第4章-域与活动目录(改)

第4章域与活动目录学习要点域与活动目录的概念活动目录的创建与配置活动目录的备份与恢复管理组织单元管理信任关系管理复制WindowsServer2003网络操作系统域的定义

域英文叫DOMAIN

域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即TrustRelation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。

域既是Windows网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在Windows网络操作系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域;每个域都有自己的安全策略，以及它与其他域的安全信任关系。

4.1域与活动目录活动目录是Windows网络中的目录服务,有两方面内容：目录和与目录相关的服务。4.1.1活动目录活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问。既提高了管理效率，又使网络应用更加方便。第4章域与活动目录活动目录(ActiveDirectory)主要提供以下功能：①基础网络服务：包括DNS、WINS、DHCP、证书服务等。

②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。

③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。

④资源管理：管理打印机、文件共享服务等网络资源。

⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。4.1域与活动目录

域是在WindowsNT/2000/2003网络环境中组建客户机/服务器网络的实现方式。所谓域，是由网络管理员定义的一组计算机集合，实际上就是一个网络。在这个网络中，至少有一台称为域控制器的计算机,充当服务器角色。4.1.2域和域控制器（DC）4.1域与活动目录当需要配置一个包含多个域的网络时，应该将网络配置成域目录树结构。域目录树是一种树型结构。4.1.3域目录树

在整个域目录树中，所有域共享同一个活动目录，即整个域目录树中只有一个活动目录。

活动目录的域名仍然采用DNS域名的命名规则进行命名。目录树目录树：共用连续名字空间的域就组成一个域目录树。4.1域与活动目录

如果网络的规模比前面提到的域目录树还要大，甚至包含了多个域目录树，这时可以将网络配置为域目录林（也称森林）结构。4.1.4域目录林

4.1域与活动目录

为了让每一用户能够快速查找到另一个域内的对象，微软设计了全局编录（GlobalCatalog，GC）。全局编录包含了整个活动目录中每一个对象的最重要属性（即部分属性，而不是全部），这使得用户或者应用程序即使不知道对象位于哪个域内，也可以迅速找到被访问的对象。4.1.5全局编录域目录林目录林是一个或多个目录树的集合。目录林中的目录树并不共用相同的连续的名字空间。4.2活动目录的创建与配置

图4-3网络规划拓扑图4.2活动目录的创建与配置

4.2.1创建第一个域（1）首先确认“本地连接”属性TCP/IP中首选DNS指向了自己。4.2活动目录的创建与配置启动WindowsServer2003系统，以Administrator权限登录。4.2.1创建第一个域ActiveDirectory安装向导提示操作系统兼容性选择域控制器类型选择创建的域的类型指定域名指定域的NetBIOS名称指定放置ActiveDirectory数据库和日志文件的文件夹数据库日志和系统卷设置DNS注册诊断选择兼容模式设定还原模式管理员密码安装选项摘要提示重启计算机以使更改生效安装完成后，需要重启计算机4.2.2安装后检查1、计算机名安装后检查2.管理工具中会添加包括“ActiveDirectory用户和计算机”、“ActiveDirectory站点和服务”、“ActiveDirectory域和信任关系”等管理工具。3.活动目录对象

安装后检查安装后检查4.ActiveDirectory

数据库ActiveDirectory数据库文件保存在%SystemRoot%\Ntds文件夹中，主要的文件有：Ntds.dit：数据库文件。Edb.log：日志文件。Edb.chk：检查点文件。Res1.log、Res2.log：保留的日志文件。Temp.edb：临时文件。安装后检查5.DNS记录

（1）首先要在

服务器上检查“本地连接”属性，确认能否正常通信。4.2.3安装额外的域控制器4.2活动目录的创建与配置

（2）运行“ActiveDirectory”安装向导。

（3）将该计算机设置为现有域的额外域控制器。

（4）输入拥有将该计算机升级为域控制器权力的用户名和密码。（5）安装向导从原有的域控制器上开始复制活动目录。4.2.5安装额外的域控制器在一个域中可以有多台域控制器。在安装额外的DC时，需要将活动目录数据库由现有的域控制器复制到这台新的DC上。

（1）在要升级为域控制器的独立服务器上，设置“本地连接”属性。4.2.4创建子域4.2活动目录的创建与配置（2）运行活动目录安装向导。（3）选择“新域的域控制器”单选按钮，单击“下一步”按钮；选择“在现有域树中的子域”单选按钮，单击“下一步”按钮。4.2.4创建子域4.2活动目录的创建与配置（4）输入父域的域名以及管理员的账户、密码等。4.2.4创建子域4.2活动目录的创建与配置（5）接着输入子域的NetBIOS名。（6）重新启动计算机，用管理员登录到域中。1.创建DNS域4.2.5创建域林中的第二棵域树4.2活动目录的创建与配置（1）展开DNS管理窗口左部的列表，右击“正向查找区域”，选择“新建区域”命令。

1.创建DNS域4.2.5创建域林中的第二棵域树4.2活动目录的创建与配置（3）选择如何复制DNS区域数据。1.创建DNS域4.2.5创建域林中的第二棵域树4.2活动目录的创建与配置（4）输入DNS区域名称，选择“只允许安全的动态更新”或者“允许非安全和安全动态更新”单选按钮。（5）单击“完成”按钮。4.2活动目录的创建与配置4.2.5创建域林中的第二棵域树2.安装域树的域控制器（1）确认服务器上“本地连接”属性中的TCP/IP的首选DNS指向。（2）运行活动目录安装向导。（3）选择“新域的域控制器”。4.2活动目录的创建与配置4.2.5创建域林中的第二棵域树2.安装域树的域控制器下一步选择“在现有的林中的域树”。4.2活动目录的创建与配置4.2.5创建域林中的第二棵域树2.安装域树的域控制器（4）输入已有域树的根域的域名和管理员的账户、密码。（5）接着输入新域的NetBIOS名,按照原步骤继续设置，直到完成。4.2活动目录的创建与配置4.2.5创建域林中的第二棵域树2.安装域树的域控制器

