微软域活动目录培训材料
Windows的使用活动目录讲义
活动目录
活动目录
该窗口可对计算机进行以下管理。 监视诸如登录次数和应用程序错误等系统事件。 创建和管理共享。 浏览与本地或远程计算机相连的用户列表。 启动和终止计划任务和线程。 设置存储设备的属性。 查看设备配置和添加新设备驱动器。
活动目录
⑤创建用户账户 弹出“Active Directory用户和计算机”窗 口 。 在左窗格中右击要创建计算机账户的域,快捷 菜单中选择“新建→用户”选项, “新建对象— 用户”对话框。
活动目录
目录服务把域详细分为组织单元。组织单元是 一个逻辑单位,是域中一些用户和组、文件与打印 机等资源对象的集合。组织单元还可以再划分下级 组织单元,下级组织单元能够继承父组织单元的访 问许可权。 每个组织单元可以有自己单独的管理员并指定 其管理权限,它们管理着不同的任务,从而实现对 资源和用户的分级管理。动态目录服务通过这种域 的组织单元树和域之间的可传递信任树来组织其信 任对象,实现颗粒式管理,为动态活动目录的管理 和扩展带来了极大的方便。
步骤3. 输入要加入的域名,然后单击“确定“。
步骤4.系统提示“输入有权限在域中重命名这台计算机的 帐户的名称和密码”时,输入该域中有权限的用户名和密 码,需经域控制器验证通过。 步骤5.出现“欢迎您加入xxxx.xxx域”后,表示当前计算 机已经成功地加入到指定的域中
活动目录
(2)域和信任关系管理工具 “Active Directory域和信任关系”管理工具 可以帮助系统管理员完成不同域之间信任关系的设 置。 例如,系统中安装两个域:hzjsj域与hzjw域, 两个域各有一台Active Directory的域控制器,且 两个域之间的连接正常。
活动目录
2 安装活动目录 (1)注意事项 1)在服务器上安装活动目录时,磁盘中必须有一个 格式化为NTFS的分区。 2)可以利用系统提供的活动目录安装向导配置服务 器。如果网络没有其他域控制器,可将服务器配置 为域控制器,并新建子域、域目录树或目录林。如 果网络中有其他域控制器,可将服务器设置为附加 域控制器,加入旧域、旧目录树或目录林。 3)活动目录安装后,服务器的开机和关机时间变长, 且系统的执行速度变慢。
微软活动目录(ActiveDirectory)实战【第三季】:单域多站点视频课程PPT模板
02
第2章部署单林单域第一个站点
第2章部署单林单 域第一个站点
2-1架构图介绍介绍单林单域多站 点架构图。
2-2hyper-v实验环境搭建介绍如 何快速搭建测试环境。
2-3部署先决条件准备介绍正式部 署adds,提升为域控制器之前的 准备工作。
2-2Hyper-v实验环境搭建介绍如 何快速搭建测试环境。
微软活动目录(activedirectory)实 战【第三季】:单域多站点视频课程
演讲人
202x-11-11
目录
01. 第1章活动目录关键概念介绍 02. 第2章部署单林单域第一个站点
01
第1章活动目录关键概念介绍
第1章活动目录关键概念介绍
1-1课程介绍介绍第三季课程的内 容、以及学完后可获得的收益。
1-3ad对象与属性用实际的演 示来帮助大家很好地理解对象
和属性的概念。
1-5域树和林介绍域树和林的关系, 场景。
1-2ad域概述帮助大家直观理解ad 域。
1-4ad容器和组织单位通过 演示讲解容器和组织单位的
概念。
1-6架构和域控制器介绍架构和域 控制器的概念。
第1章活动 目录关键概 念介绍
1
1-7ad信任关系介绍 ad信任关系的分类 和使用场景。
6
1-12站点和子网介 绍站点和子网的概念。
第1章活动目录关键概念介绍
1. 1-13ad目录分区介绍ad目录分区的分类和概念。 2. 1-14域功能和林功能级别简单介绍关于ad林功能和域功能级别的概念。 3. 1-15ad轻型目录服务介绍adlds的概念及使用场景。 4. 1-16ad操作主机介绍操作主机角色的概念和特点。 5. 1-17微软活动目录单域多站点测试微软活动目录单域多站点测试 6. 1-14域功能和林功能级别简单介绍关于AD林功能和域功能级别的概念。 7. 1-15AD轻型目录服务介绍ADLDS的概念及使用场景。 8. 1-16AD操作主机介绍操作主机角色的概念和特点。 9. 1-17微软活动目录单域多站点测试微软活动目录单域多站点测试
微软sharepoint培训材料
域的规划和建立
域用户的管理 域用户与用户的关系 里的所有用户都是域里的真实用户,通过搜索导入的方式将域用户加入的中,
对域里的用户或用户组进行门户网站的权限分配,域负责对用户进行验证。 域用户信息组成 用户姓,用户名(这两项要求为中文,为用户真实姓名) 用户登录名(要求符合用户命名规则) 用户密码(受域安全策略的限制) 用户密码属性(为单选框,可选择用户下次登录时须修改密码,用户不能更改
域的规划和建立
首先,在如下步骤时,请选择“在现有域树中的子域”,然后点击下一步
域的规划和建立
域组织机构的划分 关于域组织建议以《胜利油田》的物理组织结构为准则,逐层次创建,
最终形成一棵以《胜利油田》划和建立
.
