刚active directory共10章节第1章搭建单域环境

1 知道在域环境中通过DNS能够将WindowsServer2003的域控制器升级到WindowsServer 工作组域功域 服务器在域环境中的作活动域服务角色要求系统(DNS)服务按名称查找计算机、域控制器、成员服务器和网络服务。DNS服务器角色通过将名称到IP地址为基于TCP/IP的网络提供DNS名称解析服务，从而使计算机可以查找ADDS 通常情况下，DNS和DC两个服务装在同一个计算机上。DNS上的SRV记录是由域控制器上去的。客户机如果要想找到域控制器，客户机的DNS必须指向域控制器的上DNS。首先搭建一个单域环境，掌握活动的功能，后面的章节将会讲授活动树活动林，以及林之间的信任。在现阶段只介绍单域单域控制器环境中如何使用活动集中管理和统一验证。XP和Windows7计组织单元，实现集中的管理。网络环境如图1-1所示。1-1实验环 EduPC1是培训部的计算机，安装的Windows7marketPC1是市场部的计算机，安装WindowsXP1.2.1在DCServer上安装活 和DNS服作为DNS服务器和域控制器，要求IP地址必须是固定的。因此安装活动 前需要将IP地址设成固定的。域控制器需要向DNS相应的SRV记录，因此将首选的DNS服务器设置为自己的IP地址。 图1-2更改IP地址和首选 图1-3安装活 命图1-4准备二进制文 图1-5安装活 向图1-6操作系统兼容 图1-7在新林中新建如图1-8所示，在出现名框，输入 图1-8输 林的名 图1-9选择林功能级图1-10选择域功能级 图1-11同时安装DNS服务图1-12提示 图1-13指定数据库文件和日志文件位 和确图1-14指定活 图1-151-16安装活 后的检 后，首选DNS会指定成，所以启动后的第一件事就是将首选的DNS指向自己的IP地址。提示：这些SRV记录是域控制器的。通过这些记录，客户机能够找到 后，发现SRV记录不全。客户端就没有办法找到域控制器。如何做呢？请看下面的任务。图1-17将首选的DNS指向本机的IP地 图1-18域控制器项DNS的SRV记 “ActiveDirectory用户和计算机”→ ，如图1-19所示。 图1-19活 默认结 图1-20启用高级功 1-21启用高级功能后看让域控制器向DNS服务器SRV记 域控制器向DNSSRV记录。如图1-22所示，右击 办法通过DNS找到 图1-22删除整个区 图1-23新建正向查找区区域自己的IP地址。图1-24指定区域类 图1-25指定活 提示：_msdcs这是固定格式，比如您安装的林的名称是 图1-26创建正向查找 图1-27允许安全更 图1-28创建正向查找区 图1-29创建好的两个正向查找netlogon服务。该服务只有域中的计算机是自动启动的，工作组中的计算机默认该服务是关闭的。图1-30重启netlogon服 图1-31域控制器向DNSSRV记录成 记录不成功的可能的原 有可能还是不能SRV记录到DNS服务器上，以下是总结的需要检查的几点。 1-32正向查找区允许安 图1-33域控制器的全名必须有后 图1-34提示 默认已经选中了“在域成员变化时，更改主DNS后缀”，如图1-36所示，输入 1-36图1-37在DNS中此连接的地将计算机加入 中创建计算机帐号，每台加入域并运行WindowsNT、Windows2000、WindowsXP或WindowsVista的计算机或者运行WindowsServer2003或WindowsServer2008的服务器都具有@echo join 图1-38内以下将会将计算机加入 @echo join 图1-39更改使用的首选 图1-40更改系统属图1-41输入域帐户和图1-42成功加入图1-43登录 图1-44选择登录的帐如图1-45所示，输入netdom puterprofile/newname:fileserver更改“join /REBoot:5图1-45更改计算机名 图1-46加入域重 用户和计算机管理工具，查看加入域的计算机帐号，默认会放在computers 1-47默认计算机帐户位将计算机加入到指定组将计算机加入到域，会自动的在computers中创建计算机帐号，如果想计算机计算机加入域时自动的出现

象象图1-48创建组织单 图1-49输入组织单元名图1-50在组织单元中创建用 图1-51输入用户信图1-52输入和确认图1-53完成用户创图1-54新建计算机帐 图1-55输入计算机名图1-56查找用户 图1-57选择用图1-58打开网络和共享中 图1-59打开本地连图1-60更改使用的DNS服务 图1-61打开服务器属 图1-62更改设 图1-63加入到图1-64输入帐 图1-65加入域成禁用计算机1-66禁用计算机帐图1-67登录到 图1-68登录失将计算机退 中删除，如图1-69所示，。1-69将计算机退出域您也可以使用将WindowsServerCore计算机退出域：@echooffnetdomremove /1-70将计算机退出域环境中计算机名称解WINS服务器来实现。在域环境中，计算机可以使用DNS实现计算机名解析，而不用配置WINS服务器。定，通过DNS服务器解析出IP地址。