（6）重新启动计算机，用管理员账户登录，单击“开始”→“管理工具”→“ActiveDirectory域和信任关系”菜单项，可以看到域已经存在了。4.2.6成员服务器和独立服务器4.2活动目录的创建与配置

1．域控制器降级为成员服务器。具体步骤：1）删除活动目录注意要点4.2.6成员服务器和独立服务器4.2活动目录的创建与配置2）删除活动目录

2．独立服务器提升为成员服务器

3．成员服务器降级为独立服务器

1．域控制器降级为成员服务器。具体步骤：1）删除活动目录注意要点4.2.6成员服务器和独立服务器4.2活动目录的创建与配置2）删除活动目录

2．独立服务器提升为成员服务器

3．成员服务器降级为独立服务器删除活动目录删除时要注意以下三点：（1）如果该域内还有其他域控制器，则该域会被降级为该域的成员服务器。（2）如果这个域控制器是该域的最后一个域控制器，则被降级后，该域内将不存在任何域控制器了。因此，该域控制器被删除，而该计算机被降级为独立服务器。（3）如果这台域控制器是“全局编录”，则将其降级后，它将不再担当“全局编录”的角色，因此请先确定网络上是否还有其他的“全局编录”域控制器。ActiveDirectory安装向导全局编录确认删除域控制器应用程序目录分区确认删除管理员密码4.2.6成员服务器和独立服务器4.2活动目录的创建与配置

2．独立服务器提升为成员服务器4.2.6成员服务器和独立服务器4.2活动目录的创建与配置

3．成员服务器降级为独立服务器（1）Windows备份4.3活动目录的备份与恢复1.活动目录的备份（1）Windows备份1.活动目录的备份4.3活动目录的备份与恢复4.3活动目录的备份与恢复1.活动目录的备份（2）命令行备份

若要将活动目录以“backup.bkf”为文件名备份到“D:\backup.bkf”文件夹下，可以在命令提示符下输入：ntbackupbackupsystemstate/J“BackupJob1”/F“D:\backup.bkf”4.3活动目录的备份与恢复2.活动目录的恢复活动目录的恢复应用在下面的三种情况。（1）网络中只有一台域控制器，在重新安装系统后，必须恢复活动目录。（2）如果服务器发生故障，借助于备份文件恢复。（3）利用备份的数据，快速安装新的额外的域外控制器。4.3活动目录的备份与恢复2.活动目录的恢复4.3活动目录的备份与恢复4.4活动目录的管理

OU是组织单元，在活动目录（ActiveDirectory，AD）中扮演特殊的角色，它是一个当普通边界不能满足要求时创建的边界。OU把域中的对象组织成逻辑管理组，而不是安全组或代表地理实体的组。OU是可以应用组策略和委派责任的最小单位。4.4.1在活动目录中使用OU

组织单元是包含在活动目录中的容器对象。创建组织单元的目的是对活动目录对象进行分类。1．组织单元4.4.1在活动目录中使用OU

创建组织单元有如下好处：（1）可以分类组织对象，使所有对象结构更清晰。（2）可以对某些对象配置组策略，实现对这些对象的管理和控制。（3）可以委派管理控制权，如管理员可以给不同部门的网络主管授权,让他们管理本部门的账号。4.4活动目录的管理● 谨慎添加OU：只在必要的时候才添加OU，不要建太多的OU,建议不要为个别用户创建OU。●保持层次简单：不要一开始就创建多层OU，也不要使OU的层次太深。●OU与组的区别：真正的差别在于安全模型-组策略与权限。2．使用OU注意要点4.4.1在活动目录中使用OU4.4活动目录的管理4.4活动目录的管理（1）在左窗格中右击该OU的父对象。如果是第一个OU，域将是父对象。（2）从快捷菜单中选择“新建”→“组织单位”，打开“新建对象-组织单位”对话框。（3）为新OU输入名称。（4）单击“确定”完成OU创建。4.4.1在活动目录中使用OU3．使用OU的步骤4.4活动目录的管理（1）在左窗格中右击OU对象，并从快捷菜单中选择“委派控制”。打开“控制委派向导”，单击“下一步”（2）单击“添加”打开“选择用户、计算机或组”对话框。使用对话框中的选项选择委派对象的对象类型和位置。4.4.2委派OU的管理1．操作步骤（3）在接下来的窗口中，选择想要委派的任务。4.4活动目录的管理4.4.2委派OU的管理1．操作步骤4.4活动目录的管理4.4.2委派OU的管理1．操作步骤（1）在“ActiveDirectory用户和计算机”的菜单栏中选择“查看”→“高级功能”。4.4活动目录的管理4.4.2委派OU的管理（2）启用了“高级功能”之后，右击某个OU，选择“属性”，就可以看见“安全”选项卡了。2.查看OU的安全属性4.4活动目录的管理4.4.2委派OU的管理2.查看OU的安全属性4.4活动目录的管理1．信任关系信任关系是网络中