域的规划和建立
• 在形成组织机构时,建议每个单位均分配一个“组织机构代码”,此代码可 按照目前《胜利油田》的统一编码设置(此代码可设置于组织机构的“描述” 中)。
域的规划和建立
为新域取一个域名,再次点击“下一步”:
域的规划和建立
使用默认的路径保存域的数据库和日志文件即可,然后点击“下一步”:
域的规划和建立
继续使用默认选项,然后点击“下一步”:
域的规划和建立
然后点击“下一步”让安装继续进行:
域的规划和建立
在这个步骤中,我们为了使系统有更高的安全性,选择“只与2000或 2003……” 这一选项,然后点击“下一步”:
称、为本单位简称、为用户组名称。 个人用户命名规则: 父级单位名称(首字母)+本单位名称(首字母)+个人姓名全拼 有用户[胜利油田信息中心张三],应如下命名:,其中,为父级单位简称、为本单
位简称、为用户名。
域的规划和建立
域用户的维护 域的管理、控制权限仅限于胜利油田信息中心,当用户发生所属单位的变化时,
域和活动目录的设置
一、建立和设置活动目录
(12)开始安装活动目录。
一、建立和设置活动目录
(13)完成安装,重新启动计算机。
二、活动目录的管理
1.新建域用户
(1)启动“Active Directory用户和计算机”控制台。 (2)单击已创建的域名,然后打开目录。 (3)右键单击“用户”项,指向“新建”项,然后单击“用
户”项。 (4)输入新用户的名、姓和用户登录名,然后单击“下一步”
按钮。
二、活动目录的管理
(5)输入新密码,确认密码,单击“下一 步”按钮。
(6)在弹出的页面中,单击“完成”按钮。
二、活动目录的管理
2.配置域用户属性
三、将客户机加入到域
(1)首先设置客户机TCP/IP属性, DNS 服务器地址设为服务器的IP地址。
组网技术
组网技术
域和活动目录的设置
1.1 实训目的
(1)了解活动目录的相关概念。 (2)掌握活动目录的安装和使用方法。
1.2 实训流程
(1)建立和设置活动目录。 (2)活动目录的管理。 (3)将客户端加入到域。
1.3 实训操作(步骤)实践
一、建立和设置活动目录
(1)打开“管理您的服务器”页面,启动 配置向导。
三、将客户机加入到域
(2)右键单击“我的电脑”,选择“属性”, 单击“计算机名”选项卡,然后单击“更改”。
(3)在“计算机名更改”对话框中,单击 “隶属于”项下方的“域”单选框,然后填入 “域名”。单击“确定”按钮。
(4)在显示提示后,输入上面创建的账户名 和密码,然后单击“确定”按钮。
(5)重新启动计算机,在登录对话框中输入 用户帐号和密码及所属的域,然后单击“确定” 按钮,计算机就可以成功登录到域中了。
windows网络管理域与活动目录精品PPT课件
从“开始”→“控制面板”→“系统”菜单中, 打开“系统属性”窗口,选择“计算机名”选 项卡
点击“更改”按钮,打开“计算机名称更改” 窗口
输入计算机名、域名
• 输入要加入的域的 名字
• 输入要加入的域的 管理员账户和密码
登录到本地就不能 使用域中的资源
登录到域就能使用 域中的资源
文件权限可以分配给域中的用户了
user1是szpt域中 的用户
user1如果在其他 计算机上登录到域, 就可以使用该计算 机上的资源了。
一、多域
二、域之间的信任关系 单向和双向
二、域之间的信任关系
三、域树和域林(案例)
三、域树和域林
组织单元有许多划分方法,也可以根据地理位 置进行划分
Windows Server 2003服务器在域中可以有三种角 色:域控制器、成员服务器和独立服务器。
当一Windows Server 2003服务器安装了活动目录,服务 器就成为了域控制器,域控制器可以对用户的登录等进 行验证
Windows Server 2003可以仅仅加入到域中,而不安装活 动目录,这时服务器的主要目的是为了提供网络资源, 服务器称为成员服务器
域 逻辑上统一集中管理
域树
域林
根域
根域特点
四、用户访问资源的过程
四、用户访问资源的过程
写在最后
