1、實(shí)習(xí)，activedirectory的安裝和部署，重點(diǎn)內(nèi)容： activedirectory的基本概念和功能域控制器的安裝和配置域帳戶的創(chuàng)建和管理，什么是activedirectory (activedirectory )？ activedirectory (activedirectory )是存儲(chǔ)有關(guān)網(wǎng)絡(luò)對象的信息的目錄服務(wù)。 使系統(tǒng)管理員和用戶(包括用戶、組、計(jì)算機(jī)、共享文件夾和網(wǎng)絡(luò)打印機(jī))能夠輕松地查找和使用網(wǎng)絡(luò)信息。 Active Directory的應(yīng)用程序從Windows NT 4.0開始，在Windows Server 2003中取得進(jìn)一步的發(fā)展和應(yīng)用程序，具有可擴(kuò)展性和可擴(kuò)展性

2、，能夠?qū)⒔Y(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式作為目錄信息邏輯2 .與2.activedirectory有關(guān)的概念1 )，目錄服務(wù)是用于存儲(chǔ)與網(wǎng)絡(luò)上的目標(biāo)有關(guān)的信息的分層結(jié)構(gòu)，目錄服務(wù)存儲(chǔ)目錄數(shù)據(jù)，并且包括網(wǎng)絡(luò)用戶目錄服務(wù)標(biāo)簽管理網(wǎng)絡(luò)中的所有對象資源(計(jì)算機(jī)、用戶、打印機(jī)、文件等)，并命名、描述、搜索和訪問這些對象信息，以便網(wǎng)絡(luò)中的所有用戶都可以訪問2 )，對象和屬性對象是activedirectory中的有形信息實(shí)體，并且是諸如用戶帳戶、文件名、校正器名等的一系列屬性的集合。 對象使用屬性描述其基本特性，如用戶帳戶屬性可能包括用戶的姓名、電話號碼、電子郵件地址、家庭地址等。 3 )、容器和OU (組織單元)容

3、器是存儲(chǔ)對象的空間、與對象類似并且是部分屬性的集合。 容器內(nèi)可以包含“用戶”或“計(jì)算機(jī)”等其他對象，也可以包含其他容器。 組織單元(OU )是活動(dòng)目錄中相對特殊的容器，除了可以包括其他對象和OU之外，還可以包括“組策略”的功能。 例如，名為“業(yè)務(wù)部門”的OU包括兩個(gè)“用戶”對象、兩個(gè)“計(jì)算機(jī)”對象和兩個(gè)OU。 Active Directory通過分層架構(gòu)對對象、容器、OU等進(jìn)行分組，并將它們存儲(chǔ)在Active Directory數(shù)據(jù)庫中。 4 )、名稱空間和DNS域必須具有名稱，域名遵循DNS命名約定，通過DNS服務(wù)器解析域名。 5 )，域樹域樹是由根域及其以下的子域構(gòu)成的域目錄層次。 域樹由

4、共享相同的表結(jié)構(gòu)和配置并構(gòu)成連續(xù)命名空間的多個(gè)域組成。 樹中的域以信任關(guān)系連接，activedirectory包含一個(gè)或多個(gè)域樹。 域樹中的域?qū)哟卧缴?，層次越低，?”表示層次。 例如，域child.M低于名為m的域級別。 6 )，域(森林)林域林由不形成連續(xù)命名空間的一個(gè)或者多個(gè)域樹組成，與上述域樹最顯著的區(qū)別在于這些域樹之間沒有形成連續(xù)的命名空間。 域樹系中的所有域樹仍然共享相同的表結(jié)構(gòu)、配置和全局目錄。 由于域樹系中的所有域樹都是由Kerberos信任關(guān)系建立的，因此每個(gè)域樹都知道Kerberos信任關(guān)系，而不同的域樹可以交叉引用其他域樹中的對象。 域森林具有根域，域森林的根域是在域森林

