微软活动目录的应用研究

合集下载

AD域控基础知识概述

AD域控基础知识概述AD域控基础知识概述AD（Active Directory，活动目录）是微软公司开发的一种用于管理和组织网络中用户、计算机和其他资源的目录服务。

它是Windows 操作系统中的一个关键组件，并在企业网络环境中广泛应用。

AD域控（Domain Controller）是在服务器上部署和运行的AD服务的实例，负责管理目录数据、身份验证和访问控制等功能。

在本文中，我们将深入探讨AD域控的基础知识，包括其架构、功能和优势等方面。

一、AD域控的架构AD域控的架构是基于分布式目录服务（Distributed Directory Service）概念构建的，并采用了多主/多副本的复制机制，以提高系统的可靠性和可伸缩性。

1. 域（Domain）域是AD中最基本的逻辑单元，用于组织和管理一组对象，如用户、计算机和资源等。

域将相关对象组织在一起，并为其提供统一的身份验证和访问控制机制。

每个域都有一个唯一的名称，用于在网络中标识和访问。

2. 树（Tree）树是由一个或多个域构成的层次结构，形成了一个命名空间。

树形结构的每个节点都代表一个域，而域之间通过双向的信任关系进行连接。

域的层次结构使得系统的管理更加方便和灵活。

3. 林（Forest）林是多个树的集合，它们共享一个共同的目录架构、命名空间和安全策略。

林是AD中最高级别的逻辑组织单位，它提供了全局的目录服务和统一的身份认证机制。

4. 域控制器（Domain Controller）域控制器是在服务器上安装和配置的AD服务的实例。

它存储和管理域中的目录数据，并提供了身份验证、访问控制和其他相关功能。

一个域可以有一个或多个域控制器，通过复制机制来保持数据的一致性和可用性。

二、AD域控的功能AD域控作为一个目录服务系统，提供了以下重要功能：1. 目录服务（Directory Services）AD域控存储了网络中的对象信息，如用户、计算机、组织单位等。

它提供了高效的目录查找和数据检索机制，使得用户和应用程序可以快速访问和管理这些对象。

活动目录介绍

活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。

NT的"域（domain）"的概念是⽬录服务的⼀个基本单元。

"⼀次登录，Single Logon"在Windows NTServer 的环境下有了具体的应⽤，⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来，⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。

Windows 2000 Server在Windows NT Server 4.0的基础上，进⼀步发展了"活动⽬录（Active Directory）"。

活动⽬录充分体现了微软产品的"ICE"，即集成性（Integration），深⼊性(Comprehensive)，和易⽤性(Ease of Use)等优点。

活动⽬录是⼀个完全可扩展，可伸缩的⽬录服务，既能满⾜商业ISP的需要，⼜能满⾜企业内部⽹和外联⽹的需要。

活动⽬录的由来活动⽬录是从⼀个数据存储开始的。

它采⽤的是Exchange Server的数据存储，称为：Extens ible Storage Service （ESS）。

其特点是不需要事先定义数据库的参数，可以做到动态地增长，性能⾮常优良。

这个数据存储之上已建⽴索引的，可以⽅便快速地搜索和定位。

活动⽬录的分区是"域（Domain）"，⼀个域可以存储上百万的对象。

域之间还有层次关系，可以建⽴域树和域森林，⽆限地扩展。

在数据存储之上，微软建⽴了⼀个对象模型，以构成活动⽬录。

这⼀对象模型对LDAP有纯粹的⽀持，还可以管理和修改Schema。

Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义，其本⾝也是活动⽬录的内容之⼀，在整个域森林中是唯⼀的。

活动目录(Active Directory)系列

活动目录（Active Directory）系列之一：为什么我们需要域对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出 Active Directory系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Perth。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器 Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

Windows活动目录权限管理服务电脑资料PPT

定期对权限管理进行审计和监控，确保权限策略的有效执行，及时发现和处理安全问题。
02
活动目录基础知识
活动目录结构
目录树
由组织单位、域、站点等组成的层次结构，用于管理和组织网络中的资源。
域
共享相同的安全策略、用户账户和密码策略的逻辑边界，包含一个或多个物理位置。
组织单位
目录树中的容器，用于将相关对象（如用户、组、计算机）组合在一起，便于管理。
04
活动目录权限管理服务实施
权限管理服务器部署
服务器硬件要求
活动目录安装与配置
确保服务器满足最低硬件要求，如处理器、内存和存储空间。
安装活动目录服务，并配置域控制器、站点和复制等。
服务器操作系统
安装支持的Windows Server操作系统，并配置必要的角色和功能。
权限管理客户端配置
客户端操作系统
监控与审计结果分析
结果汇总与整理
将监控和审计结果进行汇总和整理，形成可视化报告，便于理解和分析。
异常检测与定位
通过对比分析，检测目录权限的异常变动，定位潜在的安全风险。
改进建议与措施
根据分析结果，提出针对性的改进建议和措施，优化目录权限管理策略。
06
活动目录权限管理优化建议
定期审查权限策略
确保客户端计算机运行支持的Windows操作系统。
加入域
将客户端计算机加入到活动目录域中，以便集中管理。
客户端软件安装
安装必要的客户端软件，如远程桌面服务客户端等。
权限管理策略应用
用户和组管理
在活动目录中创建用户账户和组，并分配相应的权限。
文件和文件夹权限设置
设置文件和文件夹的访问权限，包括读取、写入和执行等。

