008
Active Directory
认识活动目录
通过本部份的学习，使大家可以掌握: Active Directory基础概念 Active Directory相关术语
• 了解这些有助于理解以后的学习内容
Active Directory基础概念
什么是 Active Directory™ 服务
Windows 2008 Active Directory 管理
NTFS 权限管理介绍 NTFS权限是基于NTFS分区实现的，NTFS权限可以实现高度的本地 安全性。通过对用户赋予NTFS权限可以有效的控制用户对文件和目 录的访问。在NTFS分区上的每一个文件和目录都有一个列表，被称 为ACL(Access Control List,访问控制列表)，该列表记录了每一用户 和组对该资源的访问权限。在默认情况下NTFS权限具有继承性，即 文件和目录继承来自上层目录的权限（当然也可以禁止下层的文件和 目录继承来自上层目录的权限分配）。 NTFS权限分为特殊NTFS权限和标准NTFS权限两大类。标准 NTFS权限可以说是有特殊NTFS权限的特定组合。特殊NTFS权限包 含了在各种情况下对资源的访问权限，其规定约束了用户访问资源的 所有行为。但通常情况下用户的访问行为都是有几个特定的特殊 NTFS权限的组合或集合。WINDOWS2003为了简化管理，将一些常 用的特殊NTFS权限组合起来内知道操作系统中形成了标准NTFS权限， 当需要分配权限时可以通过分配一个标准NTFS权限而达到一次分配 多个特殊NTFS权限的目的。 权限、资源和帐号三者是密不可分的，只能说给某帐号对某种资源分 配某种权限，而不能说赋予某帐号某种权限。
Active Directory相关术语
Namespace [名称空间]
对象和属性
对象 用户(user) 属性 姓
名
电话号码 电子邮件 城市 省 ...
Active Directory相关术语
对象和属性
对象名称为 用户名 对象类型为 用户 对象描述为 资讯部
Active Directory相关术语
BJ.belle.com
SZ.belle.com Nc.belle.com
Site 站点
DC1
总公司BL
256Kbps
北京分公司BL
DC1
128kbps
DC1
华南分公司BL
dc2
100Mbps
华南深圳分公司BL
DC1
Active Directory相关术语
信任关系
资源访问方向 信任方向
信任网域(资源网域)
轻型目录访问协议LDAP
Lightweight Directory Access Protocol LDAP 是一种用来查询和更新Active Driectory 的目录服务通信协议 Win2k8 域是利用“LDAP命名路径”表示对象在域的位置 包含以下内容 Distinguished Name [DN] 可分辨名称
Windows 2008 Active Directory 管理
• 安装管理工具
• 安装组策略管理工具 和 杀毒软件
休息一下
Windows 2008 Active Directory 管理
域主要用户组介绍 Administrators 管理员组 推荐笔记本用户使用该组 (无任何功能限制) Power Users 高级用户组 权限比Users高,比管理员组低 Users 普通用户组 默认增加的用户属于该组
华东分 公司 Hd.Belle.com
...分公 司 .....Belle.com
南昌
厦门
...
Nc.Hn.Belle.com
Active Directory的安装部署
通过本章可以学习到如下内容: 安装前的准备 Windows 2008 Active Directory 安装部署 加入域