比如域中的计算机marketPC1计算机需要解析eduPC1，会构DNS观察域中DNS配置客户机自DNS名 图1-71域中计算机的A记 图1-72打开区域属如图1-73所示，在出现的 如图1-74所示，在marketPC1上，右击 图1-73DNS的区域必须允许动态更 图1-74域中计算机全 图1-75配置使用的 图1-76在DNS中此连接的地如图1-77所示，在命令行提示符下输入ipconfig/all可以看到主DNS后缀： 以看到DNS搜索列表： 和。 会在计算机名后添加edu2act后缀构造完整的计算机名，通过DNS解析。这就是DNS搜索列表的作用。 图1-77查主DNS后缀和DNS搜索列 图1-78构造的完整的 一个IT管理两个城市的销售部。组织单位的创建应该以部门优先，在以地理位置创建子组织单位，如图1-80所示。1-80以部门创建组织单 组织单元设计过 组织要求的管理IT结构。设计组织单元的第一步是识别组织的结构。整理现在的的组织结构：当整理现在的组织结构时，将管理任务分类，然后决定每类管理任务由哪些IT部门合并对管理来.确定每中的管理员和用户以及他们管理的资源.这些信息将帮助你明确指派给组织单元的所有者和影响组织单元结构的部门组织的IT部门的用户，这些用户成为本地的管理员来支持本地用户。分散的IT：这种类型的组织有不同的商业单元，可以选择适当的IT模式来提供服务。比如有多个IT团队来满足不同的需要和目标。任何时候，只要进行公司范围的技术整合，比如升级一个信息应用程序，这IT团队必须一起工作实现变化。限时，必须由第给该组织授予适当的权限。这样该组织的IT团队，就可以在权限允许的范围内管理组支有他们自己的管理团队来管理本地资源。组织单元结IT组织是集中的，但网络管理地理上分散，那么，根据位置位置组织活动结构可能是最好的策略，分布管理的集中的IT可以选择该策略。组织：通过部门或分部分开的管理的组织，可以选择基于组织结构的活动设计。当设计的活动你设计活动结构来反映组织图，将很难委派权限，因为活动中的对象，如和文件夹，可能没有分散的IT功能的组织可以从该策略中受益。商业功能：一个分散管理的组织可以选择基于组织功能的活动结构设计。一个基于功能的层次对工作任IT功能和部门分开性很强的分散的组织，可以采用具有基于位置的上部的层和基于什么是委派管理可以为适当的用户和组指派一定范围的管理任务。可以为普通用户和组指派基本管理任务，而让Admins和EnterpriseAdmins组的成员执行域范围和林范围的管理。通过委派管理，可以使组织内的组地控制ActiveDirectory定义了特定的权限和用户权利，可用于委派或限制管理控制权。通过使用组织单位、组和权限组织单元的管理任 委派管理控制指导你可以委派管理权限来到简化管理和降低管理成本。在委派管理以前，你必须确定谁能够活动对象以ActiveDirectoryActiveDirectory对象的默认权限 WindowsServer2003中的控制列表(ACL)具有单实例的特性：如果多个对象拥有相同的控制列表(ACL)，ActiveDirectory将只ACL的一个实例。有关ActiveDirectory对象的继承方式的详细信，对他们每个人使用一个控制项(ACE)将很有意义，而不是授予对于整个用户对象的写入权限来尝试只使用一个ACE。使用组委派的权限。如果一组用户需要“”权限，另一组用户需要“更改”权限，则应为每一组用如果所有ActiveDirectory权限的总大小接近域控制器的磁盘空间或处理速度能力，域操作可能受到影响。 员，需要委派培训部门的用户帐户能够在该部门创建和管理用户和组。需要市场部门的用户帐 EduPC1是培训部的计算机，安装的Windows7marketPC1是市场部的计算机，安装WindowsXP在DCServer上创建组织单 图1-81创建组织单 图1-82输入组织单元名1-83创建的服务器组组在组织单元中创建 图1-84创建用 图1-85输入用户信如图1-86所示，在出现的输入框，输入 图1-86输入和确认图1-87完成用户创将计算机和用户移动到选中computers 右击选中的计算机帐户，点击“移动”，如图1-88所示。图1-88移动选定的计算 图1-89选择目标组织单1-90委派图1-91委派控 图1-92委派控制向图1-93添加委派的用 图1-94选择用户改户改图1-95选择用 图1-96委派常规任图1-97完成委派控制向 图1-98对市场部进行委派控图1-99委派控制向 图1-100添加要委派的用图1-101选择用 图1-102选择用图1-103创建自定义的任务去委 图1-104选择对象类图1-105选择完全控 图1-106完成委派控验证委派 二次登录（SecondarylogonRunasWindows命令，它允许一个用户使用不同用 图1-107安装WindowsServer2003管理工 图1-108使用域用户登如图1-109所示，点击“开始”→“所有程序”→“管理工具”→“ActiveDirectory用户 图1-109打开ActiveDirectory用户和计算 图1-110新建图1-111输入组的名 图1-112禁用用图1-113禁用用 图1-114将用户添加到如图1-115所示，在出现的选择组 图1-115输入组 图1-116对其他组织单元没有管理权图1-117二次登 图1-118更改用户图1-119验证完全控制 图1-120对其他组织的权撤销委派（ACL任务 图1-121启用高级功 图1-122打开培训部属图1-123查看安 图1-124删除特定权验证撤销的1-125验证撤销的权删除组织

