09级网工Windows网络服务与应用课件

Windows网络服务与应用——WindowsServer2003活动目录第一章WindowsServer2003活动目录ActiveDirectory是微软的特色产品，它存储关于用户，计算机和网络资源并且使网络资源能够被用户和应用程序访问，它提供规范化的名称、描述、定位、访问、管理方法和保护这些资源信息。活动目录基础结构活动目录的作用•提供目录功能•集中控制网络资源•实现用户一次登录访问整个网络•集中的委派资源的管理•在逻辑结构中安全的存储对象•可扩展•优化网络流量活动目录基础结构活动目录逻辑结构•对象•组织单元•域•域树•域林活动目录基础结构活动目录的物理结构•域控制器•站点活动目录基础结构操作主控角色•架构主控•域命名主机•主域控制器仿真器（PDC）•相对标识符（RID）主机•基础结构主机域林中唯一域中唯一活动目录的工作方式目录服务架构•活动目录架构定义了所有对象，和这些对象有关的所有信息以及存储在活动目录中对象的默认安全配置。•添加AD架构控制台的方法：注册：regsvr32.exe%systemroot%\system32\schmmgmt.dll。添加控制台：mmc-添加AD架构。全局目录（全局编录）•全局编录服务器存储了整个域林中所有对象的部分属性，使得在目录林中搜索资源更加方便。检测活动目录常用的活动目录管理工具AD用户和计算机•你能使用它管理和在活动目录中发布信息。你能管理用户账号、组和计算机账号，管理账号策略和用户权利以及审核策略，是最常用的管理活动目录的工具。AD域和信任关系•你能使用它管理域和域林的信任，添加用户登录主名后缀，改变域和林的功能级别。AD站点和服务•你能使用它管理活动目录的复制。AD架构•你能使用它管理架构。活动目录设计、计划和实现过程创建目录林和域结构并部署服务器。创建组织单元。创建用户和计算机帐号。创建组帐号。创建组策略并应用到域、站点和组织单元。创建软件部署策略。小问题1、活动目录中有几种操作主控角色？分别是什么？2、哪些操作主控在域林中只有一个？哪些操作主控在每个域中都有一个？3、全局编录服务器的主要作用是什么？4、常用的活动目录管理工具有哪些？课堂练习1、在WindowsServer2003中安装活动目录。2、教材14页练习1.3.3和16页练习1.3.4检查内容：活动目录是否安装成功。第2章实现活动目录林和域结构创建林和域结构检测DNS活动目录集成区提升目录林和域的功能级别创建域之间的新任关系创建林和域结构活动目录（AD）的安装要求•WindowsServer2003(Web版不支持)•250M的可用空间和一个NTFS分区•域的管理权限•有DNS服务器•DNS服务器必须支持SRV记录和动态更新。问题上一堂课中，很多同学安装了活动目录，但在DNS服务器里却查询不到SRV记录，可能的原因有哪些？1、DNS不允许动态更新。2、首选DNSIP地址设置错误。创建林和域结构安装活动目录•在WindowsServer2003企业版上安装活动目录。开始——运行，输入“dcpromo”运行活动目录安装向导。当你创建了第一个域时，你也同时创建了第一个域树和第一个域林。该域也称为根域，EnterpriseAdmins和SchemaAdmins组位于其中。演示：建立域林建立A.com域，选择新的域树、新的域林。将计算机加入域要想实现通过活动目录管理网络里的用户和计算机，必须将客户端计算机加入域，然后在DC上为用户建立账户，这样其他人就可以使用这些域账户在客户端上登录域。将计算机加入域计算机的IP地址能够访问想要加入的域。DNS服务器地址设为想要加入的域的DNS服务器的IP地址。有将计算机加入域的权限。（默认情况下每个域账户可以在域中加入十个计算机账户）演示：将计算机加入域将一台客户端计算机加入域。客户端退出域。