任務(wù)1安裝并驗證域服務(wù)

任務(wù)2安裝并驗證額外域控制器

任務(wù)3創(chuàng)建子域控制器

任務(wù)4域的應(yīng)用項目背景小趙是某公司的網(wǎng)絡(luò)管理員，剛開始管理公司的20臺計算機(jī)，用的是工作組管理模式，其網(wǎng)絡(luò)配置很輕松，幾乎不用管理。哪臺計算機(jī)有問題，就去哪臺計算機(jī)上解決，工作強(qiáng)度也不是很大。但由于公司近年快速發(fā)展，規(guī)模不斷擴(kuò)大，員工增加至幾百人，網(wǎng)絡(luò)中計算機(jī)增到500臺。小趙仍然采用同樣的管理方式，每天都很忙碌，從早到晚一直在解決網(wǎng)絡(luò)中用戶的計算機(jī)故障問題，經(jīng)常晚上加班，但問題總是解決不了。這是因為傳統(tǒng)工作組的管理模式采用的是分散管理的方式，只適用于小規(guī)模的網(wǎng)絡(luò)管理，當(dāng)網(wǎng)絡(luò)中有上百臺計算機(jī)時，就需要一種更加高效的網(wǎng)絡(luò)管理方式。WindowsServer2019提供的域管理模式不僅可以很好地實現(xiàn)集中管理計算機(jī)和用戶賬戶，還可以解決其他網(wǎng)絡(luò)資源的問題。小趙可以通過域管理模式很方便地實現(xiàn)對內(nèi)網(wǎng)中的所有計算機(jī)、用戶賬號、共享資源、安全策略的集中管理，從而實現(xiàn)更加高效的網(wǎng)絡(luò)管理。通過查詢資料，小趙得知搭建域控制器的基本步驟如下：(1)添加域服務(wù)器角色。(2)將該服務(wù)器提升為域控制器。(3)將客戶端加入該域，并使用域中的資源。任務(wù)1安裝并驗證域服務(wù)網(wǎng)絡(luò)管理員小趙需要在WindowsServer2019服務(wù)器上通過添加角色和功能向?qū)нM(jìn)行域服務(wù)器角色的安裝，在安裝過程中可以創(chuàng)建公司的主域名，并設(shè)置該服務(wù)器的IP地址為0，主機(jī)名為server01?；顒幽夸浭敲嫦騑indowsServer網(wǎng)絡(luò)操作系統(tǒng)的非常重要的目錄服務(wù)，目錄服務(wù)有兩方面的內(nèi)容，即目錄、與目錄相關(guān)的服務(wù)。活動目錄服務(wù)是WindowsServer2019的核心組件之一，為用戶管理網(wǎng)絡(luò)環(huán)境各個組成要素的標(biāo)識和關(guān)系提供了一種有力的手段。一、活動目錄活動目錄存儲了有關(guān)網(wǎng)絡(luò)對象的信息，包括用戶賬戶、組、計算機(jī)、打印機(jī)和共享資源等信息?；顒幽夸浭且环N服務(wù)，而目錄數(shù)據(jù)庫所存儲的信息都是經(jīng)過事先整理的有組織、結(jié)構(gòu)化的數(shù)據(jù)信息，使用戶可以非常方便、快速地找到所需的數(shù)據(jù)，也可以非常方便地對活動目錄中的數(shù)據(jù)進(jìn)行添加、刪除、修改、查詢等操作?；顒幽夸浘哂幸韵绿攸c。(一)集中管理圖書目錄存放了圖書館的圖書信息，以便對其進(jìn)行管理，類似圖書館的圖書目錄，活動目錄集中組織和管理網(wǎng)絡(luò)中的資源信息，用戶只需通過活動目錄，即可方便地管理各種網(wǎng)絡(luò)資源。(二)便捷的網(wǎng)絡(luò)資源訪問活動目錄允許用戶在第一次登錄網(wǎng)絡(luò)時就可以訪問網(wǎng)絡(luò)中的所有該用戶有權(quán)限訪問的資源，而且用戶在訪問網(wǎng)絡(luò)資源時無須知道資源所在的物理位置，就可以快速找到資源。(三)可擴(kuò)展性活動目錄具有強(qiáng)大的可擴(kuò)展性，可以隨著公司或組織規(guī)模的增長而擴(kuò)展，從一個網(wǎng)絡(luò)對象較少的小型網(wǎng)絡(luò)環(huán)境發(fā)展成大型網(wǎng)絡(luò)環(huán)境。二、活動目錄的邏輯結(jié)構(gòu)域是活動目錄的核心邏輯單元，是共享同一活動目錄的一組計算機(jī)的集合，從安全管理的角度來說，域是安全的邊界。域樹是由一組具有連續(xù)命名空間的域所組成的，域通過自動建立的信任關(guān)系連接在一起。域林是由一棵或多棵域樹組成的，每棵域樹獨享連續(xù)的命名空間，不同域樹之間沒有命名空間的連續(xù)性，域林中第一個創(chuàng)建的域被稱為域林根域。對象是通過屬性來描述其特征的，也就是對象本身是一些屬性的集合。例如，用戶是對象，需要為用戶建立一個賬號，并在此對象內(nèi)輸入相應(yīng)的姓名、密碼和描述信息等。其中的用戶賬號就是對象，而姓名、密碼和描述信息等就是該對象的屬性。組織單位(OU)是組織也是管理一個域內(nèi)對象的容器，包容用戶賬戶、用戶組、計算機(jī)、打印機(jī)和其他的組織單位層次結(jié)構(gòu)。站點由一個或多個IP子網(wǎng)組成，這些子網(wǎng)通過高速網(wǎng)絡(luò)設(shè)備連接在一起。站點往往由企業(yè)的物理位置分布情況來決定，可以依據(jù)站點結(jié)構(gòu)配置活動目錄的訪問和復(fù)制拓?fù)潢P(guān)系，使網(wǎng)絡(luò)更有效地連接，并使復(fù)制策略更合理、用戶登錄更快捷?；顒幽夸浿械恼军c與域是兩個完全獨立的概念，一個站點中可以有多個域，多個站點也可以位于同一個域中?；顒幽夸浾军c和服務(wù)通過使用站點提高大多數(shù)配置目錄服務(wù)的效率，使用活動目錄站點和服務(wù)來發(fā)布站點，并提供有關(guān)網(wǎng)絡(luò)物理結(jié)構(gòu)的信息，從而確定如何復(fù)制目錄信息和處理服務(wù)的請求。計算機(jī)站點是根據(jù)其子網(wǎng)和一組已連接子網(wǎng)的位置指定的，子網(wǎng)用來為網(wǎng)絡(luò)分組，類似于生活中使用郵政編碼來劃分地址。劃分子網(wǎng)可方便地發(fā)送有關(guān)網(wǎng)絡(luò)與目錄連接的物理信息，且同一子網(wǎng)中計算機(jī)的連接情況通常優(yōu)于不同網(wǎng)絡(luò)中計算機(jī)的連接情況?；顒幽夸浻蚍?wù)中的域和林功能，提供了一種可以在網(wǎng)絡(luò)環(huán)境中啟用全域或全林活動目錄功能的方法。不同的網(wǎng)絡(luò)環(huán)境，則有不同級別的域功能和林功能。