5、中創(chuàng)建的第一個(gè)域，域森林中所有域樹的根域是域森林的數(shù)量，2，域概念，1，2 域中的所有對象都存儲(chǔ)在activedirectory中。 網(wǎng)絡(luò)可以建立一個(gè)或多個(gè)域。 每個(gè)域都是安全限制，并且不同權(quán)限設(shè)置不能跨不同的域。 簡單來說，域是一組用戶帳戶、權(quán)限和各種其他資源的集合。 2、區(qū)域和工作組區(qū)別在工作組模式的網(wǎng)絡(luò)中，各服務(wù)是獨(dú)立的，各服務(wù)的帳號和資源也是分別管理的。因此，管理者必須為每個(gè)服務(wù)器創(chuàng)建帳戶，管理時(shí)也必須分別登錄各服務(wù)器完成管理作業(yè)。 如果要允許用戶訪問不同的服務(wù)器，也必須分別登錄。 在域模式網(wǎng)絡(luò)中，服務(wù)可以集中管理，域中的帳戶和資源也可以集中管理。 因此，管理員登錄服務(wù)后，即可管理整個(gè)

6、域并訪問所有共享資源。 域模式網(wǎng)絡(luò)需要一種統(tǒng)一管理帳戶和資源的機(jī)制。 這個(gè)機(jī)制就是活動(dòng)目錄。 域中的所有帳戶和共享資源都必須注冊到activedirectory，用戶可以使用該資源搜索和使用該資源。 基于域模式的網(wǎng)絡(luò)大大降低了管理的復(fù)雜性和工作量，通常用于結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)。3、域控制器域控制器(DC )是安裝和運(yùn)行Active Directory的服務(wù)器，包括Active Directory數(shù)據(jù)庫的可寫副本，并且是Active Directory復(fù)制在控制對網(wǎng)絡(luò)資源的訪問的域中，域控制器集成管理帳戶數(shù)據(jù)庫、所有用戶登錄、資源訪問驗(yàn)證及其管理任務(wù)。 域可以具有一個(gè)或多個(gè)域控制器，每個(gè)域控制器處于同

7、等地位，管理員可以利用任何域控制器更新域中的信息，經(jīng)更新的信息自動(dòng)地成為網(wǎng)絡(luò)中的其他域控制器4 .成員服務(wù)器成員是運(yùn)行Windows Server 2003的服務(wù)器，是域中的成員，但不是域控制器。 成員服務(wù)器既不存儲(chǔ)用戶認(rèn)證也不存儲(chǔ)安全策略信息。 由于這些任務(wù)是由域控制器完成的，因此成員服務(wù)器能夠以更高的處理能力處理網(wǎng)絡(luò)上的其他服務(wù)。 域結(jié)構(gòu)網(wǎng)絡(luò)將認(rèn)證和服務(wù)分開，從而提高服務(wù)效率。 5、獨(dú)立服務(wù)獨(dú)立服務(wù)是運(yùn)行Windows Server 2003，不涉及域的服務(wù)。 獨(dú)立服務(wù)器只有自己的用戶數(shù)據(jù)庫，服務(wù)器自己處理登錄請求。 獨(dú)立服務(wù)器不提供對域帳戶的訪問。 此服務(wù)器通常以工作組模式運(yùn)行。 6.a

8、ctivedirectory和domaincontroller的關(guān)系在網(wǎng)絡(luò)規(guī)模大的情況下，我們將網(wǎng)絡(luò)中的對象，例如計(jì)算機(jī)、用戶帳戶、組帳戶、打印機(jī)、共享文件夾進(jìn)行分類，形成一個(gè)default 搜索這些對象(資源)的分層數(shù)據(jù)庫是一個(gè)稱為AD庫的activedirectory數(shù)據(jù)庫。 其次，保存有activedirectory數(shù)據(jù)庫的計(jì)算機(jī)被稱為域控制器(Domain Controller )，簡稱為DC。 在Windows Server 2003中，域建立在Active Directory中，并作為Active Directory的對象使用和管理。 域的范圍也擴(kuò)大到了整個(gè)網(wǎng)絡(luò)。 三、域帳戶概念1

9、、域帳戶分類域中的帳戶分為用戶帳戶、組帳戶、計(jì)算機(jī)帳戶和共享資源帳戶。 所有帳戶都存儲(chǔ)在activedirectory中，每個(gè)帳戶都由一個(gè)安全標(biāo)識(shí)符(SID )標(biāo)識(shí)。 1 )、用戶帳戶用于識(shí)別用戶id，主要由用戶名和密碼組成，只有具有用戶帳戶的用戶才能通過計(jì)算機(jī)登錄到域。 在實(shí)際的應(yīng)用程序中，必須盡量確保一個(gè)用戶帳戶由一個(gè)人使用，避免一個(gè)帳戶由多個(gè)人使用。 2 )、組帳戶用于組織和管理用戶帳戶。 不同的用戶帳戶可以擁有不同的權(quán)利和權(quán)限。 為了便于管理，可以設(shè)置組帳戶，并為組帳戶設(shè)置權(quán)限和權(quán)限。一個(gè)用戶帳戶可以同時(shí)加入多個(gè)組。 在這種情況下，他的權(quán)限是每個(gè)組權(quán)限的疊加。 域中的組可以嵌套。 也就