经常不断地学习,你就什么都知道。你知道得越多,你就越有力量 Study Constantly, And You Will Know Everything. The More
You Know, The More Powerful You Will Be
微软云内部培训资料
企业自建IT系统
IT容量低于实际负载 = 客户投诉 & Unhappy CEO
采购的IT容量
负载预期
IT 容量
IT容量大于实际负载 = Unhappy CFO
• • • 大部分企业都面临着IT运维的问题。 预期是线性增长,所以我们的IT设备也是大致按照这种趋势去准备。 但是实际情况不是如此。由此会出现设备不足或设备过剩的情况。前者造成客户满意 度的下降,后者造成资源浪费。
客户 Sharepoint/Biz Talk
供应 商
合作伙伴
员工
Windows Client/Office/Sur face/windows phone
Microsoft Forefront Security
防火墙、病毒防护
Idea to Offering Market to Order Quote to Cash Issue to Resolution Forecast to Delivery Hire to Retire Support the Business
合作伙伴
员工
防火墙、病毒防护
业务流程域
Idea to Offering
Market to Order
Quote to Cash
Issue to Resolution
Forecast to Delivery
Hire to Retire
Support the Business
员工生产力(office、Outlook)
实际负载
成本大大降低
• 在Azure环境下,设备可以非常容易且快速的进行增减。 • IT设备的投入基本和实际的需求状况吻合。Fra bibliotek时间17
利用微软的活动目录
利用微软的活动目录(AD)复制,你能够更好地控制网络流量,减轻站点的负担。
请认真阅读这套由两部分组成的教程,它们介绍了如何为你自己的域配置AD目录复制系统。
在Windows 2000 活动目录(AD)环境里,你可以使用站点(Site)把网络物理地划分开,从而优化AD复制。
通过理解微软是如何在你的域里实现AD复制,你能够更有效地对把你的网络划分成AD站点,从而减少通过低速网络连接的网络流。
这篇文章是关于活动目录站点的两篇系列文章的第一部分,在这篇文章里,我们要研究缺省的AD站点内(intra-site)复制的配置,以及信息如何被复制。
在系列的第二部分,我们要研究如何对自己的站点进行安装设置,对通过网络进行的AD复制流进行优化。
活动目录复制在活动目录(AD) 域控制器(DC)安装到域里时,活动目录会建立缺省的复制模板,并且在活动目录之间自动建立起一个环形的复制拓扑,建立的依据是确保复制流量沿着最有效的路径进行。
你可以沿着环的任意方向把变化复制到AD。
因为在AD里所有的DC的地位都相等,都包含可以写入的AD数据库备份,因此在实现多主机复制系统时,有一些潜在的挑战面对着微软。
在你可能考虑到的问题里,有些是:DC如何把复制流量控制在最小?DC如何保持所有的数据库拷贝同步?如果DC从两个复制伙伴得到相同的修改,会怎么样?如果两个修改同时发生,会怎么样?那么就让我们按顺序来看看这些问题。
DC如何把复制流量控制在最小?为了把网络流保持在最小,AD的复制在每-属性(per-attribute )的基础上进行。
简单地说,这就是指如果一个属性发生了变化(比如,用户的电话号码),那么只有这个小小的变化被复制到你的域里的其它DC上。
你可以想象,AD 的每属性复制,和把整个数据库拷贝都通过网络传递比起来,更加有效率,需要网络带宽也更少。
DC如何保持所有的数据库拷贝同步?AD DC 使用一套更新顺序数字(USN)系统对彼此间流动的AD数据库的不同版本进行校验和同步。
Windows Server域控制器(活动目录)培训
域 的信 任 关系
图18
设置域控制器属性(1)
图20
4.
