Upload
owen-mckenzie
View
85
Download
0
Embed Size (px)
DESCRIPTION
专题四 域与活动目录. 域与活动目录的概念. 活动目录的创建与配置. 活动目录的备份与恢复. 学习要点. 管理组织单元. 管理信任关系. 管理 复制. 4.1 域与活动目录. 4.1 . 1 活动目录. 活动目录是 Windows 网络中的目录服务 , 有两方面内容:目录和与目录相关的服务。. 活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问。既提高了管理效率,又使网络应用更加方便。. 4.1.2 域和域控制器( DC ). - PowerPoint PPT Presentation
Citation preview
专题四 域与活动目录
学习要点
域与活动目录的概念
活动目录的创建与配置
活动目录的备份与恢复
管理组织单元
管理信任关系
管理复制
4.1 域与活动目录 活动目录是 Windows 网络中的目录服务 ,有两方面内容:目录和与目录相关的服务。
4.1.1 活动目录
活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问。既提高了管理效率,又使网络应用更加方便。
域是在 Windows NT/2000/2003 网络环境中组建客户机 /服务器网络的实现方式。所谓域,是由网络管理员定义的一组计算机集合,实际上就是一个网络。在这个网络中,至少有一台称为域控制器的计算机 ,充当服务器角色。
4.1.2 域和域控制器( DC )
当需要配置一个包含多个域的网络时,应该将网络配置成域目录树结构。域目录树是一种树型结构。
4.1.3 域目录树
在整个域目录树中,所有域共享同一个活动目录,即整个域目录树中只有一个活动目录。
活动目录的域名仍然采用 DNS 域名的命名规则进行命名。
目录树目录树:共用连续名字空间的域就组成一个域目录树。
(根域)
China.com
Jinan. China.com
Beijing. China.com
子域 子域
域目录树
如果网络的规模比前面提到的域目录树还要大,甚至包含了多个域目录树,这时可以将网络配置为域目录林(也称森林)结构。
4.1.4 域目录林
为了让每一用户能够快速查找到另一个域内的对象,微软设计了全局编录( Global Catalog , GC )。全局编录包含了整个活动目录中每一个对象的最重要属性(即部分属性,而不是全部),这使得用户或者应用程序即使不知道对象位于哪个域内,也可以迅速找到被访问的对象。
4.1.5 全局编录
域目录林 • 目录林是一个或多个目录树的集合。• 目录林中的目录树并不共用相同的连续的名字空间。
(根域)
China.com
Jinan. China.com
Beijing. China.com
(子域) (子域)
域目录树
(根域)
America.com
NewYork. America.com
Washington. America.com
(子域) (子域)
域目录树
域目录林
4.2 活动目录的创建与配置
图 4-3 网络规划拓扑图
4.2.1 创建第一个域
( 1)首先确认“本地连接”属性 TCP/IP 中首选 DNS 指向了自己。
• 启动 Windows Server 2003 系统,以 Administrator 权限登录 。
Active Directory 安装向导
提示操作系统兼容性
选择域控制器类型
选择创建的域的类型
指定域名
指定域的 NetBIOS 名称
指定放置 Active Directory 数据库和日志文件的文件夹
数据库日志和系统卷设置
DNS 注册诊断
选择兼容模式
设定还原模式管理员密码
安装选项摘要
提示重启计算机以使更改生效
• 安装完成后,需要重启计算机
4.2.2 安装后检查 •1 、计算机名
2. 管理工具中会添加包括“ Active Directory 用户和计算机”、“ Active Directory 站点和服务”、“ Active Directory域和信任关系”等管理工具。
3. 活动目录对象
