活动目录的安装与配置
活动目录的安装及配置
示:
任务二:安装活动目录
步骤12:单击【下一
步】按钮,开始安装。 如果本服务器上未安装 DNS服务,则Active Directory安装向导
会自动安装该服务,此
时可能提示用户插入光 盘,如右图所示:
任务二:安装活动目录
步骤13:这时是我
们插入windows
2003安装光盘,
然后按【确定】按 钮,开始安装DNS 服务,如右图所
任务二:安装活动目录
1.安装活动目录的前提条件 (1)计算机上必须安装了Windows Server 2003操作系 统,且至少有一个NTFS分区,至少有250M的空间。 (2)执行活动目录安装的用户必须对计算机有管理员 权限。 (3)计算机必须配置好了IP地址和DNS服务器地址。 (4)DNS服务可以在安装活动目录前安装,也可以和 活动目录集成安装,即在安装活动目录过程中安装。
步骤5:单击【下一
步】按钮,显示 【NetBIOS域名】 对话框。在其中为 新域指定一个 NetBIOS名称,
如“Wlgc”,如右
图所示:
任务二:安装活动目录
步骤6:单击【下一步】 按钮,显示【数据库和 日志文件夹】对话框。 在其中指定放置 Active Directory数 据库和日志文件的位置, 可以通过单击【浏览】 按钮来选择合适的位置,
,域名为
,如右图所示:
任务二:安装活动目录
方法2:查看活动目录组件。
打开【管理工具】后,会出
现3个与活动目录相关的 Microsoft管理控制台
(MMC),即“Active
Directory用户和计算 机”、“Active
Directory域和域信任关
系”和“Active Directory站点和服务”,
Windows 2000 Server安装与配置
Windows 2000 Server安装与配置实验目的:Windows 2000 Server是目前应用最普遍的局域网操作系统,通过本实验使学生掌握Windows 2000 Server的安装、配置和使用方法。
主要掌握Windows 2000 Server作为域控制器时的活动目录的安装配置、文件系统的管理方法,熟练的使用活动目录进行域用户创建、组的创建、域的管理。
实验内容:(一)活动目录与文件系统:活动目录的安装与配置、文件系统的共享与安全性设置。
(二)用户和计算机账户管理:用户和组的建立管理和安全性配置。
实验步骤:Windows 2000 Server安装与配置(一):活动目录与文件系统(一)安装活动目录1、安装活动目录具体步骤:1.启动Windows 2000 Server系统自动打开“Windows 2000配置服务器”窗口,或者选择“开始”/“程序”/“管理工具”/“配置服务器”,打开如图所示配置服务器窗口。
2. 在左边的列表中单击“Active Directory”超级链接,并拖动右边的滚动条到窗口底部,如图所示。
3.单击“启动”链接,打开“Active Dir ectory安装向导”对话框,如图所示。
也可省去前面三步,直接通过“开始”/“运行”,打开“运行”对话框,输入dcpromo命令,单击“确定”按钮,打开如图所示的对话框。
4.单击“下一步”,打开如图所示的选择“域控制器类型”对话框。
若安装的服务器是域中的第一个域控制器,选择“新域的域控制器”。
如果网上已有域控制器,可选择“现有域的额外域控制器”。
5.单击“下一步”,打开如图所示的“创建目录树或子域”对话框,如果用户不想让新域成为现有域的子域,可选择“创建一个新的域目录树”。
如果用户希望新域成为现有域的子域,可选择“在现有域目录树中创建一个新的子域”。
这里,选择“创建一个新的域目录树”。
6.单击“下一步”,打开如图所示的“创建或加入目录林”对话框,如果所创建的域为单位的第一个域,或者希望所创建的新域独立于现有目录林,可选择“创建新的域或目录树”。
计算机网络原理 安装活动目录服务
计算机网络原理安装活动目录服务活动目录(Active Directory)是用于Windows 2003的目录服务。
它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。
活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。
1.DNS与活动目录由于活动目录与DNS是集成的,并且共享相同的名称空间结构,因此注意两者之间的差异非常重要:●DNS是一种名称解析服务DNS客户机向配置的DNS服务器发送DNS名称查询。
DNS服务器接收名称查询,并且解析名称查询,或者进行名称解析。
DNS不需要活动目录可以独立运行。
●活动目录是一种目录服务活动目录提供信息存储库以及让用户和应用程序访问信息的服务。