三、活動目錄的物理結(jié)構(gòu)活動目錄的物理結(jié)構(gòu)的作用是側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化，物理結(jié)構(gòu)的三個重要概念是域控制器、只讀域控制器和全局編錄服務(wù)器。(一)域控制器域控制器是指安裝了活動目錄的WindowsServer2019服務(wù)器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個域中的其他域控制器上，使各個域控制器上的目錄信息同步。域控制器負(fù)責(zé)用戶的登錄以及其他與域有關(guān)的操作，如身份鑒定、目錄信息查找等。一個域可以有多個域控制器。域控制器沒有主次之分，采用主機(jī)復(fù)制模式，每一個域控制器都有一個可寫入的目錄副本，這為目錄信息容錯帶來了無盡的好處。盡管在某個時刻，不同的域控制器中的目錄信息可能有所不同，但一旦活動目錄中的所有域控制器執(zhí)行同步操作，所有的變化就會同步一致。(二)只讀域控制器只讀域控制器的ADDS數(shù)據(jù)庫只可以被讀取，不可以被修改，也就是說，用戶或應(yīng)用程序無法直接修改只讀域控制器的ADDS數(shù)據(jù)庫。只讀域控制器的ADDS數(shù)據(jù)庫的內(nèi)容只能夠從其他可讀寫的域控制器中復(fù)制。只讀域控制器主要設(shè)計給遠(yuǎn)程分公司的網(wǎng)絡(luò)使用，因為一般來說，遠(yuǎn)程分公司的網(wǎng)絡(luò)規(guī)模比較小、用戶人數(shù)比較少，相關(guān)的安全措施或許并不如總公司完備，也可能缺乏IT人員，因此采用只讀域控制器可避免因其ADDS數(shù)據(jù)庫被破壞而影響整個ADDS環(huán)境。(三)全局編錄服務(wù)器盡管活動目錄支持多主機(jī)復(fù)制模式，但由于復(fù)制會引起通信流量以及網(wǎng)絡(luò)潛在的沖突，變化的傳播并不一定能夠順利進(jìn)行，因此有必要在域控制器中指定全局編錄服務(wù)器及操作主機(jī)。全局編錄是一個信息倉庫，包含活動目錄中所有對象的部分屬性查詢過程中訪問最頻繁的屬性。利用這些信息，可以定位任何一個對象實際所在的位置。全局編錄服務(wù)器是一個域控制器，它保存了全局編錄的一個副本，并執(zhí)行對全局編錄的查詢操作。全局編錄服務(wù)器可以提高活動目錄中大范圍內(nèi)檢索對象的效率。例如，在域林中查詢所有的打印機(jī)操作時，如果沒有全局編錄服務(wù)器，那么必須調(diào)動域林中每一個域的查詢過程。如果域中只有一個域控制器，那么它就是全局編錄服務(wù)器；如果域林中有多個域控制器，那么管理員必須把其中一個域控制器配置為全局編錄服務(wù)器。四、工作組模式與域模式企業(yè)網(wǎng)絡(luò)中，計算機(jī)管理模式有兩種，即工作組模式與域模式，它們的區(qū)別與聯(lián)系如下所述。(一)工作組模式工作組(workgroup)是最常見、最簡單、最普通的資源管理模式，就是將不同的計算機(jī)按功能分別列入不同的組中，以方便管理。工作組中的每臺計算機(jī)的地位都是平等的。將計算機(jī)加入工作組的方法很簡單，以Windows10為例，在桌面上選擇“此電腦”圖標(biāo)并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，在“計算機(jī)名、域和工作組設(shè)置”選項組中，點擊“更改設(shè)置”鏈接，隨后彈出“系統(tǒng)屬性”對話框，在“系統(tǒng)屬性”對話框中點擊“更改”按鈕，隨后彈出“計算機(jī)名/域更改”對話框，點擊“工作組”單選按鈕，輸入要加入的工作組名稱，如圖3-1所示，點擊“確定”按鈕，按要求重新啟動計算機(jī)后，計算機(jī)即被加入工作組。(二)域模式域是安全邊界的界定，用于劃分一個相互信任的區(qū)域。在域模式下，至少有一臺服務(wù)器負(fù)責(zé)接入網(wǎng)絡(luò)的每一臺計算機(jī)和每一個用戶的驗證工作，這臺服務(wù)器被稱為域控制器。域控制器上存儲了有關(guān)網(wǎng)絡(luò)對象的信息，這些對象包括用戶、用戶組、計算機(jī)、域、組織單位、文件、打印機(jī)、應(yīng)用程序、服務(wù)器及安全策略等，這些信息由域控制器統(tǒng)一集中管理。當(dāng)計算機(jī)接入網(wǎng)絡(luò)時，域控制器首先要驗證這臺計算機(jī)是否屬于這個域、用戶使用的登錄賬號是否存在及密碼是否匹配。如果以上信息有一項不正確，則域控制器會拒絕這個用戶從這臺計算機(jī)登錄。如果不能登錄，則用戶不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)中的資源。如果用戶能夠成功登錄域，則域控制器會將配置好的權(quán)限授予用戶，用戶可以在合法權(quán)限范圍內(nèi)訪問域內(nèi)的資源。在工作組模式下，計算機(jī)處于獨立狀態(tài)，登錄用戶賬號和管理計算機(jī)均須在每臺計算機(jī)上進(jìn)行，當(dāng)計算機(jī)超過20臺時，對其的管理將變得困難，并且需要為用戶創(chuàng)建更多的訪問網(wǎng)絡(luò)資源的賬號，用戶要記住多個訪問不同資源的賬號。而在域模式下，用戶只需記住一個域賬號，即可登錄并訪問域中的資源。此外，管理員通過組策略可以輕松配置用戶的桌面工作環(huán)境和加強(qiáng)計算機(jī)的安全設(shè)置，域模式下所有的域賬號信息都保存在域控制器的活動目錄數(shù)據(jù)庫中。活動目錄協(xié)助中大型組織為用戶提供可靠的工作環(huán)境和最高層的可靠性和效能，并提供安全的環(huán)境讓IT人員可以更容易工作。使用活動目錄是因為有許多應(yīng)用程序和服務(wù)使用不同的用戶名和密碼，并且還要由每個應(yīng)用程序來單獨管理。例如，在Windows中，網(wǎng)絡(luò)、郵箱、遠(yuǎn)程訪問、業(yè)務(wù)系統(tǒng)等都有自己的用戶名和密碼。使用活動目錄之后，系統(tǒng)管理員可以將用戶加入活動目錄域，使用同一目錄進(jìn)行單點登錄。一旦用戶登錄Windows，其域的用戶名和密碼就是鑰匙，可自動解鎖所有已啟用的應(yīng)用程序或服務(wù)，包括Windows融合式驗證的第三方應(yīng)用程序。