活动目录活动目录 (Active Directory)(Active Directory) 的管理的管理

课程内容 :• 工作组和域的区别• 活动目录（ Active　 Directory）可以做什么？

• DNS和活动目录名称空间• 安装活动目录的要求• 搭建活动目录• 如何把一台电脑加入域

工作组和域的区别工作组和域的区别“自由”的工作组 • 工作组（Work Group）就是将不同的电脑按功能分别列入不同的组中，以方便管理。

• 加入一个工作组，只需要在系统属性—计算机名选项卡—更改，填入要加入的工作组。如果没有这个工作组，则会创建一个新的工作组。

• 一进入“网上邻居”，首先看到的是你所在工作组的成员。如果要访问其他工作组的成员，需要双击“整个网络”，然后你才会看到网络上其他的工作组，双击其他工作组的名称，这样你才可以看到里面的成员，与之实现资源交换。

• 退出某个工作组，只要将工作组名称改变一下即可，不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。

• 也就是说，你可以随便加入同一网络上的任何工作组，也可以随时离开一个工作组。

域的管理和设置 •  “域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。

• 在“域”模式下，至少有一台服务器负责每一台连入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（ Domain Controller，简写为 DC）”。 

• 在安装 Active Directory时，第一个域服务器被配置成为域控制器，而其他的域成员服务器也可以通过使用 [Active Directory安装向导 ]升级成为域控制器。

• 域最大的好处就是它的单一的网络登陆能力，任何用户只要在域中有一个用户帐户，就可以登陆域并能访问域中所有的资源。

活动目录（活动目录（ ActiveActive　　 DirectoryDirectory ））可以做什么？可以做什么？

源于一种目录服务的概念• 在域环境下有一个 DC，存储这一个数据库 ---活动目录数据库，通过它来管理和维护域资源。

• 如何便捷的找到、管理、控制网络资源 (如打印机、文档 )?——使用活动目录           活动目录就好比一本书的索引，或者说它是一个数据库，它存储的是企业网络资源的快捷方式，通过它来找到网络资源。

• 所以活动目录既可以集中管理网络资源又可以优化网络性能。

活动目录的逻辑结构

domain

subdomian

subdomain

OU

OU OU

contoso.com

beijing.contoso.com shanghai.contoso.com

a.shanghai.contoso.com

nwtrators.com

a.nwtrators.com b.nwtrators.com

什么时候要搭建一个域？• 公司比较小，要搭建一个域环境管理网络资源，只搭建一个 DC，上面有活动目录数据库，如果此 DC坏了，将导致所有的用户无法登陆，可以再搭建一台辅助 DC。

• 一个域里面，两台 DC之间进行数据复制——活动目录数据库的复制，采用多主机制——有一台DC更改了数据库则数据马上同步到另一台 DC。

• 如果有一台 DC坏了，另一台可以正常工作，可以腾出时间把坏的那一台修好，可以避免网络瘫痪，所以搭建一个域最少搭建两台 DC。

什么时候创建子域？• 总部在北京，在上海开设分公司，如果搭成一个域两台 DC，单域模型里是同步复制， DC上活动目录会频繁更改，数据同步的次数会比较多，增加网络流量占用带宽。

• 所以应该在分公司搭建子域，因为两个域的 DC数据可以不一样，但仍然可以互访资源。

• 如果希望子公司有专门的人员来管理网络，父公司就不用去管理子公司的网络。

2003经常提域：安全的边界，复制的单元• 在域中用组策略去做管理，在父域做策略，子域并不会继承这个策略。

• 复制的单元，域之间有的数据复制，有的不复制。

什么时候再去创建一棵树 ,组成一个森林？• 树里面的名称是连续，父域叫 contoso.com，子域叫 beijing.contoso.com，两个树之间名称不是连续，两棵树和起来就是一个森林。

• 当两个公司兼并， contoso.com兼并 nwtrators.com，需要重新规划步署网络，建议保留原来的名称空间，因为

1.可以让员工继续登陆； 2.已有的名称也具有一定价值。• 在一个森林里资源互访就是不需要输入用户名和密码，兼并一个企业重新搭建活动目录结构后，新老员工不输用户名和密码也可以互访对方资源

