活动目录服务与域模式帐户管理

合集下载

WindowsServer2022R2域与活动目录

WindowsServer2022R2域与活动目录什么是域域（Domain）是Window网络中独立运行的单位，域之间相互访问则需要建立信任关系（TrutRelation）。

信任关系是连接在域与域之间的桥梁。

当一个域与其他域建立了信任关系后，两个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。

为什么需要域如果资源分布在N台服务器上，那么用户需要资源时就要分别登陆这N台服务器，也就需要N个账号。

一个用户如此，那M个呢，管理员也就需要给他们创建N某M个账户，这样不仅负责而且难管理。

有了域，管理员只需要给每个用户创建一个域用户，用户只需在域中登陆一次就可以访问域中的资源，实现了单一登陆。

用户信息是存放在域中的域控制器（DC，DomainController）上，上图中，可以在服务器中选定一台或者几台服务器作为域控制器。

有多台域控制器时，各个域控制器是平等的，每个域控制器上都有所在域的全部用户的信息，域控制器之间需要同步这些信息。

而其它不适域控制器的服务器仅仅是提供资源。

什么是活动目录活动目录（ActiveDirectory）是Window2003Server平台提供的目录服务。

在中央数据库中存放信息，使用户在网络上只拥有一个用户账号。

目录是存储各种对象的一个物理上的容器，目录服务是使目录中所有信息和资源发挥作用的服务。

信息的安全性大大增强，引入基于策略的管理，使系统的管理更加明朗，具有很强的可扩展性、可伸缩性、智能的信息复制能力，与DNS集成紧密、与其他目录服务具有互操作性、具有灵活的查询。

活动目录逻辑结构：域、组织单元、树、林。

域控制器（DC,DomainController）上存放着域中所有用户、组、计算机等信息（实际上域控制器存放的信息还不止这些），域控制器把这些信息存放在活动目录中。

活动目录和DNS的关系在TCP/IP网络中，DNS（DomainNameSytem）是用来解决计算机名字和IP地址的映射关系的，活动目录和DNS是紧密不可分的，活动目录使用DNS服务器来登记域控制器的IP、各种资源的定位等，在一个域林中至少要有一个DNS服务器存在，所以安装活动目录时需要同时安装DNS。

AD活动目录账户管理

用户账户
本地用户账户
（存储在本地计算机）
域用户账户
（存储在 Active Directory）
Windows Server 2003 域
用户账户命名约定的制定准则
创建用户账户时应该考虑：雇员重名不同类型的雇员，例如临时雇员或合同雇员
用户账户在 Active Directory 层次结构中的位置
意味着将组作为其他组的成员
组组
组组
组
嵌套组用来加强组管理
嵌套组选项取决于 Windows Server 2003 域的功能级别设置为 Windows 2000 本机模式还是 Windows 2000 混合模式
组策略
用户账户
用户账户
AAAAGAGDGUGLDLDPLPLPP
全局组
通用组
全局组
成员
可作为右边表格中所示组的成员作用域权限
域本地组规则
• 混合模式：任何域中的用户账户和全局组 • 本机模式：森林中任何域的用户账户、全局组
和通用组，以及同一域中的域本地组
• 混合模式：无 • 本机模式：同一域中的域本地组
仅在自己所在的域中可见
域本地组所属的域
本地组
成员
本地组规则计算机的本地用户账户
三种组作用域：全局、本地域、通用
组类型
描述
安全
常常用来分配用户权利和权限，具有通讯组功能
分布
仅仅能够与电子邮件应用程序配合使用，不能用来分配权限
组的作用域
通用组的成员可包括域树或森林中任何域中的其他组和账户，可在该域树或森林中的任何域中指派权限全局组的成员可包括只在其中定义该组的域中的其他组和账户，可在森林中的任何域中指派权限域本地组的成员可包括 Windows Server 2003 、Windows 2000 或 Windows NT 域中的其他组和账户，而且只能在域内指派权限