互动挑选一名同学，先将他的系统密码修改，然后相邻同学想想能否使用他的计算机。将他的计算机加入老师的域中，并给添加一个域用户账户。相邻同学能否用这个域账户使用他的计算机。演示通过GPO管理客户端。添加额外的域控制器如果域中已经有一个域控制器，可以添加其他域控制器以提高网络服务器的可用性和可靠性。以本地管理员组的身份登录计算机，在加入域时需要DomainAdmins权限。演示：添加额外的域控制器添加额外的域控制器小问题：添加额外的域控制器需要注意的事情有哪些？1、该计算机要有个合适的IP地址，能够访问域里其他的计算机。2、DNS要设置正确。3、用户权限为域管理员组成员。课堂练习将计算机加入域。•加入后查询DC上AD用户和计算机里该计算机的账号。将计算机退出域。添加额外的域控制器。•添加后在DC的AD用户和计算机里查找第二台DC的计算机账号。注意：做练习前先将计算机的名字改为自己名字的汉语拼音，并将红色字体所要求的查询界面截图保存以备检查。创建子域当要创建与一个或多个域共享连续的名称空间的域时，可创建子域。•以本地管理员身份登录计算机，在加入域时需EnterpriseAdmins权限。重命名域控制器WindowsServer2003的活动目录允许重命名某台域控制器（DC）。删除域控制器我们可以删除不再需要的域控制器或丢失的域控制器。删除域也是同样的操作。用管理员登录域控制器。在开始——运行里输入“dcpromo”。对于丢失的DC，需让某台DC重启到目录恢复模式，然后在命令行状态下运行ntdsutil,根据提示输入相关信息，在数据库里删除该DC。验证活动目录的安装确认共享文件夹被创建。•NETLOGON和SYSVOL。确认数据库文件和日志文件被创建。•Ntds.dit活动目录的数据库文件。•Edb.*事务日志文件和检查点文件。•Res*.log日志文件。确认活动目录结构被创建。•进入AD用户和计算机，查看系统对象。如果有错误，可以检查系统日志。试验1、创建域。2、建立第二台域控制器。3、删除第二台域控制器。4、创建子域。5、删除子域。6、将计算机加入域。检测DNS活动目录集成区WindowsServer活动目录必须要依赖DNS才能正常工作。客户端计算机DNS服务器DC①我想找××域的DC验证用户身份②你想找的××域的DC的IP地址是×.×.×.×。③××域的DC，是我，别开枪①②③检测DNS活动目录集成区DNS里的SRV记录。DNS服务器为什么能够告诉客户端它们想找的提供相关服务的DC的IP地址呢？因为DNS服务器里有一种SRV记录。它记录了什么DC提供什么样的服务。而这些SRV记录是DC在启动时自动注册到DNS服务器上的。（所以要求DNS服务器允许动态更新）检测DNS活动目录集成区服务器A，担任了架构主机角色的一台DC服务器B，普通的DC我是a.com域的一台DC；我是该域的架构主机；我位于默认站点内。我是域a.com的一台DC；我位于默认站点内。检测DNS活动目录集成区SRV记录的格式如下：service.protocol.namettlclassSRVpreferenceweightporttarget如_ldap._tcp.a.com600INSRV0100389l1.a.com。表明l1.a.com是a.com域中的ldap服务器。Ldap（轻量级目录访问协议），域中的所有DC都是ldap服务器。打开DNS，查看SRV记录。检测DNS活动目录集成区演示：转换DNS区域类型演示：注册SRV资源记录全局目录全局目录（全局编录，gc）活动目录中的资源能够在整个林中共享，为了搜索资源方便，林中可以设置全局编录服务器（gc）。全局编录服务器中存储了整个林中的所有对象的部分属性。•在查询中经常用到的属性，如用户名和登录名。•对象的位置信息。•每个对象及其属性的访问权限。创建域之间的信任关系域和域之间的通信是通过信任发生的。