4. Active Directory 数据库Active Directory数据库文件保存在 %SystemRoot%\Ntds 文件夹中,主要的文件有:
–Ntds.dit :数据库文件。–Edb.log :日志文件。–Edb.chk :检查点文件。–Res1.log 、 Res2.log :保留的日志文件。–Temp.edb :临时文件。
•5. DNS 记录
( 1)首先要在 服务器上检查“本地连接”属性,确认能否正常通信。
4.2.3 安装额外的域控制器
( 2)运行“ Active Directory”安装向导。 ( 3)将该计算机设置为现有域的额外域控制器。 ( 4)输入拥有将该计算机升级为域控制器权力的用户名和密码。 ( 5)安装向导从原有的域控制器上开始复制活动目录。
4.2.5 安装额外的域控制器 • 在一个域中可以有多台域控制器。 • 在安装额外的 DC时,需要将活动目录数据库由现有的域控制器复制到这台新的 DC上。
( 1)在要升级为域控制器的独立服务器上,设置“本地连接”属性。
( 2)运行活动目录安装向导。 ( 3)选择“新域的域控制器”单选按钮,单击“下一步”按钮;选择“在现有域树中的子域”单选按钮,单击“下一步”按钮。
( 4)输入父域的域名以及管理员的账户、密码等。
( 5)接着输入子域的 NetBIOS 名。 ( 6)重新启动计算机,用管理员登录到域中。
1. 创建 DNS 域
4.2.5 创建域林中的第二棵域树
( 1)展开 DNS 管理窗口左部的列表,右击“正向查找区域”,选择“新建区域”命令。
1. 创建 DNS 域
4.2.5 创建域林中的第二棵域树
( 3)选择如何复制 DNS区域数据。
1. 创建 DNS 域 ( 4)输入 DNS区域名称,选择“只允许安全的动态更新”或者“允许非安全和安全动态更新”单选按钮。 ( 5)单击“完成”按钮。
2. 安装 smile.com域树的域控制器( 1)确认服务器上“本地连接”属性中的 TCP/IP的首选 DNS 指向。( 2)运行活动目录安装向导。( 3)选择“新域的域控制器” 。
2. 安装域树的域控制器下一步选择“在现有的林中的域树” 。
2. 安装域树的域控制器( 4)输入已有域树的根域的域名和管理员的账户、密码。( 5)接着输入新域的 NetBIOS 名 ,按照原步骤继续设置,直到完成。
2. 安装域树的域控制器 ( 6 )重新启动计算机,用管理员账户登录,单击“开始”→“管理工具”→“ Active Directory 域和信任关系”菜单项,可以看到 smile.com 域已经存在了。
4.2.6 成员服务器和独立服务器
域控制器
独立服务器 成员服务器
安装活动目录 安装活动目录
卸载活动目录
加入到域
从域中脱离
1.域控制器降级为成员服务器。 具体步骤: 1 )删除活动目录注意要点
2 )删除活动目录
2.独立服务器提升为成员服务器
3.成员服务器降级为独立服务器
1.域控制器降级为成员服务器。 具体步骤: 1 )删除活动目录注意要点
4.2.6 成员服务器和独立服务器
2 )删除活动目录
2.独立服务器提升为成员服务器
3.成员服务器降级为独立服务器
删除活动目录
• 删除时要注意以下三点:( 1)如果该域内还有其他域控制器,则该域会被降级
为该域的成员服务器。( 2)如果这个域控制器是该域的最后一个域控制器,
则被降级后,该域内将不存在任何域控制器了。因此,该域控制器被删除,而该计算机被降级为独立服务器。
( 3)如果这台域控制器是“全局编录”,则将其降级后,它将不再担当“全局编录”的角色,因此请先确定网络上是否还有其他的“全局编录”域控制器。
Active Directory 安装向导
全局编录确认
删除域控制器
应用程序目录分区
确认删除
管理员密码
2.独立服务器提升为成员服务器
3.成员服务器降级为独立服务器
( 1) Windows 备份
4.3 活动目录的备份与恢复1. 活动目录的备份
( 1) Windows 备份
1. 活动目录的备份
( 2)命令行备份
“若要将活动目录以 backup.bkf” 为文件 “名备份到 D:\backup.bkf” 文件夹下,可以在
命令提示符下输入:
