项目6-active-directory域服务的配置与知识讲解

1、项目6-Active-Directory域服务的配置与管理项目6 Active Directory域服务的配置与管理域服务的配置与管理 n6.1 真实情景导入 n6.2 Active Directory与域与域 n6.3 任务1-安装Windows Server 2008域控制器 n6.4 任务2-Windows Server 2008活动目录的管理 n6.5 回到工作情景n6.6 项目实训-活动目录的安装与管理 6.1 真实情景导入 工作场景Contoso是一家IT公司，随着该公司规模的不断壮大，不仅部门增多，个人计算机和服务器的数量也越来越多。作为网管员的小明面对各种各样的管理问题，比如因

2、为几百台计算机要上千人公用，还要能保证安全，就要给每个人在每台机器上都设置用户名密码，来了新同事，要在每台机器上给他开新账号，他离职了，还要每台机器删除该账号，这无疑是一个令人疯狂的工作，但是，小明想到了域控制器和活动目录。假设该公司的域名是。 引导问题n(1) 如何创建Active Directory？创建时对服务器有什么要求？创建完成后如何管理？n(2) 一台Windows客户机如何添加到域中？如何使用Active Directory中的资源？n(3) 组织单位是什么？如何创建和管理？n(4) 域用户账户和本地用户账户有何区别？如何创建和管理域用户账户？n(5) 域组账户和本地组账户有何区

3、别？如何创建和管理域组账户？ 6.2.1 工作组n1工作组的概念 n2如何加入和退出工作组6.2.2 域域 n1域名例子 n2域（Domain） 是一个比工作组更严格的单位，但它可以包含若干个工作组。 n3. 域控制器 在“域”模式下，至少有一台计算机负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC） n4.活动目录 域控制器中包含了由这个域的账户、密码甚至该域其他计算机的软硬件信息等构成的数据库，该数据库也称为活动目录（Active Directory，简写为AD） 6.2.3 域和工作组的区别域和工作组的区别

4、 n 工作组可以说是“自由市场”， 有几个工作组就有几个“自由市场”， 你可以随时自由出入而没什么限制，从网上邻居最先看到的往往是自己机器所在的工作组的机器们。而域是严格控制权限的“私人会所”， 没有正确的域用户是根本无法登录到域上的，也就无法访问域所控制的资源。 6.2.4 域树和域林域树和域林 域 域树 域林 6.2.5 活动目录及其结构活动目录及其结构 n活动目录（Active Directory）是Windows Server 2008系统中提供的目录服务，用于存储网络上各种对象的相关信息，以便于管理员查找和使用。 n目录是一个用于存储用户感兴趣的对象信息的信息库。所谓目录服务就是结构

5、化的网络资源信息库，如计算机、用户、打印机、服务器等。 6.2.6 域中的计算机分类域中的计算机分类 n（1）域控制器 n（2）成员服务器 n（3）独立服务器n（4）域中的客户端 6.3 任务1-安装Windows Server 2008域控制器 n6.3.1 建立第一台域控制器 n6.3.2 在域中创建新用户 n6.3.3 客户机登录到域 6.3.1 建立第一台域控制器建立第一台域控制器 n1域控制器的安装域控制器的安装 （1） 在安装好windows server 2008之后，启动后会弹出“初始任务配置窗口”，如图6.9所示。 图6.9 初始配置任务 n（2）选择“自定义此服务器”中的“

6、添加角色”，弹出“添加角色向导”，如图6.10所示，在开始之前首先，要求验证管理员是否具有强密码，是否已配置静态IP地址，是否已安装最新的安全更新，如果上面的部分没有完成，再后续的步骤中会出现警告信息或者错误，严重的会导致域控制器无法安装。 1域控制器的安装域控制器的安装图6.10添加角色向导 1域控制器的安装域控制器的安装n（3）选择“自定义此服务器”中的“添加角色”，在“添加角色向导”对话框中的左边选择“服务器角色”，右边选择“Active Directory域服务”，如图6-11所示。 图6.11 选择服务器角色 1域控制器的安装域控制器的安装n（4）需要注意的是由于AD在某些版本的wi

7、ndows server 2008上必须有“.NET Framework”功能的支持，所以在这一步后有时要求安装“.NET Framework 3.5.1功能”，此时只需按照向导多执行一步即可。演示用的版本不需安装。点击【下一步】即可。 图6.12 Active Directory域服务 1域控制器的安装域控制器的安装n（5）在“Active Directory域服务”对话框中，向导会给出四点注意事项，如图6.12所示，根据这些注意事项可以了解到安装AD前后操作应该执行的任务和AD需要的服务。点击【下一步】继续。点击【安装】继续，最终达到如图6.14安装结果。 图6-14 安装结果 1域控制器

