windows域配置及管理

北京天和科瑞咨询有限公司北京邮电大学移动互联网与信息化实验室2011年6月Windows域配置及管理域DNS的作用域的概念将计算机加入域DC的条件创建域域用户帐户安装AD组安全组/通讯组本地域组/全局组/通用组用户配置文件用户主文件夹创建域帐户域帐户属性OUOU的委派功能OU概念域的基本概念•域–将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域–域是组织与存储资源的核心管理单元活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法域的基本概念活动目录•活动目录（ActiveDirectory）是WindowsServer2003平台提供的目录服务，在中央数据库中存放信息，使用户在网络上只拥有一个用户账号。•活动目录是一个全面的目录服务管理方案，也是一个企业级的目录服务，具有很好的可伸缩性。活动目录采用了Internet的标准协议，它与操作系统紧密地集成在一起。•活动目录可以管理诸如计算机对象、用户账户、打印机之类的网络资源。域的基本概念•活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器•目录服务是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问（1）信息的安全性大大增强1、活动目录集中控制用户授权2、提供存储和应用程序作用域的安全策略，提供安全策略的存储和应用范围。（2）引入基于策略的管理，使系统的管理更加明朗作为目录，它存储着分配给特定环境的策略，称为组策略对象（3）具有很强的可扩展性管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。活动目录作用（4）具有很强的可伸缩性活动目录可包含在一个或多个域，每个域具有一个或多个域控制器，以便调整目录的规模以满足任何网络的需要（5）智能的信息复制能力信息复制为目录提供了信息可用性、容错、负载平衡和性能优势，活动目录使用多主机复制，允许在任何域控制器上而不是单个主域控制器上同步更新目录（6）与DNS集成紧密活动目录使用域名系统（DNS）来为服务器目录命名（7）与其他目录服务具有互操性LDAP是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议，所以可使用LDAP开发程序，与同时支持LDAP的其他目录服务共享活动目录信息。（8）具有灵活的查询任何用户可使用【开始】菜单、【网上邻居】或【活动目录用户和计算机】上的【搜索】命令，通过对象属性快速查找网络上的对象。AD活动目录作用:•通过将企业网络中的各种资源，例如电脑，用户，共享的打印机，服务器等等组织起来形成活动目录域，在这个域中把这些信息进行分类形成目录树。这样，用户通过一定的形式，就可以很方便的访问活动目录域中的信息.•这种便利的访问机制，也需要安全的保障机制！ad活动目录域正是基于这种信息共享基础上的安全管理规范。•安装了活动目录的计算机称为“域控制器”，只要加入并接受域控制器的管理就可以在一次登录之后全网使用，方便地访问活动目录提供的网络资源。对于管理员，则可以通过对活动目录的集中管理就能够管理全网的资源。域域控制器•域是基本管理单位•域中可包含大量对象–计算机–用户–打印机–共享文件夹•域是活动目录的组成部分OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2WindowsServer2003域概述OU2OU1User1Computer1Printer1User2域域域DomainDomainDomainOUOUOU域树域森林OU-组织单位对象域及目录服务概述•活动目录是一个数据库•活动目录是一个目录服务•可以定制活动目录•简化的管理•可扩展性•便捷的网络资源访问域、域树、域森林根域下面可以建立多层子域域和子域构建成域树多棵域树构建成森林域之间自动建立双向信任关系Abc.comTianjin.abc.comBeijing.abc.com树双向信任关系Xyz.com双向信任关系Tianjin.xyz.comBeijing.xyz.com树OU-组织单位•OU是活动目录中的一种对象•OU中可以建立子对象•利用OU可以模拟管理模型OUOUOU对象域控制器•域控制器是存储活动目录数据库的计算机•一个域最少一台域控制器•多台域控制器需要同步数据库•域控制器存储着目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。域控制器域控制器域复制站点•每个地理位置中的若干台域控制器可以划分为一个站点•站点内部优先同步活动目录数据库，同步后再和其他站点中的域控制器同步站点1域控制器远程线路站点2活动目录安装与卸载•安装者必须具有本地管理权限•操作系统必须满足条件（WindowsServer2003Web版除外都满足）•本地磁盘至少有一个分区是NTFS文件系统•系统盘应该有最少300MB的剩余空间。•安装TCP/IP协议和相应的DNS服务器支持。