windows域配置及管理ppt课件

北京天和科瑞咨询有限公司北京邮电大学移动互联网与信息化实验室2011年6月,Windows域配置及管理,.,域,DNS的作用,域的概念,将计算机加入域,DC的条件,创建域,域用户帐户,安装AD,组,安全组/通讯组,本地域组/全局组/通用组,用户配置文件,用户主文件夹,创建域帐户,域帐户属性,OU,OU的委派功能,OU概念,.,域的基本概念,域将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域域是组织与存储资源的核心管理单元活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法,.,域的基本概念,活动目录活动目录（ActiveDirectory）是WindowsServer2003平台提供的目录服务，在中央数据库中存放信息，使用户在网络上只拥有一个用户账号。活动目录是一个全面的目录服务管理方案，也是一个企业级的目录服务，具有很好的可伸缩性。活动目录采用了Internet的标准协议，它与操作系统紧密地集成在一起。活动目录可以管理诸如计算机对象、用户账户、打印机之类的网络资源。,.,域的基本概念,活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器目录服务是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问,.,（1）信息的安全性大大增强1、活动目录集中控制用户授权2、提供存储和应用程序作用域的安全策略，提供安全策略的存储和应用范围。（2）引入基于策略的管理，使系统的管理更加明朗作为目录，它存储着分配给特定环境的策略，称为组策略对象（3）具有很强的可扩展性管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。,活动目录作用,.,（4）具有很强的可伸缩性活动目录可包含在一个或多个域，每个域具有一个或多个域控制器，以便调整目录的规模以满足任何网络的需要（5）智能的信息复制能力信息复制为目录提供了信息可用性、容错、负载平衡和性能优势，活动目录使用多主机复制，允许在任何域控制器上而不是单个主域控制器上同步更新目录,.,（6）与DNS集成紧密活动目录使用域名系统（DNS）来为服务器目录命名（7）与其他目录服务具有互操性LDAP是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议，所以可使用LDAP开发程序，与同时支持LDAP的其他目录服务共享活动目录信息。（8）具有灵活的查询任何用户可使用【开始】菜单、【网上邻居】或【活动目录用户和计算机】上的【搜索】命令，通过对象属性快速查找网络上的对象。,.,AD活动目录作用:通过将企业网络中的各种资源，例如电脑，用户，共享的打印机，服务器等等组织起来形成活动目录域，在这个域中把这些信息进行分类形成目录树。这样，用户通过一定的形式，就可以很方便的访问活动目录域中的信息.这种便利的访问机制，也需要安全的保障机制！ad活动目录域正是基于这种信息共享基础上的安全管理规范。安装了活动目录的计算机称为“域控制器”，只要加入并接受域控制器的管理就可以在一次登录之后全网使用，方便地访问活动目录提供的网络资源。对于管理员，则可以通过对活动目录的集中管理就能够管理全网的资源。,.,域是基本管理单位域中可包含大量对象计算机用户打印机共享文件夹域是活动目录的组成部分,WindowsServer2003域概述,.,域及目录服务概述,活动目录是一个数据库活动目录是一个目录服务可以定制活动目录简化的管理可扩展性便捷的网络资源访问,.,域、域树、域森林,根域下面可以建立多层子域域和子域构建成域树多棵域树构建成森林域之间自动建立双向信任关系,T,B,X,T,B,.,OU-组织单位,OU是活动目录中的一种对象OU中可以建立子对象利用OU可以模拟管理模型,.,域控制器,域控制器是存储活动目录数据库的计算机一个域最少一台域控制器多台域控制器需要同步数据库域控制器存储着目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。