信任关系类型•可传递的信任关系•不可传递的信任关系信任的方向•单向信任•双向信任其他信任•原来没有信任关系的两个林，可以手工建立其他信任，以便实现相互访问。信任关系的建立在“AD域和信任关系”中操作。查阅课本46页和47页内容。回答问题。A.COMB.A.COMW.B.A.COMT.X.COMS.NETX.COM1、说出图上各个域之间的关系？2、哪些域是相互信任的，哪些不是信任的？3、如果想让A.COM和X.COM两个林之间可以互访，要建立什么信任？4、如果想让B.A.COM和T.X.COM互访，要建立什么信任？创建域树和域林我们可以根据实际情况，在一个域林里添加一个新的域树，这个新的域树可以有新的命名。但他任然属于这个域林，他和其他域之间有信任关系。如在A.COM林中新建一个T.NET的域树。如果创建一个新的域林，则他和现有的林不存在信任关系。提升域和域林的功能级别因为WindowsNT4.0，Windows2000和WindowsServer2003都可以实现域，但提供的功能有所不同，为了能够向前兼容，域和林提供了多个功能级别。当你确定域或林中没有相应的旧的域控制器时，可以提升功能级别以便使用更多更新的功能。提升功能级别在“AD域和信任关系”中操作。标识符和相对标识符客户端计算机使用LDAP（LightDirectoryAccessProtocol，轻量级目录访问协议）来搜索和更改活动目录中的数据。LDAP使用一系列和逻辑结构有关的对象的名称，称为标识符，用来标识对象所在的域，以及定位该对象完全的路径。标识名必须在林中唯一。•CN是容器中对象的普通名称。•OU是包含对象的组织单元。•DC是域组件。如zhangsan是a.com域中test组织单元里的一个对象。•CN=zhangsan，OU=test，DC=a，DC=comKerberos协议活动目录使用kerversV5协议来验证身份。管理工具ADMINPAK.MSI通过在普通计算机上安装管理工具包，可以实现管理网络里其他的服务器。课堂练习1、教材59页练习4：提升域和林的功能级别。2、教材60页练习5：创建林信任。练习2可参考教材51页的示例。实验环境：自己有一个独立的林即可。检查内容：信任关系表的截图。第三章实现组织单位结构以及管理主要内容创建和管理组织单位委派对组织单位的管理控制设计组织单位的策略创建和管理组织单位组织单位（organizationalunit，OU）是可以保存用户、组、计算机、共享文件夹、子组织单位等对象的容器。通过使用组织单位，可以将对象集中起来进行管理。•组织单位可以设置组策略。•组织单位可以被委派管理。创建和管理组织单位演示：在ActiveDirectory用户和计算机中创建OU。创建和管理组织单位如图，在“查看”菜单中选择“高级功能”，可以查看组织单位的安全属性。组织单位的DACL显示了用户对该对象的权限。权限默认是可以继承的。委派对组织单位的管理控制域管理员可以将某个组织单位的全部或部分管理权限（如更改用户密码）赋予一个普通用户，称之为委派控制。对于一个大中型的网络，实现委派控制显得更有效率。委派对组织单位的管理控制演示：将一个组织单位内修改用户密码的权限委派给一个指定用户。提问：如何将一个组织单位的全部管理权限委派给一个指定用户？委派对组织单位的管理控制为委派的用户建立任务板，可以方便用户行使管理权限。演示：建立任务板。前提条件：在该用户的计算机上安装管理工具包adminpak.msi。设计组织单位的策略设置组织单位的主要目的是实现方便的管理。所以在设计组织单位时也要依据这个原则。设计组织单位的策略1、某公司有5个部门。在局域网里有一个单一的域。那么我们就可以为每个部门建立一个组织单位，将该部门的相关对象（用户、组、计算机帐户等）都加入对应的组织单位。同时也可以将该组织单位的某些管理权限委派给该部门的某个用户。办公室财务部IT部门销售部