活动目录的安装与配置
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内的资源。
提示:本地组是指在工作组模式下的本地帐户中的组,它只针对于本机。 而本地域组针对的是域,工作于域模式下,两者不是一个概念。
4、默认组
默认组是系统安装Active Directory 域时自动创建的安全组,我们可 以使用这些系统预定义的组来控制对共享资源的访问,并委派特定的域范围 的管理角色。
1)、用户帐户 用于识别用户身份,它主要由用户名和密码组成,只有拥有了一个用户帐 户的人员才能通过计算机登录到域。在实际应用中,应该尽量保证一个用户 帐户由一个人使用,避免一个帐户供多人使用的情况出现。 2)、组帐户 用于组织和管理用户帐户。不同用户帐户可拥有不同的权利和权限,为了 方便管理,可设置组帐户,为组帐户设置权利和权限,当需要赋予一个用户 某种权限时,只要把该帐户加入相应的组即可。一个用户帐户可同时加入多 个组,此时他的权限是各个组权限的叠加。域中的组允许嵌套,即组的成员 可以包括用户帐户和其它组。而本地帐户中的组是不能嵌套的。
5、独立服务器
独立服务器是一台运行 Windows Server 2003但不参与域的服务器。 独立服务器只有其自身的用户数据库,并由服务器自身处理登录请求。独立 服务器不提供对域帐户的访问权限,该服务器通常于工作组模式下运行。
6、活动目录和域控制器的关系
如果网络规模较大,这时我们就会考虑把网络中对象,比如计算机、用 户帐户、组帐户、打印机、共享夹进行分类后存放在一个数据库中,并做好 检索信息,以利于查找、管理和使用这些对象(资源)。这个有层次结构的 数据库,就是活动目录数据库,简称AD库。接下来,我们把存放有活动目录 数据库的计算机就称之为域控制器(Domain Controller),简称DC。
Active Directory通过层次式的架构,将对象、容器、OU等组合在一 起,并将它们存储在Active Directory的数据库中。
4)、名字空间与DNS
每一个域都必须有名字,域的名字遵循 DNS 命名规则,并且通过 DNS 服务 器解析域名。
5)、域树
域树是由根域及其之下的子域所构成的域目录层次结构。域树由多个域组 成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过 信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别 越低,一个“.”代表一个层次,如域 就比 这个域级别低。
192.168.1.1。
2、安装域控制器
安装域控制器的思路是:先安装一台Windows Server 2003操作系统的独 立服务器或成员服务器,然后将其升级为域控制器。 将服务器升级成域控 制器的方法有两种:一种方法是使用“配置您的服务器向导”,另一种方法 是通过运行“Active Directory安装向导”来建立一个域控制器。
运行“Active Directory安装向导”: 1)、在“开始”→“运行”处输入“dcpromo”命令,回车后启动安装 向导。 2)、在打开“欢迎使用Active Directory安装向导”的对话框中单击 “下一步”按钮。 3)、在打开的“操作系统兼容性”对话框中单击“下一步”按钮。 4)、如果建立的是域中的第一台域控制器,则在“域控制器类型”对话 框中选择“新域的域控制器”选项,单击“下一步”按钮。
3、域控制器
域控制器(Domain Controller,DC)是一台安装并运行Active Directory的服务器,它包含Active Directory数据库的可写副本,参与 Active Directory复制并控制对网络资源的访问。在域中,域控制器统一 管理帐户数据库、所有的用户登录、资源访问认证及其管理任务。一个域 可以有一个或多个域控制器,各域控制器地位平等,管理员可以在任一台 域控制器上更新域中的信息,更新的信息会自动传递到网络中的其它域控 制器中。
