AD域之我的学习心得

第一课活动目录概述(一)本课概述•简介•理解什么是活动目录？什么是目录什么是活动目录•了解活动目录的优点•掌握活动目录的对象、属性、类•掌握活动目录架构的作用简介教师简介课程简介什么是活动目录•什么是目录•什么是活动目录DomainOU1ComputersComputer1UsersUser1UsersUser2OU2PrintersPrinter1什么是目录?•在一个组织中关于人和资源的信息的一个存储仓库•特点：用一致的方式命名、描述、定位、管理和保证这些信息的安全KimYoshidaAttributesValuesNameBuildingFloorKimYoshida1171大家可以以书的目录为例来进行思考什么是活动目录?•活动目录基于LDAP(LightDirectoryAccessProtocol，轻型目录访问协议)，有效集中地组织查找和管理网络中的资源(包括用户、计算机、共享文件夹和共享打印机等)功能组织管理控制资源集中管理单点管理单一登陆，完全访问AD活动目录的优点•集中存储用户和密码列表•提供一组服务器作为身份验证服务器•对域中的资源维护一个可供搜索的索引便于查找•允许创建带有不同权限的用户•能更好的做分层管理•ＡＤ为多厂商提供身份验证平台柔性管理ParisRepairSalesUser1Computer1Printer1User2简化的管理可伸缩性减少TCO活动目录对象活动目录对象代表域中的网络资源活动目录对象是通过其“属性”来描述的AttributesFirstNameLastNameLogonNameAttributesPrinterNamePrinterLocationActiveDirectoryPrintersPrinter1Printer2SuzanFineUsersDonHallAttributeValueObjectsPrintersUsersPrinter3什么是架构（Schema）?ExamplesofobjectclassUserComputerPrinterExamplesofattributesaccountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTofirstNamelastName•架构是活动目录的基本结构，是组成活动目录的规则。•活动目录架构包括两个方面内容：对象类和对象属性。•当在活动目录中创建对象时，就必须遵守这个架构规则，只有在活动目录架构中定义了一个对象的属性才可以在活动目录中使用该属性。总结•理解什么是活动目录•了解活动目录的优点•掌握活动目录的对象、属性、类•掌握活动目录架构的作用第二课活动目录概述(二)本课概述•活动目录的逻辑结构林、树、域、OU•活动目录的物理结构站点、DC、WAN链路AD的逻辑结构域域域域域域OUOUOU域树域林组织单位对象AD的逻辑结构•域•域树和森林•组织单元OU域—活动目录的核心逻辑单元•域是出于管理而定义的对象集合•域是管理边界域管理员仅仅能管理自己的域，除非在其它域被特别指派管理权利，有其自己的安全策略（独立唯一）•域是复制单元域中的DC参与复制，并且包含自己域的目录信息的一个完整拷贝Windows2003域复制域树和森林Bw.comChangchun.bw.comneimeng.Bw.com树双向可传递的信任关系Henan.cc.netHebei.cc.netcc.net林树双向可传递的信任关系域树具有连续的名称空间，而森林没有林是活动目录实例的信息安全边界组织单位OUOU结构SalesVancouverRepairUsersSalesComputers网络管理模型•OU是活动目录中一个特殊容器，它可把用户、组、计算机和打印机等对象组织起来。•OU是活动目录中最小的管理单元，它不仅可以包括对象，而且可进行组策略设置和委派管理，这是其他普通容器做不到的。AD的物理结构•站点•域控制器•WAN连接站点域控制器WAN连接站点AD的物理结构•域控制器DC•站点（Site）域控制器域控制器域控制器域复制=AD的数据库的可写副本•具有存储活动目录数据功能•参与AD复制•在域中执行单主控操作角色站点站点目的:•优化复制流量•使用户登录到DC，使用一个可靠的、高速的链接站点IP子网IP子网洛杉矶西雅图芝加哥纽约总结活动目录的逻辑结构林、树、域、OU活动目录的物理结构站点、DC、WAN链路第三课活动目录的概述(三)本课概述•活动目录的复制模式•LDAP协议•全局编录服务器•活动目录数据库的目录分区单操作主机和多操作主机•单操作主机：NT4环境PDCBDC（单向）无复制冲突容错性差•多操作主机：2000/2003ADDCDC有复制冲突容错性好Windows2003AD复制LDAP—轻型目录访问协议•活动目录访问使用LDAP协议(端口：TCP389)•LDAP协议中制定了严格的命名规范，可唯一定位一个活动目录中的对象。•下表是LADP中关于DC、OU和CN的定义名字属性描述DC域组件活动目录域的DNS名称OU组织单位组织单位可以和现实中一个行政部门相对应，在组织单元中可包括其他对象，如用户、计算机和打印机等CN普通名字除了域/组织单元外的所有对象，如用户和打印机可辨别名（DN）和相对辨别名（RDN）辨别名DN标识对象所在的域，及找到它的路径Contoso.msftFinanceSalesSuzanFineCN=SuzanFine,OU=Sales,OU=Finance,DC=contoso,DC=msft相对可辨识名相对辨别名标识是指辨别名中唯一能标识这个对象的部分，通常为辨别名中最前面的一个。什么是全局编录GC？