5.
在“常规”选项卡的“描述”文本框中输入对域控制器的一般 描述。如果不希望域控制器的可受信任用来作为委派,可禁用 “信任计算机作为委派”复选框。 选择“操作系统”选项卡,可显示出操作系统的名称、版本以 及Service Pack,管理员只能查看并不能修改这些内容。
设置域控制器属性(3)
图8
安装活动目录(8)
9. 单击“下一步”,打开如图9所示的“数据库和日志文件文件夹” 对话框,在“数据库文件夹”文本框中输入保存数据库的位置, 或者单击“浏览”按钮选择路径,在“日志文件夹”文本框中 输入保存日志的位置或单击“浏览”按钮选择路径。
注意,基于最佳性和 可恢复性的考虑,最 好将活动目录的数据 库和日志保存在不同 的硬盘上。
5.
图5
安装活动目录(5)
6. 单击“下一步”,打开如 图6所示的“创建一个新 域”对话框。这里我们选 择“新林中的域”。
图6
如果所创建的域为单位的第一个域,或者希望所创建的新域独 立于现有目录林,可选择“在新林中的域”。 如果希望新的域成为现有域的子域,则选择“现有域树中的子 域”。 如想创建一个与现有域树分开的、新的域树,则选择“在现有 的林中的域树”。
1. 选择“开始/程序/管理工具/Active Directory用户与计算机”菜单, 打开“Active Directory用户与计算机”管理窗口,如图19所示。 2. 在控制台目录树中,双击展开域节点。单击Domain Controllers子 节点。
图19
设置域控制器属性(2)
活动目录基础培训
注: 是域名、C2 是脱机的客户机名、C2.txt 是所创建的文件,它保存在 C 盘根目录。 如果 DC 是 Windows Server 2008 R2 以前的版本,需要加参数 /downlevel。
注:输入虚线框中的命令,夺取相应主机角色。
14
实验四.委派安装 RODC&配置密码复制策略
第一阶段在 上创建 RODC 管理员账户 RODCAdmin,第二阶段将主机附加到 RODC 账户,完成安装 RODC 工作。
1、 第一阶段: a) 在 上创建 RODC 管理员账户 RODCAdmin(开始 管理工具 AD 用户和计算机) 。 b) 预创建只读域控制器账户(开始 管理工具 AD 用户和计算机)
在控制台中添加 AD 架构、AD 域和信任关系、AD 用户和计算机管理单元。
用相同方法可以把余下的 4 个操作主机转移到 上。
13
3、 夺取操作主机
在 处于离线状况,将操作主机角色从 上转移到 (额外 DC) 。 在 (非操作主机的 DC)上登录:
2、把文件 C2.txt 保存在 C2 主机上 C 盘根目录下:
当主机 C2 与域控制器网络互通时,重新启动主机 C2,之后 C2 即可加入域。 3、验证:在 DC 上查看 DNS 区域记录(C2 的 A 记录) 。
注:在日志中,记录加入域的过程(排错时使用) :c:\Windows\debug\NetSetup.log
windowsserver活动目录知识点汇总
第一章部署WINDOWS 域什么是域?将网络中的计算机逻辑上组织在一起,将其视为一个整体,进行集中管理,叫做域什么是活动目录?活动目录是一种目录是一种服务什么是域控制器?是安装了活动目录服务的一台计算机什么是单域?网络中只建立了一个域,我们将其称之为单域什么是域树?域树是具有连续的名称空间的多个域什么是域林?域林是由一个或者多个没有形成连续名称孔明关键的域树组成安装域控制器的准备条件?(5 个条件)1、安装者必须具有本地管理员权限2、操作系统版本必须满足条件Windows NT ServerWindows 2000 ServerWindows Server 2003(除WEB 版)Windows Server 2008(除WEB 版)不能是客户端的操作系统3、本地磁盘至少有一个分区是NTFS 文件系统4、配置静态的ip 地址和子网掩码5、有足够的可用磁盘空间安装域控制器的命令?dcprmo 域功能级别有哪几个?(3 个)Windows 2000 ServerWindows Server 2003Windows Server 2008客户机加入域的条件?(2 个条件)确保该计算机和域控制器互相联通配置正确的DNS 地址组的类型有哪两个?有何区别?安全组和通讯组安全组:管理员通过赋予安全组访问资源的权限,而使得安全组所包含的用户也具有相应的权限,使用安全组而不是单独的用户可监护网络维护和管理工作通讯组:没有安全方面的功能,只能用作电子邮件的通信组的作用域有哪三个?有什么区别?什么是OU?本地域、全局、和通用本地域组成员来自于全局用用范围为本域或者是当前域全局组成员来自本地,作用范围为全局或任意域通用组成员来自于任意域,作用范围为任意域OU 是Active Directory 中的容器,可用在其中防止用户、组、计算机和其他OU 第二章域控管理安装额外域控制器的准备条件?