通過建立用戶賬號、郵箱和應(yīng)用程序之間的鏈接，活動目錄簡化了新增、修改和刪除用戶賬號的工作。當(dāng)員工離職或信息發(fā)生改變時，在活動目錄中做一次變更即可變更所有應(yīng)用程序和服務(wù)的相關(guān)信息；當(dāng)用戶在活動目錄中變更其密碼時，不必記住其他應(yīng)用程序的不同密碼；當(dāng)建立用戶群組后，用戶發(fā)送電子郵件給該組即可將電子郵件傳送到該組中所有的用戶；系統(tǒng)管理員根據(jù)所創(chuàng)建的組名設(shè)置不同的權(quán)限，允許對資源的安全存取?；顒幽夸浗y(tǒng)一管理帶來的好處還體現(xiàn)在以下幾方面。(1)提高員工工作效率，增加產(chǎn)能。IT管理人員不需到每個客戶端上進(jìn)行操作，用戶不用中斷工作。(2)減輕IT系統(tǒng)管理的負(fù)擔(dān)。IT管理人員不需要花費時間到每臺計算機(jī)上安裝軟件或更新軟件，可以使用組策略進(jìn)行批量更新。(3)改善容量以便將停機(jī)概率降到最低，加強(qiáng)安全性管理；對密碼策略、軟件配置、安全設(shè)置進(jìn)行統(tǒng)一管理，提高系統(tǒng)安全性。(三)工作組模式和域模式的對比工作組模式和域模式的對比，如表3-1所示。在安裝域服務(wù)器之前應(yīng)該先進(jìn)行規(guī)劃，明確IP地址的分配方案。例如，在此任務(wù)中，主域名為，IP地址為0，主機(jī)名為server0l。用于驗證的客戶機(jī)的IP地址為0，主機(jī)名為win10。一、活動目錄安裝先安裝WindowsServer2019服務(wù)器的活動目錄，再將其升級為域控制器并建立域，相關(guān)操作如下：(1)在桌面上選擇“此電腦”圖標(biāo)并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“管理”命令，打開“服務(wù)器管理器”窗口，如圖3-2所示，在窗口右上角選擇“管理”“添加角色和功能”命令，然后打開“添加角色和功能向?qū)А贝翱?，如圖3-3所示。(2)點擊“下一步”按鈕，進(jìn)入“選擇安裝類型”界面，如圖3-4所示，點擊“基于角色或基于功能的安裝”選項按鈕，通過添加角色、角色服務(wù)或功能來配置單個服務(wù)器，單擊“下一步”按鈕，進(jìn)入“選擇目標(biāo)服務(wù)器”界面，如圖3-5所示。(3)點擊“從服務(wù)器池中選擇服務(wù)器”選項按鈕，在服務(wù)器池中選擇相應(yīng)的服務(wù)器，點擊“下一步”按鈕，進(jìn)入“選擇服務(wù)器角色”界面，如圖3-6所示，選擇需要安裝在所選服務(wù)器上的一個或多個角色，在“服務(wù)器角色”列表框中勾選“ActiveDirectory域服務(wù)”復(fù)選框。(4)點擊“下一步”按鈕，進(jìn)入“選擇功能”界面，如圖3-7所示。繼續(xù)點擊“下一步”按鈕進(jìn)入“ActiveDirectory域服務(wù)”界面，如圖3-8所示。(5)點擊“下一步”按鈕，進(jìn)入“確認(rèn)安裝所選內(nèi)容”界面，如圖3-9所示，點擊“安裝”按鈕，進(jìn)入“安裝進(jìn)度”界面，如圖3-10所示。(6)安裝完成后，點擊“關(guān)閉”按鈕，返回“服務(wù)器管理器”窗口，進(jìn)入“服務(wù)器管理器ADDS”界面，如圖3-11所示。選擇該界面右上角的“更多”選項，打開“所有服務(wù)器任務(wù)詳細(xì)信息”窗口，如圖3-12所示。(7)點擊“通知”列下的“將此服務(wù)器提升為域控制器”鏈接，打開“ActiveDirectory域服務(wù)配置向?qū)А贝翱?，如圖3-13所示，在“部署配置”界面中，點擊“添加新林”選項按鈕，在“指定此操作的域信息”選項組中，設(shè)置“根域名”為，點擊“下一步”按鈕，進(jìn)入“域控制器選項”界面，如圖3-14所示。(8)選擇新林和根域的功能級別。設(shè)置不同的域功能級別主要是為了兼容不同平臺的網(wǎng)絡(luò)用戶和子域控制器，在此只能設(shè)置為“WindowsServer2016”版本的域控制器。指定域控制器功能并輸入目錄服務(wù)還原模式密碼，點擊“下一步”按鈕，進(jìn)入“DNS選項”界面，如圖3-15所示，點擊“下一步”按鈕，進(jìn)入“其他選項”界面，如圖3-16所示。(9)在“其他選項”界面中，輸入NetBIOS域名，點擊“下一步”按鈕，進(jìn)入“路徑”界面，如圖3-17所示，指定ADDS數(shù)據(jù)庫、日志文件和SYSVOL的位置，點擊“下一步”按鈕，進(jìn)入“查看選項”界面，如圖3-18所示。(10)檢查設(shè)置的相關(guān)信息，點擊“下一步”按鈕，進(jìn)入“先決條件檢查”界面，如圖3-19所示，查看相關(guān)結(jié)果，點擊“安裝”按鈕，完成ActiveDirectory域服務(wù)配置。二、驗證ADDS的安裝ADDS安裝完成后，可以在域控制器server01上進(jìn)行以下幾個方面的驗證。(1)?WindowsServer2019服務(wù)器啟動時，可以看登錄界面的用戶名是否變?yōu)锳BC\Administrator，如圖3-20所示。(2)進(jìn)入操作系統(tǒng)桌面，在“開始”菜單中選擇“Windows管理工具”命令，可以查看“ActiveDirectory管理中心”“ActiveDirectory用戶和計算機(jī)”“ActiveDirectory域和信任關(guān)系”“ActiveDirectory站點和服務(wù)”，如圖3-21所示。(3)在操作系統(tǒng)桌面上選擇“此電腦”圖標(biāo)并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，打開“系統(tǒng)”窗口，在“計算機(jī)名、域和工作組設(shè)置”選項中，可以看到計算機(jī)全名為server01.abc.oom、域為abc.oom如圖3-22所示。(4)在操作系統(tǒng)桌面上選擇“此電腦”圖標(biāo)并單擊鼠標(biāo)右鍵，在彈出的快速菜單中選擇“管理”命令，打開“服務(wù)器管理器”窗口，選擇“ADDS”選項，可以查看服務(wù)器管理器ADDS的相關(guān)信息，如圖3-23所示。三、將客戶端加入活動目錄當(dāng)網(wǎng)絡(luò)中的第一臺域控制器創(chuàng)建完成后，對應(yīng)服務(wù)器將扮演域控制器的角色，而其他主機(jī)需要加入活動目錄作為域內(nèi)成員接受域控制器的集中管理。