AD活动目录攻略(全)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– 可用的DC(域控制器) – 可用的DNS 服务器 – 正确的域名 – 有权限将用户加入域的用户帐号和密码
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
选择“网上邻居” 属性” 选择“网上邻居”——“属性” 属性
将客户机加入到域
找到“计算机名”标签,点击“更改” 找到“计算机名”标签,点击“更改”
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
在“隶属于”中,点击“域” 隶属于” 点击“
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
输入要加入的域的名字
ITPro俱乐部(全国)QQ 群:75945987
复制
域控制器
域控制器
域
ITPro俱乐部(全国)QQ 群:75945987
4.3 站点和IP子网 站点和 子网
• 每个地理位置中的若干台域控制器可以划分为一个站 点 • 站点内部优先同步活动目录数据库,同步后再和其他 站点中的域控制器同步
站点1 站点
广域网链接
域控制器 站点2 站点 ITPro俱乐部(全国)QQ
创建帐号
ITPro俱乐部(全国)QQ 群:75945987
创建帐号
ITPro俱乐部(全国)QQ 群:75945987
6.2 域用户帐号管理
• • • • • • • • • 复制 禁用 重设密码 移动 登录名 登录时间 登录到 账户选项 配置文件
Windows Server 2003 域
ITPro俱乐部(全国)QQ 群:75945987
6.1 域用户帐号的创建
• 输入用户的基本信息和登录名称 • 用户密码
ITPro俱乐部(全国)QQ 群:75945987
创建帐号
ITPro俱乐部(全国)QQ 群:75945987
创建帐号
ITPro俱乐部(全国)QQ 群:75945987
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
服务器” 在“首选DNS服务器”中填入域中的 首选 服务器 中填入域中的DNS服务器地 服务器地 址 ITPro俱乐部(全国)QQ
群:75945987
将客户机加入到域
打开“我的电脑” 打开“我的电脑”的属性
ITPro俱乐部(全国)QQ 群:75945987
群:75945987
创建和管理站点
ITPro俱乐部(全国)QQ 群:75945987
创建站点
ITPro俱乐部(全国)QQ 群:75945987
5. 活动目录和DNS服务 活动目录和 服务
1 2
登录或需搜索活动目录 Net Logon 搜集客户信息
3
根据客户信息查询DNS 根据客户信息查询DNS DNS查找匹配的 DNS查找匹配的SRV资源记录 查找匹配的SRV资源记录 返还IP地址列表 返还IP地址列表
ITPro俱乐部(全国)QQ 群:75945987
主题 1 : 域和工作组
ITPro俱乐部(全国)QQ 群:75945987
安全个体,SID,SAM 安全个体, ,
• 安全个体:是指能够产生与安全相关的行 为的实体(比如用户和组是安全实体,而 打印机则不是) • SID:在计算机世界中标识一个安全个体的 唯一凭证编号。就象身份证号码唯一标识 每个中国公民一样。 • SAM:是集中管理安全个体的数据库。
对象
OU
OU
OU
ITPro俱乐部(全国)QQ 群:75945987
活动目录的逻辑结构
域树
域
Domain
域
域
Domain
Domain
对象
OU
OU
OU
域 OU-组织单位 组织单位
ITPro俱乐部(全国)QQ 森林 群:75945987
4 活动目录的物理结构
• 4.1为什么需要活动目录的物理结构; • 4.2 域控制器 ( DC ) • 4.3 站点和IP子网
对象类示例
动态可用, 动态可用,可以被更新 并且受到DACL(随机 ,并且受到 ( 访问控制列表) 访问控制列表)保护
计算机
用户属性 可能包括: 可能包括
accountExpires badPasswordTime mail name
属性示例 属性列表
accountExpires badPasswordTime mail cAConnect dhcpType eFSPolicy fromServer governsID Name …
复制
域控 制器
ITPro俱乐部(全国)QQ 域 群:75945987
域控 制器
域、域树、森林 域树、
双向信任关系
Abc.com Beijing.abc.com Tianjin.abc.com
树
Xyz.com Beijing.xyz.com Tianjin.xyz.com
双向信任关系
树
ITPro俱乐部(全国)QQ 群:75945987
ITPro俱乐部(全国)QQ 群:75945987
1.什么是活动目录 什么是活动目录
• 活动目录是一个存放相关对象的信息源