(4 个条件)1、操作系统版本必须受当前域功能级别支持2、安装者必须具有域管理员权限3、计算机IP 地址和DNS 服务器地址配置正确(DNS 服务器地址通常为第一台域控制器的IP 地址)4、确保计算机和地一台域控制器的联通额外域控制器的好处?(3 个条件1、提供容错功能2、提供负载均衡3、更易于用户的连接和访问各个域功能级别支持的域控制器有哪些?Windows 2000 纯模式windows 2000 server 、windows server 2003 、windows server 2008 windows server 2003 windows server 2003 、windows server 2008 windows server 2008 windows server 20081 卸载域控制器的注意事项有哪几点?(4 点)1、如果该域内还有其他域控制器,则该域控制器会被降级为成员服务器2、如果该域控制器是域内最后一个域控制器,则该域控制器会被降级为独立服务器3、如果该域控制器担任了“全局编录”角色。
《域与活动目录》课件
学习如何优化和调整域和活动目录,提升系统的性能和稳定性。
3 故障排查和解决
掌握域和活动目录故障排查和解决的方法,确保系统的正常运行。
六、总结
重要性
发展趋势
总结域与活动目录的重要性, 以及它们在系统管理中的关 键作用。
展望域与活动目录的发展趋 势,了解未来技术的变革和 影响。
未来展望
展望域与活动目录的未来, 探索新的发展方向和挑战。
安装和配置
学习如何安装和配置域 控制器,确保系统能够 顺利运行。
维护和管理
掌握域控制器的维护和 管理技巧,确保域的稳 定运行。
三、活动目录
概念和作用
了解活动目录的概念和作 用,以及它对域的重要性。
架构和组件
深入了解活动目录的架构 和各个组件的功能,帮助 您更好地管理活动目录。
命名和管理
学习如何命名和管理活动 目录,确保数据的有效组 织和访问。
四、域和活动目录的关系
1
关联
了解域和活动目录之间的关联,以及它们在系统中的协作关系。
2
同步
学习如何同步域和活动目录的数据,确保信息的一致性和准系统免受潜在威胁。
五、域和活动目录的应用
1 应用场景
探索域和活动目录的各种应用场景,了解它们在不同领域的价值和实际用途。
《域与活动目录》PPT课 件
欢迎来到《域与活动目录》课程的PPT课件。在本次课程中,我们将深入探讨 域和活动目录的概念、结构、应用等内容,帮助您更好地理解和掌握这一重 要的主题。
一、域的概念
在本节中,我们将介绍域的定义和作用,域的层次结构以及域名称系统。
二、域控制器
作用和分类
了解域控制器的作用和 不同分类,为后续的安 装和配置提供基础。
windows2022与活动目录补充
windows2022与活动目录补充1.某公司网络采用windows server 2022的域环境进行管理,域名为.有一台域控制器DC01,域和林功能级别都是Windows server 2022.现在公司决定将Windows server 2022AD 升级到windows server 2022AD。
使用Windows server 2022的域和林功能级别,可以使用更多的功能完成该操作涉及到的步骤较多,大体上分为以下几步:A.扩展windows server 2022AD的林架构和域架构,更新组策略对象权限,更新AD对RODC(只读域控制器)的支持。
B.将独立服务器DC02加入现有域,并提升为额外域控制器。
C.将FSMO角色转移到DC02D.将DC01降级为普通成员服务器E.提升AD域功能级别和林功能级别到windows server 2022具体步骤:setup1:扩展windows server 2022AD的林架构域架构,更新组策略对象权限,更新AD对RODC(只读域控制器)的支持a.DC01上插入windows server 2022的光盘,光驱盘符为D, 打开命令提示符,输入d:,进入光驱盘符d: b.输入命令cd sources\adprep,进入adprep目录c.在命令提示符下输入命令adprep.exe /forestprep(林构架)回车d.输入C,开始扩展林架构。
e.输入命令adprep.exe /domainprep(域架构).开始扩展windows server 2022的域架构。
注意,如提示Adprep检测到域未处于本机模式,这时需要提升域功能级别,在开始-----程序----管理工具中找见“Active Directory 域信任关系”,然后右击“”选择“提升域功能级别,从windows server 2022提升到windows server 2022. 再次执行“adprep /domainprep”进行域架构的扩展。