域和活动目录的设置

一、建立和设置活动目录
（12）开始安装活动目录。
一、建立和设置活动目录
（13）完成安装，重新启动计算机。
二、活动目录的管理
1．新建域用户
（1）启动“Active Directory用户和计算机”控制台。（2）单击已创建的域名，然后打开目录。（3）右键单击“用户”项，指向“新建”项，然后单击“用
户”项。（4）输入新用户的名、姓和用户登录名，然后单击“下一步”
按钮。
二、活动目录的管理
（5）输入新密码，确认密码，单击“下一步”按钮。
（6）在弹出的页面中，单击“完成”按钮。
二、活动目录的管理
2．配置域用户属性
三、将客户机加入到域
（1）首先设置客户机TCP/IP属性， DNS 服务器地址设为服务器的IP地址。
组网技术
组网技术
域和活动目录的设置
1.1 实训目的
（1）了解活动目录的相关概念。（2）掌握活动目录的安装和使用方法。
1.2 实训流程
（1）建立和设置活动目录。（2）活动目录的管理。（3）将客户端加入到域。
1.3 实训操作（步骤）实践
一、建立和设置活动目录
（1）打开“管理您的服务器”页面，启动配置向导。
三、将客户机加入到域
（2）右键单击“我的电脑”，选择“属性”，单击“计算机名”选项卡，然后单击“更改”。
（3）在“计算机名更改”对话框中，单击 “隶属于”项下方的“域”单选框，然后填入 “域名”。单击“确定”按钮。
（4）在显示提示后，输入上面创建的账户名和密码，然后单击“确定”按钮。
（5）重新启动计算机，在登录对话框中输入用户帐号和密码及所属的域，然后单击“确定” 按钮，计算机就可以成功登录到域中了。

域与活动目录的管理

单元一：Windows Server 2008域与活动目录任务一：安装Windows Server 2008域控制器任务描述：企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。

虽然活动目录具有强大的功能，但是安装Windows Server 2008操作系统时并未自动生成活动目录。

因此，管理员必须通过安装活动目录来建立域控制器，并通过活动目录的管理来实现针对各种对象的动态管理与服务。

同时客户机登录域的操作也是组建域网络必不可少的部分，也是网络管理员应该熟练掌握的基本技能之一。

任务目标：作为网络管理员，只有明确安装域控制器的条件和准备工作，掌握域网络的组建流程和操作技术，才能在服务器上安装好Windows Server 2008操作系统。

为此，可以启用活动目录安装向导，成功安装活动目录后，将使得一个独立服务器升级为域控制器。

同时通过任务，还应能够区分登录窗口，例如是登录域不是登录本机的登录框。

任务实施：一、建立第一台域控制器：活动目录是Windows Server 2008非常关键的服务，它不是孤立的，与许多协议和服务有着非常紧密的关系，并涉及整个操作系统的结构和安全。

因此，活动目录的安装并非一般Windows组件那样简单，必须在安装前完成一系列的准备，注意事项如下：（1）文件系统和网络协议：Windows Server 2008所在的分区必须是NTFS文件系统，同样活动目录必须安装在NTFS分区，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP协议。

（2）域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。

在组建一个全新的Windows Server 2008网络时，所安装的第一台域控制器将生成第一个域，这个域也被称为根域，选择根域最为关键。

根域名字的选择可以有以下几种方案：使用一个已经注册的DNS域名作为活动目的根域名，使得企业的公共网络和私有网络使用同样的DNS名字。

Windows Server 2008 R2活动目录配置和管理

Demonstration:配置 AD DS 组帐户
在此stration:配置其他 AD DS 对象
在此演示，您将看到如何配置其他 AD DS 对象
Lesson 2:使用组策略
•为将访问分配给资源的选项。 •使用帐户组来分配资源的访问。 •使用帐户组和资源组。 •讨论：在单个域或多域环境中使用组。
Module 1:配置
Active Directory ® 域服务的域名称服务
模块概述
•Active Directory 域服务和 DNS 集成的概述。 •配置 AD DS 集成的区域。 •配置只读 DNS 区域。
Lesson 1: Active Directory 域服务和 DNS 集成的概述
Lesson 1:配置 Active Directory 对象
•AD DS 对象的类型。 •演示：配置 AD DS 用户帐户。 •AD DS 组类型。 •AD DS 组范围。 •默认 AD DS 组。 •AD DS 特别标识。 •讨论：使用默认组和特别的标识。 •演示：配置 AD DS 组帐户。 •演示：配置其他 AD DS 对象。
2008
Windows XP
3 客户端验证现有的注册
4
DNS 服务器响应的说明注册并不存在
客户端将动态更新发送
5 到DNS 服务器
如何安全动态 DNS 更新工作
只有当客户端有正确的凭据要更新接受安全的动态更新
Windows Vista DNS Client
Local DNS Server
Domain Controller with Active Directory
•在域分区或应用程序分区中，可以存储一个 DNS 区域。 •管理员可以定义自定义复制的范围应用程序分区。 •DomainDNSzones forestDNSzones 并存储 DNS

