活动目录服务的基本安装和配置
windows服务器_部署活动目录域
32
实验案例2:OU的管理
• 学员练习:
– 创建OU – 创建用户 – 委派权限 – 在客户机添加“Active Directory域服务工具” 功能 – 在客户机上使用被委派用户验证委派
40分钟完成
33
6
安装活动目录
• 推荐步骤
– 运行dcpromo命令 – 在新林中新建域 – 设置域名 – DNS服务器 – 目录服务还原模式的Administrator密码
7
域功能级别
域功能级别 支持的域控制器
Windows 2000 Window Server 2003 Window Server 2008 Window Server 2003 Window Server 2008
– 可扩展性
4
域和活动目录的概念3-3
• 域树
– 具有连续的域名空间的多个域
• 林
– 林由一个或多个域树组成
5
安装域控制器的条件
• 安装者必须具有本地管理员权限 • 操作系统版本必须满足条件(Windows Server 2003 除Web版外都满足) • 本地磁盘至少有一个分区是NTFS文件系统 • 有TCP/IP设置(IP地址、子网掩码等) • 有相应的DNS服务器支持 • 有足够的可用空间
• 可以按AGDLP规则来使用全局组
19
通用组
• 使用范围是整个林及信任域 • 全局组和通用组的区别
– 通用组的成员身份在全局编录中
• 多域环境下通用组成员登录或者查询速度较快
– 全局组的成员身份在每个域中
20
组织单位(OU)的管理
• 概念
– 容器:有效地组织活动目录对象 – 委派控制 – 组策略
16
Active Directory部署之完全手册
Active Directory部署之完全手册本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。
首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统,我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:AmericanIP:192.168.0.253子网掩码:255.255.255.0DNS: 192.168.0.253 (因为我要把这台机器配置成DNS服务器)点开始—运行输入dcpromo:待活动目录安装向导启动:点击下一步:这里是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。
然后点击“下一步”:在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”:既然是第一台域控,那么当然也是选择“在新林中的域”, 然后点“下一步”:我们把DNS Server与域控制器集成是有很多好处:1、基于Active Directory 功能的多主机更新和增强的安全性。
2、只要将新的区域添加到Active Directory 域,区域就会自动复制并同步至新的域控制器。
3、通过将DNS 区域数据库的存储集成到Active Directory 中,可以针对网络简化数据库复制规划。
4、与标准DNS 复制相比,目录复制更快捷、更有效。
5、该目录中只能存储主要区域。
DNS 服务器不能在目录中存储辅助区域。
因此,它必须在标准文本文件中存储这些数据。
如果将所有的区域都存储在Active Directory 中,Active Directory 的多主机复制模式将不再需要辅助区域。
OK,我们默认然后点“下一步”:在这里我们输入我们预先想好的域名:然后点“下一步”:这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但个人建议还是采用默认的好,省得以后麻烦。
Windows 2000 Server安装与配置
Windows 2000 Server安装与配置实验目的:Windows 2000 Server是目前应用最普遍的局域网操作系统,通过本实验使学生掌握Windows 2000 Server的安装、配置和使用方法。
主要掌握Windows 2000 Server作为域控制器时的活动目录的安装配置、文件系统的管理方法,熟练的使用活动目录进行域用户创建、组的创建、域的管理。
实验内容:(一)活动目录与文件系统:活动目录的安装与配置、文件系统的共享与安全性设置。
(二)用户和计算机账户管理:用户和组的建立管理和安全性配置。
实验步骤:Windows 2000 Server安装与配置(一):活动目录与文件系统(一)安装活动目录1、安装活动目录具体步骤:1.启动Windows 2000 Server系统自动打开“Windows 2000配置服务器”窗口,或者选择“开始”/“程序”/“管理工具”/“配置服务器”,打开如图所示配置服务器窗口。
