Windows Server 2008 R2活动目录配置和管理

Demonstration:配置 AD DS 组帐户
在此stration:配置其他 AD DS 对象
在此演示，您将看到如何配置其他 AD DS 对象
Lesson 2:使用组策略
•为将访问分配给资源的选项。 •使用帐户组来分配资源的访问。 •使用帐户组和资源组。 •讨论： 在单个域或多域环境中使用组。
Module 1:配置
Active Directory ® 域服务的域名称服务
模块概述
•Active Directory 域服务和 DNS 集成的概述。 •配置 AD DS 集成的区域。 •配置只读 DNS 区域。
Lesson 1: Active Directory 域服务和 DNS 集成的概述
Lesson 1:配置 Active Directory 对象
•AD DS 对象的类型。 •演示： 配置 AD DS 用户帐户。 •AD DS 组类型。 •AD DS 组范围。 •默认 AD DS 组。 •AD DS 特别标识。 •讨论： 使用默认组和特别的标识。 •演示： 配置 AD DS 组帐户。 •演示： 配置其他 AD DS 对象。
2008
Windows XP
3 客户端验证现有的注册
4
DNS 服务器响应的说明 注册并不存在
客户端将动态更新发送
5 到DNS 服务器
如何安全动态 DNS 更新工作
只有当客户端有正确的凭据要更新接受安全 的动态更新
Windows Vista DNS Client
Local DNS Server
Domain Controller with Active Directory
•在域分区或应用程序分区中，可以存储一个 DNS 区域。 •管理员可以定义自定义复制的范围 应用程序分区。 •DomainDNSzones forestDNSzones 并存储 DNS
特定的数据的默认应用程序分区。
Domain Config Schema App1
Domain Config Schema
Lesson 3:配置只读 DNS 区域
•只读 DNS 区域是什么？ •如何只读 DNS 工程 •讨论： 比较 DNS 选项的分支机构
只读 DNS 区域是什么？
• 支持只读域控制器上的一个功能
• 包含 DNS 信息的所有应用程序分区被复制到该 RODC
优点：
• 所需的 AD DS 名称解析 DNS 信息用于 RODC 的 相同站点中客户端 • 在只读 DNS 区域，增加了安全上的更改不允许使用
将访问分配给资源的选项
将分配给资源的访问：
• 最低权限级别的计划。 • 这项计划保持尽可能简单。 • 文档这项计划。
选项包括：
• 将用户帐户添加到资源上的 ACL。 • 将用户帐户添加到组，并将组添加到资源上的 ACL。 • 将用户帐户添加到帐户组，到资源的组中添加
该帐户的组，并将资源组添加到资源上的 ACL。
PowerShell。
自动化 AD DS 工具对象管理
Active Directory 用户 和计算机
目录服务工具
• Dsadd • Dsmod • Dsrm
Csvde 和 Ldifde 工具
Windows PowerShell
配置 AD DS 对象使用命令行工具
命令行工具：
• Dsadd • Dsmod • Dsrm • Dsget • net user • Net group • Net computer
Windows PowerShell 是一种脚本和命令行的技术， 您可以使用管理 AD DS 和其他 Windows 组件
Windows PowerShell 功能包括：
• 强大的一行 cmdlet。 • 别名。 • 变量。
Example of an SRV record
_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 den-dc1.contoso.msft
Demonstration: AD DS 域控制器 SRV 资源 记录注册
在此演示，您将看到如何查看和管理域控制器注 册的 SRV 资源记录
管理 LDIFDE 的用户对象
• LDIFDE.exe import
filename.ldf
export
Active Directory
管理 CSVDE 与用户对象
• CSVDE.exe import
filename.csv
export
Active Directory
Windows PowerShell 是什么？
Integrated DNS Zone
Demonstration:配置 AD DS 集成的区域
在此演示，您将看到如何配置：
•AD DS 作为一个 DNS 区域集成。 •对 DNS 区域的动态更新。 • 网络连接上的动态更新设置。 • 安全动态更新。
如何背景区加载工程
当域控制器与 ActiveDirectory 集成 DNS 区域启动，它： •枚举要加载的所有区域 • 负荷根提示从文件或 AD DS 服务器 • 加载存储在文件中而不是在 AD DS 中的所有区域 • 开始对查询和 RPC 的响应 • 启动一个或多个线程来加载存储在 AD DS 中的区域
•AD DS 与 DNS 命名空间整合。 •服务资源定位记录是什么？ •演示： SRV 定位器记录由注册 AD DS 域控制 器。
•如何使用服务资源定位记录。 •集成服务资源定位记录和 AD DS 网站。
AD DS 和 DNS 命名空间集成
AD DS 域名必须使用 DNS 名称
通过使用，可以 • 相同的命名空间。
Domain Config Schema App1 App2
为 DNS 配置应用程序分区选项
DNS 信息可以存储在各种应用程序分区中
Domain Config Schema DomainDNSZone ForestDNSZones CustomApp
到 AD DS 域中的所有域控制器
到所有是 AD DS 域中的 DNS 服务器的域控制器
•域控制器需要复制更改
