域组建,域管理,活动目录管理,OU管理

合集下载

第六章 Windows域管理

第6章Windows域管理很多人对域名、活动目录、DHCP、DNS等术语可能还停留在概念性的阶段，于实际操作却有些陌生，本章有助于改善这一点。

本章主要内容包括：⏹介绍域、活动目录等基础概念；⏹活动目录部署和配置；⏹DHCP部署和配置；⏹组策略涉及以下一些方面：⏹普通Server 2003和域控制器之间的升降级⏹DHCP和DNS的配置使用⏹添加或删除域用户⏹计算机加入域⏹SAM数据库和Syskey⏹组策略应用：对组策略进行编辑、设置，掌握强化系统的安全性的方法。

实验1域管理基础域是（Domain）Windows网络管理的一个基本单位。

域管理涉及域、活动目录（AD）和SAM数据库等概念。

1. 域和工作组首先我们介绍一下工作组（Work Group）的概念。

域和工作组都是局域网环境下的两种不同的网络资源管理模式。

工作组的概念想必大家都很熟悉。

它是我们默认安装完系统以后的最初、也是最常用的一种工作模式。

工作组将局域网中的电脑按功能分组，以便查找和浏览共享资源。

同一个工作组内部或不同工作组成员之间可以通过“网上邻居”实现资源共享。

从“网上邻居”最先看到的是本机所在的工作组的机器。

“工作组”是一个“对等”网结构，就像一个自由加入和退出的俱乐部一样，可以随时自由出入毫无限制，它本身的作用仅仅是提供一个“房间”，以方便查找。

在这种模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，没有server或client的概念。

共享文件即使加有访问密码，也非常容易被破解。

以工作组组成的局域网中，每一台电脑实现“个人自治”，一切设置在本机上进行，包括各种策略，用户登录也是在本机进行的，密码也是放在本机的数据库来验证的。

显然，工作组模式在安全性上存在很大问题。

域的提出，放弃了可以随便出出进进的工作组模式，而采用了“中央集权”式的严格控制。

我们可以说，域既是Windows网络系统的逻辑组织单元，也是Internet的逻辑组织单元。

AD组织单位(OU)的规划与设计(AD规划与设计连载之三) .