2. 在左边的列表中单击“Active Directory”超级链接,并拖动右边的滚动条到窗口底部,如图所示。
3.单击“启动”链接,打开“Active Dir ectory安装向导”对话框,如图所示。
也可省去前面三步,直接通过“开始”/“运行”,打开“运行”对话框,输入dcpromo命令,单击“确定”按钮,打开如图所示的对话框。
4.单击“下一步”,打开如图所示的选择“域控制器类型”对话框。
若安装的服务器是域中的第一个域控制器,选择“新域的域控制器”。
如果网上已有域控制器,可选择“现有域的额外域控制器”。
5.单击“下一步”,打开如图所示的“创建目录树或子域”对话框,如果用户不想让新域成为现有域的子域,可选择“创建一个新的域目录树”。
如果用户希望新域成为现有域的子域,可选择“在现有域目录树中创建一个新的子域”。
这里,选择“创建一个新的域目录树”。
6.单击“下一步”,打开如图所示的“创建或加入目录林”对话框,如果所创建的域为单位的第一个域,或者希望所创建的新域独立于现有目录林,可选择“创建新的域或目录树”。
计算机网络原理 安装活动目录服务
计算机网络原理安装活动目录服务活动目录(Active Directory)是用于Windows 2003的目录服务。
它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。
活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。
1.DNS与活动目录由于活动目录与DNS是集成的,并且共享相同的名称空间结构,因此注意两者之间的差异非常重要:●DNS是一种名称解析服务DNS客户机向配置的DNS服务器发送DNS名称查询。
DNS服务器接收名称查询,并且解析名称查询,或者进行名称解析。
DNS不需要活动目录可以独立运行。
●活动目录是一种目录服务活动目录提供信息存储库以及让用户和应用程序访问信息的服务。
活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)”向活动目录服务器发送查询。
然后要定位活动目录服务器,活动目录客户机将查询DNS。
即活动目录用于组织资源,而DNS用于查找资源;只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。
2.规划活动目录为了让用户和管理员操作更为方便,在安装活动目录之前,我们首先要对活动目录的结构进行细致的规划设计。
●规划DNS如果用户准备使用活动目录,则需要首先规划名称空间。
在Windows 2003中,用DNS 名称命名活动目录域。
选择DNS名称用于活动目录域时,以保留在Internet上使用的已注册DNS域名后缀开始(如),并将该名称和单位中使用的地理(部门)名称结合起来,组成活动目录域的全名。
●规划用户的域结构最容易管理的域结构就是单域。
规划时,用户应从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域。
单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。
安装活动目录的方法
安装活动目录的方法安装活动目录(Active Directory)的步骤如下:1. 确保服务器满足以下最低系统要求:64位操作系统(如Windows Server 2019、Windows Server 2016)、2个核心的64位处理器、4GB内存、40GB 可用硬盘空间。
2. 登录服务器并打开“服务器管理器”。
3. 在“服务器管理器”中,单击“角色和功能安装”以启动安装向导。
4. 在“角色和功能安装向导”的“开始之前”页面上,选择“角色基于的或特定用途的安装”并单击“下一步”。
5. 在“服务器选择”页面上,选择要安装活动目录的服务器,并单击“下一步”。
6. 在“服务器角色”页面上,选择“活动目录域服务”并单击“下一步”。
7. 在“角色服务”页面上,选择“活动目录域控制器”并单击“添加功能”。
8. 在“添加功能”对话框中,单击“添加功能”。
9. 在“活动目录域服务”页面上,选择所需的选项,如“域控制器”和“域名系统(DNS)服务器”,然后单击“下一步”。
10. 在“功能”页面上,单击“下一步”。
11. 在“确认安装选择”页面上,选择“安装”并单击“下一步”。
12. 安装过程将开始,等待安装完成。
13. 安装完成后,将提示重启服务器。
单击“关闭”。
14. 服务器重启后,登录并打开“服务器管理器”。
15. 在“服务器管理器”中,单击“工具”>“活动目录用户和计算机”。