將客戶端加入活動目錄可以通過在客戶端上手動配置或者使用腳本文件來完成。為了便于活動目錄對客戶端進(jìn)行統(tǒng)一管理，需要配置客戶端處于域模式下。下面以Windows10客戶端(0/24)加入域(0/24)為例開始實施過程。(1)配置Windows10客戶端的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址、DNS服務(wù)器的IP地址等相關(guān)信息，如圖3-24所示，測試客戶端與域控制器的連通性，如圖3-25所示。(2)將客戶端(WIN10-user01)加入域中。在客戶端桌面上選擇“此電腦”圖標(biāo)并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，點擊“重命名這臺電腦”鏈接，彈出“計算機(jī)名/域更改”對話框，在“隸屬于”選項組中，輸入該客戶端所要加入的域名()，如圖3-26所示。(3)點擊“確定”按鈕，彈出“Windows安全中心”對話框，如圖3-27所示，輸入有權(quán)限加入該域的用戶名稱和密碼(WindowsServer2019域的用戶和密碼)，點擊“確定”按鈕，彈出“歡迎加入域?！钡奶崾緦υ捒颍鐖D3-28所示。(4)點擊“確定”按鈕后系統(tǒng)將重新啟動，啟動完畢后會發(fā)現(xiàn)系統(tǒng)登錄界面發(fā)生了變化，即進(jìn)入域模式登錄界面，如圖3-29所示。選擇“其他用戶”選項進(jìn)行登錄，系統(tǒng)登錄后，再次打開“系統(tǒng)屬性”對話框，可以看到該計算機(jī)已經(jīng)處于域模式，如圖3-30所示。(5)在WindowsServer2019域控制器上通過“ActiveDirectory用戶和計算機(jī)”窗口的Computers文件夾也能查到客戶端(CLIENT)已經(jīng)加入域中，如圖3-31所示。在域服務(wù)器角色的安裝過程中，如果遇到問題，則需要刪除域控制器，重新進(jìn)行安裝。將域控制器降為普通服務(wù)器有兩個入口，下面介紹其中一個入口。(1)選擇“管理”→“刪除角色和功能”選項，如圖3-32所示，打開“刪除角色和功能向?qū)А贝翱冢∠催x“ActiveDirectory域服務(wù)”復(fù)選框，點擊“下一步”按鈕，在打開的對話框中點擊“刪除功能”按鈕，并在打開的對話框中點擊“將此域控制器降級”鏈接，如圖3-33所示，然后根據(jù)向?qū)崾具M(jìn)行降級操作即可。(2)按如圖3-34～圖3-38所示的向?qū)崾具M(jìn)行降級操作。(3)重啟服務(wù)器后，降級操作成功。注意：如果域控制器可以聯(lián)系其他域控制器，則不要勾選“強(qiáng)制刪除此域控制器”復(fù)選框，目前還沒有任何合理的方法可解決這種網(wǎng)絡(luò)問題。強(qiáng)制降級會將ActiveDirectory域中已丟棄的元數(shù)據(jù)保留在林中的其余域控制器上。此外，該域控制器上所有未復(fù)制的更改(如密碼或新用戶)都將永久丟失。如果強(qiáng)制降級域控制器，則用戶必須立即手動執(zhí)行原數(shù)據(jù)的清理操作。任務(wù)2安裝并驗證額外域控制器隨著公司業(yè)務(wù)的增加，一臺域控制器已經(jīng)不能滿足需求，同時一臺服務(wù)器也容易產(chǎn)生單點故障，所以增加一臺額外域控制器成了管理員必須要做的事情。一、額外域控制器在域環(huán)境中，DC是網(wǎng)絡(luò)核心，每個域用戶登錄系統(tǒng)時都要到域控制器的活動目錄中進(jìn)行身份驗證，如果單DC出問題則整個網(wǎng)絡(luò)就將崩潰。所以為了避免這種情況，在生產(chǎn)環(huán)境中，通常都要在網(wǎng)絡(luò)中再部署第二臺甚至是更多臺域控制器，這些域控制器被稱為是額外域控制器。二、額外域控制器的好處一個域內(nèi)如果有多臺域控制器的話，便可以擁有以下優(yōu)勢：(1)改善用戶登錄的效率，同時有多臺域控制器對客戶端提供服務(wù)可以分擔(dān)審核用戶登錄身份的負(fù)擔(dān)，讓用戶登錄的效率更高。(2)具有容錯功能，如果有域控制器發(fā)生故障的話，此時仍然可以由其他正常的域控制器來繼續(xù)提供服務(wù)，因此對用戶的服務(wù)并不會停止。(3)使用域控制器可以起到負(fù)載平衡的作用，在網(wǎng)絡(luò)訪問量大時可以實現(xiàn)分流，減輕網(wǎng)絡(luò)負(fù)擔(dān)，提高網(wǎng)絡(luò)的利用率。三、域控制器提供的復(fù)制活動目錄數(shù)據(jù)庫的方式安裝額外域控制器時，需要將域服務(wù)數(shù)據(jù)庫從現(xiàn)有的域控制器復(fù)制到新的域控制器中。然而，若數(shù)據(jù)庫的數(shù)據(jù)量非常龐大，則這個復(fù)制操作勢必會增加網(wǎng)絡(luò)負(fù)擔(dān)，尤其是新域控制器位于遠(yuǎn)程網(wǎng)絡(luò)內(nèi)時。系統(tǒng)提供了以下兩種復(fù)制域服務(wù)數(shù)據(jù)庫的方式。(1)通過網(wǎng)絡(luò)復(fù)制，這個也是最常用的方式。如果活動目錄數(shù)據(jù)內(nèi)容較多，建議復(fù)制時避開工作時間，以免影響網(wǎng)絡(luò)效率。(2)通過安裝介質(zhì)，先從域控制器內(nèi)容制作安裝介質(zhì)，再恢復(fù)到新建的額外域控制器。四、安裝額外域控制器的注意事項(1)操作系統(tǒng)版本必須受當(dāng)前域功能級別的支持以及擁有域管理員權(quán)限。(2)計算機(jī)TCP/IP參數(shù)配置正確。(3)確保計算機(jī)和第一臺域控制器之間互相通信，都關(guān)閉防火墻。(4)確保該計算機(jī)能夠通過DNS解析要加入域的域名。在一個安裝了WindowsServer2019系統(tǒng)的組成域中可以有多個地位平等的域控制器，它們都有所屬域的活動目錄的副本。多個域控制器不僅可以分擔(dān)用戶登錄時的驗證任務(wù)，還能防止因單一域控制器的失敗而導(dǎo)致的網(wǎng)絡(luò)癱瘓問題。當(dāng)在域中的某一個域控制器上添加用戶時，域控制器會把活動目錄的變化復(fù)制到域中其他域控制器上。在域中安裝額外的域控制器，也需要把活動目錄從原有的域控制器復(fù)制到新的服務(wù)器上。