6)、域(森)林
域林是指由一个或多个没有形成连续名字空间的域树组成,它与上面所讲 的域树最明显的区别就在于这些域树之间没有形成连续的名字空间。域林中 的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过 Kerberos信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同 域树可以交叉引用其他域树中的对象。域林都有根域,域林的根域是域林中 创建的第一个域,域林中所有域树的根域与域林的根域建立可传递的信任关 系。
二、域的相关概念
1、什么是域
域是由网络上的用户和计算机组成的一个逻辑组或逻辑集合。域中所有的 对象都存储在活动目录下。一个网络可以建立一个或多个域,每个域都是一 个安全界限,这意味着各种权限的设置不能跨越不同的域。简单的说,一个 域就是一系列的用户帐户、访问权限和其他各种资源的集合。
2、域与工作组的区别
我们可以通过“Active Directory 用户和计算机”管理器来管理组。 默认组位于“Builtin”容器和“Users”容器中,“Builtin”容器包含用本 地域作用域定义的组(即本地域组),“Users”容器包含通过全局作用域定 义的组和通过本地域作用域定义的组。我们可以将这些容器中的组移动到域 中的其他组或组织单位,但不能将它们移动到其他域。
2、活动目录的相关概念
1)、目录与目录服务
目录是存储有关网络上对象信息的层次结构。而目录服务是提供用 于存储器目录数据并使该数据可由网络用户和管理员使用的方法。目录 服务标记管理网络中的所有对象资源,如计算机、用户、打印机、文件 等,并且提供了命名、描述、查找、访问以及保护这些对象信息的方法, 使网络中的所有用户都能访问到这些资源。
2)、对象与属性
对象是活动目录中一种有形的信息实体,它是一组属性的集合,比如用 户帐户、文件名、计算机名等。对象通过属性描述它的基本特征,比如,一 个用户帐户的属性中可能包括用户的姓名、 电话号码、 电子邮件地址和家 庭住址等。
3)、容器与OU(组织单位)
容器是存放对象的空间,它与对象相似也有名称,也是一些属性的 集合。容器内可以包含其他对象,如包含“用户”与“计算机”等对象, 也可以包含其他的容器。而组织单位(Organization Units,OU)是 Active Directory内一个比较特殊的容器,除了可以包含其他对象与OU 之外,还有“组策略(group policy)”的功能。例如,一个名称为 “业务部”的OU,包含了两个“用户”对象、两个“计算机”对象和两 个OU。
5)、在“创建一个新域”对话框中选择“在新林中的域”选项,单击“下一 步”按钮。 6)、在“新的域名”对话框中的“新域的DNS全名”文本框中输入需要创建 的域名,这里输入,如图9-1所示。单击“下一步”按钮,系统开 始检测域名是否合格。 提示:每个域都需要有一个域名,由于一个域建立后再更改域名将会是一件很 麻烦的事,所以这里应慎重设置。在网络中域名设置应遵循 DNS命名规则且不 允许重复,所以输入域名后,单击“下一步”按钮,系统会在网络中检测该域 名是否可用。
工作组模式的网络中,各服务器都是独立的,而且各服务器中的帐户和 资源也是各自进行管理的。所以,管理员需要为每台服务器建立帐户,在管 理时也需要分别登录各服务器完成管理工作。授权用户访问不同的服务器时, 也需要分别登录。
域模式的网络中,服务器可以集中进行管理,域中的帐户和资源也是集 中管理的。所以,管理员登录到服务器后就可以管理整个域并可以访问所有 共享资源。在域模式的网络中,需要一个对帐户和资源进行统一管理的机制, 这个机制就是活动目录(Active Directory)。域中所有的帐户和共享资源 都需要在活动目录中进行登记,用户可以利用活动目录查找和使用这些资源。 基于域模式的网络可大大减轻管理的复杂度和工作量,通常用于结构较复杂 的网络。
2、域组的类型