WindowsServer2012活动目录企业应用项目1 构建活动目录实验实训环境

角色：虚拟机2，独立服务器主机名：win2012-2 IP地址：192.168.10.2/24 操作系统：Windows Server 2012 R2
图3-1 安装与配置Hyper-V服务器拓扑图
1.3 项目实施
Windows Server 2012 R2安装完成后，默认没有安装 Hyper-V角色，需要单独安装Hyper-V角色。安装Hyper-V角色可通过“添加角色向导”完成。 1.3.1 任务1 安装和卸载Hyper-V角色
1.2 项目设计及准备
角色：虚拟机1，独立服务服务器主机名：win2012-1 IP地址：192.168.10.1/24 操作系统：Windows Server 2012 R2
角色：Hyper-V服务器主机名：win2012-0 IP地址：192.168.10.100/24 操作系统：Windows Server 2012 R2
目前主流的服务器CPU均支持以上要求，只要支持硬件虚拟化功能，其他两个要求基本都能够满足。为了安全起见，在购置硬件设备之前，最好事先到CPU厂商的网站上确认CPU的型号是否满足以上要求。
1.2 项目设计及准备
① 安装好Windows Server 2012 R2，并利用“服务器管理器”添加“Hyper-V”角色。 ② 对Hyper-V服务器进行配置。 ③ 利用“Hyper-V管理器”建立虚拟机。本项目的参数配置及网络拓扑图如图1-1所示。
① 安装Windows Server 2012 R2 Hyper-V功能，基本硬件需求如下。 CPU：最少1 GHz，建议2 GHz以及速度更快的CPU。内存：最少512 MB，建议1 GB。完整安装Windows Server 2012 R2建议2 GB内存。安装64位标准版或者数据中心版，最多支持2 TB内存。磁盘：完整安装Windows Server 2012 R2建议40 GB 磁盘空间，安装Server Core建议10 GB磁盘空间。

利用微软的活动目录

利用微软的活动目录（AD）复制，你能够更好地控制网络流量，减轻站点的负担。

请认真阅读这套由两部分组成的教程，它们介绍了如何为你自己的域配置AD目录复制系统。

在Windows 2000 活动目录（AD）环境里，你可以使用站点（Site）把网络物理地划分开，从而优化AD复制。

通过理解微软是如何在你的域里实现AD复制，你能够更有效地对把你的网络划分成AD站点，从而减少通过低速网络连接的网络流。

这篇文章是关于活动目录站点的两篇系列文章的第一部分，在这篇文章里，我们要研究缺省的AD站点内（intra-site）复制的配置,以及信息如何被复制。

在系列的第二部分，我们要研究如何对自己的站点进行安装设置，对通过网络进行的AD复制流进行优化。

活动目录复制在活动目录(AD) 域控制器(DC)安装到域里时，活动目录会建立缺省的复制模板，并且在活动目录之间自动建立起一个环形的复制拓扑，建立的依据是确保复制流量沿着最有效的路径进行。

你可以沿着环的任意方向把变化复制到AD。

因为在AD里所有的DC的地位都相等，都包含可以写入的AD数据库备份，因此在实现多主机复制系统时，有一些潜在的挑战面对着微软。

在你可能考虑到的问题里，有些是：DC如何把复制流量控制在最小？DC如何保持所有的数据库拷贝同步？如果DC从两个复制伙伴得到相同的修改，会怎么样？如果两个修改同时发生，会怎么样？那么就让我们按顺序来看看这些问题。