下面以server02服務(wù)器為例說明如何通過網(wǎng)絡(luò)復(fù)制的方式安裝額外域控制器。一、準(zhǔn)備階段(1)在server02上安裝WindowsServer2019，計算機(jī)名設(shè)置為server02，在升級為額外域控制器后，計算機(jī)名會自動更改為，其中為域名。(2)將計算機(jī)的IP地址修改為1/24，DNS服務(wù)器地址為0。二、安裝ActiveDirectory域服務(wù)(1)通過“開始”菜單打開“服務(wù)器管理器”窗口，點擊“添加角色和功能”鏈接或選擇“管理”→“添加角色和功能”選項，打開“添加角色和功能向?qū)А贝翱?。在“開始之前”界面中，點擊“下一步”按鈕。(2)在“選擇安裝類型”界面中，選中“基于角色或基于功能的安裝”選項按鈕，點擊“下一步”按鈕。(3)在“選擇目標(biāo)服務(wù)器”界面中，選中“從服務(wù)器池中選擇服務(wù)器”選項按鈕，選擇當(dāng)前服務(wù)器，本例為“server02”，點擊“下一步”按鈕。(4)在“選擇服務(wù)器角色”界面中，勾選“ActiveDirectory域服務(wù)”復(fù)選框，在彈出的“添加ActiveDirectory域服務(wù)所需的功能?”對話框中點擊“添加功能”按鈕。返回“選擇服務(wù)器角色”界面，點擊“下一步”按鈕。(5)在“選擇功能”界面中，選擇要添加的功能，點擊“下一步”按鈕。(6)在“ActiveDirectory域服務(wù)”界面中，點擊“下一步”按鈕。(7)在“DNS服務(wù)器”界面中，點擊“下一步”按鈕。(8)在“確認(rèn)安裝所選內(nèi)容”界面中，點擊“安裝”按鈕。(9)安裝完成后，在“安裝進(jìn)度”界面中，點擊“將此服務(wù)器提升為域控制器”文字鏈接，如圖3-39所示。(10)在“ActiveDirectory域服務(wù)配置向?qū)А贝翱诘摹安渴鹋渲谩苯缑嬷校x中“將域控制器添加到現(xiàn)有域”選項按鈕，在“域”文本框中輸入“”，如圖3-40所示。點擊“更改”按鈕，打開“Windows安全中心”對話框，輸入有權(quán)限添加域控制器的賬戶(abc\administrator)與密碼，點擊“確定”按鈕，如圖3-41所示。關(guān)閉“Windows安全中心”對話框，點擊“下一步”按鈕，如圖3-42所示。(11)在“域控制器選項”界面中，采用默認(rèn)設(shè)置，輸入兩遍目錄服務(wù)還原模式的密碼，點擊“下一步”按鈕，如圖3-43所示。(12)在“DNS選項”界面中，點擊“下一步”按鈕，如圖3-44所示。(13)在“其他選項”界面中，將“復(fù)制自”設(shè)置為，點擊“下一步”按鈕，如圖3-45所示。(14)隨后的步驟和創(chuàng)建域林中域控制器的步驟一樣，這里不再詳述。最后點擊“確定”按鈕，安裝向?qū)脑械挠蚩刂破魃祥_始復(fù)制活動目錄。安裝完成后，需要重新啟動計算機(jī)。三、查看域控制器(1)在“服務(wù)器管理器”窗口中，選擇“工具”→“ActiveDirectory用戶和計算機(jī)”命令。(2)在“ActiveDirectory用戶和計算機(jī)”窗口中，依次選擇“”→“DomainControllers”(域控制器)選項，可以看到服務(wù)器“server02”的角色已經(jīng)成功升級為域控制器，如圖3-46所示。任務(wù)3創(chuàng)建子域控制器因公司業(yè)務(wù)擴(kuò)展需求，要在廣州設(shè)立子公司。為了實現(xiàn)子公司資源的統(tǒng)一管理，公司決定在廣州子公司部署子域，從而實現(xiàn)父域子域之間的相互通信，因此公司還針對子公司做了以下要求：(1)控制器名稱為server03gz。(2)域名為。(3)域的簡稱為gz。(4)域控制器IP為2。一、父域計算機(jī)網(wǎng)絡(luò)中的父域是指一個域名系統(tǒng)中的最高層級域名，也稱為根域名。它是整個域名系統(tǒng)的起點，所有的域名都是從這里開始分支出來的。父域名是由一個點(.)表示的，因此它也被稱為“點域名”。父域名的作用非常重要，它是整個域名系統(tǒng)的基礎(chǔ)。所有的域名都必須以父域名作為起點，才能在域名系統(tǒng)中被正確地定位。在域名系統(tǒng)中，父域名是最高級別的域名，沒有任何其他域名能夠超越它。因此，父域名的穩(wěn)定性和安全性對整個域名系統(tǒng)的運行都有著至關(guān)重要的影響。二、子域子域是相對父域來說的，指域名中的每一個段。各子域之間用小數(shù)點分隔開。放在域名最后的子域稱為最高級子域，或稱為一級域，在它前面的子域稱為二級域。例如：父域為，則子域為。三、創(chuàng)建子域的理由(1)獨立經(jīng)營子公司。(2)需要獨立運營的部門或機(jī)構(gòu)。(3)出于安全的考慮。四、新建子域的優(yōu)勢(1)可以采取不同于父域的管理方式。(2)有利于自身資源的安全管理。五、父域與子域的關(guān)系子域會保存很多信息，但每個子域的信息不盡相同，父域可以包含很多子域，而且父域可以包含更多的信息。當(dāng)子域無法提供其下的終端的需求時，他會向父域發(fā)出求助以獲得父域的資源共享或者通過父域獲取其他子域的幫助。六、信任關(guān)系信任關(guān)系有方向區(qū)分，A信任B，則B可以訪問A的資源和服務(wù)，只有當(dāng)A和B之間雙向信任時，兩者之間才能相互訪問；信任關(guān)系具有可傳遞性，A信任B，B信任C，則A信任C。按照作用范圍信任關(guān)系分為以下兩種：1.林中信任林中信任關(guān)系分為父子信任和樹根信任。父子信任是指同一個樹域中父域和子域之間建立的可傳遞的信任關(guān)系；樹根信任是指同一個林域中樹根域之間的可傳遞的信任關(guān)系。林中信任是無條件雙向信任，在域建立時即存在，且不可刪除。2.林間信任林間信任關(guān)系分為外部信任和林信任。外部信任是指不同林的域之間建立的不可傳遞的信任關(guān)系；林信任是指多個林的林根域之間建立的可傳遞的信任關(guān)系。因為域林中林根域和林中其他域之間是無條件雙向信任，所以林間信任建立后相應(yīng)的信任關(guān)系也會傳遞到林中的域之間。林間信任需要自己創(chuàng)建。注意：(1)信任關(guān)系在域之間建立了一種資源訪問的可能性，而非必然性，訪問資源的前提是對方已經(jīng)分配了可供訪問的資源。