活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)”向活动目录服务器发送查询。
然后要定位活动目录服务器,活动目录客户机将查询DNS。
即活动目录用于组织资源,而DNS用于查找资源;只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。
2.规划活动目录为了让用户和管理员操作更为方便,在安装活动目录之前,我们首先要对活动目录的结构进行细致的规划设计。
●规划DNS如果用户准备使用活动目录,则需要首先规划名称空间。
在Windows 2003中,用DNS 名称命名活动目录域。
选择DNS名称用于活动目录域时,以保留在Internet上使用的已注册DNS域名后缀开始(如),并将该名称和单位中使用的地理(部门)名称结合起来,组成活动目录域的全名。
●规划用户的域结构最容易管理的域结构就是单域。
规划时,用户应从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域。
单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。
活动目录Active Directory的安装与配置
4、选择[创建一个新域的域目录林],单击[下一步]。
5、在[新域DNS全名]中输入要创建的域名,单击[下一步]。
6、安装向导自动将域名控制器的NetBIOS名设置为“jiji”,单击[下一步]。
7、显示数据库、目录文件及Sysvol文件的保存位置,一般不必做做修改,单击[下一步]。
活动目录的应用起源于Windows NT 4.0,在Windows 2003 Server中得到进一步的应用和发展,具有可扩展性和可调整性,并将结构化数据存储作为目录信息逻辑和分层组织的基础。
活动目录的优点在于:1.基于策略的管理;2.扩展性;3.可调整性;4.信息复制;5.与DNS的集成;6.灵活的查询;7.信息安全性。
实验的分析与思考:
Active Directory的优点有与DNS集成,灵活的查询,可扩展性,基于策略的管理,可伸缩性,信息复制,信息安全,互操作性。
实验结论及体会:
通过Active Directory的安装实验,体会到了Active Directory的强大功能,与DNS集成,可以不用单独配置DNS服务了,灵活的查询,可扩展性,基于策略的管理,可伸缩性,信息复制,信息安全,互操作性。尤其是其信息复制,配置成功一个域后可以复制该域,不用重新多次的建立。
13、重新启动计算机是,由于活动目录的存在,启东时间会变长。启动后,用管理员账户登录,选择“开始”“管理工具”“Active Directory用户和计算机”选项,弹出“Active Directory用户和计算机”窗口。确认活动目录是否已经正常。
14、添加用户帐户:
①首先启动Active Directory用户和计算机管理器,单击User容器会看到在安装Active Directory时自动建立的用户帐户;
实验:域账户管理
域账户管理1.实验目的与要求1.掌握活动目录的安装.2.掌握域账户的创建和管理.3.掌握域组的创建和管理.2.实验步骤1.安装活动目录。
域名自己定义。
在“开始”当中,找到运行,然后输入“dcpromo”按确定,出现安装界面,点击“下一步”,选择“新域的域控制器”,点击“下一步”,在选择默认的“在新林中的域”,点击“下一步”,然后再跳出来的对话框中选择“否,只在这台计算机上安装并配置DNS”。
点击“下一步”。
输入新域的DNS全名,点击“下一步”。
选好所要安方的位置,点击“下一步”。
再点击“下一步”。
安装active directory,完成安装将重新启动计算机。
2.创建域用户账号,以自己姓名拼音首字母命名.在“管理工具”中进入“active directory 用户和计算机”,找到“users”,然后再这里添加域用户账号。
3.重设新建域用户账号密码在“管理工具”中进入“active directory 用户和计算机”,找到“users”选中所要修改账户右键,然后可以重设域用户账号密码。
4.指定用户登录时间为周一到周六白天8点到下午5点.单击“开始”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。
在控制台树中,单击包含所需用户帐户的容器。
在右窗格中,右键单击相应的用户帐户,然后单击“属性”。
单击“帐户”选项卡,然后单击“登录时间”。
单击“全部”以选中所有可用时间,然后单击“拒绝登录”。
选择允许该用户登录到域的时间段,然后单击“允许登录”。
登录时间表下方的状态行会显示当前选择的登录时间。
