您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 信息化管理 > AD概述及客户端常见问题
AD概述及域中客户端议程•Windows2000/2003活动目录概述•Windows2000/XP客户端启动/登录过程•域中客户端常见问题•常用工具活动目录概述•活动目录的基本概念•活动目录的结构•管理操作主机•DNS与活动目录•管理用户和组•组策略•常用工具什么是活动目录Printer1用户?目录服务器名称:Server1OS:Windows2000Type:FileServerLocation:1stFloor名称:Server2OS:NovellNetware4.0Type:FileServerLocation:2ndFloor打印机名称:Printer1Type:HP4SiColor:NoDuplex:YesLocation:3rdFloorServer1Server2活动目录服务基于X.500数据库结构,用于在一个层次结构中组织网络资源目录服务器名称:Server1OS:Windows2000Type:FileServerLocation:1stFloor名称:Server2OS:NovellNetware4.0Type:FileServerLocation:2ndFloor打印机名称:Printer1Type:HP4SiColor:NoDuplex:YesLocation:3rdFloor活动目录的对象•对象代表网络资源•属性存储对象的信息属性姓名登录名属性打印机名称打印机位置活动目录打印机Printer1Printer2SuzanFine用户DonHall属性值对象打印机用户Printer3活动目录的结构•活动目录逻辑结构•活动目录物理结构•Sites及活动目录的复制活动目录逻辑结构•域Domains•组织单元OrganizationalUnits•树和森林TreesandForests•全局编录GlobalCatalog域Domains•域是一个安全边界–域管理员只能在本域中执行管理操作,除非他被明确地赋予其他域管理员身份•一个域是一个复制单元–域控制器包含域中信息的完整集合,并且参与域信息的复制Windows2000Domain复制能力复制单元大小命名管理委派NT4.0对象40,000对象NetBIOS建立新域Windows2000属性1,000,000+对象DNS在域内建立管理委派到OU域的性能组织单元•用OU来个对象进行分组•管理委派到OU•用于结构化活动目录–公司的组织结构–公司的管理构架组织结构SalesVancouverRepairUsersSalesComputers网络管理型模型组织单元的划分原则•基于部门OUs•基于项目OUs•基于业务功能OUs•基于管理OUs•基于对象OUs•地理位置DomainParisSalesRepairUser1User2User3User4树和森林contoso.msftau.contoso.msftasia.contoso.msft树双向传递性信任au.nwtraders.msftasia.nwtraders.msftnwtraders.msft森林树双向传递性信任全局编录GlobalCatalogGlobalCatalogServer全局编录所有对象的属性子集域域域域域域查询用户登陆时的组成员•活动目录物理结构•域控制器•Sites•活动目录的复制域控制器域控制器域控制器域复制=活动目录数据库的可写拷贝域控制器:参与活动目录复制在域中作为单操作主机角色SitesSites:优化复制通信量是用户可以通过可信赖的、高速的连接登录域控制器SiteIP子网IP子网LosAngelesSeattleChicagoNewYork相关概念SiteASiteBSiteCConnectionsSiteLinks(Schedule&Cost)BridgeheadServerSite-一个或多个子网-一个或多个域SiteLinkBridgesISTGSite层次活动目录的复制•多主机复制–所有域控制器参预复制,对等的–任何变化将从一台域控制器复制到所有域控制器–任何变化可从不同的域控制器上产生•Sites允许预定的复制–Schedule–IntervalDirectoryPartition复制DomainZDomainYDomainXConfigurationSchemaGlobalCatalogServerFullReplicaPartialReplicaForestDomainSchemaConfigurationDomainDomainControllerNTDS.DITDomainConfigurationSchemaDomainConfigurationSchemaDomainZDomainYDomainXConfigurationSchemaReplicaDCDCGCDirectoryPartition也称为命名上下文NamingContextorNC复制协议Transport拓扑结构复制模型压缩RPCoverIPRingNotify/PullNoneRPCorSMTP*SpanningTreeRequest/PullFullIntra-Site复制Inter-Site复制SMTPoverIPisonlysupportedforDCofdifferentdomains(i.e.Schema,ConfigurationandGCreplication)•操作主机•森林范围内:–SchemaMaster–DomainNamingMaster•域范围内:–PDCEmulator–RIDMaster–InfrastructureMaster操作主机介绍只有作为操作主机的域控制器才能对活动目录信息作相应改变在操作主机上作的改变将会复制到其他的域控制器任何域控制器可以作为操作主机操作主机角色可以转移复制单主机操作操作主机操作主机的默认位置森林中的第一台域控制器森林范围你的角色:SchemamasterDomainnamingmaster域范