关于域的 Office Word 文档
活动目录实战系列一(小型局域网搭建域环境)在小型域坏境中要做域环境,大家都知道域服务器垮掉可不是件好玩的事情,现在我用一台服务器做主域控,另一台做额外域控。
我使用两台虚拟机给大家做实验。
我的域名为域控IP为192.168.0.2,额外域控IP192.168.0.5.一。
设置IP二。
为安全起见,我们修改administrator用户,并设置强密码。
我新建了一帐户51ctoadmin,并把它加入到administrators组三。
切换到我们建的用户,放入系统光盘。
这里自动生成了netbios名,不要修改了。
这里是活动目录数据库和日志文件夹的位置。
因为我们是第一台域控制器,同时作为DNS服务器,选择第二项。
这里我们选择第二项输入目录服务还原用的管理员密码。
接下来是漫漫的等待。
完成重启计算机。
这样我们的主域控制器就做好了。
我们下面做额外域控。
首先我们设置下IP地址,DNS指向主域控制器。
前面的步骤一样,在这一步不同的是我们选择现有域的额外域控制器我们这里输入域管理员的用户名与密码这里我们选择要作为那个域的额外域控。
我们这里是后面的步骤差不多,重启计算机后就算是做好了。
客户端DNS都指向主DNS,这样我们怎样让局域网的客户机上网呢?我们设置DNS属性。
如图,将所选域的转发器的IP地址填写上公网的DNS地址即可。
我们考虑到如果主域控制服务器无法启动后,DNS也无法使用,所以我们还要做辅助DNS 首先我们要允许主DNS可以允许辅助DNS复制我们在额外域控制器上安装DNS组件,这样我们同步一下就可以了。
我们在客户端设置两个DNS地址,主与辅的,当主域控出现问题,我们可以提升额外域控为主域控即可。
提升域控制器我们系列二说。
活动目录实战系列二(主域控无法正常启动)今天一大早过来,发现WIN98客户端无法登陆,一检查主域控DOWN机了,没法启动。
幸好做了额外DC,通过抢占PDC角色,提升额外DC为主DC,先使客户机正常登录域环境,这样我们为修复主域控争取时间。
Windows Server 活动目录企业应用(微课版)项目3 管理域用户账户和组
管理域用户账户和组相关知识
• 重置密码:当用户忘记密码或密码使用期限到期时,系统管理员可以利用此 处为用户设置一个新的密码。
• 禁用账户(或启用账户):若某位员工因故在一段时间内无法来上班的 话,此时您可以先将该员工的账户禁用,待该员工回来上班后,再将其重新 启用即可。若用户账户已被禁用,则该用户账户图形上会有一个向下的箭头 符号(例如图3-11中的用户mike)。
管理域用户账户和组相关知识
4.1.1 规划新的用户账户
遵循以下规则和约定可以简化账户创建后的管理工 作。
1、命名约定 ➢ 账户名必须唯一:本地账户必须在本地计算机上唯
一。 ➢ 账户名不能包含以下字符:* ; ? / \ [ ] : | = , + < > " ➢ 账户名最长不能超过20个字符
管理域用户账户和组相关知识
管理域用户账户和组相关知识
4.1.6 设置域用户账户的属性
每一个域用户账户内都有一些相关的属性信息,例 如地址、电话与电子邮件地址等,域用户可以通过 这些属性来查找AD DS数据库内的用户,例如通过 电话号码来查找用户,因此为了更容易地找到所需 的用户账户,这些属性信息应该越完整越好。我们 将通过Active Directory管理中心来介绍用户账户的 部分属性,请先双击要设置的用户账户Alice。
管理域用户账户和组相关知识
1.组织信息的设置
组织信息就是指显示名称、职务、部门、地址、电话、电子邮件、网页等,如 图3-13中的组织节点所示,这部分的内容都很简单,请自行浏览这些字段。
图3-13 Active Directory管理中心--Alice账户--组织信息
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安装前的准备
内部网络规划 IP规划 提前做好 计算机名 建议采用 部门代号+类型+流水号 计算机描述 网络拓朴图 服务器规划 磁盘分区 建议全部采用NTFS格式 DNS域名 用户名命名规则
总部内网IP规划表
硬件配置建议
和域的数量以及计算机的数量有关,200用户建议: 中央处理器:Intel Xeon CPU 3.20GHz * 2 物理内存: 2G 硬盘: 100G 网卡:千兆 为了保障域登录的速度,不推荐使用普通机器 总部的配置 (联想 T350) 中央处理器:Intel Xeon CPU 2.5GHz * 2 物理内存: 4G 硬盘(Raid 5):100G 网卡:千兆
华东分 公司
...分公 司
南昌
厦门
...