配置完登录时间后,单击“确定”,然后单击“user account属性”对话框中的“确定”。
退出“Active Directory 用户和计算机”管理单元。
5.限制用户登录计算机6.设置新建账号失效日期为2012年4月5日.组名自定。
8.新建一个域组,域组的作用域为通用组,组名自定。
9.把新建账号添加到新建的域组,使其成为新建域组的成员。
安装活动目录的方法
安装活动目录的方法安装活动目录(Active Directory)的步骤如下:1. 确保服务器满足以下最低系统要求:64位操作系统(如Windows Server 2019、Windows Server 2016)、2个核心的64位处理器、4GB内存、40GB 可用硬盘空间。
2. 登录服务器并打开“服务器管理器”。
3. 在“服务器管理器”中,单击“角色和功能安装”以启动安装向导。
4. 在“角色和功能安装向导”的“开始之前”页面上,选择“角色基于的或特定用途的安装”并单击“下一步”。
5. 在“服务器选择”页面上,选择要安装活动目录的服务器,并单击“下一步”。
6. 在“服务器角色”页面上,选择“活动目录域服务”并单击“下一步”。
7. 在“角色服务”页面上,选择“活动目录域控制器”并单击“添加功能”。
8. 在“添加功能”对话框中,单击“添加功能”。
9. 在“活动目录域服务”页面上,选择所需的选项,如“域控制器”和“域名系统(DNS)服务器”,然后单击“下一步”。
10. 在“功能”页面上,单击“下一步”。
11. 在“确认安装选择”页面上,选择“安装”并单击“下一步”。
12. 安装过程将开始,等待安装完成。
13. 安装完成后,将提示重启服务器。
单击“关闭”。
14. 服务器重启后,登录并打开“服务器管理器”。
15. 在“服务器管理器”中,单击“工具”>“活动目录用户和计算机”。
16. 在“活动目录用户和计算机”中可以开始配置和管理活动目录。
注意:在安装活动目录之前,建议进行详细的规划和设计,包括域名、域组织结构、域控制器位置等,以确保活动目录的正确性和可扩展性。
实验五 活动目录服务(AD的安装、加入和退出域、域用户的管理和配置)
实验五活动目录服务(AD的安装、加入和退出域、域用户的管理和配置)【实验目的】1、理解域的概念,掌握AD的安装方法。
2、掌握加入和退出域的方法。
3、掌握域用户的管理和配置,组的规划和建立。
4、了解Windows Server 2003域用户和本地用户的区别。
5、理解组的概念和作用,认识组的类型。
【实验内容】1、练习AD的安装方法,2、练习加入和退出域的方法。
3、练习域用户的管理和配置,组的规划和建立【实验步骤】一、安装活动目录1)新建DC的角色。
在开始菜单中点击“管理您的服务器”,在打开的画面中点击“添加或删除角色”。
2)在“预备步骤”对话框中,单击[下一步]按钮,出现“服务器角色”对话框后,选择“域控制器”,按[下一步]继续。
3)在“选择总结”对话框中,单击[下一步]按钮,随后会进入AD安装向导过程,(如果直接执行“dcpromo”命令也可以启动AD安装向导,则可以省略前三个步骤),单击[下一步]按钮。
4)出现“操作系统兼容性”对话框,单击[下一步]按钮,在“域控制器类型”对话框中,我们将在这个向导中建立一个新域的DC和林,所以我们选择“新域的域控制器”,按[下一步]按钮继续。
5)选择“在新林中的域”,按[下一步]按钮继续,。
6)出现如下图所示,在“新域的DNS全名”文本框中输入新建域的DNS全名,例如: 或者或者之类的DNS全名。
按[下一步]按钮继续。
7)在“NetBIOS域名”对话框中,在“域NetBIOS名”文本框中输入NetBIOS域名,或者接受显示的名称。
NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。
8)在出现“数据库和日志文件夹”的对话框中(如下图),这些文件夹必须放在NTFS分区上,注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上。
按[下一步]按钮继续。
9)在出现“共享的系统卷”对话框中,该文件夹必须放在NTFS分区上,在Windows Server 2003中,Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。
活动目录安装实验报告
一、实验目的1. 熟悉活动目录(Active Directory)的基本概念和功能。
2. 掌握Windows Server 2016中活动目录的安装和配置方法。
3. 了解活动目录的架构和组件,以及如何进行用户和组的管理。