16. 在“活动目录用户和计算机”中可以开始配置和管理活动目录。
注意:在安装活动目录之前,建议进行详细的规划和设计,包括域名、域组织结构、域控制器位置等,以确保活动目录的正确性和可扩展性。
安装和配置活动目录证书服务(AD CS)
君子工作室教程集
QQ:529779525
安装和配置活动目录证书服务(AD CS)PKI(公共密钥基础结构)
机密性:公钥加密私钥解密
完整性:私钥加密公钥解密(数字签名)
有效性:同上
不可否认性:同上
PKI解决方案的组件
CA(认证中心)
数字证书
证书模板
证书吊销列表和在线响应
启用公共密钥的应用程序和服务
证书和CA 管理工具
AIA和CRL分发点
证书包括:服务器公钥,CA公钥,客户信息
安装AD CS服务器角色CA
安装根CA
安装子CA
CAPolicy.inf
认证业务规范(CPS)
对象标识符(OID)
CRL发布间隔时间(正是吊线列表)
CA更新
密钥长度
证书有效期
CDP(CRL发布点)和AIA(颁发机构信息访问)路径
发布根证书CA和URL到:
Active Directory
Web服务器http://192.168.10.10/certsrv
FTP服务器
File服务器
Web申请。
活动目录的卸载与安装
最后一次放弃卸载行动的Hale Waihona Puke 会开始卸载…..waiting
卸载完成
重新启动
2、安装活动目录
配置服务器网络设置:IP:192.168.0.1;子网 掩码:255.255.255.0;DNS服务器地址可为“空”
DNS地址会被自动设置为“本地IP”
在“网络标识”属性中重设计算机名,并 在“其他”处删除原有域名后缀
选择自动安装配置 DNS
现选项为“纯 win2000网络”(另一个选 项为“混合网络”)
目录修复管理员密码:本例为“空”
摘要及“取消安装”的最后机会
安装开始…..waiting again
正在配置 DNS
完成活动目录安装
重启计算机
进入系统后检查设置是否正确及是否生效 (完整计算机名、域、属性不可改)
重新启动…..
重新启动……
重新启动后,检查一下设置是否正确
用 dcpromo 命令安装活动目录
安装向导
本机是“新域的域控制器”
由此建“新的域目录树”
由此建“新的域目录林”
新的域名“ ”
域 NetBIOS 名是向前兼容的域名形式
本例使用默认位置即可
默认
提醒:无 DNS 服务存在
重启计算机
重新进入系统后,可见网络标识以改变
服务器端:活动目录的用户和计算机组件的
Computers 文件夹内出现 ftp 计算机
服务器端:DNS中自动出现 ftp 计算机的域名纪 录,一切顺利完成!!!
“管理工具”里是否有活动目录的三个组件
这是“前任”DNS系统的痕迹,它影响了新 DNS系统的连接与显示
作如下操作:DNS---右键---连接到计算机
Active Directory 技术简介及Active Directory部署之完全手册
Active Directory 技术Active DirectoryActive Directory是指Windows 2000网络中的目录服务。
它有两个作用:1.目录服务功能。
Active Directory提供了一系列集中组织管理和访问网络资源的目录服务功能。
Active Directory使网络拓扑和协议对用户变得透明,从而使网络上的用户可以访问任何资源(例如打印机),而无需知道该资源的位置以及它是如何连接到网络的。
Active Directory被划分成区域进行管理,这使其可以存储大量的对象。
基于这种结构,Active Direct ory可以随着企业的成长而进行扩展。
从仅拥有一台存储几百个对象的服务器的小型企业,扩展为拥有上千台存储数百万个对象的服务器的大型企业。
2.集中式管理。
Active Directory还可以集中管理对网络资源的访问,并允许用户只登陆一次就能访问在Active Direct ory上的所有资源。
Active Directory 的优点在Windows 2000 操作系统中引入Active Directory 有以下优点:∙与DNS 集成。
Active Directory 使用域名系统(DNS)。
DNS 是一种Internet 标准服务,它将用户能够读取的计算机名称(例如)翻译成计算机能够读取的数字Internet 协议(IP) 地址(由英文句号分隔的四组数字)。
这样,在TCP/IP 网络计算机上运行的进程即可相互识别并进行连接。
∙灵活的查询。
用户和管理员如果要通过对象属性快速查找网络中的对象,可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是Active Directory 用户和计算机管理单元。