8、的安装域控制器的安装n6）当出现“安装结果”对话框时，如果没有错误，只有如图6.14所示的没有开启更新的警告信息，则可以直接忽略，此时AD的安装准备已经完成，但是由于该台计算机还不能完全正常运行DC，所以提示需要启用AD安装向导（dcpromo.exe）来完成安装安装结束，选择“关闭该向导并启动Active Directory域服务器安装向导（dcpromo.exe）”或者直接点下面的【关闭】按钮，然后在运行对话框中输入“dcpromo“，如图6.15所示。 图6.15 运行dcpromo命令 1域控制器的安装域控制器的安装n（7）确定后经过系统自动检测，将出现AD安装向导的欢迎界面，如图6.

9、15所示。在该对话框中可以选择使用标准或高级模式来进行安装。对于高级模式是提供给有经验的用户，该模式对安装过程有更多的控制。此外，还可直接在命令提示符下运行带有/adv开关的dcpromo命令（dcpromo /adv）来启动高级向导。这里我们暂不选择高级模式。直接【下一步】按钮继续安装，如图6.16所示和图6.17所示。 图6.16 域服务安装向导 图6.17 操作系统兼容性 1域控制器的安装域控制器的安装n（8）由于目的是部属企业中的第一个DC，所以在此应选择“在新林中新建域”。因为，创建新林需要管理员权限，所以必须是正在其上安装AD的服务器本地管理员组的成员。继续【下一步】按钮，如入6.

10、18所示。 图6.18 选择部署配置 1域控制器的安装域控制器的安装n（9）在“域服务安装向导”中选择“在新林中新建域”，下一步，对域林的根域进行命名，如图6.19所示。需要在之前对DNS基础结构有一个完整的计划。必须了解该林的完整DNS名称。可以在安装AD之前先安装DNS服务器服务，或者在下面安装过程中直接选择让AD安装向导安装DNS服务器服务。图6.19 设置域名 2.设置林功能级别设置林功能级别 n（1）建议选择“windows server 2008”，但此时只能向该林中添加运行Windows Server 2008或更高版本的域控制器。由于选择2000时，某些高级功能在该域控上不可用

11、，如图6.20所示。 图6.20 选择林功能级别 2.设置林功能级别设置林功能级别n（2）单击【下一步】按钮，安装DNS服务器。如图6.21所示。 图6.21 为域控制器选择其他选项 2.设置林功能级别设置林功能级别n（3）单击【下一步】按钮会弹出如图6.22的警告对话框，选择“是”。这个对话框的出现是由于配置其它服务器时，选择了“DNS服务器”选项，而当前计算机又未找到指定域的权威父域Windows DNS服务器，从而无法确定是否对指定域进行了委派导致的。图6.22 警告信息 2.设置林功能级别设置林功能级别n（4）接下来确定AD数据库、日志文件和SYSVOL放置的位置，如图6.23所示。对

12、于数据库来讲主要存储有关用户、计算机和网络中其它对象的信息；日志文件记录与AD有关的活动；SYSVOL存储组策略对象和脚本，其默认是位于C:windows目录中的操作系统文件的一部分。 图6.23 设置存储位置 2.设置林功能级别设置林功能级别n（5）点击【下一步】按钮，向导要求输入“目录还原模式的Administrator密码。如图6.24所示。图6.24 输入目录还原模式的Administrator密码2.设置林功能级别设置林功能级别n（6）点击【下一步】按钮，显示安装摘要如图6.25所示，并且可以单击“导出设置”将在此向导中指定的设置保存到一个应答文件。然后，可以使用应答文件自动执行AD

13、的后续安装。图6.25 安装摘要2.设置林功能级别设置林功能级别n（7）点击【下一步】按钮，安装向导执行安装操作（如图6.26）。如果没有勾选“完成后重新启动”复选框，则执行完毕后，AD安装向导将出现完成安装页，如图6.27所示。图6.26 安装操作 图6.27 完成安装2.设置林功能级别设置林功能级别（8）点击【完成】按钮。系统会提示需要重新启动计算机配置才能生效如图6.28所示。点击“立即重新启动”完成DC安装操作。图6.28 重启提示2.设置林功能级别设置林功能级别n（9）重启后我们来验证下域控制器是否安装成功，首先看一下AD数据文件是否产生，打开“计算机本地磁盘C:windowsNTD