活动目录中的对象由使用组织单位(OU) 进行组织。

OU 的设计具有两项主要因素：目录对象管理的委派以及组策略对象(GPO) 的应用。

OU 设计应该反映出在网域中管理对象的方式。

变更OU 设计并不困难，但是因为必须小心地操控访问控制列表，所以可能会较为复杂。

一旦建立委派和组策略之后，重新设计已经套用设定的OU 可能很花时间。

因为OU 可担任系统管理委派及组策略应用的双重角色，所以必须进行两次OU 设计程序：一次针对委派，另一次则针对组策略的用法。

工作1：针对系统管理的委派来设计OU 设定OU 可以用来将对象(例如用户或计算机) 的系统管理委派给指定的群组。

虽然可以将权限委派给个人，但最佳的作法仍是使用群组，因为随着组织中的人员变更，更新委派群组中的成员资格要比更新目录中的对象权限来得容易。

藉由OU 进行委派涉及下列的工作：·识别或建立即将委派权利的系统管理员群组。

·将即将委派权利的个人或群组放置到OU 中。

建立系统管理群组具有管理权的OU。

·将要指派的对象权利指派给每个OU 内的系统管理群组。

·在OU 内建立/放置要控制的对象。

·识别要委派系统管理工作的群组时，请尽可能地详细说明必要的最低控制权限。

工作2：设计组策略应用程序的OU 设定您可以建立OU，以将组策略设定套用至特定的计算机或用户子集。

根据默认，OU 中的所有对象都会收到已套用的GPO 所包含的设定。

从委派(或作业) 角度来看，完成OU 设计之后的下一个步骤就是修改OU 设计，以说明组策略设定所可能导致的任何独特状况。

例如，从委派角度来看，您可以建立称为“工作站”的OU，以委派用来管理所有工作站的权限。

在考虑组策略时，可能需要在桌面计算机OU 和行动装置OU 中反映出桌面计算机及笔记本电脑不同的原则需求。

在此案例中，可以将这些桌面计算机和移动装置OU 建立为工作站或OU 内的子OU，或者由这两个个别的OU 来取代工作站OU。

域管理员使用手册

域管理员使用手册作为一个域管理员，您负责管理和维护域环境，确保网络的顺利运行和安全性。

在这份使用手册中，您将找到一些关键问题和解决方案，以帮助您更好地管理域。

1. 域环境介绍在开始管理域之前，您需要熟悉域环境的基本概念和组成部分。

域是一组计算机、用户和设备的集合，它们共享一个共同的安全数据库和组策略。

域环境通常由域控制器、域成员和域资源组成。

2. 域管理员权限作为域管理员，您将拥有特殊的权限和责任来管理域环境。

您的权限将包括用户和计算机的管理、组织单位的创建和维护、安全策略的制定等。

确保只有经过授权的管理员才能访问域控制器和进行管理操作。

3. 用户管理用户管理是域管理员最常见的任务之一。

您将负责创建、删除、禁用和启用用户账户，设置密码策略，管理用户组和组织单位等。

确保为每个用户分配适当的权限和资源，并定期审查和更新用户账户信息。

4. 计算机管理域管理员还需要管理域中的计算机。

您将负责加入新计算机到域中，管理计算机账户，设置计算机安全策略等。

定期更新操作系统和应用程序的补丁，确保计算机的安全性。

5. 组织单位管理组织单位（OU）是域中组织和管理用户、计算机和其他对象的一个关键组成部分。

作为域管理员，您将负责创建和维护OU，将对象分配到不同的OU，并设置适当的权限和策略。

6. 安全策略实施保护域环境的安全性是域管理员的重要任务之一。

您需要制定和实施适当的安全策略，包括密码策略、访问控制策略、安全审计等。

定期审查安全策略的有效性，并根据需要进行调整和更新。

7. 故障排除和故障恢复在域环境中，故障和问题是难以避免的。

作为域管理员，您需要具备故障排除和故障恢复的技巧。

了解常见的问题和解决方法，定期监控和维护域控制器、网络连接等，确保系统的稳定性和可靠性。

8. 域备份和恢复域环境中的数据备份和恢复是非常重要的。

域管理员需要定期备份活动目录数据库、系统状态和相关配置文件，并确保备份的完整性和可用性。

在需要时，快速恢复域环境以确保业务的连续性。

第3章_域和活动目录

（9）单击【下一步】按钮，弹出【共享的系统卷】向导页。在此指定SYSVOL文件夹的位置
（10）单击【下一步】按钮，系统会自动到DNS服务器中查找是否有相应的DNS区域。如果在DNS服务器上有相应的DNS区域并已设置了区域属性允许动态更新，则立即进行安装。如果没有相应的DNS区域则出现如图3所示的【DNS 注册诊断】向导页。此选择中【在这台计算机上安装并配置DNS服务器】，并将这台DNS服务器设为这台计算机的【首选DNS服务器】单选按钮。
（18）单击【立即重新启动】按钮，重新启动后该计算机就
以域控制器的角色出现在网络中。
把计算机加入、退出域
在系统属性中的计算机名选项卡中的计算机名称更改中进行设置，把计算机进行工作组与域模式之间的切换，使之能够进入域和推出域。
删除活动目录
在DC上选择【开始】|【程序】|【管理工具】|【管理您的服务器】菜单中进行删除活动目录，依次根据提示进行相应操作。
5）在Windows Server 2003典型的域中，计算机类型有：运行Windows Server 2003的域控制器：每个域控制器都存储和维护目录的一个副本。运行Windows Sever 2003的成员服务器：成员服务器是没有配置成域控制器的服务器。成员服务器不存储目录信息，并且不能验证用户的身份。成员服务器提供诸如共享文件夹或打印机的共享资源。运行Windows Server 2003或其他操作系统的客户机：客户机运行用户桌面环境，并且允许用户访问域中的资源。
本章作业
一．练习 1．填空题（1）网络中计算机逻辑组合的两种模式，即_______和 _______模式。（2）在域的模式下，_______是最小的安全边界， _______是最小的管理边界。（3）在Active Directory中所有的对象被组织在一个树状的层叠结构当中，这个树状结构包括有_______、 _______、_______、_______和_______。（4）在创建新域时，域的类型有三种，它们分别是 _______、_______和_______。（5）Active Directory共享系统卷默认的共享文件夹的路径是_______。