围内角色:RIDmasterPDCemulatorInfrastructuremaster转移操作主机角色•不丢失数据•方法:–NTDSUtil.exe–图形界面FunctioningOperationsMasterTransferRoletoAnotherDomainController抓取操作主机角色•当且仅当某个操作主机无法再使用•可能丢失数据•方法:–NTDSUtilNonFunctioningOperationsMasterSeizeaRoleandReassigntoAnotherFunctioningDomainControllerDNS与活动目录•DNS在活动目录中的角色•DNS和活动目录的命名空间•活动目录中的DNS名字解析•SRV记录DNS在活动目录中的角色•名称解析–DNS转换计算机名称到IP地址–计算机之间相互确定地址•Windows2000/2003域的名称–Windows2000/2003使用DNS命名标准–DNS域和活动目录的域使用共同的名称层析结构•定位活动目录的物理组件–DNS根据域控制器提供的服务来确定它们–域中计算机使用DNS来定位域控制器何全局编录DNS和活动目录的命名空间microsoft.comfareast.microsoft.comnorthamerica.microsoft.comAmericamicrosoftDNSNamespaceActiveDirectoryNamespace=DNSnode(domainorcomputer)=ActiveDirectorydomainFareastcomputer1(DNSrootdomain)“.”com.Internet活动目录中的DNS名字解析•SRV(Service)资源纪录•SRVRecords由域控制器注册•域中计算机用DNS来定位域控制器由域控制器注册的SRV记录Netlogon服务负责注册域控制器的所有DNS纪录SRVRecordLookupCriterialdap._tcp.DnsDomainName.LDAP服务器_ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName.查找同Site的域控制器_gc._tcp.DnsForestName.GC_gc._tcp.SiteName._sites.DnsForestName.查找同Site的GC_kerberos._tcp.DnsDomainName.KDC_kerberos._tcp.SiteName._sites.DnsDomainName.查找同Site的KDC建立一个新域•运行dcpromo.exe–建立rootdomain–建立sub-domain–建立额外的domaincontroller管理用户和组•用户帐户和组的介绍•ActiveDirectory用户和计算机•建立大量用户帐户•管理用户帐户•使用组用户帐户和组的介绍UsersSharedResourcesPermissionsGroup•使用CSVDE•使用LDIFDE•使用脚本(VBScript)建立大量用户帐户使用组•活动目录的组•使用GlobalGroups•使用DomainLocalGroups•使用UniversalGroups•DistributedGroupsGroupsCanBeNestedInsideOtherGroupsUsersCanBeMembersofMultipleGroupsGroupGroupGroupsSimplifyAssigningPermissiontoResourcesGroupGroupGroupGroupGroupGroup组策略•组策略介绍•组策略设置的类型•组策略对象和组策略容器•组策略应用的顺序组策略介绍组策略作用:–设置集中或分散的策略–确保用户有他们需要的环境–通过控制用户和计算机环境来降低TCO–强制全体策略SiteDomainOUWindows2000AppliesContinuallyUsersComputersAdministratorSetsGroupPolicyOnceGroupPolicy组策略设置的类型组策略设置的类型AdministrativeTemplates基于注册标的组策略设置Security本地、域、网络安全设置SoftwareInstallation软件安装的集中管理设置ScriptsStartup,shutdown,logon,andlogoff脚本RemoteInstallationServices有关远程安装服务的设置InternetExplorerMaintenance设置和管理定制的IEFolderRedirection将用户文件夹存贮到网络服务器上的设置针对计算机和用户的组策略•GroupPolicySettingsforComputers:•GroupPolicySettingsforUsers:UsersComputers组策略对象和组策略容器•GPO设置应用于连接在在一个Site、域、和OU中的用户和计算机–一个GPO可以连接在多个Site、域、和OU上–一个Site、域、和OU上可以连接多个GPOSiteDomainOUOUOUOUGPOOUGPOSiteGPODomainGPO一个组策略应用的顺序•Computer-Scripts-Startup•Computer-SoftwareInstallation•User-SoftwareInstallation•UserProfileLogonScripts•User-Scripts-Logon•User-Scripts-Logoff•Computer-Scripts-Shutdown常用工具•常用管理工具–AD用户和计算机–站点和服务–AD域信任–DNS管理器–ResourceKit/SupportTools工具•排错工具–事件察看器–MPSReport–NetworkMon
本文标题:AD概述及客户端常见问题
链接地址:https://www.777doc.com/doc-1524627 .html