目录
什么是活动目录(Active Directory)
Microsoft Active Directory,简单地说,是一个数据库和一个目录服务。它是一种身份和访问管理解决方案,允许您定义谁可以在您的网络中执行哪些操作。企业依靠Active Directory来有效地管理他们的网络。
作为数据库,Active Directory允许您存储用户信息,例如电子邮件,电话号码, 和密码。作为目录服务,它允许用户对自己进行身份验证以访问资源,并授权网络本身中的用户访问。
活动目录(Active Directory)如何工作
Active Directory为管理员提供了一组服务来管理他们的IT网络,这些服务部署在称为域控制器的Windows服务器上。AD DS (Active Directory Domain Services)是应用最广泛的Active Directory服务。它对Active Directory对象进行身份验证并授权对网络资源的访问。AD DS还以逻辑分层结构存储和组织数据,并且可以在网络中的任何位置进行管理。
其他重要的AD服务包括Active Directory Federation services (AD FS)、Active Directory Certification services (AD CS)、Active Directory Lightweight Directory services (AD LDS)和Active Directory Rights Management services (AD RMS)。
活动目录(Active Directory)提供哪些服务
活动目录提供以下服务来保护和维护组织的网络:
- Active Directory 域服务(AD DS):是 Windows 域中的基本目录服务和主要目录服务。域托管 AD DS 存储和验证网络资源的控制器。AD DS 监督 网络中域控制器之间的复制和通信。
- Active Directory 权限管理服务(AD RMS):使用信息权限管理来管理和限制对文档中文档的访问活动目录网络。
- Active Directory轻量级目录服务(AD LDS):为独立于 Active Directory及其的应用程序提供目录服务限制。它也可以作为具有多个 AD LDS 实例的独立目录运行。
- Active Directory 证书服务(AD CS):充当证书颁发机构,并在 Active Directory 中提供公钥基础结构功能环境。
- Active Directory 联合身份验证服务(AD FS):有助于联合身份管理和对应用程序的单一登录访问。
Active Directory的结构是什么
Active Directory将信息存储在一个逻辑的、分层的框架中,以简化Active Directory管理。对象是活动目录中最基本的实体,而林是最高级的实体。
活动目录中的模式允许您定义哪些对象可以存储在活动目录中。每个对象都有一组基于其类模式的属性。模式是可扩展的,可以根据组织的需要进行结构化。但是,对模式所做的更改是不可逆的,因此只有在必要时才应该更新或修改模式。
Active Directory 将网络资源和相关信息存储为对象,用户帐户、计算机帐户、联系人、群组、单位部门和共享 文件夹是可以在活动目录中找到的所有不同对象。
AD对象
可以进行身份验证的对象(用户帐户、计算机帐户和组)包括 称为安全主体,其他对象(如打印机)称为资源。 像 sAMAccountName 或 userPrincipalName 这样的属性对于对象是唯一的,并且 无法复制。域中的活动目录对象具有唯一的全局 唯一标识符和随域相对变化的 SID。提供 SID 由配备 RID 主 FSMO 角色的 DC 提供。
AD 组织单位 (OU)
对象可以分组为组织单位 (OU) 或组,具体取决于行政需要。Active Directory 中的 OU 是容器对象,可以包含域中的用户帐户、计算机或其他 OU 等对象,这些对象称为嵌套 OU。通过配置 OU,您可以描述组织结构、应用组策略和委派管理权利。
AD组
活动目录组允许您组织安全性您的活动目录中的主体,以便于管理。活动目录中有两个不同的组:安全性组和安全性组分配组。
安全组用于分配权限和用户权限。它们还支持邮件,因此可以用来发送同时向所有成员发送信息。每个安全组都有一个组范围,它决定了分配到什么程度权限和用户权限在Active Directory中有效。在那里有三个组作用域:通用、全局和域局部。
通讯组只是启用了邮件,并且只能用于发送电子邮件,它们在Exchange环境中非常方便。
AD 域、树和林
同一网络中具有类似安全约束的对象可以在逻辑上分组到一个域,域可以有其中的子域称为子域,对在域名命名上下文中,域是不断更新的。