实验五活动目录服务(AD的安装、加入和退出域、域用户的管理和配置)

实验五活动目录服务（AD的安装、加入和退出域、域用户的管理和配置）【实验目的】1、理解域的概念，掌握AD的安装方法。

2、掌握加入和退出域的方法。

3、掌握域用户的管理和配置，组的规划和建立。

4、了解Windows Server 2003域用户和本地用户的区别。

5、理解组的概念和作用，认识组的类型。

【实验内容】1、练习AD的安装方法，2、练习加入和退出域的方法。

3、练习域用户的管理和配置，组的规划和建立【实验步骤】一、安装活动目录1）新建DC的角色。

在开始菜单中点击“管理您的服务器”，在打开的画面中点击“添加或删除角色”。

2）在“预备步骤”对话框中，单击[下一步]按钮，出现“服务器角色”对话框后，选择“域控制器”，按[下一步]继续。

3）在“选择总结”对话框中，单击[下一步]按钮，随后会进入AD安装向导过程，（如果直接执行“dcpromo”命令也可以启动AD安装向导，则可以省略前三个步骤），单击[下一步]按钮。

4）出现“操作系统兼容性”对话框，单击[下一步]按钮，在“域控制器类型”对话框中，我们将在这个向导中建立一个新域的DC和林，所以我们选择“新域的域控制器”，按[下一步]按钮继续。

5）选择“在新林中的域”，按[下一步]按钮继续，。

6）出现如下图所示，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如: 或者或者之类的DNS全名。

按[下一步]按钮继续。

7）在“NetBIOS域名”对话框中，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。

NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。

8）在出现“数据库和日志文件夹”的对话框中（如下图），这些文件夹必须放在NTFS分区上，注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。

按[下一步]按钮继续。

9）在出现“共享的系统卷”对话框中，该文件夹必须放在NTFS分区上，在Windows Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。

windows server 2019服务器操作系统-第14章域帐户的管理

规】、【环境】、【会话】、【远程控制】、【终
端服务配置文件】、【拨入】、【地址】、【帐
户】、【配置文件】、【电话】、【单位】和【隶
属于】等属性标签。
用户属性对话框
（1）【常规】标签包含建立新用户帐户时提供的信息。可以在【描述】和【办公室】文本框中增加信息，也可以输入用户联系信息，包括电话号码、E-mail地址和Web页面URL，如下图所示。
第9章域帐户的管理
主要知识点：
一、创建和管理域用帐户二、活动目录物理结构三、组的类型和作用范围四、用户配置文件
（了解）（了解）（掌握）（掌握）
一域用户和计算机帐户
1、用户帐户和计算机帐户概述
（1）活动目录用户帐户

用户帐户是用来记录用户的用户名和密码、
【选择组】对话框
（3）单击【禁用帐户】选项，当前用户将被禁止使用，此时在窗口中显示的用户名左侧小图标上将显示一个红色的“X”符号，表明当前此用户不可登录到服务器。再次打开快捷菜单时，原来的【禁用帐户】选项变为【启用帐户】，单击此选项，用户名被启用，可以进行登录操作。
（4）单击【重设密码】选项显示对话框，管理员可以修改用户的密码，并设置用户是否在下次登录时更改密码。
account对象中。
（2）通讯组

该组不是安全主体，只被用作分配列表。
可以在通讯组中存储联系和用户帐户。由于联系不
包括用户帐户的系统开销，所以只把联系放入组中
才更有意义。通讯组还和Microsoft Exchange兼
容，所以被广泛用于电话技术和传递信息应用软件
中。当升级Exchange用以支持Active Directory