,.,站点,每个地理位置中的若干台域控制器可以划分为一个站点站点内部优先同步活动目录数据库，同步后再和其他站点中的域控制器同步,.,活动目录安装与卸载,安装者必须具有本地管理权限操作系统必须满足条件（WindowsServer2003Web版除外都满足）本地磁盘至少有一个分区是NTFS文件系统系统盘应该有最少300MB的剩余空间。安装TCP/IP协议和相应的DNS服务器支持。有相应的DNS服务器支持,.,活动目录安装与卸载,启动安装向导使用管理您的服务器向导使用命令DCPROMO,.,安装活动目录,主要步骤是否创建新域新域的DNS全名新域的NetBIOS名数据库和日志文件文件夹共享的系统卷DNS注册诊断域兼容性还原模式密码,.,DNS在域中的作用,DNS在域中有两个作用域名的命名采用DNS标准办公网络与Internet集成定位DC1）客户机发送DNS查询请求给DNS服务器2）DNS服务器查询匹配的SRV资源记录3）DNS服务器返回相关DC的IP地址列表给客户机4）客户机联系到DC5）DC响应客户机的请求域的DNS区域维护SRV资源记录可以定位DC,.,活动目录安装与卸载,.,安装活动目录后操作系统的变化（1）查看域控制器的计算机名安装活动目录后DC（DomainController，即域控制器）的计算机名会发后变化，在DC上右键单击【我的电脑】，选择【属性】，在弹出的【系统属性】对话框中选择【计算机名】标签，可以查看当前域控制器的计算机名,.,查看管理工具在DC上依次打开【开始】【程序】【管理工具】，可以看到新增加5个与活动目录相关的工具,与活动目录相关的五个工具,.,ActiveDirectory用户和计算机：该工具用于管理域中的用户、组、计算机账号及OU等ActiveDirectory域和信任关系：该工具用于管理活动目录域之间的信任关系ActiveDirectory站点和服务：该工具用于管理与活动目录复制相关的站点信息域安全策略：该工具用于创建和管理域的安全策略域控制器安全策略：该工具用于创建和管理域控制器的安全策略,.,查看用户和组账号的位置活动目录安装成功后，计算机上的用户和组账号的位置会发生变化。在DC上打开【计算机管理】控制台，发现已经看不到【本地用户和组】工具。,计算机管理控制台工具,.,在DC上使用【ActiveDirectory用户和计算机】工具来管理用户和组账号。在DC上依次打开【开始】【程序】【管理工具】【ActiveDirectory用户和计算机】，在控制台下打开Users容器,【ActiveDirectory用户和计算机】工具管理用户和组,.,查看SYSVOL（系统卷）文件夹对DC来说SYSVOL文件夹非常重要，如果SYSVOL文件夹创建的不正确，那么存储在此文件夹下的组策略、脚本等就不能正确的分发给域中的计算机，也无法在DC之间进行复制。SYSVOL文件夹位于%systemroot%下，其中包含以下几个文件夹，如后图所示。,Domain（域）Staging（分级）Stagingareas（分级区域）Sysvol（系统卷）,.,验证SYSVOL文件夹,.,（5）查看活动目录数据库和日志文件缺省情况下活动目录数据库和日志文件存放在%systemroot%NTDS文件夹下，其中ntds.dit是活动目录数据库文件，还有检查点文件edb.chk、日志文件edb.log和保留日志文件res*.log等。,验证活动目录数据库和日志文件,.,活动目录域与DNS服务是紧密结合的，如果要使一个活动目录域正常工作，必须要有相应的DNS区域来支持它，而且还要有服务资源记录（SRV记录）。如下图所示为在DNS服务器上打开DNS控制台查看活动目录域的区域情况。,在DNS服务器中查看活动目录域的SRV记录,查看DNS数据库,.,查看事件日志安装活动目录后打开事件查看器可以看到增加了一个日志“目录服务”，在此会记录有关活动目录的信息。,查看事件查看器,.,五将计算机加入到域,1、哪些计算机能成为WindowsServer2003域的成员下面的操作系统主机可以成为域的成员：,WindowsNTWindows2000WindowsXPWindowsServer2003,.,系统属性对话框中“计算机名”标签,把计算机加入到域为了更好地管理网络中的资源，充分利用活动目录的特点，应该把网络中的客户端计算机加入到域，这样管理员就可以对域中的计算机进行集中的配置和管理,步骤1、配置客户机的首选DNS服务器2、将计算机加入域,.,指定该计算机要加入的域的名称,输入有加入该域权限的用户名和密码,加入域成功对话框,.,OU的创建,可以根据各种因素创建OU,.,域模式,域模式是用来为了兼容老版本操作系统的域控制器，而限制某些新的功能。