一个企业两个森林，需要吗？• 2003里，森林内的所有域之间的关系是 ---双向可传递。工作组模型是没有这个概念的。

• 一个企业一个森林就够，因为森林之间默认是不信任的。

            当企业模型比较大，如果我希望财务部门的安全策略和其他部门都不一样，那我们可以怎么做？

什么时候创建 OU(组织单元 )？• 组可以组织用户帐号， OU也可以 (1) 组是应用于权利权限的管理，是权利权  限的体现，一个用户可以属于多个组。

(2) OU就是体现管理模型，根据企业实际管理模型，总经理一个 OU，生产部门一个 OU ，财务部门一个 OU。

OU里面包含用户、组、计算机、打印机等。  OU、域、树林都是容器，生产部分用户能属于一个 OU，就不能使用另一个 OU了。

安装活动目录的要求：1.计算机运行的 windows server 2003， 2

000也可以。2.磁盘空间 250M，最少有一个 NTFS分区，活动目录初始的大小，活动目录数据库随这使用空间使用会越来越大，留几个 G的空间。

3.必须是管理员的权限，原来工作组模型的管理员，变成了域管理员。

4.使用 TCP/IP、 DNS。5.支持 SRV记录。

           企业申请的域名和企业内部域模型的域名可以不一样，但只限于企业内部使用，无法从公网访问。           企业域模型内的访问，同样需要但也需要 DNS完成企业内部域模型名称的解析。

搭建活动目录1.检查当前分区是否是 NTFS，也有多的磁盘空间。

2.确认 IP地址配置， DNS是自己的 IP地址，那么自己是 DNS、 DC。

3.确认计算机名称是唯一的。4.运行 ---dcpromo---AD安装向导。

在活动目录安装好以后 ,主要有 3个Active Directory的控制台 :

.壹 Active Directory用户和计算机管理，主要对域的用户和计算机进行管理。

.贰 Active Directory域和信任关系的管理，主要管理多域的委托和信任关系。

.叁 Active Directory站点和服务管理，可以把域控制器置于不同的站点进行管理。

  如何把一台电脑加入域 1． 服务器端设置 

 “ Active Directory用户和计算机” ---右击“ Computers”----“新建” ----“计算机” ----填入想要加入域的计算机名即可。

           要加入域的计算机名最好为英文，中文计算机名可能会引起一些问题。 

2． 客户端设置     

• 首先要确认计算机名称是否正确• 将 DNS地址指向 DC(DNS)的 IP地址• 系统属性 ---计算机名 ---更改 ---加入域• 使用域用户帐号和密码 ---登录域之后，就可以使用Windows 2000 Server域中的资源了。 (请注意，这里的域用户账号和密码，必须是网络管理员为用户建的那个账号和密码，而不是由本机用户自己创建的账号和密码。 )

课程内容课程内容 ::

• AD站点和服务             站点和域                                           子网和站点链接• AD用户和计算机        提升域和林的功能级别                                            域用户帐户的管理                                            设置用户密码策略                                            域组帐户的管理                                            计算机帐户的管理                                           添加组织单元• AD域和信任关系        创建域信任关系

AD站点和服务             站点和域站点 ---把一组高度可靠的物理链路           一个域可以属于不同的站点，一个站点也可以包含不同的域

同一个站点内 DC复制流量不压缩，而站点之间 DC复制流量压缩，压缩成 15%

什么是子网？• 一个子网是一组高速可靠的物理链路，不同子网是由不同的物理链接构成。

• 具体子网怎么划分，是基于 IP地址的

什么是站点链接？• 一个站点链接可以连接两个站点，在两个站点之间配置复制（和站点内的复制不一样）。

• 可以指定什么时间去做复制，还可以指定 cost值：A站点和 B站点带宽 10M， A到 C是 1M， B到 C是 512K， B和 C要复制东西，走 512K很慢。