域组建,域管理,活动目录管理,OU管理

一：建域1.开始>>运行>>dcpromo2.进入AD安装向导3.关于系统兼容性的说明4.创建域控制器的类型，我们这里因为是第一台域控制器，所以选第一项。

第二项为创建备份域控制器做冗余的时候用的，这留到以后关于迁移域控制器的时候再跟大家说。

5.创建一个新域。

各项的说明图中已经给出，我们这里选第一项"在新林中的域"，因为本文的环境为安装第一个域。

6.创建的域的名称。

我个人来说习惯在企业内部用。

local的后缀表示本地的。

BIOS域名，一般不用改直接下一步！8.数据库及日志文件存放的位置，可以改也可以不改。

如果你习惯把日志类文件放到一齐的话，可以进行修改。

因为我只有一个盘就不改了。

9.共享的系统卷，这里要注意了！此文件必须要放在NTFS卷上！而且sysvol文件是被用于以后的域信息同步的。

所以在安装完后会自动的共享出来。

10.这里一般的话集成安装DNS比较好，如果是分离安装的话，对新手比较麻烦。

因为AD 会在DNS下创建许多SRV记录。

11.设置权限，其实就是为了与旧的系统AD迹象联系用的。

一般来说默认就可以了！2000以前的已经没见过有人用了。

12.AD在进入目录服务还原模式时使用的管理员密码。

注意与现在的管理员密码概念区分。

此密码只适用于目录服务还原模式。

此模式在大家平时选择进入安全模式的菜单下可以找到。

13.你所创建的域环境摘要，说穿就是你前面的设置信息。

14.在上面的图示中点击下一步就开始部署AD了！需要一点时间，大概5分钟就可以了。

休息一下眼睛。

在这里之前如果大家没有填写TCP/IP的信息，会在安装过程中叫你填写TCP/IP信息。

15.会出现提示要选择映像文件的位置--如选择取消，DNS服务就会手动配置（有点麻烦）,点击确定-----浏览---选择文件的位置16.看到这里就表示安装完毕了。

17.最后就重启--------立即重启才会生效二，加入域1.加入域前的准备a.开始---程序---管理工具---ActiveDirectory用户和计算机---选择---新建域名下的Computers---在右侧窗口，右击---新建---计算机---输入计算机名（是你要加入这个域的计算机名，）---下一步---下一步---完成。

Windows Server 活动目录企业应用(微课版)项目3 管理域用户账户和组

图3-11 Active Directory管理中心
管理域用户账户和组相关知识
• 重置密码：当用户忘记密码或密码使用期限到期时，系统管理员可以利用此处为用户设置一个新的密码。
• 禁用账户（或启用账户）：若某位员工因故在一段时间内无法来上班的话，此时您可以先将该员工的账户禁用，待该员工回来上班后，再将其重新启用即可。若用户账户已被禁用，则该用户账户图形上会有一个向下的箭头符号（例如图3-11中的用户mike）。
管理域用户账户和组相关知识
4.1.1 规划新的用户账户
遵循以下规则和约定可以简化账户创建后的管理工作。
1、命名约定 ➢ 账户名必须唯一：本地账户必须在本地计算机上唯
一。 ➢ 账户名不能包含以下字符：* ; ? / \ [ ] : | = , + < > " ➢ 账户名最长不能超过20个字符
管理域用户账户和组相关知识
管理域用户账户和组相关知识
4.1.6 设置域用户账户的属性
每一个域用户账户内都有一些相关的属性信息，例如地址、电话与电子邮件地址等，域用户可以通过这些属性来查找AD DS数据库内的用户，例如通过电话号码来查找用户，因此为了更容易地找到所需的用户账户，这些属性信息应该越完整越好。我们将通过Active Directory管理中心来介绍用户账户的部分属性，请先双击要设置的用户账户Alice。
管理域用户账户和组相关知识
1．组织信息的设置
组织信息就是指显示名称、职务、部门、地址、电话、电子邮件、网页等，如图3-13中的组织节点所示，这部分的内容都很简单，请自行浏览这些字段。
图3-13 Active Directory管理中心--Alice账户--组织信息