二、实验环境1. 操作系统:Windows Server 20162. 硬件配置:CPU 2.0GHz,内存 4GB,硬盘 100GB3. 网络配置:192.168.1.0/24,默认网关 192.168.1.1三、实验步骤1. 安装Windows Server 2016- 将Windows Server 2016安装光盘插入光驱,启动计算机并按提示操作。
- 选择“Windows Server 2016 Datacenter”,然后按“下一步”。
- 选择“自定义:仅安装Windows”。
- 在“分区”界面中,选择“新建”来创建一个新分区,并将所有可用空间分配给新分区。
- 选择新分区,然后点击“下一步”。
- 输入产品密钥,然后点击“下一步”。
- 选择“使用推荐的设置,以快速完成安装”。
- 点击“下一步”,开始安装Windows Server 2016。
2. 配置网络- 安装完成后,配置网络适配器。
- 双击“网络和共享中心”,选择“更改适配器设置”。
- 右键点击“以太网”,选择“属性”。
- 在“Internet协议版本4(TCP/IPv4)”下,选择“属性”。
- 选择“使用下面的IP地址”,输入IP地址、子网掩码和默认网关。
- 点击“确定”保存设置。
3. 安装活动目录- 以管理员身份登录Windows Server 2016。
- 打开“服务器管理器”,选择“添加角色和功能”。
- 在“基于角色或基于功能的安装”下,点击“下一步”。
- 选择“角色”,然后点击“下一步”。
- 在“活动目录域服务”下,点击“下一步”。
- 选择“新域的域控制器”,然后点击“下一步”。
- 在“域名称”中输入域名称,例如“”。
活动目录的卸载与安装
最后一次放弃卸载行动的Hale Waihona Puke 会开始卸载…..waiting
卸载完成
重新启动
2、安装活动目录
配置服务器网络设置:IP:192.168.0.1;子网 掩码:255.255.255.0;DNS服务器地址可为“空”
DNS地址会被自动设置为“本地IP”
在“网络标识”属性中重设计算机名,并 在“其他”处删除原有域名后缀
选择自动安装配置 DNS
现选项为“纯 win2000网络”(另一个选 项为“混合网络”)
目录修复管理员密码:本例为“空”
摘要及“取消安装”的最后机会
安装开始…..waiting again
正在配置 DNS
完成活动目录安装
重启计算机
进入系统后检查设置是否正确及是否生效 (完整计算机名、域、属性不可改)
重新启动…..
重新启动……
重新启动后,检查一下设置是否正确
用 dcpromo 命令安装活动目录
安装向导
本机是“新域的域控制器”
由此建“新的域目录树”
由此建“新的域目录林”
新的域名“ ”
域 NetBIOS 名是向前兼容的域名形式
本例使用默认位置即可
默认
提醒:无 DNS 服务存在
重启计算机
重新进入系统后,可见网络标识以改变
服务器端:活动目录的用户和计算机组件的
Computers 文件夹内出现 ftp 计算机
服务器端:DNS中自动出现 ftp 计算机的域名纪 录,一切顺利完成!!!
“管理工具”里是否有活动目录的三个组件
这是“前任”DNS系统的痕迹,它影响了新 DNS系统的连接与显示
作如下操作:DNS---右键---连接到计算机
2-安装和配置活动目录证书服务(AD CS)
证书和CA管理工具
AIA 和CRL 分发点
使用PKI解决方案确认证书
启用PKI的应用程式使用CryptoAPI确认证书.
证书发现
路径确认
吊销检查
AD CS 怎样支持 PKI
AD CS
CA
CA Web 注册
在nt Service
Lesson 2: 部署CA层次架构
安装子CA 介绍CA管理控制台
安装根CA要考虑的
计算机名和域成员身份
名称和配置 # CSP Default: 2048 密钥长度
证书数据库和日志位置
Certificate 正确的时间
Hash 算法
私钥配置
一个根CA部署计划
演示:怎样安装 AD CS 作为根 CA
安装AD CS 服务器角色作为一个企业根CA
什么是CRLs?
分发证书
配置证书自动注册 吊销证书 CA的故障排除
什么是CRLs?
Base CRLs
+
所有吊销证书
较少的发布间隔
很多数量
使用任意版本Windows的客 户端计算机
Delta CRLs -
基于Base CRLs 发生变化的吊销 证书列表
较多的发布间隔
较少的数量
使用Windows XP® or Windows Server® 2003的客户端计算机
CA概览
实现CA的选项
CA的类型 比较独立CA和企业CA
CA概览
CA(认证中心)
为自己分配一个证书
为证书申请校验身份
颁发证书给用户,计算机和服务
管理证书吊销
讨论:实现 CA的选项
使用一个外部的公共CA的益处和缺点?