10、是說，組的成員可以包含用戶帳戶和其他組。 本地帳戶中的組不能嵌套。 3 )、計(jì)算機(jī)帳戶用于識(shí)別域內(nèi)的計(jì)算機(jī)。 具有用戶帳戶的用戶不能從任何計(jì)算機(jī)登錄到域。 只有加入域的計(jì)算機(jī)才能登錄域。加入域的每臺(tái)計(jì)算機(jī)(包括客戶機(jī)和服務(wù)器)都有一個(gè)計(jì)算機(jī)帳戶。 4 )，共享資源帳戶用于識(shí)別域內(nèi)的共享資源，其包括共享文件夾、共享打印機(jī)等。 域中的共享資源必須向activedirectory公開，域用戶才能共享。 域中的任何計(jì)算機(jī)都可以使用共享文件夾的實(shí)際位置，但域用戶只需登錄域即可訪問這些資源，而無需登錄特定計(jì)算機(jī)。 在實(shí)際應(yīng)用程序中，共享文件夾通常定義在服務(wù)器上，以確保資源始終有效，如果定義在客戶端上，則在

11、客戶端關(guān)閉時(shí)將無法訪問，2、域組的類型域模式通信組用于創(chuàng)建電子郵件通信組列表，即用于引入電子郵件服務(wù)的網(wǎng)絡(luò)。 安全組用于向共享資源分配權(quán)限，自動(dòng)創(chuàng)建的默認(rèn)組也屬于安全組。3、域組范圍類型通用組：成員可從任何域訪問任何域內(nèi)資源。 全局組-成員僅來自本地域，成員可以訪問任何域中的資源。 本地域組成員可以從任何域中檢索，成員可以訪問本地域中的資源。 提示：本地組是工作組模式下本地帳戶中的組，僅適用于本地。 本地域組面向域，在域模式下運(yùn)行，兩者不是概念。 4 .默認(rèn)組默認(rèn)組是當(dāng)系統(tǒng)安裝Active Directory域時(shí)自動(dòng)創(chuàng)建的安全組，使用這些系統(tǒng)定義組來控制對共享資源的訪問，以及管理特定域范圍的a

12、ction 缺省組位于 Builtin 和 Users 容器中， Builtin 容器包含在本地域范圍中定義的組(本地域組)， Users 容器包含在全局范圍中您可以將這些容器中的組移動(dòng)到域中的其他組或組織單位，但不能將其移動(dòng)到其他域。 四、域控制器安裝，1，準(zhǔn)備安裝域控制器1 )，安裝Windows Server 2003操作系統(tǒng)，以管理員身份登錄系統(tǒng)2 )、 在安裝activedirectory之前，請確保系統(tǒng)磁盤是NTFS文件系統(tǒng)，否則必須將其轉(zhuǎn)換為NTFS文件系統(tǒng)。 3 )，修訂DNS域名，即域控制器的根域。 通常是輔助域名。 本教程假定根域名設(shè)置為，并且。 4 )、負(fù)責(zé)域名解析和域控

13、制器位置的一臺(tái)DNS服務(wù)器、多個(gè)域控制器可以共享一臺(tái)DNS服務(wù)器。 5 )，對于創(chuàng)建新域的域控制器，在安裝activedirectory的同時(shí)在本地安裝和配置DNS服務(wù)器時(shí)，將DNS服務(wù)器地址和本地IP地址設(shè)置為相同的值本教程中2、安裝域控制器安裝域控制器的方法是先安裝Windows Server 2003操作系統(tǒng)的獨(dú)立服務(wù)器或成員服務(wù)器，然后再安裝域控制器可以使用服務(wù)器配置向?qū)?，也可以運(yùn)行Active Directory安裝向?qū)斫⒂蚩刂破鳌?運(yùn)行Active Directory安裝向?qū)В?1，在“開始”“運(yùn)行”中輸入“dcpromo”命令，回到車上后啟動(dòng)安裝向?qū)А?2 )在“歡迎使用Ac