• 客户端计算机登录到 AD DS
• 一个用户尝试更改他或她的密码
• Exchange 2003 服务器会执行目录查找
• 管理员修改 AD DS
SRV record syntax:
TTL class type priority weight port target
到所有是在 AD DS 林中的 DNS 服务器的域控制器
到应用程序分区复制范围中的所 有域控制器
如何动态更新工作
DNS Server
Resource Records
1 客户端发送 SOA 查询
DNS 服务器发送区域
2 名称和服务器 IP 地址
123 45
Windows Windows
Server
Vista
AD DS 集成区域是什么？
AD DS 集成区域在 AD DS 数据库中存储 DNS 区域数据
使用 AD DS 的优点集成区域： •复制使用 AD DS 复制的 DNS 区域信息 • 支持多个主 DNS 服务器 • 增强了安全性 • 支持记录老化和清除
在 AD DS 中的应用程序分区是什么？
AD DS 数据库分为包含每个复制到特定域控制器 的目录分区的目录分区
如何只读 DNS 工程
只读 DNS 上装有 RODC AD DS 安装了和选择 了 DNS 选项时
•只读 DNS 区域数据可以查看，但不能被更新
• 使用 RODC 的动态更新的 DNS 客户端所提的区域的 可写副本的 DNS 服务器
• 记录不能将手动添加到只读区域
2
1
3
Discussion:比较分支机构的 DNS 选项
任何受信任的 域中 任何受信任的 域中
在本地计算机 上
默认 AD DS 组
默认组旨在管理共享的资源和委派特定的全 域管理角色
营办商帐户。 管理员。 备份的操作员。 传入的林信任生成器。 网络营办商配置。 性能日志用户。
性能监视器用户。 以前版本 2000年兼容 的访问。 打印营办商。 远程桌面用户。 复制。 服务器操作员。 用户。
•哪些以外只读 DNS 的选项可在分支机构中实施 DNS？
•优势和每个选项的缺点是什么？
Module 2:配置 Active Directory
对象和信任
模块概述
•配置 Active Directory 对象。 •使用组策略。 •自动化 AD DS 对象管理。 •委派到 AD DS 对象的管理权限。 •配置 AD DS 和信任。
将一个 AD DS • 外部名称空间的一个子域。
域名集成与外部 名称空间：
• 在域和本地哪里不同的名称的不同的 名称空间。


服务定位记录是什么？
SRV 资源记录允许 DNS 客户端找到基于 TCP 服务。 SRV 资源记录用于时：
AD DS 对象的类型
用户帐户 •使一个单 Sign-on 为用户。 • 提供对资源的访问。
计算机帐户 •启用身份验证和审计的对 资源的计算机访问
InetOrgPerson
•类似于一个用户帐户 • 用于与其他目录服务的兼容性
组织单元
•用于组的管理类似对象
组帐户 •有助于简化管理
打印机
•用于简化定位和连接到打印机 的过程
共享的文件夹
•用于简化的定位与连接到共享 文件夹过程
Demonstration:配置 AD DS 用户帐户
在此演示，您将看到如何配置 AD DS 用户帐户
AD DS 组类型
通讯组：
只能与电子邮件应用程序一起使用 未启用安全
安全组：
用于将权限和权限分配给用户 和计算机组。 嵌套时，使用最有效。
功能级别确定您可以创建的组的类型
使用帐户组来分配资源的访问
User Accounts
Account Groups
Permissions
使用帐户组和资源组
User Accounts
Account Groups
Resource Groups
Permissions
Discussion:在单一域或多域环境中使用组
Using the scenarios, answer the questions in your workbooks
AD DS 特别标识
旨在提供对没有资源的访问行政或用户交互
匿名登录。 经过身份验证的用户。 批处理。 Creator Group。 创建者所有者。 拨号。 每个人。
交互式 本地系统 网络 自己 服务 终端服务器用户 其他组织 这个组织
Discussion:使用默认组和特别标识
使用此方案，回答您的工作簿中的问题
Lesson 3:自动化 AD DS 对象管理
•用于自动执行 AD DS 对象管理的工具。 •配置 AD DS 对象使用命令行工具。 •管理 LDIFDE 的用户对象。 •管理 CSVDE 与用户对象。 •Windows PowerShell 是什么？ •Windows PowerShell Cmdlet。 •演示： 配置 Active Directory 对象使用 Windows
如何使用服务资源定位符记录
1 定位器启动 Net Logon 服务调用 2 定位器会收集有关客户端的信息 3 网络登录使用的信息和 SRV 资源记录的查询 DNS 4 Net Logon 测试到目标服务器的连接 5 域控制器的响应，该值指示它们的运作 6 Net Logon 返回到客户端的信息
集成服务定位记录和 AD DS 站点
AD DS 组作用域
组作用域
本地域 全球 通用 本地
组成员可以包括
可用于分配权限
• 通用组、 全局组和其他域本地 组从它自己的域。
• 任何受信任的域帐户。
在同一个域
• 用户、 组和从它自己的域的计 算机
• 用户、 组和作为从任何受信 任的域成员的计算机
• 用户、 组和作为从任何受信 任的域成员的计算机
NYC-DC1 NYC Site
Local DNS Server
MIA-DC1 Miami Site
Lesson 2:配置 AD DS 集成区域
•AD DS 集成区域是什么？ •在 AD DS 中的应用程序分区是什么？ •为 DNS 配置应用程序分区选项 •如何动态更新工作。 •如何安全动态 DNS 更新工作。 •演示： 配置 AD DS 集成的区域。 •如何背景加载工作区。