ITPro俱乐部(全国)QQ 群:75945987
2.活动目录的数据库 活动目录的数据库
• 2.1活动目录中存储:对象,属性,类
对象 属性 打印机名 打印机位置 用户 Don Hall Suzan Fine 活动目录 打印机 打印机1 打印机2 打印机3 打印机 属性 名 姓 登录名 属性值
4 5
SRV 记录
区域数据库
6源自文库
客户机
客户机尝试联系域控制器 域控制器响应
DNS服务器 服务器
7
8
客户机向 域控制器 发出服务请求 域控器器
ITPro俱乐部(全国)QQ 群:75945987
6. 管理活动目录中的用户
本地用户帐号 (存储在本地计算机 存储在本地计算机) 存储在本地计算机
域用户帐号 (存储在活动目录中 存储在活动目录中) 存储在活动目录中
ITPro俱乐部(全国)QQ 群:75945987
3.1森林 (Forest) 森林
由一个或者多个域构成 这些域共享相同的架构信息和配置信息以 及全局编目
ITPro俱乐部(全国)QQ 群:75945987
3.2域树 ( Tree ) 域树
一个或多个域构成 这些域共享相同的架构和配置信息 这些域有着邻接的名字空间
用户
服务器
ITPro俱乐部(全国)QQ 群:75945987
2.2活动目录数据库分区 活动目录数据库分区
在森林范围复制 ( 森林中每台DC上都 森林中每台 上都 会有该分区的一个 副本) 副本 包含活动目录的类信息和属 性信息
Schema
包含活动目录的结构信息
Configuration
在域范围内复制 包含所有本域中对象的信息
ITPro俱乐部(全国)QQ 群:75945987
域树
树根域
父域
父域
hol.com
子域
子域
sales.hol.com
邻接的名字空间 sales.hol.com
ITPro俱乐部(全国)QQ 群:75945987
新域
3.3 域 ( Domain )
• 一组对象的集合,共享相同的活动目录域分区数据 • 包含用户,计算机,组等对象 • 域控制器 – 域控制器是存储活动目录数据库的计算机 – 一个域最少一台域控制器 – 多台域控制器之间需要同步活动目录数据库
管理 Microsoft Windows Server 2003 网络环境
(活动目录设计和实施) 活动目录设计和实施)
ITPro俱乐部(全国)QQ 群:75945987
商业场景
• 你是某公司的系统管理员,公司之前的网 络管理非常分散,网络中病毒泛滥,系统 经常崩溃,文件经常丢失,用户网络行为 很难控制,职员经常玩游戏看电影,管理 员每天的工作都忙于维护机器,如重装系 统,杀毒等等,整个公司的信息化办公效 率非常低下. • 现在公司要求规划活动目录域环境,实现 集中管理,杜绝以上问题的产生.
ITPro俱乐部(全国)QQ 群:75945987
主题 2 : Windows Server 2003 活动目录概述
ITPro俱乐部(全国)QQ 群:75945987
主题:
• • • • • • • 1.什么是活动目录 2.活动目录的数据库 3.活动目录的逻辑结构 4.活动目录的物理结构 5.活动目录和DNS服务 6.管理活动目录中的用户 7.管理活动目录中的组
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
重新启动计算机
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
在登录界面点击选项
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
如果是一台已经加入到域的计算机,会出现“登录到: 如果是一台已经加入到域的计算机,会出现“登录到:” 选项, 选项,此时选择域名则表示以域用户身份进行交互登录
ITPro俱乐部(全国)QQ 群:75945987
4.1 为什么需要活动目录的物理结构
• 客户端需要找到离自己最近的可用资源; • 优化复制。
ITPro俱乐部(全国)QQ 群:75945987
4.2 DC(域控制器) (域控制器)
• 域控制器是存储活动目录数据库的计算机; • 一个域最少需要配置一台域控制器; • 一个域中有多台域控制器时,这些域控制器需要 定期同步活动目录数据库;
域、域树、森林 域树、
• • • • 根域下面可以建立多层子域 域和子域构建成域树 多棵域树构建成森林 域之间自动建立双向信任关系
ITPro俱乐部(全国)QQ 群:75945987
3.4 组织单位 ( Organization Unit )
• OU是活动目录中的一种对象 • OU中可以建立子对象 • 利用OU可以模拟管理模型
打印机
用户
ITPro俱乐部(全国)QQ 群:75945987
使用“活动目录和计算机” 使用“活动目录和计算机”工具查看对象
ITPro俱乐部(全国)QQ 群:75945987
使用“活动目录和计算机” 使用“活动目录和计算机”工具查看对 象
ITPro俱乐部(全国)QQ 群:75945987
Schema(架构) (架构)