windows服务器_部署活动目录域

32
实验案例2：OU的管理
• 学员练习：
– 创建OU – 创建用户 – 委派权限 – 在客户机添加“Active Directory域服务工具” 功能 – 在客户机上使用被委派用户验证委派
40分钟完成
33
6
安装活动目录
• 推荐步骤
– 运行dcpromo命令 – 在新林中新建域 – 设置域名 – DNS服务器 – 目录服务还原模式的Administrator密码
7
域功能级别
域功能级别支持的域控制器
Windows 2000 Window Server 2003 Window Server 2008 Window Server 2003 Window Server 2008
– 可扩展性
4
域和活动目录的概念3-3
• 域树
– 具有连续的域名空间的多个域
• 林
– 林由一个或多个域树组成
5
安装域控制器的条件
• 安装者必须具有本地管理员权限 • 操作系统版本必须满足条件（Windows Server 2003 除Web版外都满足） • 本地磁盘至少有一个分区是NTFS文件系统 • 有TCP/IP设置（IP地址、子网掩码等） • 有相应的DNS服务器支持 • 有足够的可用空间
• 可以按AGDLP规则来使用全局组
19
通用组
• 使用范围是整个林及信任域 • 全局组和通用组的区别
– 通用组的成员身份在全局编录中
• 多域环境下通用组成员登录或者查询速度较快
– 全局组的成员身份在每个域中
20
组织单位（OU）的管理
• 概念
– 容器：有效地组织活动目录对象 – 委派控制 – 组策略
16

域管控方案课件

1.6
禁用用户计算机Guest账号
桌面管理
2.1
域计算机统一桌面背景
2.2
域计算机统一开始菜单样式
IE设定
3.1
禁止变更Proxy设定
根据用户需求设定
3.2
禁用Internet连接向导
根据用户需求设定
3.3
禁用IE更改主页设置
根据用户需求设定
3.4
禁止变更IE安全性设定
根据用户需求设定
1-2天
4
在主域控制服务器上安装AD、DNS、DHCP、WINS角色
1天
5
将额外域控制器服务器加入域中
0.5天
DNS配置
6
在额外域控服务器上安装AD、DNS、DHCP、WINS角色，实现与主域控制服务器的冗余
1天
DNS配置
7
确定并建立OU组织架构
1天
8
基本域控策略规划
1-2天
9
客户端加入域测试
AD介绍
现状和问题
企业网络中计算机默认处于工作组（WorkGroup）网络模式，工作组网络是一种对等网络，网络中的计算机地位平等，计算机之间互不干扰，正因为工作组是一种对等网络，所以它存在以下问题。
管理分散
？
资源共享和账号管理分散，所有的设置都要在计算机本地进行设置，无法统一管理
“人机”不分
容灾和备份
Active Directory域服务(ADDS)是Windows基础结构中针对关键任务的组件。如果Active Directory出现故障，网络实际就崩溃了。因此，Active Directory的备份和恢复计划是安全性、业务连续性的基础。
备份策略：使用Windows Server backup对Domain Controller活动目录进行定期备份。

域管理(什么是ou 什么是ad 什么是FSMO角色)