(2)建立林間信任關(guān)系首先要創(chuàng)建DNS正向解析，使得受信域的FQDN能夠被信任域解析。創(chuàng)建子域之前，需要設(shè)置域中父域控制器和子域控制器的TCP/IP屬性，手動指定其IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器的IP地址等相關(guān)信息，父域域名為，子域域名為。父域的域控制器主機(jī)名為server01，其本身也是DNS服務(wù)器，IP地址為0/24。子域的域控制器主機(jī)名為server03，其本身也是DNS服務(wù)器，IP地址為2/24。一、創(chuàng)建子域DC1(1)在計算機(jī)server03上安裝ADDS，使其成為子域“”中的域控制器，設(shè)置計算機(jī)的名稱為server03，如圖3-47所示。配置計算機(jī)的IP地址等相關(guān)信息，如圖3-48所示。(2)在桌面選擇“此電腦”圖標(biāo)并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“管理”命令，打開“服務(wù)器管理器”窗口，在該窗口右上角選擇“管理”→“添加角色和功能”命令，打開“添加角色和功能向?qū)А贝翱?，安裝ADDS。當(dāng)進(jìn)入“部署配置”界面時，點擊“將新域添加到現(xiàn)有林”選項按鈕，彈出“Windows安全中心”對話框，在其中輸入有權(quán)限的用戶名administrator及其密碼，如圖3-49所示。(3)點擊“確定”按鈕，返回“部署配置”界面，選擇或輸入父域名abc，輸入新域名gz(注意，不是)，如圖3-50所示。(4)點擊“下一步”按鈕，進(jìn)入“域控制器選項”界面，如圖3-51所示，在“指定域控制器功能和站點信息”選項組中，默認(rèn)勾選“域名系統(tǒng)(DNS)服務(wù)器”復(fù)選框，在“鍵入目錄服務(wù)還原模式(DSRM)密碼”選項組中輸入密碼。(5)點擊“下一步”按鈕，進(jìn)入“DNS選項”界面，如圖3-52所示。(6)點擊“下一步”按鈕，進(jìn)入“其他選項”界面，在此設(shè)置NetBIOS域名，如圖3-53所示。其他安裝步驟與安裝ADDS的步驟一樣，這里不贅述。安裝完成后系統(tǒng)會自動重新啟動。二、創(chuàng)建子域過程中遇到的問題及解決方案(1)在創(chuàng)建子域的過程中，“部署配置”界面出現(xiàn)“無法使用指定的憑據(jù)登錄到該域。請?zhí)峁┯行{據(jù)，然后重試?！碧崾拘畔ⅲ鐖D3-54所示。當(dāng)出現(xiàn)以上提示信息時，首先檢查網(wǎng)絡(luò)的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)IP地址、DNS服務(wù)器的IP地址等相關(guān)信息，然后測試網(wǎng)絡(luò)的連通性。這里父域控制器()主機(jī)名為sever01，IP地址為0/24，網(wǎng)關(guān)地址為54/24，DNS服務(wù)器的IP地址為0；子域控制器()主機(jī)名為server03，IP地址為2/24，網(wǎng)關(guān)地址為54/24，DNS服務(wù)器的IP地址為0(需要注意的是，子域的DNS服務(wù)器的IP地址與父域控制器的IP地址相同)。(2)在創(chuàng)建子域的過程中，“結(jié)果”界面出現(xiàn)“嘗試將此計算機(jī)配置為域控制器時出錯”提示信息，出現(xiàn)以上提示信息時，如果看到“指定的域已存在”的提示信息，則表明是因為計算機(jī)的SID的問題。SID是標(biāo)識用戶、組和計算機(jī)賬戶的唯一的號碼，當(dāng)?shù)谝淮蝿?chuàng)建賬戶時，賬戶就將獲得一個唯一的SID。做ActiveDirectory域活動目錄的時候，為了方便而直接復(fù)制了虛擬機(jī)，因為是復(fù)制的虛擬機(jī)，所以其SID是一樣的。在域控制器server01與域控制器server03上，分別使用命令whoami/user查看當(dāng)前的用戶名和SID信息，如圖3-55和圖3-56所示，可以看到兩臺域控制器的SID是一樣的，所以要想解決這個問題就應(yīng)當(dāng)修改SID。修改SID的方法有兩種：一種是不復(fù)制虛擬機(jī)，直接全新安裝；另一種是使用系統(tǒng)自帶的sysprep工具，重新初始化系統(tǒng)，操作過程如下：在子域控制器服務(wù)器上，按“Win?+?R”組合鍵，彈出“運行”對話框，如圖3-57所示，輸入sysprep命令，點擊“確定”按鈕，可以看到“sysprep.exe”執(zhí)行文件，如圖3-58所示。雙擊“sysprep.exe”執(zhí)行文件，彈出“系統(tǒng)準(zhǔn)備工具3.14”對話框，如圖3-59所示，勾選“通用”復(fù)選框，設(shè)置相關(guān)選項，點擊“確定”按鈕，重新啟動域控制器server03，完成SID的修改。再次使用命令whoami/user查看當(dāng)前的用戶名和SID信息，可以看到當(dāng)前的用戶名和SID都與以前的不一樣，表明已經(jīng)全部修改完成，如圖3-60所示。三、驗證創(chuàng)建的子域(1)重新啟動域控制器server03后，以管理員身份登錄到子域中，在桌面上選擇“此電腦”圖標(biāo)并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，打開“系統(tǒng)”窗口，在“計算機(jī)名、域和工作組設(shè)置”選項組中可以查看到計算機(jī)全名、域為，如圖3-61所示。(2)在域控制器DC1上，在“開始”菜單中選擇“windows管理工具”→“ActiveDirectory用戶和計算機(jī)”命令，打開“ActiveDirectory用戶和計算機(jī)”窗口，可以看到子域，如圖3-62所示。(3)在域控制器server03上，在“開始”菜單中選擇“windows管理工具”→“DNS”命令，打開“DNS管理器”窗口，可以看到區(qū)域“”，如圖3-63所示。(4)在域控制器Server01上，在“開始”菜單中選擇“windows管理工具”→“DNS”命令，打開“DNS管理器”窗口，可以看到區(qū)域“”，如圖3-64所示。