• 可以配置站点链接，当 B和 C复制的时候，通过A去复制，虽然走的链路长一点，但连接的速度会很快，加速复制的速度。

A

B C

10M 1M

512k

            一个站点有两台 DC,一台是当前这个域的主要域控制器 LONDON，另一台是其子域的域控制器 ISTANBUL，现在要把 ISTABUL这台 DC放到上海。            也就是要创建一个新的站点，分配到一个新的站点去。

1.先给已有的站点创建一个网段 --新建子网2.创建一个新站点 --shanghai---选择连接    查看站点连接的关系

3.给默认站点换一个名字 ---beijing 4.新建子网 ---shanghai5.选择 istanbul这台 DC--移动

           这样这台 DC以后就在上海了，可以通过管理控制台可以反映服务器的物理位置。

• 以后北京服务器和上海的服务器再进行复制的时候就要进行压缩了

站点链接的配置1.新建一个站点2.创建一个新的连接3.设置开销值 (越小，链路的利用率越高 )和复制频率。

1 创建一个站点• 站点 --右 --新站点 ---广州             刚才有一个默认站点连接是连接北京和上海的，现在又创建出了一个站点叫广州，并且希望广州和北京使用另外一个站点连接。

2 重新去创建一个新的站点连接，用它去连接这两个站点。

IP--右 --新建站点连接 ---beijing-guangzhou--选择北京和广州  就多出了一个站点连接。

3 把默认站点链接里的 guangzhou删除，让它只连接 beijing和 shanghai            可以看到通过这两个站点链接就可以体现出这几个站点之间的复制拓扑了。

4 双击一个站点链接，里面有两项，一个是开销，一个是复制频率

• 开销值越小，链路利用率越高，当两台服务器有多条链路都可以走的情况下，是选择开销值低的走

• 复制频率：每 180分钟复制一次。

ADAD 用户和计算机用户和计算机提升域和林的功能级别提升域和林的功能级别          为了与网络中的其他 windows域或域控制器共存， windows server 2003 使用了几种不同的域和林的功能级别。

1.域功能级别域功能级别 支持的域控制器Windows2000混合 NT,2000,server 2003

Windows2000本机 2000,server 2003

Windows server 2003临时 NT,server 2003

Windows server 2003 Server 2003

33种模式的域功能比较种模式的域功能比较域功能 Win2000混

合Win2000本机

server2003

域重命名 禁用 禁用 启用

域控制器重命名

禁用 禁用 启用

更新登陆时间 禁用 禁用 启用

创建通用组 禁用 启用 启用

组嵌入 不完全支持 支持 支持

转换组类型 禁用 启用 启用

创建 InetOrgPerson类别帐户

禁用 ,不存在该类别

禁用 ,不存在该类别

启用

注意 :

• 当 NT或 2000的域控制器还没有完全升级到 server2003时 ,不能提升域和林的功能级别 ,因为会导致 NT和 2000的域控制器无法正常工作 .

• 如果域中有多个域控制器 ,并不需要在每个域控制器上提升功能级别 ,因为这个新的功能级别会复制到域的每个域控制器 .

• 提升域功能级别后 ,而且提升域功能级别后 ,将无法再还原 ,除非是删除 AD后重新安装 .

域功能级别提升AD用户和计算机 ---域 ----右 ----提升域功能级别

2.林功能级别           设置不同的林功能级别，会影响林中能够存在的域控制器的类型，默认的林功能级别是 win2000。

林功能级别 支持的域控制器Windows2000 NT,2000,server 2003

Windows server 2003临时

NT,server 2003

Windows server 2003 Server 2003

两种林功能级别的比较两种林功能级别的比较林功能 Windows 2000 Windows

server 2003

林信任 禁用 启用

域重命名 禁用 启用

创建 InetOrgPerson类别帐户

禁用 启用

改进 AD复制算法

禁用 启用

注意 :• 如果林中所有域的功能级别都是 windows

server 2003时 ,可以升级林功能级别 .• 如域中仍有没有升级到 server2003的域控制器 ,即使提升了域功能级别 ,也不能提升林功能级别

• 如果林中有多个域 ,并不需要在每个域上提升功能级别 ,因为这个新的功能级别会复制到林中的每个域控制器 .