第2步在左窗格中用鼠标右键单击域名，并在弹出的快捷菜单中执行“新建/Organizational Unit”命令。
第3步打开“新建对象-Organizational Unit”对话框，在“名称”编辑框中键入新的OU的名称(如“广告信息部”)，并单击“确定”按钮
OU的设计方式
为了有效的组织活动目录对象，OU根据公司业务模式的不同来创建不同的OU层次结构。一下是几种常见的设计方法。
抓取：seize,抓取是指旧的DC已经不能正常工作，或已经不能启动，那么带给网络管理员的麻烦是，域中的某些计算机已经不能正常登陆到域中，此时需要使用强迫抓取，将五种操作主机都强制到可用的DC上
使用命令完成操作：
ntdsutil 进入ntds工具提示符
roles 调整操作主机角色
connections 进入连接模式
FSMO角色以及DC修复
AD中的FSMO角色：
2000的AD2003的AD都不同于NT4.0的目录服务，NT4.0的目录服务中存在主域控制器和备份域控制器，俗称为PDC和BDC,PDC主要完成用户帐户和计算机帐户的登陆问题，而BDC只是做备份，在2003的AD中没有PDC和BDC的概念，取而代之的是在活动目录中使用多个DC，但是不份主次，DC的作用由FSMO角色去确定，默认在AD中第一个创建的DC它有五种角色
什么是ou 什么是ad 什么是FSM17:13什么是ou 什么是ad 什么是FSMO角色什么是OU？OU(Organizational Unit，组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。通俗一点说，如果把AD比作一个公司的话，那么每个OU就是一个相对独立的部门。

AD域管理解决方案

AD域管理解决方案AD（Active Directory）域是Windows Server操作系统中一种用于管理网络资源和用户权限的目录服务。

它可以提供集中管理和身份验证的功能，是企业级网络环境中必备的一项技术。

下面是一些AD域管理的解决方案。

2.组织单元（OU）：AD域中的OU是一种逻辑组织单位，用于对网络资源进行分组和管理。

通过合理设置OU的层级结构，可以便于对用户、计算机和组的权限和策略进行管理。

通过OU，可以将相同职能的用户和计算机集中管理，提高管理效率。

3.用户和组管理：AD域可以集中管理用户和组的身份验证和授权信息。

管理员可以通过ADUC创建和删除用户，修改密码，分配用户权限等。

同时，可以创建和管理组，通过组来分配权限和策略，提高管理的灵活性和可扩展性。

4.组策略：AD域中的组策略可以用于集中管理计算机和用户的配置。

管理员可以通过组策略设置用户桌面和应用程序的配置，安全策略，网络设置等。

组策略可以根据需要应用到不同的OU、组或个别对象上，提供了灵活的配置管理能力。

5.安全和权限管理：AD域的安全性是管理的重要考虑因素之一、管理员可以通过ADUC设置用户和组的安全权限，限制其访问特定资源。

同时，可以通过访问控制列表（ACL）控制对特定对象的访问权限。

此外，AD域还支持审计策略，可以对关键操作进行审计记录和报告。

6.备份和恢复：AD域的管理解决方案中，备份和恢复是必不可少的一环。

AD域的数据包括用户、组、计算机和策略配置等，这些数据的丢失或损坏可能会导致系统不可用。

管理员应定期备份AD域的数据，并测试恢复过程的有效性。

7.故障排除和监控：AD域的管理解决方案应包括故障排除和监控的功能。

管理员可以使用日志记录和性能监视工具来分析和诊断AD域的问题。

定期监控AD域的性能和可用性，并采取必要的措施来修复故障或性能下降的问题。

总之，AD域管理解决方案是一个综合的技术体系，包括了用户和组管理、策略配置、安全和权限管理、备份和恢复等方面。

OU的管理实验+步骤

实验五OU的管理实验环境沈阳某公司有5个部门：行政部，人事部，工程部，销售部，财务部，其中销售部有正式员工和临时员工，网络管理员需要按部门来管理用户帐号、组和计算机账户。