,.,ActiveDirectory对象类别如下,1、用户（User）：作为安全主体，被授予安全权限，可登录到域中。2、计算机（Computer）：表示网络中的计算机实体，加入到域的WindowsNT/2000/XP/2003计算机都可创建相应的计算机账户。3、联系人（Contact）：一种个人信息记录。联系人没有任何安全权限，不能登录网络，主要用于通过电子邮件联系的外部用户。4、组（Group）：某些用户、联系人、计算机的分组，用于简化大量对象的管理。5、组织单位（OrganizationUnit）：将域细分的ActiveDirectory容器。6、打印机（Printer）：在ActiveDirectory中发布的打印机。7、共享文件夹（SharedFolder）：在ActiveDirectory中发布的共享文件夹。8、InterOrgPersion：标准的用户对象类，对于WindowsServer2003域功能级别来说，可以作为安全主体。,.,管理容器,1、Builtin：用来存放默认内置组（如AccountOperators或Administrators）对象。2、Computers：包含Windows2000、WindowsXP和WindowsServer2003计算机对象。3、DomainControllers：运行Windows2000或WindowsServer2003的域控制器的计算机对象。4、ForeignSecurityPrincipals：存储有信任关系的域的对象。5、Users：包含域内用户账户和组。,.,域用户和计算机帐户,活动目录用户帐户用户帐户是用来记录用户的用户名和密码、隶属的组、可以访问的网络资源，以及用户的个人文件和设置。每个用户都应在域控制器中有一个用户帐户，才能访问服务器，使用网络上的资源,.,域用户账户,.,域用户账户的创建,输入用户的基本信息和登录名称用户密码,.,用户属性对话框,.,用户登录名用户登录名（Windows2000以前版本）在域中必须惟一最长20字符登录时间限制用户登录到域的时间可以登录的计算机定义了账户可以登录的计算机列表,配置域用户账户的属性,.,域用户账户的创建,用户的存放地点,.,域用户账户的创建,.,管理域用户和计算机帐户就活动目录的管理而言，【ActiveDirectory用户和计算机】是使用最为频繁的工具。该工具可以用来建立、编辑或删除网络中的用户、计算机、组、组织单位、域、域控制器，以及发布网络共享资源,.,域用户账户的删除和移动,删除用户移动用户直接鼠标拖动,.,配置域用户账户的属性,登录名登录时间可以登录的计算机配置文件/主文件夹,.,组的实现与管理,.,组的分类,.,组的作用域与成员资格,.,域本地组,.,全局组,.,通用组,.,管理域中的组,创建组设置组信息添加组成员设置组管理者,.,AGDLP域用户A加入到域全局安全组G，然后在“本地用户和计算机”中创建一个本地组DL，把G加入到DL中，最后为DL分配权限。,.,组的成员和隶属于属性,团队或组,全局组,域本地组,Tom,Jo,andKim,Sam,Scott,andAmy,DenverAdmins,DenverAdmins,VancouverAdmins,DenverOUAdmins,.,用户配置文件概念用户的桌面工作环境，包括桌面、开始菜单、我的文档、以及其他指定的设置一般存储在操作系统所在分区上的DocumentsandSettingsusername文件夹里用户配置文件类型本地用户配置文件漫游用户配置文件强制用户配置文件临时用户配置文件,.,实现漫游用户配置文件1）为漫游用户创建一个测试配置文件2）准备一个存放漫游用户配置文件的网络存储路径3）将测试配置文件复制到网络存储路径4）设置域用户属性的【配置文件】选项卡,.,用户主文件夹可以用于存放用户的私有文件配置用户主文件夹后当域账户在客户机登录后，就会发现在本机多了一个分区(该分区不在本机)增强了文件存储的安全可靠性,.,总结,在WindowsServer2003网络环境中，域是最重要的核心管理单元，是活动目录的主干。活动目录由域、子域、域树、域森林、组织单位构成。每个域最少由一台域控制器组成，可以建立若干个而外的域控制器用力实现容错和提高性能。,.,总结,安装活动目录需要使用Windows2000Server和