四、驗證父子信任關(guān)系前面的任務(wù)已經(jīng)構(gòu)建了及其子域，子域和父域的雙向，即可傳遞的信任關(guān)系是在安裝域控制器時就自動建立起來的，同時域林中的信任關(guān)系是可傳遞的，因此同一域林中的所有域都顯式或隱式地相互信任。(1)在域控制器server01上以域管理員身份登錄，在“開始”菜單中選擇“Windows管理工具”→“ActiveDirectory域和信任關(guān)系”命令，打開“ActiveDirectory域和信任關(guān)系”窗口，在此可以對域之間的信任關(guān)系進(jìn)行管理，如圖3-65所示。(2)在該窗口左側(cè)選擇“”節(jié)點并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，彈出“屬性”對話框，選擇“信任”選項卡，如圖3-66所示，可以看到和其他域的信任關(guān)系。該對話框的上部列出的是所信任的域，表明信任其子域；該對話框的下部列出的是信任的域，表明其子域gz.abc.con也信任，也就是說，和是雙向信任關(guān)系。選擇“gz.abc.ccm”節(jié)點并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“屬性”命令，彈出“屬性”對話框，選擇“信任”選項卡，如圖3-67所示，可以查看其信任關(guān)系。五、ActiveDirectory站點和服務(wù)在域控制器server01上以域管理員身份登錄，在“開始”菜單中選擇“Windows管理工具”→“ActiveDirectory站點和服務(wù)”命令，打開“ActiveDirectory站點和服務(wù)”窗口，在此可以對站點和服務(wù)進(jìn)行管理，如圖3-68所示。任務(wù)4域

的

應(yīng)

用公司的網(wǎng)絡(luò)管理員小趙，根據(jù)需求已經(jīng)完成ActiveDirectory域的初步部署，小趙已將財務(wù)部的CLIENT計算機(jī)，以及銷售部的若干臺計算機(jī)加入域。財務(wù)部有員工Lishi和Pengwu，銷售部有員工Wanger和Zhangsan，小趙要為這些員工創(chuàng)建登錄域的用戶賬戶并進(jìn)行分組。同時網(wǎng)絡(luò)管理員小趙發(fā)現(xiàn)，銷售部的員工需要經(jīng)常訪問公司首頁，這些員工希望登錄系統(tǒng)后桌面能夠自動建立一個訪問公司首頁的快捷方式。組織結(jié)構(gòu)轉(zhuǎn)換為域的邏輯關(guān)系及域安全要求的基本策略，如表3-2所示。一、認(rèn)識域用戶、組和組織單位ActiveDirectory域用戶賬戶代表物理實體，如人員。管理員可以將用戶賬戶用作某些應(yīng)用程序的專用服務(wù)賬戶。用戶賬戶也被稱為安全主體。安全主體是指自動為其分配安全標(biāo)識符(SID)的目錄對象，可用于訪問域資源。用戶賬戶主要的作用如下：(1)驗證用戶的身份。用戶可以使用能夠通過域身份驗證的身份登錄計算機(jī)或域。每個登錄到網(wǎng)絡(luò)的用戶都應(yīng)該有自己唯一的賬戶和密碼。為了最大限度地保證安全，需要避免多個用戶共享同一個賬戶。(2)授權(quán)或拒絕對域資源的訪問。在驗證用戶身份之后，為該用戶授予訪問域資源的權(quán)限或拒絕該用戶對域資源的訪問。二、默認(rèn)域用戶ActiveDirectory用戶和“計算機(jī)管理”窗口中的“用戶”容器顯示了Administrator和Guest兩種內(nèi)置用戶賬戶。這些內(nèi)置用戶賬戶是在創(chuàng)建域時自動創(chuàng)建的。每個內(nèi)置用戶賬戶都有不同的權(quán)限組合。Administrator賬戶在域內(nèi)具有最大的權(quán)限，而Guest賬戶則具有有限的權(quán)限。如果網(wǎng)絡(luò)管理員沒有修改內(nèi)置用戶賬戶的權(quán)限，惡意用戶(或服務(wù))就會使用這些權(quán)限通過Administrator賬戶或Guest賬戶非法登錄域。保護(hù)這些賬戶的一種較好的安全操作是重命名或禁用它們。由于重命名的用戶賬戶會保留其SID，因此也會保留其他所有屬性，如說明、密碼、組成員身份、用戶配置文件、賬戶信息，以及任何已分配的權(quán)限和用戶權(quán)利。若要具有用戶身份驗證和授權(quán)的安全優(yōu)勢，則可以通過“ActiveDirectory用戶和計算機(jī)”窗口為所有加入網(wǎng)絡(luò)的用戶創(chuàng)建單獨的用戶賬戶，并將各用戶賬戶(包括Administrator賬戶和Guest賬戶)添加到組，以便控制分配給該賬戶的權(quán)限。如果具有適合某網(wǎng)絡(luò)的賬戶和組，則需要確?？梢宰R別登錄該網(wǎng)絡(luò)的用戶和只能訪問允許資源的用戶。設(shè)置強(qiáng)密碼和實施賬戶鎖定策略，可以幫助域抵御攻擊。強(qiáng)密碼會減少攻擊者對密碼的智能密碼猜測和字典攻擊的危險。賬戶鎖定策略會減少攻擊者通過重復(fù)登錄企圖危及用戶所在域的安全的可能。賬戶鎖定策略可以設(shè)定用戶賬戶在禁用之前嘗試登錄的失敗次數(shù)。三、域中組組是指用戶與計算機(jī)賬戶、聯(lián)系人，以及其他可以作為單個單位管理的組的集合，屬于特定組的用戶和計算機(jī)被稱為組成員。ActiveDirectory域服務(wù)中的組都是駐留在域和組織單位容器對象中的目錄對象。ADDS自動安裝了系列默認(rèn)的內(nèi)置組，也允許根據(jù)實際需要創(chuàng)建組，管理員可以靈活地控制域中的組和成員。ADDS中的組管理功能如下：(1)資源權(quán)限的管理，即為組而不是個別用戶賬戶指派的資源權(quán)限。這樣可以將相同的資源訪問權(quán)限指派給該組的所有成員。(2)用戶集中的管理，可以創(chuàng)建一個應(yīng)用組，指定組成員的操作權(quán)限，并向該組中添加需要擁有與該組相同權(quán)限的成員。(一)按照域中組的安全性質(zhì)劃分組在WindowsServer2019中，按照域中組的安全性質(zhì)，組可以劃分為安全組和通信組兩種類型。1.安全組安全組主要用于控制和管理資源的安全性。使用安全組可以在共享資源的“屬性”窗口中，選擇“共享”選項卡，并為該組的成員分配訪問控制權(quán)限。例如，設(shè)置該組的成員對特定文件夾具有“寫入”權(quán)限。2.通信組通信組也被稱為分布式組，用來管理與安全性無關(guān)的任務(wù)。