例如,您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。
而且,使用全局编录优化了查找信息的操作。
∙可扩展性。
Active Directory 是可扩展的;也就是说,管理员既可以在架构中添加新的对象类别,也可在原有的对象类别中添加新属性。
服务器配置与管理 实训项目一:活动目录的创建
上机作业一、实训名称:活动目录的创建二、实训目的1、掌握活动目录安装与删除的方法。
2、掌握活动目录中组和用户账户三、实训环境一台装有Windows 2003 Server 虚拟机四、实训内容1、活动目录安装与删除。
2、活动目录中创建组和用户账户五、实训步骤:(主要步骤)1、安装活动目录开始→管理工具→配置您的服务器向导→服务器角色→域控制器Active Directory→启动Active Directory 安装向导→域控制器类型→新域的域控制器→创建一个新域→在新林中的域→新的域名→新域的DNS全名→”→在【域NetBIOS 名】文本框中自动填入域NetBIOS 名→数据库和日志文件文件夹→共享的系统卷→DNS 注册诊断→选中【在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器】→权限→选中【只与Windows Server 2000 或Windows Server 2003 操作系统兼容的权限】→目录服务还原模式的管理员密码→摘要→安装结束后重新启动计算机完成安装。
2、创建用户和组(1)添加用户的步骤:Active Directory 用户和计算机→新建→用户→打开【新建对象-用户】对话框。
→出现【新建对象-用户】对话框,在【姓】、【名】文本框中输入用户的姓名信息,在【用户登录名】文本框中输入用户用于登录域的名称xuser1,从下拉列表中选择要附加到用户登录名称的UPN后缀→可根据需要设置密码以及其他账户选项。
注意密码必须符合用户账户命名策略→完成→完成用户账户创建。
(2)添加组的步骤:Active Directory用户和计算机→新建→组→新建对象-组→设置组的名称“xzb”→属性→成员→添加→选择用户、联系人或计算机→输入对象名称来选择“xzb”组的用户名,有多个用户名时用“;”号隔开→确定。
第2章活动目录服务
2.2 部署Active Directory目录服务
2.2.6 域成员计算机的配臵与管理
域成员计算机登录到域
使用UPN用户名“用户名@域名”和密码登录到域
使用SAM账户名称和密码登录到域
2.2 部署Active Directory目录服务
2.2.6 域成员计算机的配臵与管理
让域成员计算机退出域
2.1 目录服务基础
2.1.1 什么是目录服务
目录服务是一种基于客户/服务器模型的信息查询
服务。可以将目Leabharlann 看作是一个具有特殊用途的数据库。目录服务特点
数据读取和查询效率非常高 数据写入效率较低 以树状的层次结构来描述数据信息 能够维持目录对象名称的唯一性
2.1 目录服务基础
2.1.2 目录服务标准
个林 选择DNS名称用于Active Directory域时通常使用现有域名
内部名称空间与外部名称空间尽可能保持一致
多数情况下只需一个Active Directory站点
2.2 部署Active Directory目录服务
2.2.3 Active Directory安装
服务器角色及其转换
2.2 部署Active Directory目录服务
2.2.1 Active Directory概述
Active Directory站点
站点可看作是一个或多个IP子网中的一组计算机定义 站点反映网络物理结构
主要作用是使Active Directory适应复杂的网络连接环境
站点A
站点B
域A
第2章 活动目录服务
目录服务已成为网络基础结构的一个重要组成部分。对于 Windows 网络来说,Active Directory(活动目录)是用于组织、 管理和定位网络资源的增强性目录服务,作为网络基础设施,以 域为基础对网络资源实行集中管理和控制。
活动目录的设置与管理
删除Active Directory
6.2.2 删除Active Directory
6.2.2 删除Active Directory
6.2.2 删除Active Directory
6.2.2 删除Active Directory
第6章 活动目录的设置与管理
活动目录的基本概念
活动目录的安装与删除
6.1.1 活动目录服务的功能和优点
目录服务的功能
集中管理
存储 组织 管理 控制 定位
单点管理
单点登陆可访问所有的目录服务 资源
资源
6.1 活动目录的基本概念
活动目录服务的功能和优点
活动目录的结构和常用概念
6.1.2 活动目录的结构和常用概念
1. 活动目录的逻辑结构