AD域控管理方案

AD域控管理方案
一、概述
域控管理是一种尽可能安全地管理计算机网络的工具，主要是依靠服
务器来控制网络中的计算机，包括文件共享、用户和组的创建、登录控制、安全策略等等。

因此，采用Active Directory（AD）域控管理方案，可
以实现统一管理、安全控制网络中的资源。

本文的主要目的是介绍AD域
控管理方案的架构、功能和实现过程。

二、AD域控管理方案的架构
AD域控管理方案的架构由三部分组成：活动目录服务（Active Directory Services，ADDS）、活动目录域服务（Active Directory Domain Services，ADDS）以及活动目录安全服务（Active Directory Security Services，ADDS）。

（1）活动目录服务（ADDS）为用户提供网络配置和管理服务，包括
域控应用程序、日志记录、用户认证和授权等。

（2）活动目录域服务（ADDS）为客户端提供一个安全的、集中式的
域环境，用于存储和管理系统资源，从而使组织内网络管理更加容易和有效。

（3）活动目录安全服务（ADDS）为网络系统提供安全性保障，通过
定义用户帐户、密码策略、数据完整性检查和审计等来实现网络安全控制。

三、AD域控管理方案的功能
（1）域控管理方案实现了统一的程序管理，可以统一定义和管理组
织内的用户和组，以及定义用户权限和安。

[项目4]域与活动目录的管理

除此之外，也可以退出某个工作组，方法也很简单，只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已，工作组名并没有太多的实际意义，只是在 “网上邻居”的列表中实现一个分组而已。也就是说，可以随时加入同一网络上的任何工作组，也可以随时离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网上计算机共享资源的浏览。在Windows Server 2008系统中要启用网络发现功能，否则将无法找到网络中的任何“邻居”主机，也不会被其他的“邻居”主机发现。用鼠标右键单击Windows Server 2008桌面中的“网络”图标，在弹出的菜单中选择“属性”命令（也可以依次单击Windows Server 2008桌面中的 “开始”→“设臵”→“控制面板”命令，双击“网络和共享中心”图标），打开“网络和共享中心”管理窗口，如图4-1所示，单击“网络发现”设臵项右侧的向下箭头按钮，展开“网络发现”功能设臵区域，选中“启用网络发现”单选项，单击“应用”按钮，这样就可以寻找网络的“邻居”主机了。
当然在实际的应用中，一个域中的常常有访问另一个域中的资源的需要。为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A的用户想要访问B域中的资源，让域B信任域A就行了。信任关系分为单向和双向，如图4-7所示。图中①是单向的信任关系，箭头指向被信任的域，即域A信任域B，域A称为信任域，域B被称为被信任域，因此域B的用户可以访问域A中的资源。图中②是双向的信任关系，域A信任域B的同时域B也信任域A，因此域A的用户可以访问域B的资源，反之亦然。信任关系有可传递和不可传递之分，如果A信任B，B又信任C，那么A 是否信任C呢？如果信任关系是可传递的，A就信任C；如果信任关系是不可传递的，A就不信任C。Windows Server 2008中有的信任关系是可传递的，有的是不可传递的，有的是单向的，有的是双向的，在使用时要注意。

AD域活动目录解决方案

AD域活动目录解决方案AD（Active Directory）是由微软公司开发的一种域名服务（Directory Service）平台，用于管理和组织网络中的资源和用户。