DC如何把复制流量控制在最小？为了把网络流保持在最小，AD的复制在每－属性（per-attribute ）的基础上进行。

简单地说，这就是指如果一个属性发生了变化（比如，用户的电话号码），那么只有这个小小的变化被复制到你的域里的其它DC上。

你可以想象，AD 的每属性复制，和把整个数据库拷贝都通过网络传递比起来，更加有效率，需要网络带宽也更少。

DC如何保持所有的数据库拷贝同步？AD DC 使用一套更新顺序数字（USN）系统对彼此间流动的AD数据库的不同版本进行校验和同步。

微软活动目录服务在企业门户网站的应用

门户网站，但随着信息化建设的不断深入，原有的
门户网站因功能集成性差、用上的可扩展性不应
括邮件信箱和在公司中的职位关系等，以在活可动目录中右键点击用户对象发送邮件等。其职位
关系可以在公司的内部网上有Ｗｅ织结构图ｂ组的方式动态地显示出来，也可以为内部采购、费用报销等应用程序利用来实施业务逻辑。在活动目录中，持全局性的查找，支比如查找在整个网络中
维普资讯
江
・
西
石
油
化
工
第２０卷第３期
２００８年
１・８
微软活录服动目务在企业门站的应用户网
黄体强
中石化股份有限公司九江分公司信息中心江西九江３２０３０４
摘要：利用Ｗｉｄｗ２０ｎｏｓ００活动目录的特点，通过对客户端ＸＭＬ和用户权限控制ＡＤＳ以及后台ＳＱＬ数据库的集成（ＰＳｒｅＥｅｖｒ门户系统）实现了在九江分公司内部门户网站上的应用。，
第３期
黄体强・微软活动目录服务在企业门户网站的应用
・ｌ９・
储上亿万的对象。活动目录通过为每个域创建一
有什么样的管理权限。比如说企业内部技术支持的管理员，只有复位用户的权限。这种更细致的管理方法，称为“ 颗粒化 ” 。
关键词：活动目录Ｅｅｅ门户索统ＰＳｒｒｖ
应用
前言

微软AD活动目录介绍文档

组成员列表 GUID SID New DN
Global Group 嵌套到 Domain Local Group
Move Infrastructure Master
决定操作主机的位置
确认当前操作主机的位置
用“Active Directory 用户和计算机” 查找 RID master PDC emulator Infrastructure master 用“Active Directory 域和信任” 查找 Domain naming master 用 “Active Directory Schema”查找 Schema master
一个域是一个复制单元
域控制器包含域中信息的完整集合，并且参与域信息的复制
复制
Windows 2000 Domain
域的性能
能力
复制单元大小命名
NT 4.0 对象 Windows 2003 属性
40,000 对象
NetBIOS 建立新域
1,000,000+ 对象
DNS 在域内建立管理委派到OU
Server2
打印机打印机
名称:Printer1 名称:Printer1 Type:HP4Si Type:HP4Si Color:No Color:No Duplex:Yes Duplex:Yes Location:3rd Floor Location:3rd Floor
为什么需要目录服务
目录服务的功能性
Directory Partition 复制
NTDS.DIT
Schema Schema
Forest
Configuration Domain
Configuration
Domain X

使用活动目录的意义

使用活动目录的意义1、信息的安全性大大增强安装活动目录后信息的安全性完全与活动目录集成，用户授权管理和目录进入控制已经整合在活动目录当中了（包括用户的访问和登录权限等），而它们都是WIN2K操作系统的关键安全措施。

活动目录集中控制用户授权，目录进入控制不只能在每一个目录中的对象上定义，而且还能在每一个对象的每个属性上定义，这一点是以前任何系统所不能达到的，包括WINNT 4.0。

除此之外，活动目录还可以提供存储和应用程序作用域的安全策略，提供安全策略的存储和应用范围。

安全策略可包含帐户信息，如域范围内的密码限制或对特定域资源的访问权等。

所以从一定程序上可以这么说WIN2K的安全性就是活动目录所体现的安全性，由此可见对于网管来说如何配置好活动目录中对象及属性的安全性是一个网管配置好WIN2K系统的关键。

2、引入基于策略的管理，使系统的管理更加明朗活动目录服务包括目录对象数据存储和逻辑分层结构（指上面所讲的目录、目录树、域、域树、域林等所组成的层次结构），作为目录，它存储着分配给特定环境的策略，称为组策略对象。

作为逻辑结构，它为策略应用程序提供分层的环境。

组策略对象表示了一套商务规则，它包括与要应用的环境有关的设置，组策略是用户或计算机初始化时用到的配置设置。

所有的组策略设置都包含在应用到活动目录，域，或组织单元的组策略对象（GPOs）中。

GPOs设置决定目录对象和域资源的进入权限，什么样的域资源可以被用户使用，以及这些域资源怎样使用等。

例如，组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应用程序，当它在服务器上启动时有多少用户可连接至Server，以及当用户转移到不同的部门或组时他们可访问什么文件或服务。

组策略对象使您可以管理少量的策略而不是大量的用户和计算机。

通过活动目录，您可将组策略设置应用于适当的环境中，不管它是您的整个单位还是您单位中的特定部门。

3、具有很强的可扩展性WIN2K的活动目录具有很强的可扩展性，管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。