LDAP通过为目录中的每一个对象指定唯一的命 名路径,提供了一种与活动目录通讯的方法
LDAP 命名路径包括:
标识名
Suzan Fine,OU=Sales,DC=contoso,DC=msft CN=Suzan Fine
相对标识名
6.1.2 活动目录的结构和常用概念
3. 活动目录的一些常用概念
6.2.1 安装Active Directory
6.2.1 安装Active Directory
6.2.1 安装Active Directory
6.2.1 安装Active Directory
6.2.1 安装Active Directory
三个管理工具
6.2 活动目录的安装与删除
安装Active Directory
提升域和林的功能级别 信任的创建 站点的建立与管理 资源的发布
Windows server 2003服务器配置
一.Windows2000 server 的安装,配置安装活动目录(Active Directory):选择“开始”→“程序”→“管理工具”→“配置服务器”,单击“下一步”。
单击对话框中的“Active Directory”,出现安装向导并由此配置直到安装成功。
创建工作组:启动WIN2000 SERVER,并以系统管理员(administrator)的身份登陆服务器。
选择“开始”→“程序”→“管理工具”→“Active Directory用户和计算机”,并在其中创建组,在组中加入用户。
添加IIS (Internet信息服务)操作:控制面板→添加/删除程序→添加/删除Windows组件→Internet信息服务→全选二.DNS服务器的配置DNS服务器安装完成以后会自动打开“配置DNS服务器向导”对话框。
用户可以在该向导的指引下创建区域。
第1步,在“配置DNS服务器向导”的欢迎页面中单击“下一步”按钮,打开“选择配置操作”向导页。
在默认情况下适合小型网络使用的“创建正向查找区域”单选框处于选中状态。
第2步,打开“主服务器位置”向导页,如果所部署的DNS服务器是网络中的第一台DNS服务器,则应该保持“这台服务器维护该区域”单选框的选中状态,将该DNS服务器作为主DNS服务器使用,并单击“下一步”按钮第3步,打开“区域名称”向导页,在“区域名称”编辑框中键入一个能反映公司信息的区域名称(如“”),单击“下一步”按钮第4步,在打开的“区域文件”向导页中已经根据区域名称默认填入了一个文件名。
该文件是一个ASCII文本文件,里面保存着该区域的信息,默认情况下保存在“windowssystem32dns”文件夹中。
保持默认值不变,单击“下一步”按钮第5步,在打开的“动态更新”向导页中指定该DNS区域能够接受的注册信息更新类型。
允许动态更新可以让系统自动地在DNS中注册有关信息,在实际应用中比较有用,因此点选“允许非安全和安全动态更新”单选框,单击“下一步”按钮第6步,打开“转发器”向导页,保持“是,应当将查询转送到有下列IP地址的DNS服务器上”单选框的选中状态。
关于活动目录的安装和细节
关于活动目录的安装和细节
实验报告:
一、检查将要安装域控制器的条件是否满足。
1.以管理员身份登录
2.将IP配成192.168.10.1 255.255.255.0
3.检查分区是否有NTFS格式,是否有足够的空间,
二、安装活动目录
1.在“开始”——“运行”里输入“dcpromo”命令。
2.在选择某一部署配置那里,选择在新林中新建域。
3.在命名林根域那里输入想要创建的域名,
4.在设置林功能级别和域功能级别处,我选择 Windows 2000和Windows 2000
纯模式
5.下一步到目录服务还原模式的Administrator密码处设置自己的密码。
6.等待自动安装,完成后重启电脑。
三、将另外一台计算机加入域中
1.将这台电脑的IP配置成19
2.168.10.2 255.255.255.0
DNS 配成 192.168.10.1
如果不配置DNS将无法加入到域。
2.打开服务器管理器,单击“更改系统属性”,单击“更改”,然后在域里
面写上上面新建的域。
3.在弹出的窗口写上管理员密码。
4.出现这个后重启电脑即可。
5.在域控制器上创建用户sweet,。
在客户机上用sweet用户登录域
。
活动目录,作用。
活动目录安装与设置
活动目录安装与设置一、Active Directory 的安装管理员把自己的服务器用作域控制器,必须安装Active Directory (活动目录)。
如果网络没有其他的域控制器,可以把服务器配置为新的域控制器;如果网络中已有其他的域控制器,可以将服务器设置为额外域控制器,并建立新子域、新建域目录或目录林。
安装Active Directory 的操作步骤如下:(1)首先打开“管理您的服务器向导”窗口,然后在窗口里单击“添加或删除角色”,然后在后面弹出的“配置您的服务器向导”窗口中选择“域控制器(Active Directory )”选项,如图所示。