林功能提升AD域和信任关系 ---右 ----提升林功能级别

域用户帐户的管理域用户帐户的管理• 本地帐户　计算机管理—本地用户和组 :创建　存储在 c:\windows\system32\config文件夹中的ＳＡＭ文件　本地身份验证• 域用户帐户　ＡＤ用户计算机－－ＵＳＥＲ：创建　存储在 c:\windows\NTDS中的 ntds.dit文件（活动目录数据库）　域控制器上做身份验证

设置用户密码策略设置用户密码策略安全模板的使用 Server提供了多安全模板，系统管理员可以选择直接提供的安全模板来设置服务器安全策略。

• mmc—添加 /删除管理单元—安全模板 /安全配置和分析

• 查看安全模板—安全配置和分析—打开数据库—为要创建的数据库指定名字 ---导入模板(选择一个合适的模板 )---激活安全配置数据库 (立即配置计算机 )---立即分析计算机

域组帐户的管理域组帐户的管理根据组领域， AD的组可以分为 3种 :

本地域 ----只能在本域中使用，用于赋予访问资源权限或组织用户帐户。全局 ----可以在本域或信任域之间使用，用于组织用户帐户。通用 ----可以在整个 AD中使用 ,用于组织用户帐户。 (只有域功能级别为 windows server 2003，才能使用通用组 )

在 AD中 ,根据不同的情况创建组的策略不同• 单域 ,采用 PLGA策略 (P-权限 ,L-本地域组 ,G-全局组 ,A-用户 )将用户加入全局组 ,再将全局组加入本地域组 ,再将资源访问权限赋予本地域组 .

• 多域 ,采用 PLGGA策略 ,将第一个域的用户加入本域全局组 ,然后将这个组加入第二个域的全局组 ,再在第二个域中将该全局组加入本地域组 ,最后将权限赋予该组 ,这样第一个域的用户就可以访问第二个域的资源了

• 在整个 AD中访问资源 ,采用 PLGUA

根据组类型， AD的组可以分为两种安全组 :可以赋予其访问权限 ,是最常用的组 ,所有的内置组都是安全组通讯组 :主要作用作为联系人 ,发布组可以让协助软件 (EXchange)使用它来发送邮件 ,但是此类型的组是不能赋予权限的

计算机帐户的管理• 在 windows server2003中，加入到域中的且运行 server2003或 2000的每一台计算机均具有计算机帐户 .

• 与用户帐户类似 ,计算机帐户提供了一种验证和审核计算机访问网络以及域资源的方法 .

• 与用户帐户不同的是 ,连接到网络上的每一台计算机都只能有自己的唯一计算机帐户 ,而用户可以有多个用户帐户 .

添加组织单元添加组织单元           在 windows server 2003中， AD服务把域又详细的划分成组织单元 (OU)。

• 组织单元是一个逻辑单元，它是域中一些用户、计算机和组、文件与打印机等资源对象。

• 组织单元体现的企业的管理模型，并且组织单元还可以再划分下级组织单元。组织单元具有继承性，子单元可以继承父单元的访问许可权。

• 每一个组织单元可以有自己的管理员并指定其管理权限，从而实现了对资源和用户的分级管理。

移动用户帐户和计算机帐户到组织单元用户帐户—右 ---移动 ----选择组织单元计算机帐户 ---右 ---移动 ---选择组织单元

查找活动目录资源 :

操作 ---查找

ADAD 域和信任关系        域和信任关系        创建域信任关系创建域信任关系           域信任关系是一种建立在域间的关系，它使一个域中的用户可由另一个域中的域控制器来进行验证。           当管理员需要使域林中的某一个域和域林外的某个域建立信任关系时，就应建立外部明确信任关系。

AD域和信任关系 ----contoso.com---右 ----属性 ----信任选项卡 ---新建信任