浅析基于微软活动目录技术的IT基础架构优化

１总体架构．
采用单域结构，建立与机构设置相对应的目录结构，每个员工只分配一个域用户。将ＤＳＤＰＡｔｅＤｒｔｙＮ、ＨＣ、ｃｖｉｃｏｉｅｒ紧密集成，简化企业网络管理任务。提供具有较好伸缩性的体系构架，实现网络、系统和应用的统一账户登录和授权管
信息，现统一的身份验证。ｒ管理人员可以使用组策略实ｒ
二、基于微软技术架构的信息安全基础架构体系的建立
逻辑网络基于域的访问控制、终端设备健康检查、网络准入
控制、自动部署操作系统。
要建立一个集策略、防护、测、检响应于一体的、有效的
信息安全体系，前提就要以安全操作系统为基础，优化ＩＴ基础架构、实现标准化安全管理。安全操作系统的机制包括：硬件安全机制、操作系统的安全标识与鉴别、访问控制、最小
服务标准的支持，使得在其基础架构上，进行应用的开发、与其它应用和服务进行整合成为可能，而不断扩展其从
功能。
［关键词］活动目录；ＩＴ基础架构；组策略；安全中心［中图分类号］０３２２［文献标识码］Ａ［文章编号］１０８２（００００３ｏ０８— ２９２１）４－２６一２
特权管理、信通路和安全审计。Ｗｎｏｓ可Ｊｉｗ系统符合其ｄ
要求。
稳定性方面提供了很多新技术与理念。下面，主要技术对其
［收稿日期］２１ — １００００ — ３【作者简介］周淼（９４一，，１７）男湖南长沙人，中石化湖南石油分公司信息管理处主管，程师，工研究方向：信息化管理、业竞争情报企

系统管理：你真的需要活动目录吗？

⼀、活动⽬录的功能活动⽬录是微软为解决分布式windows络集中化管理应⽤的⼀项关键产品，它的核⼼思想和协议源⾃于早期NOVELL的类似技术。

今天的活动⽬录总结起来功能⽆外乎于以下三项： 1、集中化的⾝份验证利⽤AD数据库，将分散在windows客户机上的⽤户管理体系集中到DC上，实现⼀个⽤户在任何节点的漫游能⼒。

同时微软的其他产品也不同程度的可以与这个集中化的⾝份认证体系集成，譬如Exchange，ISA，SMS，甚⾄Office等等。

除此以外，由于开放的LDAP协议，使得第三⽅产品也可以集成到这个统⼀的⾝份验证体系中来。

2、集中化的资源检索由于AD具有影射络共享资源，集成DFS等能⼒，再加上统⼀的⾝份认证，使得将分散在络上的资源集中检索和权限控制变得可能。

从理论上说，管理员可以利⽤AD的这⼀特性，建⽴⼀个完全分布式的⽂件存储系统，将专⽤的⽂件服务器，络存储系统，客户机上的分散存储集中起来管理和应⽤。

3、集中化的权限与策略控制由于⾝份验证的集中化，⽤户的权限管理⾃然也可以集中化。

同时更重要的是利⽤可分法的GPO，AD实现了将分散在Windows客户机上的组策略集中控管的能⼒。

众所周知，组策略是微软提供的利⽤注册表开关和脚本控制Windows特性的有效⼯具，集中化的组策略实现了管理员对整个windows络中客户机的批量操控。

⼆、活动⽬录的优势活动⽬录技术从早期的NT到如今的2008，已经发展出⼀个相当庞⼤的技术构架。

从单⼀的⽔平域管理，扩展到可以通过站点和森林扩展出庞⼤的域结构。

达到了微软所希望的解决⽅案服务⼀个跨国机构的⽬标。

同时，与其他⼚商的类似产品相⽐，活动⽬录与微软产品的深度集成也从侧⾯延伸了活动⽬录的功能。

譬如Exchange Server构建在AD之上，得到⼀个集成的邮件解决⽅案、ISA Server构建在AD之上，得到⼀个集成的防⽕墙解决⽅案、Office和Sharepoint构建在AD之上，得到⼀个企业内部集中化办公解决⽅案、乃⾄SQLserver数据库、SMS、RRAS、CA、RADIUS、iis、Cluster、WSUS甚⾄最简单的DHCP Server，都可以与AD集成，实现“集中化”的管控。