Active Directory的安装部署
通过本章可以学习到如下内容: 安装前的准备 Windows 2008 Active Directory 安装部署 加入域
写入属性
写入扩展属 性 删除子文件 夹及文件 删除 读取权限 更改权限 取得所有权
〇
〇 〇 〇 〇 〇 〇
〇
〇
〇
〇
〇 〇 〇 〇 〇
“〇”代表标准NTFS权限包含这些特殊权限
权限
描述 对于文件夹:“遍历文件夹”允许或拒绝通过文件夹来移动,以到达其他文件或文件夹,即使用户没有禁止的文件 夹的权限。(仅适用于文件夹。)只有当“组策略”管理单元中没有授予组或用户“忽略通过检查”用户权 限时,禁止文件夹才起作用。(默认情况下,授予 Everyone 组“忽略通过检查”用户权限。) 对于文件:“运行文件”允许或拒绝运行程序文件。(仅适用于文件。) 设置文件夹的“遍历文件夹”权限不会自动设置该文件夹中所有文件的“运行文件”权限。 “列出文件夹”允许或者拒绝查看文件夹内的文件名和子文件夹名。“列出文件夹”只影响该文件夹的内容,不影 响是否列出正在设置其权限的文件夹。(仅适用于文件夹。) 读取数据允许或拒绝查看文件中的数据。(仅适用于文件。)
轻型目录访问协议LDAP
Lightweight Directory Access Protocol LDAP 是一种用来查询和更新Active Driectory 的目录服务通信协议 Win2k8 域是利用“LDAP命名路径”表示对象在域的位置 包含以下内容 Distinguished Name [DN] 可分辨名称
Active Directory相关术语
深圳总部域结构
zhongjp@ hum@
public@
Active Directory相关术语
理想的域结构
总公司
华南分 公司
华北分 公司
标准NTFS权限 特殊NTFS 权限 遍历文件夹 /运行文件 列出文件夹 /读取数据 读取属性 读取扩展属 性 创建文件/ 写入数据 创建文件夹 /附加数据 完全控制 〇 〇 〇 〇 〇 〇 修改 〇 〇 〇 〇 〇 〇 读取及运行 〇 〇 〇 〇 〇 〇 〇 〇 〇 读取 写入 列出文件夹 目录 〇
Windows 2008 Active Directory 安装
设定DNS
Windows 2008 Active Directory 安装
更改本地连接DNS为 127.0.0.1或者外部DNS
Windows 2008 Active Directory 安装
安装日志文件 C:\windows\DEBUG\dcpromo.log C:\windows\DEBUG\dcpromoUI.log
Windows 2008 Active Directory 安装
安装Windows 2008 磁盘格式为NTFS格式 如果是FAT 格式,可以用如下命令转换 Convert c: /fs:NTFS 安装SP2补丁 更改域的电脑名 如 server 、dc、ad 设定IP地址 准备根域名 如 安装DNS服务器 (这一步可以一起装)
写入属性
写入扩展属性
删除子文件夹及文件
删除 读取权限 更改权限 取得所有权 同步
允许或拒绝删除子文件夹和文件,即使尚未授予对子文件夹或文件的“删除”权限。(适用于文件夹。)
允许或拒绝删除文件或文件夹。如果您没有对文件或文件夹的“删除”权限,但是在父文件夹中已被授予“删除子 文件夹及文件”权限,则您仍然可以删除它。 允许或拒绝读取文件或文件夹的权限,例如完全控制、读取、写入。 允许或拒绝更改文件或文件夹的权限,例如完全控制、读取和写入。 允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限,无论存在任何保护该文件或 文件夹的权限。 允许或拒绝不同的线程等待文件或文件夹的句柄,并与另一个可能向它发信号的线程同步。该权限只应用于多线程、
Windows Server 2008
Active Directory
认识活动目录
通过本部份的学习,使大家可以掌握: Active Directory基础概念 Active Directory相关术语
• 了解这些有助于理解以后的学习内容
Active Directory基础概念
什么是 Active Directory™ 服务
Windows 2008 Active Directory 管理
• 安装管理工具