ITPro俱乐部(全国)QQ 群:75945987
公司网络环境
• 总部在青岛,分部在北京,德国,三地经常互 访网络资源,网络通过VPN连接 • 要求实现每个站点的DC和DNS容错 • 管理权在总部,分布只有部分权限 • 创建OU,规划好活动目录结构 • 实现打印机位置,方便用户快速寻找打印机 • 通过组策略管理用户和计算机 • 维护好活动目录的复制和活动目录数据库 • 通过SMS管理公司的资产,实现远程控制以 及软件分发
ITPro俱乐部(全国)QQ 群:75945987
活动目录架构
ITPro俱乐部(全国)QQ 群:75945987
3.活动目录的逻辑结构 活动目录的逻辑结构
3.1 森林 ( Forest ) 3.2 域树 ( Tree ) 3.3 域 ( Domain ) 3.4 组织单位 (Organization Unit)
contoso.msft
可管理的复制
Application
包含应用程序数据,例如: 包含应用程序数据,例如: ForestDNSZone DomainDNSZone
所有分区的信息结合在一起, 所有分区的信息结合在一起,构成了完整的活动目录数据库
ITPro俱乐部(全国)QQ 群:75945987
使用“ 查看Schema信 使用“ADSI EDIT”查看 查看 信 息
ITPro俱乐部(全国)QQ 群:75945987
工作组
ITPro俱乐部(全国)QQ 群:75945987
域
• 是指由管理员定义的计算机、用户和组对 象的集合。这些对象共享公用目录数据库、 安全策略以及与其他域之间的安全关系。
ITPro俱乐部(全国)QQ 群:75945987
计算机加入域
• 必要条件:
ITPro俱乐部(全国)QQ 群:75945987
今日议程: 今日议程:
• 域和工作组的区别
– 实验:域中计算机之间的资源互访
• Windows Server 2003活动目录的概述
– 实验:使用活动目录管理资源
• 组策略基础
– 实验:组策略管理企业网络安全 – 实验:使用GPO配置用户桌面环境 – 实验:使用GPO发布应用软件 – 实验:使用GPO限制应用软件
将客户机加入到域
如果一切配置都正确, 如果一切配置都正确,会弹出验证窗口
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
输入有权限的域用户名和密码
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
如果正确,会显示“欢迎加入 如果正确,会显示“欢迎加入……”消息 消息
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
选择“网上邻居” 属性” 选择“网上邻居”——“属性” 属性
将客户机加入到域
找到“计算机名”标签,点击“更改” 找到“计算机名”标签,点击“更改”
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
在“隶属于”中,点击“域” 隶属于” 点击“
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
输入要加入的域的名字
ITPro俱乐部(全国)QQ 群:75945987
复制
域控制器
域控制器
域
ITPro俱乐部(全国)QQ 群:75945987
4.3 站点和IP子网 站点和 子网
• 每个地理位置中的若干台域控制器可以划分为一个站 点 • 站点内部优先同步活动目录数据库,同步后再和其他 站点中的域控制器同步
站点1 站点
广域网链接
域控制器 站点2 站点 ITPro俱乐部(全国)QQ
创建帐号
ITPro俱乐部(全国)QQ 群:75945987
创建帐号
ITPro俱乐部(全国)QQ 群:75945987
6.2 域用户帐号管理
• • • • • • • • • 复制 禁用 重设密码 移动 登录名 登录时间 登录到 账户选项 配置文件
Windows Server 2003 域
ITPro俱乐部(全国)QQ 群:75945987
6.1 域用户帐号的创建
• 输入用户的基本信息和登录名称 • 用户密码
ITPro俱乐部(全国)QQ 群:75945987
创建帐号
ITPro俱乐部(全国)QQ 群:75945987
创建帐号
ITPro俱乐部(全国)QQ 群:75945987
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
服务器” 在“首选DNS服务器”中填入域中的 首选 服务器 中填入域中的DNS服务器地 服务器地 址 ITPro俱乐部(全国)QQ
群:75945987
将客户机加入到域
打开“我的电脑” 打开“我的电脑”的属性
ITPro俱乐部(全国)QQ 群:75945987
群:75945987
创建和管理站点
ITPro俱乐部(全国)QQ 群:75945987
创建站点
ITPro俱乐部(全国)QQ 群:75945987
5. 活动目录和DNS服务 活动目录和 服务