域模式中的组称为域组,域组可分为通信组和安全组。通信组用于创 建电子邮件通信组列表,即用于部署电子邮件服务的网络。安全组用于给 共享资源指派权限,系统自动创建的默认组也属于安全组。
3、域组的作用域类型
通用组:成员可以来自任何域,成员可以访问任何域内资源。
全局组:成员只来自本地域,成员可以访问任何域内资源。
4、成员服务器
成员服务器是一台运行 Windows Server 2003 的服务器,它是域中的 成员,但不是域控制器。成员服务器不执行用户身份验证,也不存储安全 策略信息,这些工作由域控制器完成,这样,可以让成员服务器有更高的 处理能力来处理网络中的其他服务。在域结构的网络中,身份验证与服务 是分开的,这样可以提高服务器的效率。
9)、在“共享的系统卷”对话框中,指定作为系统卷共享的文件夹。 Sysvol文件夹存放域的公用文件的服务器副本,Sysvol广播的内容会被复 制到域中的所有域控制器,其文件夹位置一般不作修改,直接单击“下一 步”按钮。
10)、在“DNS注册诊断”对话框中,选中“在这台计算机上安装并配置 DNS 服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器”单选 框,然后单击“下一步”按钮。
一、活动目录的概述
1、什么是活动目录
Active Directory(活动目录)是一种目录服务,它存储有关网络对 象的信息。比如,用户、组、计算机、共享文件夹、网络打印机等,并使 系统管理员和用户可以方便地查找和使用网络信息。Active Directory的 应用起源于Windows NT 4.0,在Windows Server 2003中得到进一步的发展 和应用,具有可扩展性和可调整性,并以结构化数据存储方式作为目录信 息逻辑和分层组织的基础。
3)、计算机帐户 用于标识域中的计算机。一个拥有用户帐户的人并不能从任意的一台计算 机登录到域,他只能在已加入域的计算机上才能登录域。每台加入到域的计 算机(包括客户机和服务器)都会有一个计算机帐户。 4)、共享资源帐户 用于标识域中的共享资源,包括共享文件夹、共享打印机等。域中的共享 资源必须公布在活动目录中才能由域用户共享。共享文件夹的实际位置可以 在域中任一台计算机中,但域用户只要登录到域,就可以访问这些资源,而 不必登录到具体计算机上。实际应用中,共享文件夹通常定义在服务器上, 这样可保证资源总是有效,如果定义在客户机上,将会在客户机关机时无法 访问。
图9-1 新的域名
7)、接着打开“NetBIOS 域名”对话框,系统会默认取域名的前半段字 符(本例为mylab),以便Windows95/98/NT操作系统利用此名称来访问域 内的资源,直接单击“下一步”按钮。
8)、在“数据库和日志文件文件夹”对话框中,将显示数据库、日志文 件的保存位置,一般不作修改。直接单击“下一步”按钮。
四、域控制器的安装
1、安装域控制器的准备工作
1)、已安装Windows Server 2003 操作系统,并以管理员身份登录系统; 2)、在安装活动目录之前要确保系统盘为NTFS文件系统,如果不是NTFS 文件系统,则必须将其转换成NTFS文件系统。 3)、规划好一个DNS域名,也就是域控制器的根域,通常为二级域名,本教 程假设根域名设置为。 4)、一台DNS服务器,负责域名的解析和定位域控制器的位置,多个域控制 器可共用一台DNS服务器。 5)、如果是建立一个新域的域控制器,在安装活动目录的同时在本机安装和 配置 DNS 服务器时,要求 DNS 服务器地址与本机 IP 地址设置成相同的值。 本教程假设IP地址设置成192.168.1.1/24,首选DNS服务器IP地址也设为
在Windows Server 2003中,域是建立在Active Directory中,是作为 Active Directory的一个对象来使用和管理的。域的范围也被扩大到了整个 网络。
三、域帐户的相关概念
1、域帐户的分类