单击“下一步”按钮继续安装。
(2)系统随后会弹出一个“Active Directory 安装向导”窗口,利用它用户可以方便地完成“Active Directory ”的安装。
(3)接着系统会弹出一个选择域控制器的窗口,让用户选择指定此服务器担任的角色,究竟是新域还是额外域控制器。
用户可以根据自己的实际情况和利用窗口中的提示进行选择。
在这里我们一般选择“新的域控制器”,然后单击“下一步”按钮继续安装。
(4)此时系统会弹出一个窗口,让用户选择所新建的那个域的类型,类型的选择有新林中的域、现有域树中的子域和现有林中的域树。
用户根据实际的要求进行选择,这里选择“在新林中的域”,然后单击“下一步”按钮继续安装。
(5)系统此时会弹出一个窗口让用户输入新建域的DNS 全名,如图所示;输入DNS 全名然后单击“下一步”按钮继续安装。
(6)这时系统会弹出一个窗口让用户输入新的NetBIOS 名称,可以在“域NetBIOS名”的文件区输入NetBIOS域名,也可以接受系统默认的名称,单击“下一步”按钮。
这里我们所说的NetBIOS域名是用来提供早期的Windows用户来识别新域的。
(7)系统会弹出“数据库和日志文件文件夹”的对话框,如图所示。
在“数据库文件夹”文件框中输入数据库保存的位置,当然也可以单击“浏览”按钮进行选择路径;在“日志文件夹”文本框中输入日志文件保存位置,方然也可以单击“浏览”按钮进行选择路径。
活动目录的安装、配置
活动目录的安装与windows 2000 server不同,为了安全起见,windows server 200 3初始安装时几乎不提供任何的服务。
因此,安装活动目录与其他服务器一样,也需要有系统管理员手工安装,从而将普通的服务器升级到域控制器。
2.1.1 记录与设置服务器的相关的参数将windows server 2003升级到域控制器时候,首先应对计算机的相关的参数的设置。
以administration登陆到windows server 2003计算机,显示网络连接属性,查看当前的TCP/IP地址,如下图所示:注意:对于要升级到active directory服务器的计算机来说,首选DNS服务器必须设置为本机的IP地址。
2.1.2 升级到活动目录所谓域控制器,其实就是安装了活动目录的windows server 2003的计算机。
第一步:用administration登陆到windows server 2003计算机上,在“开始”——“允许——“dcpromo”,开始进行活动目录的安装。
在“操作系统的兼容性”对话框中单击“下一步”按钮。
显示“域控制器类型”对话框。
如下图:第二步:选择“新域的控制器”单击“下一步“按钮,弹出“创建一个新域“对话框。
第三步:选择“在新林中的域“单击”下一步“,显示”新的域名“对话框。
第四步:输入““,单击”下一步“,显示“NETBIOS域名”对话框,在此选择默认即可。
第五步:单击“下一步“按钮,显示”数据库日志文件夹“对话框,选择默认即可。
第六步:单击“下一步”按钮,显示”共享系统卷“设置对话框,选择默认即可。
第七布:单击“下一步”按钮,选择“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设置为这台计算机的首选DNS服务器。
”第八步:单击“下一步”按钮,显示权限设置对话框,在此选择“只与windows 2003或windows server 2003操作系统兼兼容的权限”如果网络中有以前的网络操作系统,选择“与windows 2000之前的操作系统兼容的权限”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
活动目录服务的基本安装和配置Active Directory 是用于Windows 2000 Server 的目录服务。
它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。
Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
Active Directory 是用于Windows 2000 Server 的目录服务。
它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。
Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
Active Directory 的优点:信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS 集成、与其他目录服务的互操作性、灵活的查询。