总部的员工在总部的组织单位中管理，将来需要在分公司进行登录时，希望登录域和访问域中资源时的速度够快。

由于销售部最近业务比较多，需要招聘临时人员5名来提供电话支持服务，同时要分别做信息反馈记录并存储在服务器上某文件夹，但禁止临时人员访问公司的文件服务器，而且只允许周一到周五每天8：00—17：00可以登录计算机工作。

临时人员的工作期限为15天，之后临时人员账户自动到期失效。

销售部的某员工可以有权限重置本部门临时员工的密码。

实验目标1．掌握创建OU的方式2．熟练运用AGDLP规则3．理解“登录时间”、“过期”、“登录到”等概念4．能够建立通用组5．能够委派用户修改临时员工更改密码的权限，并能撤销委派实验准备1．一人一组2．准备2台Windows Server 2003 vm（需要唯一SID）（一个作为客户机，一个作为文件服务器）3．VM网卡一块，类型为“网桥模式”4．学员虚拟机IP设置为192.168.2.X/24和192.168.2.Y/24，X为100＋学员的学号（比如王放在考勤表上学号是10号，那么他的虚拟机的IP是192.168.2.110），Y为200＋学员的学号。

5．完成本章的任务一和任务二。

完成标准1．按地理位置创建2个OU，按部门创建5个OU，按身份创建2个OU。

2．创建用户帐号-加入全局组-加入域本地组-授权3．设置临时员工帐户过期时间、登录时间段和允许登录的计算机4．委派用户对销售部OU有重设用户密码的权限。

实验步骤1．在DC上创建OU，创建临时员工帐户、全局组、本地域组，运用AGDLP1.1 在域控制器创建沈阳分公司和北京总部两个OU。

重复以上步骤，再建立“北京总部”的OU，以及在“沈阳分公司”下分别建立：行政部，人事部，工程部，销售部，财务部的OU，并在“销售部”下建立正式员工和临时员工的OU。

公司域管理实施方案

公司域管理实施方案实施方案本方案旨在加强公司IT系统及网络系统的有效管控，提升公司电脑系统技术支持的服务效率，为公司移动办公提供安全支撑平台。

为此，我们已经搭建了模拟网络测试环境，并对域管理的各项技术及有关方案进行了初步测试。

在域服务器建立后，将对公司内部电脑系统实施域管理。

好处域管理的好处包括：用户集中管理，需要验证和授权才能进入公司内部网络；加入域管理的电脑未经授权不能安装非办公需要的软件，有效预防私自安装第三方软件引起的各种问题；提升公司电脑系统的维护效率，域服务器将统一自动分发、安装用户电脑系统补丁和升级，节省网络带宽资源，防止重要的系统补丁没有及时安装引起的安全隐患；对公司用户分类管理，根据实际情况，可对不同用户组提供不同的服务；集中化资源管理，公司各部门的工作文档、软件工具等统一归档在服务器上，各部门同事根据被授予了访问权限才能查阅；域服务器统一管理网络打印机等公共设备，每台桌面电脑不需要安装打印机就可打印文件资料；每个同事登陆和退出公司网络都有详细的跟踪记录，可以监控非法用户的访问；根据需要，有效管理相关同事使用公司网络的时间范围；有效支持公司未来移动办公的需求。

具体方法为实现域管理，我们将采取以下具体方法：1.建立AD域。

2.计划建立单域的方式建立域控服务器，活动目录的逻辑结构由域和组织单元（OU）组成。

3.组织单元（OU）是一个用来在域中创建分层管理单位的单元，在域控中将会按照部门划分，暂时分为：总经办，财务部，运营部，销售部，研发部等，以后如有调整，可以适时修改。

4.用户名命名规则，两个字采用全拼，如___，用户名为zhangsan；三个字及以上采用首字全拼加后面拼音首字母，如___，用户名为fengzq；另可以根据用户自己需要采用英文名命名。