微软活动目录在电子政务系统中的应用

一
微软活动目录是Ｗｉｄｗ００Ｓｒｅｎｏｓ２０ｅｖｒ在ＷｉｄｗｓＮｅｖｒ．ｎｏＴＳｒｅ０４的基础上形成。活动目录充分体现ｒ微软产品的”Ｃ ” ＩＥ，即集成性（ｔｒｔｎ，Ｉｅａｏ）深入性（ｏｐｅｅｓｅ。ｎｇｉＣｍｒｎｉ）和易用性（ａｆｓ等优点。ｈｖＥｓｏｅｅＵ）活动目录是一个完全可扩展，可伸缩的目录服务．既能满足商业ＩＰ的Ｓ需要。又能满足政府机关、事业单位及企业内部网和外联网的需要。微软活动目录附属于Ｗｉｄｗ００Ｓｒｅｎｏｓ２０ｅｒ以上的操作系统上．ｖ随着操作系统的不断升级。功能不断的改进和完善。并且诸如Ｉｔｒｅｎｏｍａｏｅｅ、ｘｈｎｅＳｒｅ、ＱｅｖｒｌｅＭｅｔｇｎｃｎｔＩｆｒｔｎＳｒｒＥｃａｇｅｒＳＬＳｒｅ。ｖｅｎｉｖｖｉｉＳｒｅ等微软产品都可以与活动目录的账号验证集成起来，以说活ｅｖｒ可动目录的发展前景将是非常广阔的。活动目录使用的协议是轻量目录访问协议（ＤＰ，ＬＡ）应用系统使用ＬＡＤＰ协议可以方便的提取活动目录中的信息。兰、微软活动目录在电子政务系统中的应用方案１网络拓扑结构一个域可有一个或多个域控制器。、每个域控制器都有一个它所在的整个域的目录的副本。一个域控制器上的目录对所做的更改将被复制到该域、域树或林中的其他域控制器上。结合电子政务用户群及组织关系，分考虑域构架中应注意的简充单原则、地域原则，以及域控制器之间复制数据通信量，系统可采用单域模式。即以罄个电子政务系统应用范围作为一个域。整个构架以市计算机中心为核心，搭建一台主域控制器，若条件允许。可再搭建一台从属域控制器，可防止因主域控制器瘫痪导致整个网络不能正常工作。２人员管理平台在电子政务系统中。动目录在使用上主要是、活作为基础人员服务管理平台，在其上构建各类电子政务系统和其他应用系统。采用活动目录提供的管理台工具，实现人员的分级管理。并且．活动目录作为统一的人员信息库，将电子政务系统、应用系统可以直接将它作为自己的人员库，ＬＡ以ＤＰ的方式进行访问，以此实现异构系统间统一的人员管理。通常维护活动目录使用的是Ｗｉｏｓ００Ｓｒｒ自带的活动目ｎｗ０ｅｅｄ２ｖ录管理台工具。登录域控制器。在开始菜单的运行中输入 “ｓ．Ｓ＊ｄａＣ命ｍ＊令即可打开该工具。使用管理台工具可以方便的维护组织单位（ｒａｉｔｎｌｎｔ、户（ｓｒ、络设备等等。系统管理员可以在Ｏｇｎｚｉａｉ用ａｏＵ）ｕｅ）网此创建活动目录的人员组织架构。过活动目录的委派控制功能可以通将各个组织单位的管理权限委派给各自的管理员，由各单位管理员负责维护自己所在组织单位的群组及人员的变更情况。委派控制的功能有较强的灵活性，根据不同情况可以给予管理员不同的权限。船过设置组织单位的安全策略可以提高安全性和保密性。如可以设置某组例织单位的信息不允许普通人员访问，可起到保密的作用。对于不同组织单位，统管理员可借助活动目录组策略方便的实系现创建网络打印机、创建通讯泶、文件多点共享同步、客户端软件自动安装、户端管理（如：止用户修改安全设置、止修改注册表、客例禁禁禁止用户修改服务启动状态等）、通过重命名客户端Ａｍｎｔｔ和来ｄｉｉｒ０ｓａｒ宾账户及复杂密码策略等方式实现网络防毒防黑这些功能，大大提高工作效率，轻系统管理员的负担。减

活动目录详解(基础篇)

活动目录详解(基础篇)我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录（Active Directory）服务”，使得WIN2K系统与Internet上的各项服务和协议更加联系紧密，因为它对目录的命名方式成功地与”域名“的命名方式一致，然后通过DNS 进行解析，使得与在Internet上通过WINS解析取得一致的效果。

活动目录也说明了Microsoft在网络结构方面的策略转移，虽然在以前NT时代也有部分产品（如EXCHANGE SERVER、IIS等）提供过类似于活动目录的服务，然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。

活动目录的身影似乎在整个WIN2K系统中无处不在。

然而要真正了解“活动目录”的方方面面又谈何容易，下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析，希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。

一、活动目录的由来谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME 下“文件夹”，那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系，一个文件生成之后相对来说这个文件的所在目录也就固定了（当然可以删除、转移等，现在不考虑这些），也就是说它的属性也就相对固定了，是静态的。

这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小，并不能得出其它有关信息，这样就影响到了整体使用目录的效率，也就是影响了系统的整体效率，使系统的整个管理变得复杂。

因为没有相互关联，所以在不同应用程序中同一对象要进行多次配置，管理起来相当繁锁，影响了系统资源的使用效率。

为了改变这种效率低下的关系和加强与Internet上有关协议的关联，Microsoft公司决定在WIN2K中全面改革，也就是引入活动目录的概念。

理解活动目录的关键就在于“活动”两个字，千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解，那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹，正因为这个目录是活动的，所以它是动态的，它是一种包含服务功能的目录，它可以做到“由此及彼”的联想、映射，如找到了一个用户名，就可联想到它的账号、出生信息、E-mail、电话等所有基本信息，虽然组成这些信息的文件可能不在一块。