使用内部CA的益处和缺点?
服务器配置与管理 实训项目一:活动目录的创建
上机作业一、实训名称:活动目录的创建二、实训目的1、掌握活动目录安装与删除的方法。
2、掌握活动目录中组和用户账户三、实训环境一台装有Windows 2003 Server 虚拟机四、实训内容1、活动目录安装与删除。
2、活动目录中创建组和用户账户五、实训步骤:(主要步骤)1、安装活动目录开始→管理工具→配置您的服务器向导→服务器角色→域控制器Active Directory→启动Active Directory 安装向导→域控制器类型→新域的域控制器→创建一个新域→在新林中的域→新的域名→新域的DNS全名→”→在【域NetBIOS 名】文本框中自动填入域NetBIOS 名→数据库和日志文件文件夹→共享的系统卷→DNS 注册诊断→选中【在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器】→权限→选中【只与Windows Server 2000 或Windows Server 2003 操作系统兼容的权限】→目录服务还原模式的管理员密码→摘要→安装结束后重新启动计算机完成安装。
2、创建用户和组(1)添加用户的步骤:Active Directory 用户和计算机→新建→用户→打开【新建对象-用户】对话框。
→出现【新建对象-用户】对话框,在【姓】、【名】文本框中输入用户的姓名信息,在【用户登录名】文本框中输入用户用于登录域的名称xuser1,从下拉列表中选择要附加到用户登录名称的UPN后缀→可根据需要设置密码以及其他账户选项。
注意密码必须符合用户账户命名策略→完成→完成用户账户创建。
(2)添加组的步骤:Active Directory用户和计算机→新建→组→新建对象-组→设置组的名称“xzb”→属性→成员→添加→选择用户、联系人或计算机→输入对象名称来选择“xzb”组的用户名,有多个用户名时用“;”号隔开→确定。
关于活动目录的安装和细节
关于活动目录的安装和细节
实验报告:
一、检查将要安装域控制器的条件是否满足。
1.以管理员身份登录
2.将IP配成192.168.10.1 255.255.255.0
3.检查分区是否有NTFS格式,是否有足够的空间,
二、安装活动目录
1.在“开始”——“运行”里输入“dcpromo”命令。
2.在选择某一部署配置那里,选择在新林中新建域。
3.在命名林根域那里输入想要创建的域名,
4.在设置林功能级别和域功能级别处,我选择 Windows 2000和Windows 2000
纯模式
5.下一步到目录服务还原模式的Administrator密码处设置自己的密码。
6.等待自动安装,完成后重启电脑。
三、将另外一台计算机加入域中
1.将这台电脑的IP配置成19
2.168.10.2 255.255.255.0
DNS 配成 192.168.10.1
如果不配置DNS将无法加入到域。
2.打开服务器管理器,单击“更改系统属性”,单击“更改”,然后在域里
面写上上面新建的域。
3.在弹出的窗口写上管理员密码。
4.出现这个后重启电脑即可。
5.在域控制器上创建用户sweet,。
在客户机上用sweet用户登录域
。
活动目录,作用。
活动目录安装与设置
活动目录安装与设置一、Active Directory 的安装管理员把自己的服务器用作域控制器,必须安装Active Directory (活动目录)。
如果网络没有其他的域控制器,可以把服务器配置为新的域控制器;如果网络中已有其他的域控制器,可以将服务器设置为额外域控制器,并建立新子域、新建域目录或目录林。
安装Active Directory 的操作步骤如下:(1)首先打开“管理您的服务器向导”窗口,然后在窗口里单击“添加或删除角色”,然后在后面弹出的“配置您的服务器向导”窗口中选择“域控制器(Active Directory )”选项,如图所示。
单击“下一步”按钮继续安装。
(2)系统随后会弹出一个“Active Directory 安装向导”窗口,利用它用户可以方便地完成“Active Directory ”的安装。
(3)接着系统会弹出一个选择域控制器的窗口,让用户选择指定此服务器担任的角色,究竟是新域还是额外域控制器。
用户可以根据自己的实际情况和利用窗口中的提示进行选择。
在这里我们一般选择“新的域控制器”,然后单击“下一步”按钮继续安装。
(4)此时系统会弹出一个窗口,让用户选择所新建的那个域的类型,类型的选择有新林中的域、现有域树中的子域和现有林中的域树。
