windows域配置及管理

1、域DNS的作用域的概念将计算机加入域DC的条件创建域 域用户帐户安装AD组安全组/通讯组本地域组/全局组/通用组用户配置文件用户主文件夹创建域帐户域帐户属性OUOU的委派功能OU概念域的基本概念域的基本概念 域将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域域是组织与存储资源的核心管理单元活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法域的基本概念域的基本概念活动目录 活动目录（Active Directory）是Windows Server 2003平台提供的目录服务，在中央数据库中存放信息，使用户在网络上只拥有一个用户账号。 活动目录是一个全面

2、的目录服务管理方案，也是一个企业级的目录服务，具有很好的可伸缩性。活动目录采用了Internet的标准协议，它与操作系统紧密地集成在一起。 活动目录可以管理诸如计算机对象、用户账户、打印机之类的网络资源。 域的基本概念域的基本概念 活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器 目录服务是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问（1） 信息的安全性大大增强 1 1、活动目录集中控制用户授权、活动目录集中控制用户授权 2 2、 提供存储和应用程序作用域的安全策提供存储和应用程序

3、作用域的安全策略，提供安全策略的存储和应用范围。略，提供安全策略的存储和应用范围。（2） 引入基于策略的管理，使系统的管理更加明朗 作为目录，它存储着分配给特定环境的作为目录，它存储着分配给特定环境的策略，称为组策略对象策略，称为组策略对象（3） 具有很强的可扩展性 管理员可以在计划中增加新的对象类，或者管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。给现有的对象类增加新的属性。 计划包括可以存储在目录中的每一个对象计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。类的定义和对象类的属性。活动目录作用活动目录作用（4）具有很强的可伸缩性 活动目录可包含在一个或多个域

4、，每个域具活动目录可包含在一个或多个域，每个域具有一个或多个域控制器，以便调整目录的规模以有一个或多个域控制器，以便调整目录的规模以满足任何网络的需要满足任何网络的需要（5） 智能的信息复制能力 信息复制为目录提供了信息可用性、容错、信息复制为目录提供了信息可用性、容错、负载平衡和性能优势，活动目录使用多主机复制负载平衡和性能优势，活动目录使用多主机复制，允许在任何域控制器上而不是单个主域控制器，允许在任何域控制器上而不是单个主域控制器上同步更新目录上同步更新目录（6）与DNS集成紧密 活动目录使用域名系统（活动目录使用域名系统（DNSDNS）来为服务器目录命名）来为服务器目录命名（7）与其他

5、目录服务具有互操性 LDAPLDAP是用于在活动目录中查询和检索信息的目录访问是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议，所以可使用协议。因为它是一种工业标准服务协议，所以可使用LDAPLDAP开发程序，与同时支持开发程序，与同时支持LDAPLDAP的其他目录服务共享活动目录的其他目录服务共享活动目录信息。信息。（8）具有灵活的查询 任何用户可使用任何用户可使用【开始开始】菜单、菜单、【网上邻居网上邻居】或或【活活动目录用户和计算机动目录用户和计算机】上的上的【搜索搜索】命令，通过对象属性命令，通过对象属性快速查找网络上的对象。快速查找网络上的对象。AD活动目

6、录作用: 通过将企业网络中的各种资源，例如电脑，用户，共享的打印机，服务器等等组织起来形成活动目录域，在这个域中把这些信息进行分类形成目录树。这样，用户通过一定的形式，就可以很方便的访问活动目录域中的信息. 这种便利的访问机制，也需要安全的保障机制！ad活动目录域正是基于这种信息共享基础上的安全管理规范。 安装了活动目录的计算机称为“域控制器”，只要加入并接受域控制器的管理就可以在一次登录之后全网使用，方便地访问活动目录提供的网络资源。对于管理员，则可以通过对活动目录的集中管理就能够管理全网的资源。域域控制器 域是基本管理单位 域中可包含大量对象计算机用户打印机共享文件夹 域是活动目录的组成部

7、分OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2Windows Server 2003 Windows Server 2003 域概述域概述OU2OU1User1Computer1Printer1User2域域域DomainDomainDomainOUOUOU域树域森林OU-组织单位对象 域及目录服务概述域及目录服务概述 活动目录是一个数据库 活动目录是一个目录服务 可以定制活动目录 简化的管理 可扩展性 便捷的网络资源访问 域、域树、域森林域、域树、域森林n根域下面可以建立多层子域n域和子域构建成域树n多棵