14、S文件夹，如果有ntsd.dit文件，说明AD数据文件正常，如图6.29所示。图6.29 ntds文件存在2.设置林功能级别设置林功能级别n（10）再者是看DNS服务是否工作正常，与域相关的资源记录，特别是SRV记录是否正确写入。如图6.30所示。图6.30 DNS服务正常6.3.2 在域中创建新用户在域中创建新用户n（1）点击“开始” “管理工具”“Active Directory用户和计算机”，打开Users文件夹，如图6.31 所示，在右面，我们最常用到的3个用户是Administrator、Domain Admins和Domain users。图6.31 域用户n（2）要新建域账户的话

15、，直接在左侧Users文件夹上右击，选择“新建”“用户”，建立名为zhangming的账户，如图6.32所示。6.3.2 在域中创建新用户在域中创建新用户图6.32 新建用户n（3）点击【下一步】按钮，输入并确认密码，如图6.33所示。6.3.2 在域中创建新用户在域中创建新用户图6.33 设置密码和密码策略n（4）单击【下一步】按钮完成。如此时弹出错误提示，一般是因为用户密码的复杂度不够，参照项目3更改密码复杂度即可。如图6.34所示。6.3.2 在域中创建新用户在域中创建新用户图6.34 用户创建完成n（5）用户创建完成后，出现zhangming账户，如图6.35所示。6.3.2 在域中创

16、建新用户在域中创建新用户图6.35 新账户出现6.3.3 客户机登录到域客户机登录到域n（1）客户机要登录到域，首先需要跟域控制器联通，比如我们以windowsXP为例，设置客户机的地址如图6.40所示，设置后可在命令行界面使用ping命令测试两台计算机是否能通信。图6.40 填写IP6.3.3 客户机登录到域客户机登录到域n（2）如果能够联通，右击“我的电脑”，选择“属性”，在打开的“系统属性”中选择“计算机名”选项卡， 选择【更改】按钮，弹出“计算机名称更改”对话框，填写域名，如图6.41所示。图6.41 填写图域名6.3.3 客户机登录到域客户机登录到域n点击【确定】按钮，要求输入“有加

17、入该域权限的账户的名称和密码”，此时既可以使用域控制器的账户和密码，也可回到域控制器，在上面新建一组所需权限的账户和密码，输入即可，这里我们使用DC原有的账户administrator密码123，如图6.42所示。图6.42 输入DC中的账户和密码6.3.3 客户机登录到域客户机登录到域n（3）点击【确定】按钮，加入域成功，要求重启计算机生效。如图6.43所示。n（4）重启后就可以用administrator和密码123的域账户登录了。登陆后发下系统是一个全新的环境了。登录时选择登录到contoso，输入密码后就以域用户的身份登录了，如图6.44所示。图6.43 加入域成功图6.44 登录到域

18、6.3.3 客户机登录到域客户机登录到域n（5）在域控制器中，点击“开始” “管理工具” “Active Directory用户和计算机”，我们发现，机器“CHARRY”已经在DC中了。如图6.45所示。图6.45 客户机已加入域中6.4 任务2-Windows Server 2008活动目录的管理活动目录的管理n6.4.1 活动目录用户和计算机n6.4.2 活动目录域和信任关系n6.4.3 活动目录站点复制服务6.4.1 活动目录用户和计算机n活动目录用户和计算机管理的具体操作步骤如下。n（1）单击“开始” “管理工具”“Active Directory用户和计算机”菜单项，打开“Activ

19、e Directory用户和计算机”窗口，如前面的图6.31所示。n（2）在图6.31所示窗口的左边，选择“Computers”，可以显示当前域中的计算机，即成员服务器和工作站，这里是我们新建的域，所以无服务器和工作站。n（3）在图6.31所示窗口的左边，选择“Domain Controllers”，可以显示当前域中的域控制器。n（4）在图6.-31所示窗口的左边，选择“Users”或者“Builtin”，可以显示域中的用户或组等情况。6.4.2 活动目录域和信任关系（1） 传递信任关系。（2）不传递信任关系。 （3）单向信任关系。（4）双向信任关系。6.4.3 活动目录站点复制服务 （1）站点间复制（2）站点内复制（3）管理复制6.5 回到工作情景n工作过程一：安装安装Active Directory域服务器域服务器(1)规划与安装操作系统(2)利用添加角色向导安装Active Directory域服务(3)运行Active Directory域服务安装向导(4)检查DNS服务器内SRV记录的完整性n工作过程二：将客户机加入域将客户机加入域(1)在客户机上，配置 TCP/IP属性，指定DNS服务器的地址(2)打开【系统属性】对话框，选中【域】单选按钮，输入要加入的域的名称。(3)输入具有加入到域权限的账户名称和密码(4)重新启动客户机，登录到域n【工作过程三】创建组织