• 安装组策略管理工具 和 杀毒软件
休息一下
Windows 2008 Active Directory 管理
域主要用户组介绍 Administrators 管理员组 推荐笔记本用户使用该组 (无任何功能限制) Power Users 高级用户组 权限比Users高,比管理员组低 Users 普通用户组 默认增加的用户属于该组
• Directory ? 可以想像等同于一个电话本 • Active Directory ? 将一个公司内的电话本相关信 息统一组织起来,并提供给用户查询,达到公共 资源的统一管理 ! • 这种Active Directory被称为活动目录服务!主要 作用可以统一对网络资源进行管理,摆脱工作组 分散、放权的管理模式!提高整体工作效率! • Active Directory 是 Windows Server 系列操作系 统一个非常重要部分,它在实施组织的网络、进 而实现组织的商业目标中占有重要地位。
• • •
被信任用户( 帐户网络)
账户网域使用者可在所属网域中的计算机登入且可透过网络存取资源网域所 分享出来的资源 账户网域使用者可在资源网域中的计算机登入 资源网域使用者可以列出账户网域中使用者、群组及计算机等信息,并可将 以上对象加入资源网域中的群组或资源之存取控制清单(ACL)中
Active Directory相关术语
Windows 2008 Active Directory 管理
NTFS 权限管理介绍 NTFS权限是基于NTFS分区实现的,NTFS权限可以实现高度的本地 安全性。通过对用户赋予NTFS权限可以有效的控制用户对文件和目 录的访问。在NTFS分区上的每一个文件和目录都有一个列表,被称 为ACL(Access Control List,访问控制列表),该列表记录了每一用户 和组对该资源的访问权限。在默认情况下NTFS权限具有继承性,即 文件和目录继承来自上层目录的权限(当然也可以禁止下层的文件和 目录继承来自上层目录的权限分配)。 NTFS权限分为特殊NTFS权限和标准NTFS权限两大类。标准 NTFS权限可以说是有特殊NTFS权限的特定组合。特殊NTFS权限包 含了在各种情况下对资源的访问权限,其规定约束了用户访问资源的 所有行为。但通常情况下用户的访问行为都是有几个特定的特殊 NTFS权限的组合或集合。WINDOWS2003为了简化管理,将一些常 用的特殊NTFS权限组合起来内知道操作系统中形成了标准NTFS权限, 当需要分配权限时可以通过分配一个标准NTFS权限而达到一次分配 多个特殊NTFS权限的目的。 权限、资源和帐号三者是密不可分的,只能说给某帐号对某种资源分 配某种权限,而不能说赋予某帐号某种权限。
CN=胡明,OU=BelleUsers,DC=belle,DC=com
Relative Distinguished Name [RDN] 相对可分辨名称
CN=胡明
Global Unique Identifier [GUID] 全局唯一标识符 128bit f58acf78a47aaa4181f9cf049afa4279 User Principal Name [UPN] 用户规则名 hum@
Windows 2008 Active Directory 管理
其中“更改权限” 权限可以授权可用户, 使得用户对资源没有 访问的权限,但可以 为该资源分配权限。 一般情况下将该权限 授予Administrators 组,以便管理员可以 控制资源的访问权。 “取得所有权”权 限可以让用户获得某 个资源的所有权,一 般情况下文件或文件 夹的创建者自动获得 “取得所有权”权限 。为了获得文件或文 件夹的所有权,操作 者必须对该资源拥有 “完全控制”的权限 或“取得所有权”这 一特殊NTFS权限。
信任关系方向
单向信任
信任网域(资源网域)
被信任网域(账户网域)
双向信任
信任网域(资源网域) 被信任网域(账户网域) 被信任网域(账户网域) 信任网域(资源网域)
Active Directory相关术语
自动信任
域
域
WIN2008 自动建立双 向信任关系
域
Active Directory相关术语
Active Directory相关术语
Namespace [名称空间]
对象和属性
对象 用户(user) 属性 姓
名
电话号码 电子邮件 城市 省 ...
Active Directory相关术语