应用活动目录服务设计行业系统内部互联网

维普资讯
第２５卷
第５期
江
西
科
学
Ｖｏ．５Ｎ．１２ｏ５
Ｏｃ．ｏ７ｔ２ｏ
２００７年１Ｏ月
ＪＡＮＧＸＩＳＩＮＣＩＣＥＥ
文章编号－０１６９２０）５— ６３— ４１０ —３７（０７００２０
ＫｅｗｏｄＡｃｉｅｄｒｃｏｙ，ｎａｅｙｒｓ：ｔｖｉｅｔｒＩｔｎｔｒ
０引言
从微软的Ｗｉｏｓ作系统问世以来，业ｎｗ操ｄ行
务器、几百万个对象的应用环境，便于今后系统内部互联网的扩展。通过登录认证和对目录对象的访问控制，安全性和活动目录集成在一起，把用户
维普资讯
・
６４・２
江
西
科
学
２０第２０７年５卷
的安装与维护等操作。
１２灵活的管理．
根据江西省内贸流通市场监测系统网络现状，结合未来几年的发展趋势以及信息部门对再
活动目录支持把域划分成组织单元进行管理，系统内部互联网资源可以按地理位置划分组织单元进行授权管理，简化了管理工作，它管理员
１１低维护成本．
内部互联网的信息应用平台基本上都是构建在这个操作系统平台上的，用Ｗｉｄｗ采ｎｏｓ工作组模式的网络架构，理模式操作简单，管但在安全管理方

AD域活动目录解决方案

AD域活动目录解决方案AD（Active Directory）是微软开发的一种基于LDAP（轻量级目录访问协议）的目录服务，广泛应用于企业网络环境中。

AD域活动目录解决方案是指将AD域活动目录应用于企业网络环境中的解决方案，用于统一管理和集中控制企业的用户、计算机和其他资源。

下面将从以下三个方面介绍AD域活动目录解决方案的具体内容。

一、AD域活动目录的基本架构二、AD域活动目录解决方案的应用1.用户和计算机管理：AD域活动目录可以实现统一的用户和计算机管理，简化用户和计算机的添加、删除和修改操作。

管理员可以通过AD域活动目录对用户和计算机进行全面的权限管理，如访问控制、密码策略、账号锁定等。

此外，AD域活动目录还支持用户和计算机的组织结构和层次关系，便于管理员进行资源的管理和授权。

2.组织结构管理：AD域活动目录支持创建组织单位（OU）来组织和管理用户、计算机和其他资源。

OU可以按照企业的组织结构进行划分，便于管理员对不同组织单位进行不同的管理和控制。

管理员可以通过OU进行集中的策略管理，如组策略、脚本策略等，方便进行统一的权限控制和配置管理。

3.权限和访问控制：AD域活动目录提供了灵活的权限和访问控制机制，可以进行细粒度的访问控制。

管理员可以通过AD域活动目录对用户、计算机和其他资源进行授权和访问限制，精确控制用户对资源的访问权限，达到安全管理和保护的目的。

同时，AD域活动目录还支持审计和审计日志功能，记录用户的操作行为，方便管理员进行安全审计和追溯。

4.集中的策略管理：AD域活动目录支持集中的策略管理，管理员可以通过组策略、脚本策略等进行批量的配置和管理。

通过集中的策略管理，可以方便地对用户、计算机和其他资源进行标准化的配置和控制，提高管理效率和统一性。

管理员可以根据组织的需求和要求，制定相应的策略，并将其应用到相应的组织单位或用户上。

三、AD域活动目录解决方案的优势1.高度可靠性：AD域活动目录支持多域控制器的部署，可以在不同的服务器上进行冗余和负载均衡，提高系统的可靠性和可用性。

《Windows活动目录管理》课程标准

《Windows活动目录管理》课程标准适用专业：计算机网络专业课程编码：C3-1-3开设时间：第6阶段课时数：36一、课程概述《Windows活动目录》是湖南铁道职业技术学院计算机网络专业的一门专业拓展课程。

课程的主要内容包括：活动目录的基本概念、活动目录基本管理任务、组策略的管理与应用、管理活动目录的信任关系、对活动目录数据库的管理及对活动目录进行恢复等。

本课程学分为1.5学时，总教学时数为36学时，其中理论课时与实践课时各占一半。

通过本课程的学习使学生掌握活动目录的逻辑结构组成，掌握活动目录的基本管理任务，掌握组策略的应用，了解活动目录数据库的管理与维护，初步具备Windows 活动目录的管理的能力。