5.为保证域控稳定安装实施，将采用分布式逐个部门进行推广。

6.在DNS服务器上创建出一个区域，区域的名称和域名相同，域内计算机的DNS记录都创建在这个区域中。

windows 域之OU的委派及委派删除

2、完成时间
45分钟
3、完成标准
1)委派“张三”对业务部OU有重设密码的权限
2)实现以“张三”的身份在客户机登录，为“业务部”OU中的用户user1重置密码
3)删除委派
2、在客户机上安装活动目录管理工具adminpak.msi
3、委派任务刷新配置gpupdate.msc
实验
拓扑
实验
环境
与
思路
1、实验环境：
需要两台虚拟机，
1)Win2003-1
操作系统为win2003，网卡设在VMNet2，IP：192.168.0.10，域控制器，所属域；
2)Winxp-1
操作系统为winxp，网卡设在VMNet2,IP:192.168.0.14,域的客户机，假设此机是供张三用户使用的电脑。
4、操作委派的任务
5、删除委派的任务
实验步骤
请写出操作步骤
实验结果分析
实验中遇到的问题及解决方法
组长签字：
BENET2.0网络实战–第1章
实验时间
2010年xx月xx日xx时～xx时
实验人
xxx
实验名称
实验之二：OU的管理与委派
所属模块及课程
网络实战第1章
实验目的
通过本实验，熟悉创建OU、域用户、全局组等对象，委派域用户张三有管理OU的权限，比如重设密码的权限。使张三能够对李四进行重设密码的操作，然后删除掉这个委派

第三章活动目录的逻辑结构

域控制器要理解活动目录是如何与实际情况相结合的，就必须先了解：在运行 Windows 2000 Server 操作系统的计算机上安装活动目录，实际是一种把服务器转换成域控制器的操作。一个域控制器只能完全主持一个域。具体而言，域控制器是一台运行 Windows 2000 Server 的计算机，它已使用活动目录安装向导（dcpromo.exe）进行了配置,该向导可安装并配置向网络用户和计算机提供活动目录目录服务的组件。域控制器会存储整个域的目录数据（如系统安全策略和用户身份验证数据），并管理用户和域的交互过程，包括用户登录进程、身份验证以及目录搜索。使用活动目录安装向导将服务器提升为域控制器的过程，同样或者是创建一个 Windows 2000 域，或者在原有域中添加新的域控制器。由于引入了活动目录，Windows 2000 域控制器的功能与“对等”类似。这与 Windows NT Server 主域控制器 (PDC) 和备份域控制器 (BDC) 扮演的主/从角色有所不同。对等域控制器支持“多主机复制”，可在所有域控制器之间复制活动目录信息。多主机复制的引入意味着管理员可以更新域中任何 Windows 2000 域控制器的活动目录。在 Windows NT Server 操作系统中，只有 PDC 有目录的可读写副本，PDC 会把目录信息的只读副本复制到 BDC。规划多域目录结构因为活动目录中的域可以包含多到数百万个对象，足可以满足一般商业组织的需要，但具体到某个公司，可能有自己的需求来建立多个域，以下列出了建立多个域的原因： ▼ 减少网络复制流量：因为目录复制只在同一个域中的 DC 之间进行，规划多域，可以把由目录复制引起的网络流量限制在域内，并且用户可以控制目录复制如何进行。 ▼ 保持现有的 NT 域结构：用户在规划从 NT 域升级到活动目录域时，如果想要保留原有的 NT 多域结构（如多个账户域），应规划一个多域目录结构。 ▼ 支持分散管理：如果用户组织中的某个部门要求实现对本部门资源、用户和安全的完全控制，应规划一个多域结构。 ▼ 支持多个域策略：如果组织中的不同部门要求不同的安全策略，如密码策略，应规划一个多域结构 ▼ 用户需要一个独立域名空间，并运行自己的域名服务器。