•包含有：AD中所有对象属性子集的仓库（包括安全权限）•作用：跨域访问、通用组信息、访问令牌（UPN）•确定GC位置：AD站点和服务•确定GC复制提升完成：注册表（延迟：5分钟）全局目录GC只读HKLM\system\CurrentControlset\services\ntds\parametersDWORD:GlobalCatalogPromotionComplete=1目录分区存储本域内的对象，如User/Group/compuer/OU等。复制时只会复制到本域的DC上存储与应用程序有关的数据，它会复制到林中特定的域控制器上。域树林目录分区活动目录数据库DomainDirectory包含树林的域结构、站点、域控制器、服务信息定义AD中的所有对象、属性以及操作规则。树林共享同一架构ApplicationDirecotry配置架构总结•活动目录的复制模式•LDAP协议•全局编录服务器•活动目录数据库的目录分区第四课创建Winserver2003的域•新建域简介•安装ActiveDirectory•检查ActiveDirectory默认结构•删除ActiveDirectory本课概述AdditionalDomainController(Replica)ForestRoot(FirstDomain)NewForestFirstDomainControllerWindows2003活动目录•在一台WIN2003SERVER上安装AD，则可创建域•ActiveDirectory的安装准备•安装ActiveDirectory•验证ActiveDirectory的安装•验证”ActiveDirectory用户和计算机”的完整性•将客户机或成员服务器加入现有的域安装ActiveDirectory计算机运行Windows2000Server/AdvancedServer/DatacenterServer,WindowsServer2003Standard/Enterprise/DatacenterNTFS分区,磁盘空间不少于250MBTCP/IP协议(静态的IP地址)及DNS(指向自己的IP地址)适当的权限(管理员的身份)确认计算机名称原安装光盘要求TCP/IPNTFSActiveDirectory安装准备•启动AD安装向导(DCPROMO)安装ActiveDirectory的过程验证SRV记录验证SYSVOL验证AD日志验证事件日志SYSVOLDNSDatabaseandLogFiles验证ActiveDirectory安装验证ActiveDirectory安装ActiveDirectoryUsersandComputersConsoleWindowHelpActiveViewActiveDirectoryUsersandCo..contoso.msft8objectsNameBuiltinComputersDomainControllersForeignSecurityPrincipalsLostAndFoundSystemUsersBuiltinComputersDomainControllersForeignSecurityPrincipalsLostAndFoundSystemUsersInfrastructurecontoso.msftTree存储着WindowsServer2003默认的安全组默认本域中的计算机账户默认本域中域控制器计算机账户存储着来自信任域中对象的安全主体Holdsorphanedobjects存储着一些内置的系统设置默认本域中的用户和组账户检查ActiveDirectory默认结构客户机加入域前提条件步骤设置DNS地址将计算机加入域LabA:建立Windowsserver2003域先安装DNS再安装活动目录•安装DNS服务•建立DNS辅助区域，实现区域复制•安装活动目录•验证DNS中的区域类型及动态更新Labb:先安装DNS再安装域DomainController(Windowsserver2003)企业管理员域管理员RemoveActiveDirectory•ActiveDirectory安装向导•要求有适当权限删除ActiveDirectory总结•新建域简介•安装ActiveDirectory•检查ActiveDirectory默认结构•删除ActiveDirectory第五课安装额外域控制器•安装额外域控制器的简介•安装额外域控制器--与主DC共用同一台DNS服务器•安装额外域控制器--与主DC使用不同的DNS服务器本课概述•容错•责载均衡•多个DC之间是平等的•多个DC之间要实现复制额外域控制器简介安装额外域控制器与主DC共用同一台DNS服务器在欲安装的额外的域控制器上设置DNS地址(指向DNS服务器)运行安装向导(Dcpromo)安装额外DC选择“现有域的额外域控制器”LabA:额外域控制器安装额外域控制器与主DC使用不同的DNS服务器在欲安装的额外DC上安装DNS服务建立DNS辅助区域设置DNS地址(指向自己的IP)运行安装向导(Dcpromo)安装额外DC验证AD集成区域DNSServercontoso.msftActiveDirectory集成区域ZoneDatabase安全更新Client验证DNS的区域是否为AD集成区域只有域内名称才会被注册验证AD集成区域Labb:安装额外域控制器总结•安装额外域控制器的简介•安装额外域控制器--与主DC共用同一台DNS服务器•安装额外域控制器--与主DC使用不同的DNS服务器第六课安装额外域控制器(二)安装额外域控制器的简介实现异地跨广域网安装额外DC本课概述容错责载均衡多个DC之间是平等的多个DC之间要实现复制安装附加DC安装额外域控制器实现异地跨广域网安装额外DC备份主DC的数据将备份文件传递到异地欲安装的DC上在异地DC上把备份文件还原到“备用位置”在异地DC上安装DNS服务，并设置辅助区域运行安装向导(DCpromo/adv)安装额外DC备份活动目录数据库运行NTbackup命令，根据备份向导进