二、培养目标1．方法能力目标：（1）独立学习能力；（2）职业生涯规划能力；（3）获取新知识能力、信息搜索能力；（4）决策能力；（5）理论联系实际的能力和严谨的工作作风；2．社会能力目标：（1）培养学生的沟通能力及团队协作精神；（2）培养学生分析问题、解决问题的能力；（3）培养学生敬业乐业的工作作风；（4）培养学生的表达能力；3．专业能力目标：（1）掌握Windows活动目录的基本管理任务；（2）掌握组策略的创建、继承、解决组重策略冲突、组策略部署、GPMC工具的使用；（3）学生通过学习能解决在企业中如何利用组策略来管理用户的工作环境和实现软件部署；（4）培养应用Windows活动目录对网络资源进行管理的技能；三、与前后课程的联系1．与前续课程的联系《Windows网络操作系统》课程让学生了解网络操作系统域管理与使用、掌握建立域的方法、掌握域用户与组账户的管理等操作与技能。

2．与后继课程的关系该课程为学生后续课程《网络组建与维护》、毕业设计等课程提供操作保障。

四、教学内容与学时分配根据职业岗位网络管理工程师的要求，将本课程的教学内容分解为14个项目。

五、教材的选用1．教材选取的原则教材选用时遵循“够用、实用”的原则，以真实任务为驱动，在真实环境和任务中介绍Windows活动目录的相关知识，采用“理论实践一体化”的教学思想，符合“做中学，学中做”的教学理念。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

微软活动目录的应用研究Active Directory（活动目录）是微软Windows server操作系统平台的核心组件，在网络的环境中，Active Directory 提供组织、管理与控制网络资源的各种功能，Active存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。

文章阐述了在大规模局域网中，在Windows server 2008环境下，Activer Directory的部署与应用。

标签：Active Directory（活动目录）；域；OU（组织单位）引言在Active Directory（活动目录）部署实施与日常应用管理中经常需要做大量的重复工作，尤其是在用户数量庞大的网络中，给管理人员带来了巨大的工作负担。

Active Directory（活动目录）部署实施与日常应用管理工作中结合Windows 批处理命令的使用，可以极大减轻管理人员的工作负担，提高工作效率。

文中举出的例子均是实际环境中应用使用过的，故障解决办法也是长期工作中总结出来的经验，可供借鉴与参考。

1 Active Directory（活动目录）服务器部署Active Directory（活动目录）部署时需要理解许多相关概念，如：用户、OU、域、域树、林等等概念。

本文描述的环境是一个单位内的局域网络，所以文中所有示例均为一个域内的管理，不涉及域树、林等概念。

部署过程简单描述如下：1.1 安装Window2008 server操作系统Active Directory（活动目录）是Windows serve 2008的组件，必须先安装Windows serve 2008操作系统，关于安装操作系统，可以参考微软手册与相关书籍，此处不再详述。

安装好两台服务器。

1.2 安装配置域控制器单击开始菜单选择“运行”执行“dcpromo”命令，将普通服务器提升为Active Directory Domain Services（AD DS），根据安装提示进行安装，依次选择：“高级模式”-“在新林中新建域”，然后输入域名“”，在设置林功能级别时选择“Window server 2008”，设置域功能级别时选择“Window server 2008”，在其他域控制选项时勾选“DNS服务器”，直到完成安装。

完成第一台服务器后，再按上述过程安装另一台服务器，第一台作为主域控制器，另一台作为额外域控制器，防止单点故障。

2 计算机终端加入域2.1 添加域用户部署完服务器，需要将所有用户和计算机终端加入到域中，如果使用手动添加用户信息，对于用户数量大的网络是一件费时费力的事情，所以用批处理程序去自动添加是非常有必要的。

步骤1：在域中添加各单位和部门的OU（组织单位）。

在域中添加名为“hm公司”的OU，在“hm公司”下添加部门的OU。

步骤2：编写如下的批处理程序并保存为adduser1.bat文件。

for /f “tokens=1，2，3，4，5，6，7 delims=，” %a in （c：＼user1.txt）do @dsadd user “cn=%c，ou=%f，ou=%g，dc=hmtest，dc=com” -samid %d -upn %d@ -ln %a -fn %b -pwd %e -display %c -disabled no 2>>c：＼erroruser1.txt步驟3：在excel表格中按照如下格式编辑单位所有人员信息，编辑好以后另存为user1.csv文件，使用记事本打开此文件将文件另存为user1.txt。

步骤4：将上述两个文件放到域控制器c盘根目录下，双击运行adduser1.bat，程序会将user1中所有的用户自动创建的域中，并且可以在erroruser1.txt文件中查看错误信息。