8、域树构建成森林n域之间自动建立双向信任关系A根TB树XTB树OU-OU-组织单位组织单位 OU是活动目录中的一种对象 OU中可以建立子对象 利用OU可以模拟管理模型OUOUOU对象域控制器域控制器 域控制器是存储活动目录数据库的计算机 一个域最少一台域控制器 多台域控制器需要同步数据库 域控制器存储着目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。域控制器域控制器域User1User2User1User2User3User4User3User4站点站点 每个地理位置中的若干台域控制器可以划分为一个站点 站点内部优先同步活动目录数据库，同步后再和其他站点中的域控制器同步站点

9、1域控制器远程线路站点2 活动目录安装与卸载活动目录安装与卸载 安装者必须具有本地管理权限 操作系统必须满足条件（Windows Server 2003 Web版除外都满足） 本地磁盘至少有一个分区是NTFS文件系统 系统盘应该有最少300MB的剩余空间。 安装TCP/IP协议和相应的DNS服务器支持。 有相应的DNS服务器支持活动目录安装与卸载活动目录安装与卸载 启动安装向导 使用管理您的服务器向导 使用命令DCPROMO安装活动目录安装活动目录 主要步骤是否创建新域 新域的DNS全名 新域的NetBIOS名 数据库和日志文件文件夹 共享的系统卷 DNS注册诊断域兼容性 还原模式密码 DNS

10、DNS在域中的作用在域中的作用 DNS在域中有两个作用域名的命名采用DNS标准 办公网络与Internet集成 定位DC 1）客户机发送DNS查询请求给DNS服务器 2）DNS服务器查询匹配的SRV资源记录 3）DNS服务器返回相关DC的IP地址列表给客户机 4）客户机联系到DC 5）DC响应客户机的请求 域的DNS区域维护SRV资源记录可以定位DC活动目录安装与卸载活动目录安装与卸载安装活动目录后操作系统的变化 （1）查看域控制器的计算机名 安装活动目录后DC（Domain Controller，即域控制器）的计算机名会发后变化，在DC上右键单击【我的电脑】，选择【属性】，在弹出的【系统属性

11、】对话框中选择【计算机名】标签，可以查看当前域控制器的计算机名查看管理工具 在DC上依次打开【开始】【程序】【管理工具】，可以看到新增加5个与活动目录相关的工具与活动目录相关的五个工具 Active Directory用户和计算机：该工具用于管理域中的用户、组、计算机账号及OU等 Active Directory域和信任关系：该工具用于管理活动目录域之间的信任关系 Active Directory站点和服务：该工具用于管理与活动目录复制相关的站点信息 域安全策略：该工具用于创建和管理域的安全策略 域控制器安全策略：该工具用于创建和管理域控制器的安全策略 查看用户和组账号的位置 活动目录安装成功

12、后，计算机上的用户和组账号的位置会发生变化。在DC上打开【计算机管理】控制台，发现已经看不到【本地用户和组】工具。计算机管理控制台工具 在DC上使用【Active Directory用户和计算机】工具来管理用户和组账号。在DC上依次打开【开始】【程序】【管理工具】【Active Directory用户和计算机】，在控制台下打开Users容器qiufen【Active Directory用户和计算机】工具管理用户和组 查看SYSVOL（系统卷）文件夹对DC来说SYSVOL文件夹非常重要，如果SYSVOL文件夹创建的不正确，那么存储在此文件夹下的组策略、脚本等就不能正确的分发给域中的计算机，也无法

13、在DC之间进行复制。SYSVOL文件夹位于%systemroot%下，其中包含以下几个文件夹，如后图所示。nDomain（域）nStaging（分级）nStaging areas（分级区域）nSysvol（系统卷）验证SYSVOL文件夹 （5）查看活动目录数据库和日志文件 缺省情况下活动目录数据库和日志文件存放在%systemroot%NTDS文件夹下，其中ntds.dit是活动目录数据库文件，还有检查点文件edb.chk、日志文件edb.log和保留日志文件res*.log等。验证活动目录数据库和日志文件 活动目录域与DNS服务是紧密结合的，如果要使一个活动目录域正常工作，必须要有相应的DN