本章主要内容:1、活动目录的基本概念及其作用2、在安装活动目录前的目录规划3、活动目录工具6.1 活动目录的概念6.1.1 域域提供了多项优点:§组织对象。
§发布有关域对象的资源和信息。
§将组策略对象应用到域可加强资源和安全性管理。
§委派授权使用户不再需要大量的具有广泛管理权利的管理员。
要创建域,用户必须将一个或更多的运行Windows 2000 Server 的计算机升级为域控制器。
域控制器为网络用户和计算机提供Active Directory 目录服务、存储目录数据并管理用户和域之间的交互作用,包括用户登录过程、验证和目录搜索。
每个域至少必须包含一个域控制器。
域树和域林活动目录中的每个域利用DNS 域名加以标识,并且需要一个或多个域控制器。
如果用户的网络需要一个以上的域,则用户可以创建多个域。
共享相同的公用架构和全局目录的一个或多个域称为域林。
如图6.1 中所示,如果树林中的多个域有连续的DNS 域名,则该结构称为域树。
如图6.2所示如果相关域树共享相同的Active Directory 架构以及目录配置和复制信息,但不共享连续的DNS 名称空间,则称之为域林。
域树和域林的组合为用户提供了灵活的域命名选项。
连续和非连续的DNS 名称空间都可加入到用户的目录中。
6.1.2. 域和帐户命名Active Directory 域名通常是该域的完整DNS 名称。
但是,为确保向下兼容,每个域还有一个Windows 2000 以前版本的名称,以便在运行Windows 2000 以前版本的操作系统的计算机上使用。
用户帐户在Active Directory 中,每个用户帐户都有一个用户登录名、一个Windows 2000 以前版本的用户登录名(安全帐户管理器的帐户名)和一个用户主要名称后缀。
在创建用户帐户时,管理员输入其登录名并选择用户主要名称。
Active Directory 建议Windows 2000 以前版本的用户登录名使用此用户登录名的前20 个字节。
所谓用户主要名称是指由用户账户名称和表示用户账户所在的域的域名组成。
这是登录到Windows 2000 域的标准用法。
表准格式为:***************(类似个人的电子邮件地址)。
但不要在用户登录名或用户主要名称中加入@ 号。
Active Directory 在创建用户主要名称时自动添加此符号。
包含多个@ 号的用户主要名称是无效的。
在Active Directory 中,默认的用户主要名称后缀是域树中根域的DNS 名。
如果用户的单位使用由部门和区域组成的多层域树,则对于底层用户的域名可能很长。
对于该域中的用户,默认的用户主要名称可能是。
该域中用户默认的登录名可能是*********************。
创建主要名称后缀- "root" 使同一用户使用更简单的登录名*************就可以登录。
6.1.3 域间信任关系对于Windows 2000 计算机,通过基于Kerberos V5 安全协议的双向、可传递信任关系启用域之间的帐户验证。
在域树中创建域时,相邻域(父域和子域)之间自动建立信任关系。
如图6.2 中的 和 之间自动建立信任关系。
在域林中,在树林根域和添加到树林的每个域树的根域之间自动建立信任关系。
因为这些信任关系是可传递的,所以可以在域树或域林中的任何域之间进行用户和计算机的身份验证。
如果将Windows 2000 以前版本的Windows 域升级为Windows 2000 域时,Windows 2000 域将保留域和任何其他域之间现有的单向信任关系。
包括Windows 2000 以前版本的Windows 域的所有信任关系。
如果用户要安装新的Windows 2000 域并且希望与任何Windows 2000 以前版本的域建立信任关系,则必须创建与那些域的外部信任关系。
所有域信任关系都只能有两个域:信任域和受信任域。
域信任关系按以下特征进行描述:§单向单向信任是域A 信任域 B 的单一信任关系。
所有的单向关系都是不可传递的,并且所有的不可传递信任都是单向的。
身份验证请求只能从信任域传到受信任域。
Windows 2000 的域可与以下域建立单向信任:不同树林中的Windows 2000 域、Windows NT 4.0 域、MIT Kerberos V5 领域。
§双向Windows 2000 树林中的所有域信任都是双向可传递信任。
建立新的子域时,双向可传递信任在新的子域和父域之间自动建立。
§可传递Windows 2000 树林中的所有域信任都是可传递的。
可传递信任始终为双向:此关系中的两个域相互信任。
可传递信任不受信任关系中的两个域的约束。
每次当用户建立新的子域时,在父域和新子域之间就隐含地(自动)建立起双向可传递信任关系。