它是基于目录服务的概念，在网络中添加了一个统一的登录和访问认证机制，使得用户和组织能够更加便捷地管理和使用网络资源。

1.用户管理：AD域活动目录可以集中管理和授权用户的登录和访问权限。

管理员可以通过AD域控制器创建和删除用户帐户，设置用户密码策略，授予用户所拥有的资源的权限等。

用户可以通过AD域进行身份认证，登录到域中的计算机，并访问其具备权限的资源。

2.组织结构管理：AD域活动目录提供了组织单元（OU）的概念，可以根据组织的层次关系和部门划分需求进行组织结构管理。

管理员可以创建、删除和移动OU，管理其中的用户和组对象等。

通过OU的概念，可以更加灵活地管理和分配权限，简化了域中的用户和组的配置。

3.资源共享与访问控制：AD域活动目录可以创建和管理共享的网络资源，例如文件夹、打印机等。

管理员可以通过目录服务的权限管理机制，设置用户对这些资源的访问权限。

这样，用户就可以根据自己的角色和需求访问到其具备权限的资源，同时也提高了资源的安全性。

4.域信任和跨域管理：AD域活动目录支持域之间的信任关系和跨域管理。

通过建立域信任关系，可以实现跨域访问和资源共享。

管理员可以跨域进行用户和组对象的管理，简化了多个域之间的管理和配置工作。

5.安全策略与审计日志：AD域活动目录提供了丰富的安全策略和审计日志功能，帮助管理员更好地保护域中的资源和用户。

管理员可以设置密码策略、帐户锁定策略、审核策略等，提高域的安全性。

审计日志记录了域中的操作和事件，可以进行监控和分析，追踪潜在的安全问题。

6. 自动化和批量操作：AD域活动目录支持脚本和命令行工具进行自动化和批量操作。

管理员可以使用PowerShell等脚本语言，对域中的对象进行批量添加、修改和删除等操作。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

3
1.2 任务二了解活动目录的特性
活动目录服务是一个完全可扩展、可伸缩的目录服务，系统管理员可在统一的系统环境下管理整个网络中的各种资源，较以往的应用中Windows Server 2003有了更加突出的新特性，现介绍如下 1．服务的集成性 2．信息的安全性 3．管理的简易性 4．应用的灵活性
18
3.4.4 任务四提升域功能级别
在Windows Server 2003域控制器中，影响整个域管理功能的与功能级别有4个：Windows 2000 混合（默认）、Windows 2000纯模式、Windows Server 2003临时和Windows Server 2003。默认情况下，Windows Server 2003域控制器是以 Windows Server 2000混合功能级进行工作的。
4
2 技能二认识活动目录与域
Windows域（Domain）是基于Windows NT技术构建组成的计算机网络独立安全范围，是 Windows的逻辑管理单位，一个域就是由一系列的用户帐户、访问权限和其他的各种资源的集合，也就是包括各种对象属性信息的目录数据库。活动目录由一个或多个域构成，一个域可以跨越不止一个物理地点。每一个域都有它自己的安全策略，和本域与其他域之间的信任关系。当多个域通过信任关系连接起来并且拥有共同的模式、配置和全局目录时，它们就构成了一个域树。
23
3.5.2 任务二掌握域模式的组帐户么要使用组这个技术呢？究竟使用组技术有哪些系统管理上的优点呢？ 2. 按组的作用域划分组（1）全局组（2）本地域组（3）通用组 3. 域模式的组帐户管理
24
19
3.4.5 任务五管理不同的域
系统管理员除了可以管理本地域外，还可以在本地域控制器上来管理域林中的其它不同域，那就需要在管理实施之前，先建立当前域和要管理域之间的连接。
20
3.4.6 任务六站点管理
站点可以是具有不同IP网络地址的子网进行更好的工作，并确保域内目录信息的有效交换，通过站点可以简化Active Directory内的站点之问的复制、身份验证等活动，这样可以提高工作效率。 1．创建站点 2．创建子网 3．将子网与站点关联
16
3.4.2 任务二设置域控制器的属性
为了加强对域控制器的管理，使域控制器安全稳定的运行，系统管理员必须设置域控制器的属性。通过设置域控制器的属性，不但可以确定域控制器的位置、操作系统和常规属性，而且还可以为域控制器制定权限组和管理用户。
17
3.4.3 任务三创建域的信任关系
什么时候需要管理员来创建域信任关系呢？主要是以下情景：当管理员需要将域林中的某个域与域林外的某个域建立信任关系时，就应当建立外部明确的信任关系；当管理员在域林中的两个域之间直接建立信任关系以减少信任路径身份验证时，应建立内部快捷信任关系。
8
3.2.2 任务二了解域的信任关系
域与域之间的通信是通过信任关系进行的，信任可使一个域中的用户由处在另一个域中的域控制器来进行验证。域的信任关系一般分为单向、双向、可传递和不可传递4种。 1．单向信任 2. 双向信任 3. 可传递信任 4. 不可传递信任
9
3.2.3 任务三理解活动目录的物理结构
活动目录的物理结构是指在规划Windows Server 2003域模式的网络环境中，具体部署各种角色计算机的组织状况。在域中作为服务器的系统可以充当以下两种角色中的任何一种：域控制器或成员服务器。那么其它的机器亦就是非成员服务器和工作站。（1）域控制器（2）成员服务器（3）站点
10
站点在概念上不同于Windows Server 2003的域，站点代表网络的物理结构，域代表组织的逻辑结构。一个站点可以跨越多个域，而一个域也可以跨越多个站点。站点并不属予域名称空间的一部分，站点是体现的最大特色就是在控制域信息的复制方面上，它可以帮助确定资源位置的远近，选定有利于网络流量的最佳方式来进行活动目录数据库的复制。站点反映网络的物理结构，而域通常反映组织的逻辑结构。
21
3.5 技能五域模式的帐户管理
3.5.1 任务一掌握域的登录用户帐户管理技术 1. 域的登录用户帐户简介
域的登录用户帐户是建立在域控制器上，存储于活动目录中的使用者帐户，这里主要讲述域模式下的用户帐户（即人的帐户）。
22
2. 域的登录用户帐户管理（1）新建域用户帐户（2）修改域用户帐户属性（3）用户帐户的复制和修改（4）删除用户帐户
11
3.3 技能三活动目录服务的安装
在安装活动目录服务之前，应当明确一些必备的安装条件：在Windows Server 2003系统的计算机上，安装的系统分区必须是NTFS格式；指定配置 TCP/IP协议属性中的DNS信息，并且保证网络接口的正常连接运行。
12
3.3.1 任务一安装活动目录服务
14
3.4 技能四活动目录服务的管理
为了保证安装好的活动目录服务运行稳定，并提供我们所期望的功能，还要进行各种活动目录服务的管理操作，例如：管理域中的用户和计算机、创建本地域与其它域的信任关系，创建物理站点来管理活动目录的信息复制等。
15
3.4.1 任务一熟悉活动目录服务管理工具
活动目录管理工具的使用只能在可访问 Windows Server 2003域服务器中，主要的活动目录管理工具在域控制器的“管理工具”菜单组中获得： Active Directory的用户和计算机 Active Directory的域和信任关系 Active Directory站点和服务
活动目录服务与域模式帐户管理
1
学习目标