ntbackup backup systemstate /J “Backup Job 1” /F “D:\backup.bkf”
2. 活动目录的恢复
活动目录的恢复应用在下面的三种情况。 ( 1)网络中只有一台域控制器,在重新安装系统后,必须恢复活动目录。 ( 2)如果服务器发生故障,借助于备份文件恢复。 ( 3)利用备份的数据,快速安装新的额外的域外控制器。
4.4 活动目录的管理
OU是组织单元,在活动目录( Active Directory, AD )中扮演特殊的角色,它是一个当普通边界不能满足要求时创建的边界。 OU 把域中的对象组织成逻辑管理组, 而不是安全组或代表地理实体的组。OU是可以应用组策略和委派责任的最小单位。
4.4.1 在活动目录中使用 OU
组织单元是包含在活动目录中的容器对象。创建组织单元的目的是对活动目录对象进行分类。
1 .组织单元
创建组织单元有如下好处: ( 1)可以分类组织对象,使所有对象结构更清晰。 ( 2)可以对某些对象配置组策略,实现对这些对象的管理和控制。 ( 3)可以委派管理控制权,如管理员可以给不同部门的网络主管授权 ,让他们管理本部门的账号。
●谨慎添加 OU:只在必要的时候才添加 OU,不要建太多的 OU, 建议不要为个别用户创建 OU。● 保持层次简单:不要一开始就创建多层OU,也不要使 OU的层次太深。● OU与组的区别:真正的差别在于安全模型 -组策略与权限。
2 .使用 OU 注意要点
( 1)在左窗格中右击该 OU的父对象。如果是第一个 OU,域将是父对象。 ( 2)从快捷菜单中选择“新建”→“组织单位”,打开“新建对象 -组织单位”对话框。 ( 3)为新 OU输入名称。 ( 4)单击“确定”完成 OU创建。
3 .使用 OU 的步骤
( 1)在左窗格中右击 OU对象,并从快捷菜单中选择“委派控制”。打开“控制委派向导”,单击“下一步” ( 2)单击“添加”打开“选择用户、计算机或组” 对话框。使用对话框中的选项选择委派对象的对象类型 和位置。
4.4.2 委派 OU的管理
1 .操作步骤
( 3)在接下来的窗口中,选择想要委派的任务。
( 1)在“ Active Directory用户和计算机”的菜单栏中选择“查看”→“高级功能”。
( 2)启用了“高级功能”之后,右击某个 OU,选择“属性”,就可以看见“安全”选项卡了。
2. 查看 OU 的安全属性
1.信任关系 信任关系是网络中不同域之间的一种内在联系。
4.4.3 活动目录域和信任关系
2.域林中的信任 子域和父域的双向、可传递的信任关系是在安装域控制器时就自动建立的,同时由于域林中的信任关系是可传递的,因此同一域林中的所有域都显式或者隐式地相互信任。3.创建新的信任关系
1.信任关系 信任关系是网络中不同域之间的一种内在联系。2.域林中的信任 子域和父域的双向、可传递的信任关系是在安装域控制器时就自动建立的,同时由于域林中的信任关系是可传递的,因此同一域林中的所有域都显式或者隐式地相互信任。3.创建新的信任关系
1.信任关系 信任关系是网络中不同域之间的一种内在联系。2.域林中的信任 子域和父域的双向、可传递的信任关系是在安装域控制器时就自动建立的,同时由于域林中的信任关系是可传递的,因此同一域林中的所有域都显式或者隐式地相互信任。3.创建新的信任关系
1.信任关系 信任关系是网络中不同域之间的一种内在联系。
2.域林中的信任 子域和父域的双向、可传递的信任关系是在安装域控制器时就自动建立的,同时由于域林中的信任关系是可传递的,因此同一域林中的所有域都显式或者隐式地相互信任。
3.创建新的信任关系
3.创建新的信任关系
Smile.com China.long.com
信任域
传出信任
被信任域
传入信任
3.创建新的信任关系
3.创建新的信任关系
3.创建新的信任关系
3.创建新的信任关系
3.创建新的信任关系
3.创建新的信任关系
活动目录站点复制服务,就是将同一 Active Directory 站点的数据内容,保存在网络中不同的位置,以便于所有用户的快速调用,同时还可以起到备份的目的。
4.4.4 活动目录站点复制服务
1.站点间的复制 2.站点内的复制
3.管理复制