2.2 计算机加入域编写加域的批处理程序，且在加入时提示用户更改正确的计算机名称。

例如本单位要求计算机名称必须和单位资产编号一直，加域时提示用户输入资产编号进行校验，如果和计算机名称不符则提示更改计算机名称。

步骤一：在域控制器上创建一个用户用于加域程序使用，本用户拥有计算机加入域的权限。

创建用户auser，密码为123456。

步骤二：编写如下批处理程序，保存为jiayu.bat，為了防止用户名和密码的泄露，可以使用工具软件将jiayu.bat转换为jiayu.exe。

如果将来不想让用户加域使用了，将创建的auser用户删除即可。

步骤三：将jiayu.exe程序发布在园区网，用户只需要下载到本地，双击即可执行。

加域程序可以方便用户加入域中，但如果在加域过程中出现故障和问题，系统将不会给出提示信息，那么就需要我们使用普通的方式加域了。

2.3 完成绑定关系经过上面两个过程，计算机和用户已经加入域中，可以使用域用户登录计算机了，但用户和计算机之间未建立绑定关系，可以在任何计算机上使用任何用户名登录，无法满足我们的安全要求。

手动绑定工作量巨大，我们可以通过下述方法完成此项工作。

步骤一：在域控中建立一个共享空间，如：D：＼clientinfo，给everyone读写、执行、修改权限。

（本例域控IP地址为192.168.1.1）步骤二：编写如下批处理程序，保存为user-computer.bat。

echo net user %username% /domain workstations：%computername% >＼＼192.168.1.1＼clientinfo＼%username%-%computername%.bat步骤三：将此批处理文件作为登录脚本，通过组策略下发给所有计算机（此处不再详述）。

则所有用户登录计算机时将会在域控的共享目录中产生一条批处理命令。

步骤四：登录域控制器，只要在域控中双击执行上一步产生的批处理命令就可以将用户绑定到计算机上了。

3 活动目录日常管理及应用实例3.1 为用户添加管理员权限因为管理的需要，本单位给所有用户的权限均为user权限。

用户需要安装软件、调整计算机设置时需要申请开放管理员权限。

如果在域控中手动给用户添加权限，容易忘记回收权限，且比较麻烦，最好使用批处理命令完成。

步骤三：当需要将某个用户添加为管理员时，只需要双击运行批处理，输入该用户的登录名称并回车，程序会自动将用户加入Localadmin组中获得管理员权限。

同时，在该文件夹下会生成一个批处理文件，可以很方便地查看给哪个用户开放了管理员权限，以及开放的时间等信息。

当需要取消用户的管理员权限时，只需要双击该批处理文件即可。

该批处理執行完毕后会将自己删除，非常便于日常管理。

3.2 批量更改用户登录名称因为某些特殊原因，需要更改全公司的5000多用户的登录名称，如果使用手动依次更改，工作量大，且容易出现手误，使用批处理命令来完成此项工作既快速又不容易出错。

步骤一：将原用户登录名与现需要使用的用户登录名整理成以下示例的格式，保存为username.txt（中间的逗号必须使用英文符号，否则会出错）。

示例：Olduser1，newuser1Olduser2，newuser2Olduser3，newuser3步骤二：编写如下的批处理命令，保存为changename.bat。

for /f “tokens=1，2 delims=，” %%a in （username.txt）do dsquery user -upn %%a@ | dsmod user -upn %%b@ >>err.txt步骤三：将username.txt与changename.bat放到同一个目录下面，双击运行changename.bat，将自动更改用户登录名称。

执行时发生的错误可以在err.txt中查看。

在域中用户存在两个登录名称，UPN与SAMID。

本程序更改的是用户的UPN名称，微软没有提供更改SAMID的命令，如果需要更改用户SAMID，可以使用第三方的程序，例如：adfind和admod，这两个程序可以很方便地在网上找到，使用时可以参考本节所讲内容。

4 活动目录常见故障处理4.1 加域时，弹出窗口提示“拒绝访问域控制器”遇到此问题，多数情况为计算机已经加入过域，只需要在域控制器中删除该主机即可。

4.2 加域时域选项为灰色不可选系统中workstation服务没有启用，在系统服务中启动该服务即可。

如果系统中没有workstation服务，需要在“网络配置”中安装“Microsoft 网络客户端”。

4.3 加域时提示“找不到网络路径”出现此问题的原因有如下几種：（1）网卡的设置上没有选择“Microsoft网络客户端”。

（2）克隆安装的操作系统SID重复，可以使用软件来修改操作系统的SID。

修改操作系统SID的软件在互联网上可以下载到。

（3）缺少相关的系统服务，查看并启动下列相关服务。

tcp/ip netbios helpRemote registryWindows Time4.4 登录域时提示“域控制器不可用”出现此问题的原因及解决办法有如下几种：（1）Windows防火墙或相关防火墙软件影响。

关闭相关软件进行尝试。

（2）计算机时钟出现错误，与正常时间相差过大。

正确设置系统时钟即可。

（3）计算机与域控连接异常，例如：计算机长时间未登录域就会造成连接异常。

此时需要将计算机退域，并重新加域。

5 结束语Active Directory（活动目录）是微软的Windows操作系统最核心的组件，便于网络管理员对整改网络资源的管理。

本文中所有的对Active Directory（活动目录）管理的例子均在实际应用中发挥了重要的作用，极大地减轻了管理人员的工作量，具有很强的实用价值。