理解活动目录及域的概念
熟悉活动目录的逻辑、物理结构熟悉活动目录服务的安装掌握活动目录服务的管理熟练域用户帐户的管理
2
1 技能一掌握活动目录服务
1.1 任务一理解活动目录服务的概念
活动目录服务（Active Directory）是Windows Server 2003操作系统提供的一种新的目录服务。目录服务其实就是提供了按层次结构方式进行信息的组织，然后按名称关联检索信息的一种服务方式。这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企业的管理负担。另外，它还为用户和应用程序提供了对其所包含信息的安全访问。
1．使用“Windows Server2003管理服务器”安装 2．使用命令安装
13
3.3.2 任务二客户计算机加入到域
域控制器在域中承担着整个网络的核心作用，但不是域中的唯一角色，根据域中的计算机的功能不同，还有成员服务器和工作站。另外，在网络中有些计算机并不属于任何域，即以工作组模式运行，可将它们分为独立服务器和一般客户端计算机。
5
6
3.2.1 任务一理解活动目录的逻辑结构
活动目录采用域、域树、域林的多重层次化的目录结构。在讲述活动目录的结构之前，先介绍一些有关活动目录（或域）的相关术语概念，即对象、容器、组织单元。
7
1．域域（Domain）是Windows Server 2003活动目录的核心逻辑单元，是共享同一活动目录的一组计算机集合。 2．域树域树是由若干具有共同的模式、配置的域构成的，形成了一个临近的名字空间。 3．域林域林是由一棵或多棵Windows Server 2003域树构成的，各树之间地位相当，由双向传递的信任关系相关联。