14、S区域来支持它，而且还要有服务资源记录（SRV记录）。如下图所示为在DNS服务器上打开DNS控制台查看活动目录域的区域情况。在DNS服务器中查看活动目录域的SRV记录 查看查看DNSDNS数据库数据库查看事件日志 安装活动目录后打开事件查看器可以看到增加了一个日志“目录服务”，在此会记录有关活动目录的信息。查看事件查看器 五五 将计算机加入到域将计算机加入到域 1、哪些计算机能成为Windows Server 2003域的成员 下面的操作系统主机可以成为域的成员：nWindows NTnWindows 2000nWindows XPnWindows Server 2003 系统属性对话框中“计

15、算机名”标签 把计算机加入到域 为了更好地管理网络中的资源，充分利用活动目录的特点，应该把网络中的客户端计算机加入到域，这样管理员就可以对域中的计算机进行集中的配置和管理步骤1、配置客户机的首选DNS服务器2、将计算机加入域指定该计算机要加入的域的名称 xhce输入有加入该域权限的用户名和密码 加入域成功对话框 OUOU的创建的创建功能型SCMS SalesC ConsultantsM - Marketing混合型例子 功能 组织 位置 功能 组织 位置组织型MERM ManufacturingE EngineeringR - Research位置型NFIN Norway F FranceI

16、Indonesia 可以根据各种因素创建OU域模式域模式lWindows 2000混合模式域控制器 (Windows 2000/Server 2003)域控制器 (Windows NT 4.0)lWindows Server 2003 模式域控制器全部都是(Windows Server 2003 )lWindows 2000本机模式域控制器 (Windows 2000)域控制器 (Windows Server 2003 ) 域模式是用来为了兼容老版本操作系统的域控制器，而限制某些新的功能。Active DirectoryActive Directory对象类别如下对象类别如下 1、 用户（Us

17、er）：作为安全主体，被授予安全权限，可登录到域中作为安全主体，被授予安全权限，可登录到域中。 2、计算机（Computer）：表示网络中的计算机实体，加入到域的表示网络中的计算机实体，加入到域的Windows NT/2000/XP/2003Windows NT/2000/XP/2003计算机都可创建相应的计算机账户。计算机都可创建相应的计算机账户。 3、联系人（Contact）：一种个人信息记录。联系人没有任何安全权一种个人信息记录。联系人没有任何安全权限，不能登录网络，主要用于通过电子邮件联系的外部用户。限，不能登录网络，主要用于通过电子邮件联系的外部用户。 4、组（Group）：某些用户

18、、联系人、计算机的分组，用于简化大量某些用户、联系人、计算机的分组，用于简化大量对象的管理。对象的管理。 5、 组织单位（Organization Unit）：将域细分的将域细分的Active Active DirectoryDirectory容器。容器。 6、 打印机（Printer）：在在Active DirectoryActive Directory中发布的打印机。中发布的打印机。 7、 共享文件夹（Shared Folder）：在在Active DirectoryActive Directory中发布中发布的共享文件夹。的共享文件夹。 8、 InterOrgPersion：标准的用户对

19、象类，对于标准的用户对象类，对于Windows Server Windows Server 20032003域功能级别来说，可以作为安全主体。域功能级别来说，可以作为安全主体。管理容器管理容器 1、 Builtin：用来存放默认内置组（如用来存放默认内置组（如Account Account OperatorsOperators或或AdministratorsAdministrators）对象。）对象。 2、Computers：包含包含Windows 2000Windows 2000、Windows Windows XPXP和和Windows Server 2003Windows Server

20、2003计算机对象计算机对象。 3、 Domain Controllers：运行运行Windows 2000Windows 2000或或Windows Server 2003Windows Server 2003的域控制器的计算机对象的域控制器的计算机对象。 4、 ForeignSecurityPrincipals：存储有信任存储有信任关系的域的对象。关系的域的对象。 5、 Users：包含域内用户账户和组。包含域内用户账户和组。域用户和计算机帐户域用户和计算机帐户 活动目录用户帐户 用户帐户是用来记录用户的用户名和密码、隶属的组、可以访问的网络资源，以及用户的个人文件和设置。 每个用户都应在

21、域控制器中有一个用每个用户都应在域控制器中有一个用户帐户，才能访问服务器，使用网络上的资源户帐户，才能访问服务器，使用网络上的资源 域用户账户域用户账户本地用户帐号 (存储在本地计算机)域用户帐号 (存储在活动目录中)Windows Server 2003 域 域用户账户的创建域用户账户的创建 输入用户的基本信息和登录名称 用户密码用户属性对话框 用户登录名用户登录名（Windows 2000以前版本）在域中必须惟一最长20字符 登录时间限制用户登录到域的时间 可以登录的计算机定义了账户可以登录的计算机列表 配置域用户账户的属性配置域用户账户的属性基于位置的设计UsersNorth Ameri