域中的帐户分为用户帐户、组帐户、计算机帐户和共享资源帐户。所有帐 户都存放在活动目录中,系统使用安全标识符(SID)标识各个帐户。
提示:本地组是指在工作组模式下的本地帐户中的组,它只针对于本机。 而本地域组针对的是域,工作于域模式下,两者不是一个概念。
4、默认组
默认组是系统安装Active Directory 域时自动创建的安全组,我们可 以使用这些系统预定义的组来控制对共享资源的访问,并委派特定的域范围 的管理角色。
1)、用户帐户 用于识别用户身份,它主要由用户名和密码组成,只有拥有了一个用户帐 户的人员才能通过计算机登录到域。在实际应用中,应该尽量保证一个用户 帐户由一个人使用,避免一个帐户供多人使用的情况出现。 2)、组帐户 用于组织和管理用户帐户。不同用户帐户可拥有不同的权利和权限,为了 方便管理,可设置组帐户,为组帐户设置权利和权限,当需要赋予一个用户 某种权限时,只要把该帐户加入相应的组即可。一个用户帐户可同时加入多 个组,此时他的权限是各个组权限的叠加。域中的组允许嵌套,即组的成员 可以包括用户帐户和其它组。而本地帐户中的组是不能嵌套的。
5、独立服务器
独立服务器是一台运行 Windows Server 2003但不参与域的服务器。 独立服务器只有其自身的用户数据库,并由服务器自身处理登录请求。独立 服务器不提供对域帐户的访问权限,该服务器通常于工作组模式下运行。
6、活动目录和域控制器的关系
如果网络规模较大,这时我们就会考虑把网络中对象,比如计算机、用 户帐户、组帐户、打印机、共享夹进行分类后存放在一个数据库中,并做好 检索信息,以利于查找、管理和使用这些对象(资源)。这个有层次结构的 数据库,就是活动目录数据库,简称AD库。接下来,我们把存放有活动目录 数据库的计算机就称之为域控制器(Domain Controller),简称DC。
Active Directory通过层次式的架构,将对象、容器、OU等组合在一 起,并将它们存储在Active Directory的数据库中。
4)、名字空间与DNS
每一个域都必须有名字,域的名字遵循 DNS 命名规则,并且通过 DNS 服务 器解析域名。
5)、域树
域树是由根域及其之下的子域所构成的域目录层次结构。域树由多个域组 成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过 信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别 越低,一个“.”代表一个层次,如域 就比 这个域级别低。
192.168.1.1。
2、安装域控制器
安装域控制器的思路是:先安装一台Windows Server 2003操作系统的独 立服务器或成员服务器,然后将其升级为域控制器。 将服务器升级成域控 制器的方法有两种:一种方法是使用“配置您的服务器向导”,另一种方法 是通过运行“Active Directory安装向导”来建立一个域控制器。
运行“Active Directory安装向导”: 1)、在“开始”→“运行”处输入“dcpromo”命令,回车后启动安装 向导。 2)、在打开“欢迎使用Active Directory安装向导”的对话框中单击 “下一步”按钮。 3)、在打开的“操作系统兼容性”对话框中单击“下一步”按钮。 4)、如果建立的是域中的第一台域控制器,则在“域控制器类型”对话 框中选择“新域的域控制器”选项,单击“下一步”按钮。
3、域控制器
域控制器(Domain Controller,DC)是一台安装并运行Active Directory的服务器,它包含Active Directory数据库的可写副本,参与 Active Directory复制并控制对网络资源的访问。在域中,域控制器统一 管理帐户数据库、所有的用户登录、资源访问认证及其管理任务。一个域 可以有一个或多个域控制器,各域控制器地位平等,管理员可以在任一台 域控制器上更新域中的信息,更新的信息会自动传递到网络中的其它域控 制器中。
6)、域(森)林