用户根据实际的要求进行选择,这里选择“在新林中的域”,然后单击“下一步”按钮继续安装。
(5)系统此时会弹出一个窗口让用户输入新建域的DNS 全名,如图所示;输入DNS 全名然后单击“下一步”按钮继续安装。
(6)这时系统会弹出一个窗口让用户输入新的NetBIOS 名称,可以在“域NetBIOS名”的文件区输入NetBIOS域名,也可以接受系统默认的名称,单击“下一步”按钮。
这里我们所说的NetBIOS域名是用来提供早期的Windows用户来识别新域的。
(7)系统会弹出“数据库和日志文件文件夹”的对话框,如图所示。
在“数据库文件夹”文件框中输入数据库保存的位置,当然也可以单击“浏览”按钮进行选择路径;在“日志文件夹”文本框中输入日志文件保存位置,方然也可以单击“浏览”按钮进行选择路径。
活动目录的安装、配置
活动目录的安装与windows 2000 server不同,为了安全起见,windows server 200 3初始安装时几乎不提供任何的服务。
因此,安装活动目录与其他服务器一样,也需要有系统管理员手工安装,从而将普通的服务器升级到域控制器。
2.1.1 记录与设置服务器的相关的参数将windows server 2003升级到域控制器时候,首先应对计算机的相关的参数的设置。
以administration登陆到windows server 2003计算机,显示网络连接属性,查看当前的TCP/IP地址,如下图所示:注意:对于要升级到active directory服务器的计算机来说,首选DNS服务器必须设置为本机的IP地址。
2.1.2 升级到活动目录所谓域控制器,其实就是安装了活动目录的windows server 2003的计算机。
第一步:用administration登陆到windows server 2003计算机上,在“开始”——“允许——“dcpromo”,开始进行活动目录的安装。
在“操作系统的兼容性”对话框中单击“下一步”按钮。
显示“域控制器类型”对话框。
如下图:第二步:选择“新域的控制器”单击“下一步“按钮,弹出“创建一个新域“对话框。
第三步:选择“在新林中的域“单击”下一步“,显示”新的域名“对话框。
第四步:输入““,单击”下一步“,显示“NETBIOS域名”对话框,在此选择默认即可。
第五步:单击“下一步“按钮,显示”数据库日志文件夹“对话框,选择默认即可。
第六步:单击“下一步”按钮,显示”共享系统卷“设置对话框,选择默认即可。
第七布:单击“下一步”按钮,选择“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设置为这台计算机的首选DNS服务器。
”第八步:单击“下一步”按钮,显示权限设置对话框,在此选择“只与windows 2003或windows server 2003操作系统兼兼容的权限”如果网络中有以前的网络操作系统,选择“与windows 2000之前的操作系统兼容的权限”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
提示:本地组是指在工作组模式下的本地帐户中的组,它只针对于本机。 而本地域组针对的是域,工作于域模式下,两者不是一个概念。
4、默认组
默认组是系统安装Active Directory 域时自动创建的安全组,我们可 以使用这些系统预定义的组来控制对共享资源的访问,并委派特定的域范围 的管理角色。
1)、用户帐户 用于识别用户身份,它主要由用户名和密码组成,只有拥有了一个用户帐 户的人员才能通过计算机登录到域。在实际应用中,应该尽量保证一个用户 帐户由一个人使用,避免一个帐户供多人使用的情况出现。 2)、组帐户 用于组织和管理用户帐户。不同用户帐户可拥有不同的权利和权限,为了 方便管理,可设置组帐户,为组帐户设置权利和权限,当需要赋予一个用户 某种权限时,只要把该帐户加入相应的组即可。一个用户帐户可同时加入多 个组,此时他的权限是各个组权限的叠加。域中的组允许嵌套,即组的成员 可以包括用户帐户和其它组。而本地帐户中的组是不能嵌套的。
5、独立服务器
独立服务器是一台运行 Windows Server 2003但不参与域的服务器。 独立服务器只有其自身的用户数据库,并由服务器自身处理登录请求。独立 服务器不提供对域帐户的访问权限,该服务器通常于工作组模式下运行。
6、活动目录和域控制器的关系