1 2
登录或需搜索活动目录 Net Logon 搜集客户信息
3
根据客户信息查询DNS 根据客户信息查询DNS DNS查找匹配的 DNS查找匹配的SRV资源记录 查找匹配的SRV资源记录 返还IP地址列表 返还IP地址列表
ITPro俱乐部(全国)QQ 群:75945987
主题 1 : 域和工作组
ITPro俱乐部(全国)QQ 群:75945987
安全个体,SID,SAM 安全个体, ,
• 安全个体:是指能够产生与安全相关的行 为的实体(比如用户和组是安全实体,而 打印机则不是) • SID:在计算机世界中标识一个安全个体的 唯一凭证编号。就象身份证号码唯一标识 每个中国公民一样。 • SAM:是集中管理安全个体的数据库。
对象
OU
OU
OU
ITPro俱乐部(全国)QQ 群:75945987
活动目录的逻辑结构
域树
域
Domain
域
域
Domain
Domain
对象
OU
OU
OU
域 OU-组织单位 组织单位
ITPro俱乐部(全国)QQ 森林 群:75945987
4 活动目录的物理结构
• 4.1为什么需要活动目录的物理结构; • 4.2 域控制器 ( DC ) • 4.3 站点和IP子网
对象类示例
动态可用, 动态可用,可以被更新 并且受到DACL(随机 ,并且受到 ( 访问控制列表) 访问控制列表)保护
计算机
用户属性 可能包括: 可能包括
accountExpires badPasswordTime mail name
属性示例 属性列表
accountExpires badPasswordTime mail cAConnect dhcpType eFSPolicy fromServer governsID Name …
复制
域控 制器
ITPro俱乐部(全国)QQ 域 群:75945987
域控 制器
域、域树、森林 域树、
双向信任关系
Abc.com Beijing.abc.com Tianjin.abc.com
树
Xyz.com Beijing.xyz.com Tianjin.xyz.com
双向信任关系
树
ITPro俱乐部(全国)QQ 群:75945987
ITPro俱乐部(全国)QQ 群:75945987
1.什么是活动目录 什么是活动目录
• 活动目录是一个存放相关对象的信息源
ITPro俱乐部(全国)QQ 群:75945987
2.活动目录的数据库 活动目录的数据库
• 2.1活动目录中存储:对象,属性,类
对象 属性 打印机名 打印机位置 用户 Don Hall Suzan Fine 活动目录 打印机 打印机1 打印机2 打印机3 打印机 属性 名 姓 登录名 属性值
4 5
SRV 记录
区域数据库
6源自文库
客户机
客户机尝试联系域控制器 域控制器响应
DNS服务器 服务器
7
8
客户机向 域控制器 发出服务请求 域控器器
ITPro俱乐部(全国)QQ 群:75945987
6. 管理活动目录中的用户
本地用户帐号 (存储在本地计算机 存储在本地计算机) 存储在本地计算机
域用户帐号 (存储在活动目录中 存储在活动目录中) 存储在活动目录中
ITPro俱乐部(全国)QQ 群:75945987
3.1森林 (Forest) 森林
由一个或者多个域构成 这些域共享相同的架构信息和配置信息以 及全局编目
ITPro俱乐部(全国)QQ 群:75945987
3.2域树 ( Tree ) 域树
一个或多个域构成 这些域共享相同的架构和配置信息 这些域有着邻接的名字空间
用户
服务器
ITPro俱乐部(全国)QQ 群:75945987
2.2活动目录数据库分区 活动目录数据库分区
在森林范围复制 ( 森林中每台DC上都 森林中每台 上都 会有该分区的一个 副本) 副本 包含活动目录的类信息和属 性信息
Schema
包含活动目录的结构信息
Configuration
在域范围内复制 包含所有本域中对象的信息
ITPro俱乐部(全国)QQ 群:75945987
域树
树根域
父域
父域
hol.com
子域
子域
sales.hol.com
邻接的名字空间 sales.hol.com
ITPro俱乐部(全国)QQ 群:75945987
新域
3.3 域 ( Domain )
• 一组对象的集合,共享相同的活动目录域分区数据 • 包含用户,计算机,组等对象 • 域控制器 – 域控制器是存储活动目录数据库的计算机 – 一个域最少一台域控制器 – 多台域控制器之间需要同步活动目录数据库
管理 Microsoft Windows Server 2003 网络环境
(活动目录设计和实施) 活动目录设计和实施)
ITPro俱乐部(全国)QQ 群:75945987
商业场景
• 你是某公司的系统管理员,公司之前的网 络管理非常分散,网络中病毒泛滥,系统 经常崩溃,文件经常丢失,用户网络行为 很难控制,职员经常玩游戏看电影,管理 员每天的工作都忙于维护机器,如重装系 统,杀毒等等,整个公司的信息化办公效 率非常低下. • 现在公司要求规划活动目录域环境,实现 集中管理,杜绝以上问题的产生.