网络管理项目教程(Windows Server 2022)(微课版)2.2 活动目录的基本概念

在Windows Server 2022平台下的Active Directory服务包括
Active Directory证Active Directory域 Active Directory Active Directory轻Active Directory权
书服务（AD CS）
服务（AD DS）
组织单元（Organization Unit，OU）将域再进一步划分成多个组织单元以便于管理。
域树（Tree）可将多个域组合成为一个域树。
域林（Forest）一个域林或多个域树的集合。
联合身份验证服务型目录服务（AD限管理服务目录服务能提供的功能
服务器及客户端计算机管理用户服务管理资源管理基础网络服务支撑策略配置
典型的AD结构图
对象 Active Directory以对象为基本单位，采用层次结构来组织管理对象。
域（Domain）域是Active Directory的基本单位和核心单元，是Active Directory的分区单位。

活动目录里几个重要的概念

活动目录里几个重要的概念目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。

使用LDAP（端口389）轻量级目录访问协议工作，在域环境下所有用户及计算机等帐户信息均保存在一个数据库中，这个数据库位置%systemroot%\ntds\ntds.dit。

AD（活动目录）的逻辑结构包含如下组件：域/子域/树/森林/OU等。

主要侧重于对网络资源的组织。

AD的物理结构包含如下组件：DC（域控制器）/site（站点）/OM（操作主机）。

主要侧重于对网络资源的配置和优化。

下面介绍有关几个重要的概念：1.DN：(可辨别名称）--用来表示一个对象在AD中具体存储位置，类似于文件的绝对路径。

如：cn=user1,ou=sails, dc=blog,dc=com 该用户存在域的sails OU 下，用户名为user1.cn=users (默认的容器users也以cn表示)dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。

2.UPN（用户主名）用户名@域名，即用户登录时可以采用，如jack@，也可以更改此后缀。

修改：domain.msc后，在根右击--属性--更改UPN后缀，然后在用户属性-帐号中选择其后缀。

用户登录可以使用此UPN.但必须在用户属性里进行相应的更改（即启用此Upn后缀）3.SID (安全标识符）用户/组都有唯一whoami /user 当前用户的SIDwhoami /all 当前用户的详细信息（包含所属组的SID）getsid \\dc1 test \\dc1 test (安装suptools)psgetsid \\dc1 test 下载工具包。

4.AD数据库的目录分区：（AD数据库虽然是一个文件，但却是以目录分区的形式组成的）schema 架构分区 ---森林的对象类和属性，在森林级别复制。

configuration 配置分区--所有DC的位置、site，在森林级别复制。

[项目4]域与活动目录的管理

除此之外，也可以退出某个工作组，方法也很简单，只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已，工作组名并没有太多的实际意义，只是在 “网上邻居”的列表中实现一个分组而已。也就是说，可以随时加入同一网络上的任何工作组，也可以随时离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网上计算机共享资源的浏览。在Windows Server 2008系统中要启用网络发现功能，否则将无法找到网络中的任何“邻居”主机，也不会被其他的“邻居”主机发现。用鼠标右键单击Windows Server 2008桌面中的“网络”图标，在弹出的菜单中选择“属性”命令（也可以依次单击Windows Server 2008桌面中的 “开始”→“设臵”→“控制面板”命令，双击“网络和共享中心”图标），打开“网络和共享中心”管理窗口，如图4-1所示，单击“网络发现”设臵项右侧的向下箭头按钮，展开“网络发现”功能设臵区域，选中“启用网络发现”单选项，单击“应用”按钮，这样就可以寻找网络的“邻居”主机了。
当然在实际的应用中，一个域中的常常有访问另一个域中的资源的需要。为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A的用户想要访问B域中的资源，让域B信任域A就行了。信任关系分为单向和双向，如图4-7所示。图中①是单向的信任关系，箭头指向被信任的域，即域A信任域B，域A称为信任域，域B被称为被信任域，因此域B的用户可以访问域A中的资源。图中②是双向的信任关系，域A信任域B的同时域B也信任域A，因此域A的用户可以访问域B的资源，反之亦然。信任关系有可传递和不可传递之分，如果A信任B，B又信任C，那么A 是否信任C呢？如果信任关系是可传递的，A就信任C；如果信任关系是不可传递的，A就不信任C。Windows Server 2008中有的信任关系是可传递的，有的是不可传递的，有的是单向的，有的是双向的，在使用时要注意。