如果网络规模较大,这时我们就会考虑把网络中对象,比如计算机、用 户帐户、组帐户、打印机、共享夹进行分类后存放在一个数据库中,并做好 检索信息,以利于查找、管理和使用这些对象(资源)。这个有层次结构的 数据库,就是活动目录数据库,简称AD库。接下来,我们把存放有活动目录 数据库的计算机就称之为域控制器(Domain Controller),简称DC。
Active Directory通过层次式的架构,将对象、容器、OU等组合在一 起,并将它们存储在Active Directory的数据库中。
4)、名字空间与DNS
每一个域都必须有名字,域的名字遵循 DNS 命名规则,并且通过 DNS 服务 器解析域名。
5)、域树
域树是由根域及其之下的子域所构成的域目录层次结构。域树由多个域组 成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过 信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别 越低,一个“.”代表一个层次,如域 就比 这个域级别低。
192.168.1.1。
2、安装域控制器
安装域控制器的思路是:先安装一台Windows Server 2003操作系统的独 立服务器或成员服务器,然后将其升级为域控制器。 将服务器升级成域控 制器的方法有两种:一种方法是使用“配置您的服务器向导”,另一种方法 是通过运行“Active Directory安装向导”来建立一个域控制器。
运行“Active Directory安装向导”: 1)、在“开始”→“运行”处输入“dcpromo”命令,回车后启动安装 向导。 2)、在打开“欢迎使用Active Directory安装向导”的对话框中单击 “下一步”按钮。 3)、在打开的“操作系统兼容性”对话框中单击“下一步”按钮。 4)、如果建立的是域中的第一台域控制器,则在“域控制器类型”对话 框中选择“新域的域控制器”选项,单击“下一步”按钮。
3、域控制器
域控制器(Domain Controller,DC)是一台安装并运行Active Directory的服务器,它包含Active Directory数据库的可写副本,参与 Active Directory复制并控制对网络资源的访问。在域中,域控制器统一 管理帐户数据库、所有的用户登录、资源访问认证及其管理任务。一个域 可以有一个或多个域控制器,各域控制器地位平等,管理员可以在任一台 域控制器上更新域中的信息,更新的信息会自动传递到网络中的其它域控 制器中。
6)、域(森)林
域林是指由一个或多个没有形成连续名字空间的域树组成,它与上面所讲 的域树最明显的区别就在于这些域树之间没有形成连续的名字空间。域林中 的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过 Kerberos信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同 域树可以交叉引用其他域树中的对象。域林都有根域,域林的根域是域林中 创建的第一个域,域林中所有域树的根域与域林的根域建立可传递的信任关 系。
二、域的相关概念
1、什么是域
域是由网络上的用户和计算机组成的一个逻辑组或逻辑集合。域中所有的 对象都存储在活动目录下。一个网络可以建立一个或多个域,每个域都是一 个安全界限,这意味着各种权限的设置不能跨越不同的域。简单的说,一个 域就是一系列的用户帐户、访问权限和其他各种资源的集合。
2、域与工作组的区别
我们可以通过“Active Directory 用户和计算机”管理器来管理组。 默认组位于“Builtin”容器和“Users”容器中,“Builtin”容器包含用本 地域作用域定义的组(即本地域组),“Users”容器包含通过全局作用域定 义的组和通过本地域作用域定义的组。我们可以将这些容器中的组移动到域 中的其他组或组织单位,但不能将它们移动到其他域。
2、活动目录的相关概念
1)、目录与目录服务
目录是存储有关网络上对象信息的层次结构。而目录服务是提供用 于存储器目录数据并使该数据可由网络用户和管理员使用的方法。目录 服务标记管理网络中的所有对象资源,如计算机、用户、打印机、文件 等,并且提供了命名、描述、查找、访问以及保护这些对象信息的方法, 使网络中的所有用户都能访问到这些资源。
2)、对象与属性
对象是活动目录中一种有形的信息实体,它是一组属性的集合,比如用 户帐户、文件名、计算机名等。对象通过属性描述它的基本特征,比如,一 个用户帐户的属性中可能包括用户的姓名、 电话号码、 电子邮件地址和家 庭住址等。