这样,可传递信任关系在域树中按其形成的方式向上流动,并在域树中的所有域之间建立起可传递信任。
如图6.3中因为域1 和域2 有可传递信任关系,域 2 和域3 有可传递信任关系,所以域3 中的用户(在获得相应权限时)可访问域1 中的资源。
因为域 1 和域A 具有可传递信任关系,并且域A 的域树中的其他域和域A 具有可传递信任关系,所以域B 中的用户(当授与适当权限时)可访问域3 中的资源。
§不可传递不可传递信任受信任关系中的两个域的约束,并不流向树林中的任何其他域。
在大多数情况下,用户必须明确建立不可传递信任。
在Windows 2000 域和Windows NT 域之间的所有信任关系都是不可传递的。
从Windows NT 升级至Windows 2000 时,目前所有的Windows NT 信任都保持不动。
在混和模式环境中,所有的Windows NT 信任都是不可传递的。
不可传递信任默认为单向信任关系。
§外部信任外部信任创建了与树林外部的域的信任关系。
创建外部信任的优点在于使用户可以通过树林的信任路径不包含的域进行身份验证。
所有的外部验证都是单向非转移的信任§快捷信任快捷信任是双向可传递的信任,使用户可以缩短复杂树林中的路径。
Windows 2000 同一树林中域之间的快捷信任是明确创建的。
快捷信任具有优化的性能,能缩短与Windows 2000 安全机制有关的信任路径以便进行身份验证。
在树林中的两个域树之间使用快捷信任是最有效的。
6.1.4 站点站点是由一个或多个IP 子网中的一组计算机,确保目录信息的有效交换,站点中的计算机需要很好地连接,尤其是子网内的计算机。
站点和域名称空间之间没有必要的连接。
站点反映网络的物理结构,而域通常反映用户单位的逻辑结构。
逻辑结构和物理结构相互独立,所以网络的物理结构及其域结构之间没有必要的相关性,Active Directory 允许单个站点中有多个域,单个域中有多个站点。
如果配置方案未组织成站点,则域和客户之间的信息交换可能非常混乱。
站点能提高网络使用的效率。
站点服务在以下两方面令网络操作更为有效:§服务请求当客户从域控制器请求服务时,只要相同域中的域控制器有一个可用,此请求就将会发给这个域控制器。
选择与发出请求的客户连接良好的域控制器将使该请求的处理效率更高。
§复制站点使目录信息以流水线的方式复制。
目录架构和配置信息分布在整个树林中,而且域数据分布在域中的所有域控制器之间。
通过有策略地减少复制,用户的网络拥塞也会同样减少。
Active Directory 在一个站点内比在站点之间更频繁地复制目录信息。
这样,连接最好的域控制器中,最可能需要特定目录信息的域控制器首先接收复制的内容。
其他站点中的域控制器接收对目录所进行的更改,但不频繁,以降低网络带宽的消耗。
6.1.5 Active Directory 用户和计算机帐户Active Directory 用户和计算机帐户代表物理实体,诸如计算机或人。
用户帐户和计算机帐户(以及组)称为安全主体。
安全主体是自动分配安全标识符的目录对象。
带安全标识符的对象可登录到网络并访问域资源。
用户或计算机帐户用于:§验证用户或计算机的身份。
§授权或拒绝访问域资源。
§管理其他安全主体。
§审计使用用户或计算机帐户执行的操作。
Windows 2000 提供了可用于登录到运行Windows 2000 的计算机的预定义用户帐户。
这些预定义帐户为:§管理员帐户§来宾帐户预定义帐户就是允许用户登录到本地计算机并访问本地计算机上资源的默认用户帐户。
设计这些帐户的主要目的是本地计算机的初始登录和配置。
每个预定义帐户均有不同的权利和权限组合。
管理员帐户有最广泛的权利和权限,同时来宾帐户有受限制的权利和权限。
6.1.6组策略组策略设置影响计算机或用户帐户并且可应用于站点、域或组织单位。
它可用于配置安全选项、管理应用程序、管理桌面外观、指派脚本并将文件夹从本地计算机重新定向到网络位置。
6.1.7集成DNS由于Active Directory 与DNS 集成而且共享相同的名称空间结构,因此注意两者之间的差异非常重要:§DNS 是一种名称解析服务。
<创建Active Director yQQread_mid_big> 在独立服务器上安装了Windows Server 2003 之后,运行“Active Directory 向导”以创建新的Active Directory 目录林或域,然后将Windows Server 2003 计算机转换为目录林中的第一个域控制器。
若要将Windows Server 2003 计算机转换为目录林中的第一个域控制器,请按照下列步骤操作:1.在计算机的CD-ROM 或DVD-ROM 驱动器中插入Windows Server 2003 光盘。