14、tive Directory安裝向?qū)А睂υ捒蛑?，單擊“下一步”按鈕。 3 )，在打開的“OS兼容性”對話框中單擊“下一步”按鈕。 4 )，如果已經(jīng)建立了域中的第一個(gè)域控制器，請?jiān)凇坝蚩刂破黝愋汀睂υ捒蛑羞x擇“新域的域控制器”選項(xiàng)，然后單擊“下一步”按鈕。 5 )，在“創(chuàng)建新域”對話框中，選擇“新林中的域”選項(xiàng)，然后單擊“下一步”按鈕。6 )，在“新域名”對話框的“新域的DNS全名”文本框中，輸入要?jiǎng)?chuàng)建的域名，如圖9-1所示。 單擊“下一步”按鈕開始檢測域名的合格性。 圖9-1中的新域名，提示：每個(gè)域都需要一個(gè)域名。 建立網(wǎng)域之后再變更網(wǎng)域名稱很麻煩，所以在此請慎重設(shè)定。 由于網(wǎng)絡(luò)中的域名設(shè)置必

15、須遵循DNS命名慣例，且不允許重復(fù)，因此輸入域名后，單擊“下一步”按鈕將檢測該域名在網(wǎng)絡(luò)中是否可用。 7 )、打開“NetBIOS域名”對話框時(shí)，默認(rèn)設(shè)置域名的前半個(gè)字符(在本示例中為mylab )，Windows95/98/NT操作系統(tǒng)可以使用該名稱訪問域中的資源，“下一步“數(shù)據(jù)庫和日志文件夾”對話框顯示數(shù)據(jù)庫和日志文件的保存位置，通常不變更。 直接單擊“下一步”按鈕。 9 )在“共享系統(tǒng)卷”對話框中，指定要作為系統(tǒng)卷共享的文件夾。 Sysvol文件夾存儲(chǔ)域公共文件的服務(wù)器副本，Sysvol廣播內(nèi)容復(fù)制到域中的所有域控制器，該文件夾的位置通常不會(huì)更改，直接單擊“下一步”按鈕。 10 )在“D

16、NS注冊診斷”對話框中，選中“在此計(jì)算機(jī)上安裝和配置DNS服務(wù)器，并將此DNS服務(wù)器設(shè)置為此計(jì)算機(jī)的首選DNS服務(wù)器”復(fù)選框，然后單擊“下一步”按鈕。 提示：如果在安裝activedirectory之前沒有安裝DNS服務(wù)器，則此時(shí)可以安裝和配置DNS如果在安裝activedirectory之前安裝了DNS服務(wù)器在安裝activedirectory之前刪除DNS服務(wù)器，11 )，在“權(quán)限”對話框中選擇用戶和組的默認(rèn)權(quán)限，并且大多數(shù)網(wǎng)絡(luò)環(huán)境仍然需要使用Windows2003或更早版本的操作系統(tǒng)選擇與Windows2000之前的服務(wù)器操作系統(tǒng)兼容的權(quán)限選項(xiàng)，然后單擊下一步按鈕。 12 )在“目錄服務(wù)

17、恢復(fù)模式管理員密碼”對話框中，輸入目錄恢復(fù)模式下的管理員密碼，或者不輸入密碼，直接單擊“下一步”按鈕。 13 )，在安裝向?qū)е酗@示安裝的概要信息。 單擊“下一步”按鈕開始安裝activedirectory，如圖9-2所示。 您可能需要在安裝期間插入Windows Server 2003安裝光盤。 安裝完成后，重新啟動(dòng)計(jì)算機(jī)后，該計(jì)算機(jī)將成為域控制器。 提示： activedirectory安裝完成后，計(jì)算機(jī)啟動(dòng)會(huì)變慢，啟動(dòng)后計(jì)算機(jī)名稱從“server”變?yōu)椤啊?，域變?yōu)椤啊薄?如圖9-3所示。 安裝activedirectory并配置DNS服務(wù)器后，可以在域模式下解析域名。 在這種情況下，只要配置了WEB服務(wù)器，就可以使用域名打開相應(yīng)的網(wǎng)站。 輸入IE的域名為“”或“”。 如圖9-4所示。圖9-4域名解析、五、域用戶帳戶的創(chuàng)建和配置、1、新域名用戶帳戶1 )、右鍵單擊域名下的 Users 容器，從顯示的菜單中選擇“新建”“用戶”后，顯示“新建對象-用戶” 其中，“用戶登錄名”是用戶用于登錄域的名稱，在Act