3)、容器与OU(组织单位)
容器是存放对象的空间,它与对象相似也有名称,也是一些属性的 集合。容器内可以包含其他对象,如包含“用户”与“计算机”等对象, 也可以包含其他的容器。而组织单位(Organization Units,OU)是 Active Directory内一个比较特殊的容器,除了可以包含其他对象与OU 之外,还有“组策略(group policy)”的功能。例如,一个名称为 “业务部”的OU,包含了两个“用户”对象、两个“计算机”对象和两 个OU。
5)、在“创建一个新域”对话框中选择“在新林中的域”选项,单击“下一 步”按钮。 6)、在“新的域名”对话框中的“新域的DNS全名”文本框中输入需要创建 的域名,这里输入,如图9-1所示。单击“下一步”按钮,系统开 始检测域名是否合格。 提示:每个域都需要有一个域名,由于一个域建立后再更改域名将会是一件很 麻烦的事,所以这里应慎重设置。在网络中域名设置应遵循 DNS命名规则且不 允许重复,所以输入域名后,单击“下一步”按钮,系统会在网络中检测该域 名是否可用。
工作组模式的网络中,各服务器都是独立的,而且各服务器中的帐户和 资源也是各自进行管理的。所以,管理员需要为每台服务器建立帐户,在管 理时也需要分别登录各服务器完成管理工作。授权用户访问不同的服务器时, 也需要分别登录。
域模式的网络中,服务器可以集中进行管理,域中的帐户和资源也是集 中管理的。所以,管理员登录到服务器后就可以管理整个域并可以访问所有 共享资源。在域模式的网络中,需要一个对帐户和资源进行统一管理的机制, 这个机制就是活动目录(Active Directory)。域中所有的帐户和共享资源 都需要在活动目录中进行登记,用户可以利用活动目录查找和使用这些资源。 基于域模式的网络可大大减轻管理的复杂度和工作量,通常用于结构较复杂 的网络。
2、域组的类型
域模式中的组称为域组,域组可分为通信组和安全组。通信组用于创 建电子邮件通信组列表,即用于部署电子邮件服务的网络。安全组用于给 共享资源指派权限,系统自动创建的默认组也属于安全组。
3、域组的作用域类型
通用组:成员可以来自任何域,成员可以访问任何域内资源。
全局组:成员只来自本地域,成员可以访问任何域内资源。
4、成员服务器
成员服务器是一台运行 Windows Server 2003 的服务器,它是域中的 成员,但不是域控制器。成员服务器不执行用户身份验证,也不存储安全 策略信息,这些工作由域控制器完成,这样,可以让成员服务器有更高的 处理能力来处理网络中的其他服务。在域结构的网络中,身份验证与服务 是分开的,这样可以提高服务器的效率。
9)、在“共享的系统卷”对话框中,指定作为系统卷共享的文件夹。 Sysvol文件夹存放域的公用文件的服务器副本,Sysvol广播的内容会被复 制到域中的所有域控制器,其文件夹位置一般不作修改,直接单击“下一 步”按钮。
10)、在“DNS注册诊断”对话框中,选中“在这台计算机上安装并配置 DNS 服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器”单选 框,然后单击“下一步”按钮。
一、活动目录的概述
1、什么是活动目录
Active Directory(活动目录)是一种目录服务,它存储有关网络对 象的信息。比如,用户、组、计算机、共享文件夹、网络打印机等,并使 系统管理员和用户可以方便地查找和使用网络信息。Active Directory的 应用起源于Windows NT 4.0,在Windows Server 2003中得到进一步的发展 和应用,具有可扩展性和可调整性,并以结构化数据存储方式作为目录信 息逻辑和分层组织的基础。
3)、计算机帐户 用于标识域中的计算机。一个拥有用户帐户的人并不能从任意的一台计算 机登录到域,他只能在已加入域的计算机上才能登录域。每台加入到域的计 算机(包括客户机和服务器)都会有一个计算机帐户。 4)、共享资源帐户 用于标识域中的共享资源,包括共享文件夹、共享打印机等。域中的共享 资源必须公布在活动目录中才能由域用户共享。共享文件夹的实际位置可以 在域中任一台计算机中,但域用户只要登录到域,就可以访问这些资源,而 不必登录到具体计算机上。实际应用中,共享文件夹通常定义在服务器上, 这样可保证资源总是有效,如果定义在客户机上,将会在客户机关机时无法 访问。