ITPro俱乐部(全国)QQ 群:75945987
主题 2 : Windows Server 2003 活动目录概述
ITPro俱乐部(全国)QQ 群:75945987
主题:
• • • • • • • 1.什么是活动目录 2.活动目录的数据库 3.活动目录的逻辑结构 4.活动目录的物理结构 5.活动目录和DNS服务 6.管理活动目录中的用户 7.管理活动目录中的组
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
重新启动计算机
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
在登录界面点击选项
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
如果是一台已经加入到域的计算机,会出现“登录到: 如果是一台已经加入到域的计算机,会出现“登录到:” 选项, 选项,此时选择域名则表示以域用户身份进行交互登录
ITPro俱乐部(全国)QQ 群:75945987
4.1 为什么需要活动目录的物理结构
• 客户端需要找到离自己最近的可用资源; • 优化复制。
ITPro俱乐部(全国)QQ 群:75945987
4.2 DC(域控制器) (域控制器)
• 域控制器是存储活动目录数据库的计算机; • 一个域最少需要配置一台域控制器; • 一个域中有多台域控制器时,这些域控制器需要 定期同步活动目录数据库;
域、域树、森林 域树、
• • • • 根域下面可以建立多层子域 域和子域构建成域树 多棵域树构建成森林 域之间自动建立双向信任关系
ITPro俱乐部(全国)QQ 群:75945987
3.4 组织单位 ( Organization Unit )
• OU是活动目录中的一种对象 • OU中可以建立子对象 • 利用OU可以模拟管理模型
打印机
用户
ITPro俱乐部(全国)QQ 群:75945987
使用“活动目录和计算机” 使用“活动目录和计算机”工具查看对象
ITPro俱乐部(全国)QQ 群:75945987
使用“活动目录和计算机” 使用“活动目录和计算机”工具查看对 象
ITPro俱乐部(全国)QQ 群:75945987
Schema(架构) (架构)
ITPro俱乐部(全国)QQ 群:75945987
公司网络环境
• 总部在青岛,分部在北京,德国,三地经常互 访网络资源,网络通过VPN连接 • 要求实现每个站点的DC和DNS容错 • 管理权在总部,分布只有部分权限 • 创建OU,规划好活动目录结构 • 实现打印机位置,方便用户快速寻找打印机 • 通过组策略管理用户和计算机 • 维护好活动目录的复制和活动目录数据库 • 通过SMS管理公司的资产,实现远程控制以 及软件分发
ITPro俱乐部(全国)QQ 群:75945987
活动目录架构
ITPro俱乐部(全国)QQ 群:75945987
3.活动目录的逻辑结构 活动目录的逻辑结构
3.1 森林 ( Forest ) 3.2 域树 ( Tree ) 3.3 域 ( Domain ) 3.4 组织单位 (Organization Unit)
contoso.msft
可管理的复制
Application
包含应用程序数据,例如: 包含应用程序数据,例如: ForestDNSZone DomainDNSZone
所有分区的信息结合在一起, 所有分区的信息结合在一起,构成了完整的活动目录数据库
ITPro俱乐部(全国)QQ 群:75945987
使用“ 查看Schema信 使用“ADSI EDIT”查看 查看 信 息
ITPro俱乐部(全国)QQ 群:75945987
工作组
ITPro俱乐部(全国)QQ 群:75945987
域
• 是指由管理员定义的计算机、用户和组对 象的集合。这些对象共享公用目录数据库、 安全策略以及与其他域之间的安全关系。
ITPro俱乐部(全国)QQ 群:75945987
计算机加入域
• 必要条件:
ITPro俱乐部(全国)QQ 群:75945987
今日议程: 今日议程:
• 域和工作组的区别
– 实验:域中计算机之间的资源互访
• Windows Server 2003活动目录的概述
– 实验:使用活动目录管理资源
• 组策略基础
– 实验:组策略管理企业网络安全 – 实验:使用GPO配置用户桌面环境 – 实验:使用GPO发布应用软件 – 实验:使用GPO限制应用软件
将客户机加入到域
如果一切配置都正确, 如果一切配置都正确,会弹出验证窗口
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
输入有权限的域用户名和密码
ITPro俱乐部(全国)QQ 群:75945987
将客户机加入到域
如果正确,会显示“欢迎加入 如果正确,会显示“欢迎加入……”消息 消息