域林是指由一个或多个没有形成连续名字空间的域树组成,它与上面所讲 的域树最明显的区别就在于这些域树之间没有形成连续的名字空间。域林中 的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过 Kerberos信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同 域树可以交叉引用其他域树中的对象。域林都有根域,域林的根域是域林中 创建的第一个域,域林中所有域树的根域与域林的根域建立可传递的信任关 系。
二、域的相关概念
1、什么是域
域是由网络上的用户和计算机组成的一个逻辑组或逻辑集合。域中所有的 对象都存储在活动目录下。一个网络可以建立一个或多个域,每个域都是一 个安全界限,这意味着各种权限的设置不能跨越不同的域。简单的说,一个 域就是一系列的用户帐户、访问权限和其他各种资源的集合。
2、域与工作组的区别
我们可以通过“Active Directory 用户和计算机”管理器来管理组。 默认组位于“Builtin”容器和“Users”容器中,“Builtin”容器包含用本 地域作用域定义的组(即本地域组),“Users”容器包含通过全局作用域定 义的组和通过本地域作用域定义的组。我们可以将这些容器中的组移动到域 中的其他组或组织单位,但不能将它们移动到其他域。
2、活动目录的相关概念
1)、目录与目录服务
目录是存储有关网络上对象信息的层次结构。而目录服务是提供用 于存储器目录数据并使该数据可由网络用户和管理员使用的方法。目录 服务标记管理网络中的所有对象资源,如计算机、用户、打印机、文件 等,并且提供了命名、描述、查找、访问以及保护这些对象信息的方法, 使网络中的所有用户都能访问到这些资源。
2)、对象与属性
对象是活动目录中一种有形的信息实体,它是一组属性的集合,比如用 户帐户、文件名、计算机名等。对象通过属性描述它的基本特征,比如,一 个用户帐户的属性中可能包括用户的姓名、 电话号码、 电子邮件地址和家 庭住址等。
3)、容器与OU(组织单位)
容器是存放对象的空间,它与对象相似也有名称,也是一些属性的 集合。容器内可以包含其他对象,如包含“用户”与“计算机”等对象, 也可以包含其他的容器。而组织单位(Organization Units,OU)是 Active Directory内一个比较特殊的容器,除了可以包含其他对象与OU 之外,还有“组策略(group policy)”的功能。例如,一个名称为 “业务部”的OU,包含了两个“用户”对象、两个“计算机”对象和两 个OU。
5)、在“创建一个新域”对话框中选择“在新林中的域”选项,单击“下一 步”按钮。 6)、在“新的域名”对话框中的“新域的DNS全名”文本框中输入需要创建 的域名,这里输入,如图9-1所示。单击“下一步”按钮,系统开 始检测域名是否合格。 提示:每个域都需要有一个域名,由于一个域建立后再更改域名将会是一件很 麻烦的事,所以这里应慎重设置。在网络中域名设置应遵循 DNS命名规则且不 允许重复,所以输入域名后,单击“下一步”按钮,系统会在网络中检测该域 名是否可用。
工作组模式的网络中,各服务器都是独立的,而且各服务器中的帐户和 资源也是各自进行管理的。所以,管理员需要为每台服务器建立帐户,在管 理时也需要分别登录各服务器完成管理工作。授权用户访问不同的服务器时, 也需要分别登录。
域模式的网络中,服务器可以集中进行管理,域中的帐户和资源也是集 中管理的。所以,管理员登录到服务器后就可以管理整个域并可以访问所有 共享资源。在域模式的网络中,需要一个对帐户和资源进行统一管理的机制, 这个机制就是活动目录(Active Directory)。域中所有的帐户和共享资源 都需要在活动目录中进行登记,用户可以利用活动目录查找和使用这些资源。 基于域模式的网络可大大减轻管理的复杂度和工作量,通常用于结构较复杂 的网络。
2、域组的类型