例如，通信組可以將信息發(fā)送給某個分布式組，但是不能為其設(shè)置資源權(quán)限，即不能在某個文件夾的“共享”選項卡中為該組的成員分配訪問控制權(quán)限。(二)按照組的作用域劃分組組都有一個作用域，用來確定在域樹或域林中該組的應(yīng)用范圍。按照組的作用域，可以劃分為全局組、本地域組和通用組3種組作用域。1.全局組全局組主要用來組織用戶，面向域用戶，即全局組中只包含所屬域的域用戶賬戶。為了管理方便，管理員通常將多個具有相同權(quán)限的用戶賬戶添加到一個全局組中。之所以被稱為全局組，是因為它不僅能在所創(chuàng)建的計算機(jī)上使用，還能在域中的任何一臺計算機(jī)上使用。只有在WindowsServer2019域控制器上，才能創(chuàng)建全局組。2.本地域組本地域組主要用來管理域的資源。通過本地域組，可以快速地為本地域、其他信任域的用戶賬戶和全局組的成員指定訪問本地資源的權(quán)限。本地域組由該組所屬域的用戶賬戶、通用組和全局組組成，不能包含非本域的本地域組。為了管理方便，管理員通常在本域內(nèi)建立本地域組，并根據(jù)資源訪問的需要將適合的全局組和通用組加入該組，最后向該組分配本地資源的訪問控制權(quán)限。本地域組的成員僅限于本域的資源，而無法訪問其他域內(nèi)的資源。3.通用組通用組用來管理所有域內(nèi)的資源，包含任何一個域內(nèi)的用戶賬戶、通用組和全局組，但不能包含本地域組。一般在大型企業(yè)應(yīng)用環(huán)境中，管理員先建立通用組，并為該組的成員分配在各域內(nèi)的訪問控制權(quán)限。通用組的成員可以使用所有域的資源。四、組織單位域中包含的一種特別有用的目錄對象類型是組織單位(OU)。OU是一個ActiveDirectory容器，用于放置用戶、組、計算機(jī)和其他OU。OU不能包含來自其他域中的對象。OU是向其分配組策略設(shè)置或委派管理權(quán)力的最小作用域或單位。管理員可以使用在域中創(chuàng)建表示組織中的層次結(jié)構(gòu)、邏輯結(jié)構(gòu)的容器、也可以根據(jù)組織模型來管理賬戶以及配置和使用資源。OU可以包含其他OU。管理員可以根據(jù)需要將OU的層次結(jié)構(gòu)擴(kuò)展為模擬域中繼層次結(jié)構(gòu)，使用OU有助于最大限度地減少網(wǎng)絡(luò)所需的域數(shù)目。管理員可以使用OU創(chuàng)建能夠縮放到任意大小的管理模型，從而對域中的所有單個OU具有管理權(quán)利，一個OU的管理員不一定對域中的任何其他OU具有管理權(quán)限。五、創(chuàng)建域用戶、組和組織單位如果要管理域用戶，則需要在ActiveDirectory域服務(wù)中創(chuàng)建用戶賬戶。若要執(zhí)行此過程，則創(chuàng)建的用戶賬戶必須是ActiveDirectory域服務(wù)中AccountOperators組、DomainAdmins組或EnterpriseAdmins組的成員，或者被委派了適當(dāng)?shù)臋?quán)限。從安全角度來考慮，可使用“運行身份”來執(zhí)行此過程。如果未分配密碼，則用戶在首次嘗試登錄時(使用空白密碼)系統(tǒng)會彈出一條登錄消息顯示“您必須在第一次登錄時更改密碼”。在用戶更改密碼后，登錄過程將繼續(xù)。如果服務(wù)的用戶賬戶的密碼已更改，則必須重置使用該用戶賬戶驗證的服務(wù)。如果要添加組，則可以選擇要添加組的文件夾，并點擊工具欄上的“新建組”圖標(biāo)來完成此過程。最低需要使用AccountOperators組、DomainAdmins組、EnterpriseAdmins組或類似組中的成員身份。六、組策略組策略(grouppolicy)就是對組的策略限制，用來限制指定組中用戶對系統(tǒng)設(shè)置的更改或資源的使用，是介于控制面板和注冊表中間的一種設(shè)置方式。這些設(shè)置最終保存在注冊表中。七、組策略對象組策略對象(grouppolicyobject，GPO)是定義了各種策略的設(shè)置集合，是ActiveDirectory中的重要管理方式，可以管理用戶和計算機(jī)對象。一般需要為不同組織單位設(shè)置不同的GPO，其中組織單位等容器可以鏈接(可理解為調(diào)用，在容器中顯示時會標(biāo)記為快趨方式)多個GPO、而一個GPO也可以被不同的容器鏈接。八、組策略繼承組策略繼承是指子容器將從父容器中繼承策略設(shè)置。例如，本任務(wù)中的組織單位“財務(wù)部”如果沒有單獨設(shè)置策略，則它包含的用戶或計算機(jī)會繼承全域的安全策略，即會執(zhí)行DefaultDomainPolicy的設(shè)置。九、組策略執(zhí)行順序組策略執(zhí)行順序是指多個組策略疊加在一起時的執(zhí)行順序。當(dāng)子容器有自己的單獨的GPO時，策略執(zhí)行累加。例如“財務(wù)部”策略為“已啟動”狀態(tài)，繼承來的組策略是“未定義”狀態(tài)，則最終繼承來的策略是“已啟動”狀態(tài)。當(dāng)策略發(fā)生沖突時，以子容器策略為準(zhǔn)。例如，某組織單位中將某一策略設(shè)置為“已啟動”狀態(tài)，而繼承來的組策略是“已禁用”狀態(tài)，則最終是“已啟動”狀態(tài)。執(zhí)行的先后順序為組織單位→域控制器→域→站點→(域內(nèi)計算機(jī)的)本地安全策略。一、新建組織單位(1)在server01域控制器的“服務(wù)器管理器”窗口中，選擇“工具”→“ActiveDirectory用戶和計算機(jī)”命令，打開“ActiveDirectory用戶和計算機(jī)”窗口，點擊選項，在彈出的快捷菜單中依次選擇“新建”→“組織單位”命令，如圖3-69所示。(2)在“新建對象-組織單位”對話框的“名稱”文本框中輸入組織單位名稱“銷售部”，點擊“確定”按鈕，如圖3-70所示。二、在組織單位中新建組(1)右擊“銷售部”選項，在彈出的快捷菜單中依次選擇“新建”→“組”命令，如圖3-71所示。(2)在“新建對象-組”對話框中，輸入組名“Sales”(本任務(wù)中銷售部的組名)，點擊“確定”按鈕，如圖3-72所示。三、在組織單位中新建用戶(1)右擊“銷售部”選項，在彈出的快捷菜單中依次選擇“新建”→“用戶”命令，如圖3-73所示。(2)在“新建對象-用戶”對話框中，輸入姓名和用戶登錄名“Wanger”(本任務(wù)中銷售部的Wanger用戶賬戶)，點擊“下一步”按鈕，如圖3-