•有相应的DNS服务器支持活动目录安装与卸载•启动安装向导•使用管理您的服务器向导•使用命令DCPROMO安装活动目录•主要步骤–是否创建新域–新域的DNS全名–新域的NetBIOS名–数据库和日志文件文件夹–共享的系统卷–DNS注册诊断–域兼容性–还原模式密码DNS在域中的作用•DNS在域中有两个作用–域名的命名采用DNS标准•办公网络与Internet集成–定位DC•1）客户机发送DNS查询请求给DNS服务器•2）DNS服务器查询匹配的SRV资源记录•3）DNS服务器返回相关DC的IP地址列表给客户机•4）客户机联系到DC•5）DC响应客户机的请求•域的DNS区域维护–SRV资源记录可以定位DC活动目录安装与卸载安装活动目录后操作系统的变化（1）查看域控制器的计算机名安装活动目录后DC（DomainController，即域控制器）的计算机名会发后变化，在DC上右键单击【我的电脑】，选择【属性】，在弹出的【系统属性】对话框中选择【计算机名】标签，可以查看当前域控制器的计算机名查看管理工具在DC上依次打开【开始】→【程序】→【管理工具】，可以看到新增加5个与活动目录相关的工具与活动目录相关的五个工具•ActiveDirectory用户和计算机：该工具用于管理域中的用户、组、计算机账号及OU等•ActiveDirectory域和信任关系：该工具用于管理活动目录域之间的信任关系•ActiveDirectory站点和服务：该工具用于管理与活动目录复制相关的站点信息•域安全策略：该工具用于创建和管理域的安全策略•域控制器安全策略：该工具用于创建和管理域控制器的安全策略•查看用户和组账号的位置•活动目录安装成功后，计算机上的用户和组账号的位置会发生变化。在DC上打开【计算机管理】控制台，发现已经看不到【本地用户和组】工具。计算机管理控制台工具在DC上使用【ActiveDirectory用户和计算机】工具来管理用户和组账号。在DC上依次打开【开始】→【程序】→【管理工具】→【ActiveDirectory用户和计算机】，在控制台下打开Users容器qiufen【ActiveDirectory用户和计算机】工具管理用户和组查看SYSVOL（系统卷）文件夹对DC来说SYSVOL文件夹非常重要，如果SYSVOL文件夹创建的不正确，那么存储在此文件夹下的组策略、脚本等就不能正确的分发给域中的计算机，也无法在DC之间进行复制。SYSVOL文件夹位于%systemroot%下，其中包含以下几个文件夹，如后图所示。Domain（域）Staging（分级）Stagingareas（分级区域）Sysvol（系统卷）验证SYSVOL文件夹（5）查看活动目录数据库和日志文件缺省情况下活动目录数据库和日志文件存放在%systemroot%\NTDS文件夹下，其中ntds.dit是活动目录数据库文件，还有检查点文件edb.chk、日志文件edb.log和保留日志文件res*.log等。验证活动目录数据库和日志文件活动目录域与DNS服务是紧密结合的，如果要使一个活动目录域正常工作，必须要有相应的DNS区域来支持它，而且还要有服务资源记录（SRV记录）。如下图所示为在DNS服务器上打开DNS控制台查看活动目录域的区域情况。在DNS服务器中查看活动目录域的SRV记录查看DNS数据库查看事件日志安装活动目录后打开事件查看器可以看到增加了一个日志“目录服务”，在此会记录有关活动目录的信息。查看事件查看器五将计算机加入到域•1、哪些计算机能成为WindowsServer2003域的成员•下面的操作系统主机可以成为域的成员：WindowsNTWindows2000WindowsXPWindowsServer2003系统属性对话框中“计算机名”标签把计算机加入到域为了更好地管理网络中的资源，充分利用活动目录的特点，应该把网络中的客户端计算机加入到域，这样管理员就可以对域中的计算机进行集中的配置和管理步骤1、配置客户机的首选DNS服务器2、将计算机加入域指定该计算机要加入的域的名称xhce输入有加入该域权限的用户名和密码加入域成功对话框OU的创建功能型SCMS–SalesC–ConsultantsM-Marketing混合型例子功能组织位置功能组织位置组织型MERM–ManufacturingE–EngineeringR-Research位置型NFIN–NorwayF–FranceI–Indonesia•可以根据各种因素创建OU域模式Windows2000混合模式域控制器(Windows2000/Server2003)域控制器(WindowsNT4.0)WindowsServer2003模式域控制器全部都是(WindowsServer2003)Windows2000本机模式域控制器(Windows2000)域控制器(WindowsServer2003)•域模式是用来为了兼容老版本操作系统的域控制器，而限制某些新的功能。ActiveDirectory对象类别如下•1、用户（User）：作为安全主体，被授予安全权限，可登录到域中。•2、计算机（Computer）：表示网络中的计算机实体，加入到域的WindowsNT/2000/XP/2003计算机都可创建相应的计算机账户。•3、联系人（Contact）：一种个人信息记录。联系人没有任何安全权限，不能登录网络，主要用于通过电子邮件联系的外部用户。•4、组（Group）：某些用户、联系人、计算机的分组，用于简化大量对象的管理。•5、组织单位（OrganizationUnit）：将域细分的ActiveDirectory容器。•6、打印机（Printer）：在ActiveDirectory中发布的打印机。•7、共享文件夹（SharedFolder）：在ActiveDirectory中发布的共享文件夹。•8、InterOrgPersion：标准的用户对象类，对于WindowsServer2003域功能级别来说，可以作为安全主体。管理容器•1、Builtin：用来存放默认内置组（如AccountOperators或Administrators）对象。•2、Computers：包含Windows2000、WindowsXP和WindowsServer2003计算机对象。•3、DomainControllers：运行Windows2000或WindowsServer2003的域控制器的计算机对象。•4、ForeignSecurityPrincipals：存储有信任关系的域的对象。•5、Users：包含域内用户账户和组。域用户和计算机帐户•活动目录用户帐户•用户帐户是用来记录用户的用户名和密码、隶属的组、可以访问的网络资源，以及用户的个人文件和设置。•每个用户都应在域控制器中有一个用户帐户，才能访问服务器，使用网络上的资源域用户账户本地用户帐号