图1-126启用高级功 图1-127打开组织单元属图1-128去掉保 图1-129删除组织单图1-130删除组织单winNTwin2000、win2003、win2008都提供提供活动功能，然而不同操作系统运行的域都提供不同功Windwos2003ActiveDirectory中提供了比Windows2000ActiveDirectory更高的功能级别，称为提升到Windwos2003模式。森林功能级别的提升需要手动完成。域功能域功能激活只影响整个域和该域的功能。WindowsServer20008功能级别支持五功能级别，一下分别介绍五功1：Windows2000混合模式（默认）Windows2000WindowsNT的任意组合系统。Windows2000域控制器和WindowsNT4.0备份域控制器可以在同一个域中无缝共存而不会出现任何问题。当然Windwos3：WindowsServer2003Windows2003WindowsNT4域控制器的混合使用。但不能与Windows2000域控制器混合使用。显见支持的域控为Windows2003WindowsNT4.此级别内没有域范围的激活功能。该模式只在将NT4的域控升级到Windows2003域控时使用4：WindowsServer2003Windows2003Windows2008。支持的功能包括：Netdom.exe提供的域控制器重命名功能、更新登录时间戳。将使用用户或计算机的上次登录时间来更新lastLogonTimestamp属性。可以在域内该在 puters,<域根>和cn=Users,<域根>。该功能可用于定义这些帐户新的已知位置。管理器能够将其策略在ActiveDirectory域服务(ADDS)中包含受限制的委派，以便使应用程序可通过Kerberos验证协议充分利用用户凭据的安全委派。可以将委SYSVOL的分布式文件系统支持，可提供SYSVOL内容的更稳健更详细的Kerberos协议的高级加密服务（AES128256）域功能级别的评仅仅适合从NT域环境升级到Windows20003：WindowsServer20034：WindowsServer2003域级别windows2003windows20085：WindowsServer2008域级别林的功能ActiveDirectoryActiveDirectory功能及以下功能：值（组成员中的更改为各个成员并值，而不是作为单个单位整个成员。在不WindowsServer2008(RODC)改进的知识一致性检查器(KCC)的算法和可伸缩性。站点间拓扑(ISTG)使用改进的算法，可缩放以支Windows2000ISTGWindows2000林功能级别选择ISTG的性较小的机制。改进的ISTG算法（更好的缩放ISTG用于连接林中所有站点的算法。 将inetOrg 对象实例转换为User对象实例的功能，反之亦然。 协议(LDAP)查询组）类型的实例以支持基于角色的验证WindowsServer2003林功能级别上可用的所有功能，但不提供任何其他功能。但在默认情况下，随后添加到林的所有域，将在WindowsServer2008域功能级别进行操作。提升域功能Windows2003Windows2008WindowsServer2008则 升级到 BDCS域中的附加域控制器，安装WindowsServer20031.6.1PDCServerActiveDirectoryWindowsServer2008Adprep.exe来准备林和域。请务必运行WindowsServer2008安装介质随附的Adprep版本。此版本的Adprep可以添加运行WindowsServer2008的域控制器所需的架构对象和属性，并且可以修改对新对象和现有对象的权限。添加运行WindowsServer2008的域控制器之前，请在承载架构操作主机角色（架构主机）的林中的域控制器中运行一次adprep/forestprep。若要运行此命令，您必须是包括架构主机的域的EnterpriseAdmins组、SchemaAdmins组和 Admins组的成员。此外，请在计划将运行WindowsServer2008的域控制器添加到其中的每个域中，在承载基础结构操作主机角（基础结构主机的域控制器上运行一次adprep/ prep/gpprep。若要运行此命令，您必须为Admins(RODC)adpreprodcprep。您可以在林中的任何计算机上运行此命令。若要运行此命令，您必须为EnterpriseAdmins组的成员。想在包含WindowsServer2000或WindowsServer2003域域环境中添加WindowsServer2008域控制器前需要拓展活动schema。 升级操作系统至WindowsServer图1-131提升域功能级 图1-132提升到WindowsServer如图1-133所示， WindowsServer2008安装光盘，定位到sources\adprep 运行adprep/forestprep 图1-133升级活 架 图1-