Windows Server 2003域控制器基本配置

Page 17/30
授权还原1-2
5）restore subtree “ou=sales,dwk.baidu.com=benet,dc=com,dc=cn”
（还原一个OU） restore subtree “cn=mike，ou=sales,dc=benet,dc=com,dc=cn” （还原一个用户帐户）
6）退出ntdsutil，重启DC
Page 4/37
安装活动目录 启动安装向导
使用管理您的服务器向导 使用命令DCPROMO
Page 5/37
安装活动目录2-2
还原模式密码 DNS 域兼容性 是否创建新域 新域的 数据库和日志文件文件夹 注册诊断 NetBIOS DNS 全名名 共享的系统卷
Page 6/37
将客户端计算机加入域
账户锁定策略
账户锁定阈值 账户锁定时间 复位账户锁定计数器
Page 22/30
账户策略2-2
帐户策略举例
在独立的计算机上要让账户的密码长度最小为8，账户如果连续3次输错 密码就会被锁定
步骤
1）单击【开始】|【程序】|【管理工具】|【本地安全策略】，展开【 账户策略】|【密码策略】 2）双击“密码长度最小值”，输入“8” 3）在【账户锁定策略】中，双击“账户锁定阈值”，输入“3” 4）在【开始】|【运行】中，输入“gpupdate”刷新本计算机的本地安 全策略（或者重启计算机） 5）更改管理员账户administrator密码，检验能否将密码修改成小于8位 长度的密码 6）退出系统，使用普通账户登录，故意输错密码3次，该账户就会被锁 定
Page 25/30
利用组策略实现软件设置
分发软件 修复软件 删除软件 升级软件
Page 26/32
利用组策略实现分发软件（1）
分发软件的步骤




1）获取Windows安装程序包文件；该软件包包含一 个.msi文件以及必要的相关安装文件 2）将软件安装文件放到一个软件分发点（共享文件 夹共享此文件） 3）创建或修改现有的OU的组策略
Page 15/30
非授权还原2-2
执行非授权还原步骤
1）重启DC，在显示启动菜单时按F8键 2）选择【目录服务还原模式】 3）在登录提示符处，输入账户administrator，输入 还原密码，进入系统 4）使用备份工具还原系统状态数据 5）重启DC
Page 16/30
授权还原1-1
Page 18/30
修改活动目录还原模式密码
cmd ->ntdsutil ->set dsrm password ->reset password on server 这台DC主机 名 ->输入新密码
Page 19/30
Windows Server 2003域控制器基本配置
配置WINDOWS域策略
指派， 程序在【开始】菜单中 发布， 程序显示在【控制面板】|【添加/删除程序 】中
Page 27/32
指派与发布的区别
利用组策略实现分发软件（2）
发布软件（用户）——只在一机上生效，当用户注销 后，在“添加/删除程序”中的“添加程序”里，可发 现可安装的发布的软件，然后安装就可以直接使用了 。
步骤:
1）单击【开始】|【程序】|【管理工具】|【本地安全策略】， 展开【本地策略】|【用户权限分配】 2）双击“允许在本地登录”，删除“Power Users”和“Users” 3）在【开始】|【运行】中，输入“gpupdate”刷新本计算机的 本地安全策略（或者重启计算机） 4）退出系统，使用普通账户登录，检验能否登录
Page 14/30
非授权还原2-1
活动目录数据库还原
非授权还原 授权还原
非授权还原：恢复活动目录到它备份时的状态 执行非授权还原后
如果域中只有一个域控制器，在备份之后的任何修改 都将丢失 如果域中有多个域控制器，则恢复已有的备份并从其 他域控制器复制活动目录对象的当前状态
集中管理 便捷的网络资源访问 • 用户一次登录就可访问整个网络资源 • 网络资源主要包含用户帐户、组、共享文件夹、打印机 等 可扩展性
Page 3/37
域控制器（DC）的条件
安装者必须具有本地管理员权限 操作系统版本必须满足条件（Windows Server 2003除Web版外都满足） 本地磁盘至少有一个分区是NTFS文件系统 有TCP/IP设置（IP地址、子网掩码等） 有相应的DNS服务器支持 有足够的可用空间
云计算技术
Windows Server 2003域控制器基本配置
创建WINDOWS域环境
域的概念
域
将网络中多台计算机逻辑上组织到一起，进行集中管理， 这种区别于工作组的逻辑环境叫做域 域是组织与存储资源的核心管理单元
活动目录提供了存储网络上对象信息并使网络用户 使用该数据的方法 活动目录有以下特点
步骤
配置客户机的首 选DNS服务器 将计算机加入域
Page 7/37
创建域用户账户
输入用户的基本信息和登录名称 用户密码 用户在下次登录时必须更改密码 用户不能更改密码 密码永不过期 帐户已禁用
Page 8/37
配置域用户账户的属性
用户登录名 用户登录名（ Windows 2000以前版 本）在域中必须惟一 最长20字符 登录时间 限制用户登录到域的 时间 可以登录的计算机 定义了账户可以登录 的计算机列表
Page 23/30
本地策略3-1
审核策略
是否在安全日志中 记录登录用户的操 作事件
用户权限分配
如关闭系统 更该系统时间 拒绝本地登录 允许在本地登录
安全选项
控制一些和操作系 统安全相关的设置
Page 24/30
本地策略3-2
用户权限分配举例
作为服务器的计算机不能让普通用户交互式登录（在本地登录）
Authoritative Restore 授权还原：恢复活动目录的特定对象 执行授权还原的步骤
1）重启DC，进入【目录服务还原模式】 2）使用备份工具恢复活动目录到原始位置 3）打开命令提示符，键入ntdsutil 4）键入“authoritative restore”
Page 9/37
组织单位（OU）管理
OU的设计方式 基于部门的OU 基于地理位置的OU 基于对象类型的OU OU 的设计也可以是混合的
Page 10/37
在OU之间移动域用户账户 移动用户帐户
例如某个员工 调换了部门
OU 1
域
OU2
Page 11/37
Windows Server 2003域控制器基本配置
维护WINDOWS域活动目录数据库
活动目录数据库维护
案例：
某公司的域wang.com有两个DC 为了应对活动目录受到误操作后能及时还原到正常状 态，需要制定备份和还原活动目录数据库的计划 网管员在采用该计划之前需要测试其正确性
备份活动目录数据库 非授权还原 授权还原
Page 13/30
安全策略
域控制器上的安全策略分为本地、域、组策略 安全策略影响本计算机的安全设置 安全策略主要包含
帐户策略 本地策略 组策略打开方式： Gpedit.msc OU（组织单位）属性 组策略标签新建
Page 21/30
账户策略2-1
密码策略
密码必须符合复杂性要求 密码长度最小值 密码最长使用期限 密码最短使用期限 强制密码历史 用可还原的加密来存储密码
备份活动目录数据库
使用备份工具备份DC的系统状态数据
运行ntbackup备份System State
DC的系统状态数据
注册表（Registry） COM+类注册数据库（COM+ Class Registration Database） 启动文件（Boot Files） 活动目录（Active Directory） 系统卷（SYSVOL）
指派软件（计算机）——只在一机上生效，当用户重 启后，在登录过程中就开始安装指派的软件，然后就 可以直接使用了。 指派软件（用户）——只在一机上生效，当用户注销 后，在开始菜单中有指派的软件，第一次是要安装， 以后就可以直接使用了。
Page 28/32
谢 谢！