22、caUsersSouth America基于业务的设计UsersAccountingUsersSales域用户账户的创建域用户账户的创建 用户的存放地点帐号选项说明User must change password at next logon用户在下次登录时必须修改用户在下次登录时必须修改密码密码User cannot change password用户无权修改自己的密码用户无权修改自己的密码Password never expires用户密码永不过期用户密码永不过期Account is disabled用户不能使用此帐号登录用户不能使用此帐号登录域用户账户的创建域用户账户的创建 管理域用户和

23、计算机帐户 就活动目录的管理而言，【Active Directory用户和计算机】是使用最为频繁的工具。该工具可以用来建立、编辑或删除网络中的用户、计算机、组、组织单位、域、域控制器，以及发布网络共享资源 域用户账户的删除和移动域用户账户的删除和移动组织单元 1组织单元 2域 删除用户 移动用户直接鼠标拖动配置域用户账户的属性配置域用户账户的属性 登录名 登录时间 可以登录的计算机 配置文件/主文件夹组的实现与管理组的实现与管理GroupGroupGroupGroupGroupGroupGroupGroup 组的分类组的分类组的类型说明安全组用于设置用户权限和权利，用于设置用户权限和权利，也可

24、用于邮件分布列表也可用于邮件分布列表通讯组只用于邮件分布列表只用于邮件分布列表 组的作用域与成员资格组的作用域与成员资格支持的域控制器Windows NT Server 4.0, Windows 2000, Windows Server 2003Windows 2000, Windows Server 2003Windows Server 2003支持的组的范围全局全局, 域本地域本地全局全局, 域本地域本地, 通用通用全局全局, 域本地域本地, 通用通用Windows 2000 mixed (default)Windows 2000 nativeWindows Server 2003域本地组

25、域本地组成员Mixed mode: 任何域中的用户帐号和全任何域中的用户帐号和全局组局组Native mode: 任何域中的用户帐号、全任何域中的用户帐号、全局组和通用组，以及同一个域中的域本局组和通用组，以及同一个域中的域本地组地组 可成为成员Mixed mode: 无无Native mode: 同一个域的域本地组同一个域的域本地组范围域本地组所属的域域本地组所属的域权限域本地组所属的域域本地组所属的域全局组全局组成员Mixed mode: 同一个域的用户帐号同一个域的用户帐号Native mode: 同一个域的用户帐号和全局组同一个域的用户帐号和全局组可成为成员Mixed mode: 任何

26、域的域本地组任何域的域本地组Native mode: 任何域的域本地组和通用组，以任何域的域本地组和通用组，以及同一个域的全局组及同一个域的全局组范围本域和所有被信任的域本域和所有被信任的域权限森林中所有的域森林中所有的域通用组通用组成员Native mode: 森林中任何域中的用户帐号、全森林中任何域中的用户帐号、全局组、和其他通用组局组、和其他通用组Mixed mode: 不可用不可用可成为成员Mixed mode: 不可用不可用Native mode: 任何域中的域本地组和通用组任何域中的域本地组和通用组范围森林中的所有域森林中的所有域权限森林中的所有域森林中的所有域管理域中的组管理域中

27、的组 创建组创建组 设置组信息设置组信息 添加组成员添加组成员 设置组管理者设置组管理者 AGDLP域用户A加入到域全局安全组G，然后在“本地用户和计算机”中创建一个本地组DL，把G加入到DL中，最后为DL分配权限。 组的成员和隶属于属性组的成员和隶属于属性团队或组全局组域本地组成员隶属于N/ADenver AdminsTom, Jo, and Kim成员Member OfN/AVancouver AdminsSam, Scott, and Amy成员隶属于Tom, Jo, KimDenver OU AdminsDenver Admins成员隶属于Tom, Jo, KimDenver OU AdminsDenver Admins成员隶属于Sam, Scott, AmyVancouver OU AdminsVancouver AdminsDenver OU Admins成员隶属于Denver Admins,Vancouver AdminsN/A 用户配置文件概念 用户的桌面工作环境，包括桌面、开始菜单、我的文档、以及其他指定的设置一般存储在操作系统所在分区上的Documents and Settingsusername文件夹里 用户配置文件类型 本地用户配置文件 漫游用户配置文件 强制用户配置文件 临时用户配置文件 实现漫游用户配置文件