第3章工作组、活动目录和域

第3章工作组、活动目录和域3.1工作组3.2活动目录介绍3.3搭建域环境3.4管理域成员3.5域和林功能级别1、IP地址介绍IP地址是32位二进制数（IPV4）为例：

A类IP地址：第1位为0，默认左8位表示网络地址，右24位表示主机地址；B类IP地址：第1、2位为10，默认左16位为网络地址，右16位为主机地址；C类IP地址：第1、2、3位为110，默认左24位为网络地址，右8位为主机地址；D类IP地址：前4位为1110,组播地址；E类IP地址：前4位为1111，科研用地址。子网掩码：

用以区分IP地址中的网络位数和主机位数，为1表示网络位数，为0表示主机位数。广播地址、网络地址：主机位全为1时为广播地址，用于当前网段的广播地址；主机位全为0时为网络地址，用来标识一个网段；3.1工作组（对等网）概述IP子网划分公式：x+y<=待划分IP的主机位数2x>=子网数2y-2>=每个子网主机数例：某单位有6个部门，每个部门最多30台机器，给定IP为182.168.1.0/24（C类地址）；x+y=8;2x>=6；2y-2>=30；求解X=3，Y=5，主机增量为25=32，网络地址为182.168.1.0/27，子网掩码为：255.255.255.224说明：主机段为182.198.1.33-62（子网地址182.168.1.64/27(64为网络地址，63为主广播地址，33-62可用）;主机段为：33-62,65-94，97-126,129-158,161-190,193-222（0-32首块,224-255尾块不能用，每一块中有一个网络地址和广播地址不能用）.3.1工作组（对等网）概述思考：给定C类网络地址192.168.1.0，网段中有2段，网络中最大的网段有50台主机，请问如何规划？3.1工作组（对等网）概述3.1工作组（对等网）概述Windowsserver2008/2003支持工作组（对等网）和域（基于服务器的网路）两种网络类型；工作组结构采用分布式管理模式，适用于小型的网络；域采用集中式管理模式，适用于较大型的网络。工作组由一群用网络连接在一起的计算机组成，网络上每台计算机的地位都是平等的，它们将计算机内的资源（如文件、存储设备、打印机）与其他计算机共享。对等网上不一定要由windowsserver2008,即任何windows操作系统都能构建一个工作组结构的网络。对等网使用方便，安全性不高。3.1工作组（对等网）概述windows2008/2003构建的对等网特点：

每台计算机都有自己的本地安全数据库，如果某用户A要访问其他4台计算机内的资源，必须在每台计算机的本地数据库中建立A用户。若用户的密码改变等，必须将每台计算机内的账户数据进行更新，操作比较麻烦。windows95/98计算机内没有本地安全数据库，任何账户都可以访问它们。windows2003/xp/2008上，如果将Guest账户启用，则任何账户都可访问Guest账户的资源（具有EveryOne的权限）。3.1工作组（对等网）概述基于windows的对等网操作系统提供多种登录级别：用在windows2003/2008中都创建的用户登录windows98,可以访问windows2003/2008；若windows2003/2008中Guest账户被启用，windows98任何用户登录都可以访问windows2003/2008；用在windowsxp中创建的用户（windows2008中没有该用户）登录，不能访问windows2008；通过“网上邻居”可以查看工作组中计算机；用计算机主机名或IP地址进行搜索查找计算机；组建对等网的步骤：1、在要组建对等网的计算机中，新建相同用户和相同密码；2、设置它们的IP在同一个网段，能够ping通；3、在每台计算机中新建一个共享文件夹，设置相同的用户对该文件夹具有完全控制权限；4、用相同的用户登录一台计算机，打开网上邻居，看能否访问其它计算机上的共享资源。工作组缺点工作组”对计算机的管理有如下缺点：工作组中的计算机没有统一的管理机制，每台计算机的管理员只能管理本地计算机，即只能设置本地计算机的安全策略、本地连接和共享等。工作组中的计算机也没有对用户帐户的统一的身份验证机制，用户登录计算机只能使用该计算机的本地用户帐户，由本地计算机来验证用户的身份。当访问网络上的共享资源时，则需要提供访问网络资源的凭据。用户需要记住访问各个服务器用的帐户和密码。工作组的计算机也没有统一查找网络资源的机制，这些网络资源包括网络中的共享的打印机、企业的用户帐户信息和共享文件夹等。3.2活动目录介绍在规模较小的企业环境中，计算机可以使用工作组的形式来组织和管理。但是，如果企业的网络规模较大、地理位置分散，并且网络中的计算机和服务器数量较多，就需要使用域的形式来组织，以便进行集中的管理和集中的用户身份验证。3.2

活动目录介绍1、活动目录概述活动目录(ActiveDirectory)是一种目录服务，组织网络内的全部资源，包括用户、计算机及其他网络设备。域控制器（DomainController）是一台运行WindowsServer2008的计算机。它为网络中的用户和计算机提供活动目录服务，并管理用户和域之间的交互作用，包括用户登录过程、验证和目录搜索等。每个域至少包括一个域控制器，所有的域控制器都是平等的。域的合法用户可以从局域网的客户端登录到域，从而共享域内资源。2、活动目录特点集中管理，可以集中地管理企业中成千上万分布于异地的计算机和用户。便捷的网络资源访问，能够很容易地定位到域中的资源。用户一次登录就可访问整个网络资源，即集中的身份验证。可扩展性，既可以适用于几十台计算机的小规模网络，也可以适用于跨国公司。3.2

活动目录介绍3、DNS服务器在域环境中所起的作用如下：域名解析DNS服务器通过其A记录将域名解析成IP地址。定位活动目录服务客户机通过DNS服务器上SRV记录定位目录服务。3.2

活动目录介绍3.3搭建域环境域是一种层次结构的组织形式，我们可以根据公司规模的大小，搭建合适的域环境。即，如果公司有分公司或子公司，我们可以在域的基础上创建该域的子域，也可以在子域的基础上创建子域的子域。同时，我们也可以将多个域进行合并，成为一个“林”，从而可以对林中的所有计算机进行统一管理。我们首先搭建一个单域环境，掌握活动目录的基础功能。安装活动目录和DNS服务

1)为了防止管理员用户密码为空，在安装前要使用强制密码替换命令

netuseradministratormyq779100??/passwordreq:yes

2)运行中输入dcpromo命令，安装AD，配置域控制器。安装活动目录重启计算机后检查域控制器的IP地址，将首选DNS设为域控制器的IP地址。检查DNS，是否包含相应的选项3.4创建域用户客户端计算机加入到域控制器中，实现资源共享；要将客户端计算机加入到域控制器，首先要有域用户。创建域用户，要遵循域密码策略：密码长度不小于6；密码字符为大写、小写、数字和符号中的三种字符；密码字符不能包含部分和全部用户名。3.5将计算机加入到域1、检查客户