域模式中的组称为域组,域组可分为通信组和安全组。通信组用于创 建电子邮件通信组列表,即用于部署电子邮件服务的网络。安全组用于给 共享资源指派权限,系统自动创建的默认组也属于安全组。
3、域组的作用域类型
通用组:成员可以来自任何域,成员可以访问任何域内资源。
全局组:成员只来自本地域,成员可以访问任何域内资源。
4、成员服务器
成员服务器是一台运行 Windows Server 2003 的服务器,它是域中的 成员,但不是域控制器。成员服务器不执行用户身份验证,也不存储安全 策略信息,这些工作由域控制器完成,这样,可以让成员服务器有更高的 处理能力来处理网络中的其他服务。在域结构的网络中,身份验证与服务 是分开的,这样可以提高服务器的效率。
9)、在“共享的系统卷”对话框中,指定作为系统卷共享的文件夹。 Sysvol文件夹存放域的公用文件的服务器副本,Sysvol广播的内容会被复 制到域中的所有域控制器,其文件夹位置一般不作修改,直接单击“下一 步”按钮。
10)、在“DNS注册诊断”对话框中,选中“在这台计算机上安装并配置 DNS 服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器”单选 框,然后单击“下一步”按钮。
一、活动目录的概述
1、什么是活动目录
Active Directory(活动目录)是一种目录服务,它存储有关网络对 象的信息。比如,用户、组、计算机、共享文件夹、网络打印机等,并使 系统管理员和用户可以方便地查找和使用网络信息。Active Directory的 应用起源于Windows NT 4.0,在Windows Server 2003中得到进一步的发展 和应用,具有可扩展性和可调整性,并以结构化数据存储方式作为目录信 息逻辑和分层组织的基础。
3)、计算机帐户 用于标识域中的计算机。一个拥有用户帐户的人并不能从任意的一台计算 机登录到域,他只能在已加入域的计算机上才能登录域。每台加入到域的计 算机(包括客户机和服务器)都会有一个计算机帐户。 4)、共享资源帐户 用于标识域中的共享资源,包括共享文件夹、共享打印机等。域中的共享 资源必须公布在活动目录中才能由域用户共享。共享文件夹的实际位置可以 在域中任一台计算机中,但域用户只要登录到域,就可以访问这些资源,而 不必登录到具体计算机上。实际应用中,共享文件夹通常定义在服务器上, 这样可保证资源总是有效,如果定义在客户机上,将会在客户机关机时无法 访问。
图9-1 新的域名
7)、接着打开“NetBIOS 域名”对话框,系统会默认取域名的前半段字 符(本例为mylab),以便Windows95/98/NT操作系统利用此名称来访问域 内的资源,直接单击“下一步”按钮。
8)、在“数据库和日志文件文件夹”对话框中,将显示数据库、日志文 件的保存位置,一般不作修改。直接单击“下一步”按钮。
四、域控制器的安装
1、安装域控制器的准备工作
1)、已安装Windows Server 2003 操作系统,并以管理员身份登录系统; 2)、在安装活动目录之前要确保系统盘为NTFS文件系统,如果不是NTFS 文件系统,则必须将其转换成NTFS文件系统。 3)、规划好一个DNS域名,也就是域控制器的根域,通常为二级域名,本教 程假设根域名设置为。 4)、一台DNS服务器,负责域名的解析和定位域控制器的位置,多个域控制 器可共用一台DNS服务器。 5)、如果是建立一个新域的域控制器,在安装活动目录的同时在本机安装和 配置 DNS 服务器时,要求 DNS 服务器地址与本机 IP 地址设置成相同的值。 本教程假设IP地址设置成192.168.1.1/24,首选DNS服务器IP地址也设为
在Windows Server 2003中,域是建立在Active Directory中,是作为 Active Directory的一个对象来使用和管理的。域的范围也被扩大到了整个 网络。
三、域帐户的相关概念
1、域帐户的分类
域中的帐户分为用户帐户、组帐户、计算机帐户和共享资源帐户。所有帐 户都存放在活动目录中,系统使用安全标识符(SID)标识各个帐户。