域管理

☑域和工作组域和工作组是针对网络环境中的两种不同的网络资源管理模式。

在一个网络内，可能有成百上千台电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱。

为了解决这一问题，Windows 9x/NT/2000就引用了“工作组”这个概念，将不同的电脑一般按功能分别列入不同的组中，如财务部的电脑都列入“财务部”工作组中，人事部的电脑都列入“人事部”工作组中。

你要访问某个部门的资源，就在“网上邻居”里找到那个部门的工作组名，双击就可以看到那个部门的电脑了。

在对等网模式（PEER-TO-PEER）下，任何一台电脑只要接入网络，就可以访问共享资源，如共享打印机、文件、ISDN上网等。

尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。

在由Windows 9x构成的对等网中，数据是非常不安全的。

一般来说，同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。

如果要访问其他工作组的成员，需要双击“整个网络”，就会看到网络上所有的工作组，双击工作组名称，就会看到里面的成员。

你也可以退出某个工作组，只要将工作组名称改动即可。

不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。

你可以随便加入同一网络上的任何工作组，也可以离开一个工作组。

“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网络上计算机共享资源的浏览。

与工作组的“松散会员制”有所不同，“域”是一个相对严格的组织。

“域”指的是服务器控制网络上的计算机能否加入的计算机组合。

实行严格的管理对网络安全是非常必要的。

在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。

“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

《Windows活动目录管理》课程标准

《Windows活动目录管理》课程标准适用专业：计算机网络专业课程编码：C3-1-3开设时间：第6阶段课时数：36一、课程概述《Windows活动目录》是湖南铁道职业技术学院计算机网络专业的一门专业拓展课程。

课程的主要内容包括：活动目录的基本概念、活动目录基本管理任务、组策略的管理与应用、管理活动目录的信任关系、对活动目录数据库的管理及对活动目录进行恢复等。

本课程学分为1.5学时，总教学时数为36学时，其中理论课时与实践课时各占一半。

通过本课程的学习使学生掌握活动目录的逻辑结构组成，掌握活动目录的基本管理任务，掌握组策略的应用，了解活动目录数据库的管理与维护，初步具备Windows 活动目录的管理的能力。

二、培养目标1．方法能力目标：（1）独立学习能力；（2）职业生涯规划能力；（3）获取新知识能力、信息搜索能力；（4）决策能力；（5）理论联系实际的能力和严谨的工作作风；2．社会能力目标：（1）培养学生的沟通能力及团队协作精神；（2）培养学生分析问题、解决问题的能力；（3）培养学生敬业乐业的工作作风；（4）培养学生的表达能力；3．专业能力目标：（1）掌握Windows活动目录的基本管理任务；（2）掌握组策略的创建、继承、解决组重策略冲突、组策略部署、GPMC工具的使用；（3）学生通过学习能解决在企业中如何利用组策略来管理用户的工作环境和实现软件部署；（4）培养应用Windows活动目录对网络资源进行管理的技能；三、与前后课程的联系1．与前续课程的联系《Windows网络操作系统》课程让学生了解网络操作系统域管理与使用、掌握建立域的方法、掌握域用户与组账户的管理等操作与技能。

2．与后继课程的关系该课程为学生后续课程《网络组建与维护》、毕业设计等课程提供操作保障。

四、教学内容与学时分配根据职业岗位网络管理工程师的要求，将本课程的教学内容分解为14个项目。

五、教材的选用1．教材选取的原则教材选用时遵循“够用、实用”的原则，以真实任务为驱动，在真实环境和任务中介绍Windows活动目录的相关知识，采用“理论实践一体化”的教学思想，符合“做中学，学中做”的教学理念。