Active Directory中共享公共根和信任关系的域形成树状结构,作为一个整体,所有这些组件组成了一个林。Active Directory中的林中包含共享公共结构、GC和模式的域,它充当安全约束,只有在它们之间配置了信任关系时,其他Active Directory林才能访问它。
活动目录的好处
- 活动目录作为集中管理工具,具有高度可扩展性,它允许您从单个控制台监视It网络。
- 活动目录允许您自定义对象以满足组织的要求。
- 具有内置的复制功能,允许您跨网络中的数据中心分发数据。
- 具有备份和恢复功能,允许您在配置信息后根据需要恢复信息。
简化活动目录管理
管理任务,如对象的创建、修改和删除;密码重置;并且可以使用Active Directory用户和计算机控制台(ADUC)执行访问控制。Active Directory对象也可以使用PowerShell脚本进行管理。可以在Active Directory站点和服务管理单元中配置GC服务器、Active Directory复制、站点、子网和其他相关设置。
通过Active Directory中的组策略,您可以配置用户和计算机的Windows环境。策略设置和首选项被分组并包含在组策略对象(GPO)中,gpo可以应用在OU、域和站点级别,可以使用本地组策略编辑器或组策略管理控制台修改它们。
除了Microsoft提供的管理单元外,Active Directory还可以使用Active Directory管理和报告解决方案ADManager Plus进行管理。
实验目的
- 理解WINDOWS活动目录结构
- 掌握WINDOWS活动目录安装
- 理解DNS动态安全更新
- 掌握WINDOWS活动目录工具使用
- 理解WINDOWS活动目录组策略
实验内容
- 确认第一台windows系统的虚拟机网卡设置为LAN区段:LAN1,计算机全名为(自己名字拼音首字母).abc.com,IP为192.168.137.10/24,已安装DNS且正向查找区域为abc.com。
- 通过“添加角色和功能向导”安装向导安装Active Directory。
- 配置安装已经安装活动目录的服务器,从而将其提升为域控制器。
- 选择:新建林:abc.com
- 将“创建DNS委派”前的勾去掉。
- 为当前服务器安装角色dns,在服务器管理器的“工具”菜单展示有DNS工具。。
- 注意默认域的netbios名称为ABC
- 完成域控制器设置后打开DNS控制台,在DNS主区域abc.com属性的“常规”中,先按下图做“更改”,再设置动态更新为:安全
- 用母盘克隆第二台windows系统,打开得到的新虚拟机,将网卡设置为LAN区段:LAN1,计算机全名为2016b.abc.com,IP为192.168.137.20/24,dns地址为192.168.137.10。
- 使用sysprep工具修改2016b虚拟机有sid。
- 将计算机2016b(要重设计算机名和IP)添加到域(点“更改”->”域“->输入域名abc.com,有时只输入abc就行),出现“欢迎加入域abc.com”
- 回到dc,在类似下面的窗口中,刷新后显示2016b ...192.168.137.20
- 了解让域成员计算机2016B退出域方法,打开类似下面的窗口,但不要点“确定”
- 回到dc,使用‘Active Directory管理中心’新建一组织单位sales,
- 使用‘Active Directory管理中心’,在users组中新建一用户账号zhansan
- 使用‘Active Directory管理中心’新建一组账号txl
- 将用户zhangsan移到组织单位sales
- 用“组策略管理”工具为组织sales创建组策略aaa
- 查看和编辑组策略对象aaa
- 在类似上面工作窗口,选择“设置”标签,在“用户配置”小窗口,右键打开准备“编辑”策略
- 进入用户软件安装策略
- 选择准备安装的数包(事先要准备好文件夹和软件程序,若不能复制文件到虚拟机,请在进入系统后,在“虚拟机”菜单下:安装Vmware Tools)。
- 发布上面准备好的软件。
-
- 创建共享test,以方便网络用户zhangsan访问。
- 发布共享,以方便网络用户访问。
- 发布共享,以方便网络用户访问。
- 在2016B以用户zhangsan登录,验证组策略效果。
- 在2016B以用户zhangsan登录,验证组策略效果。
- 在dc强制立即应用组策略可执行命令Gpupdate
- 在2016B重新登录,查看结果.
- 在2016b中设置网盘z:以访问安装文件
- 在获得程序中安装时指定路径
- 以管理员身份安装程序。最终在桌面确认有mbsa快捷图标
1205
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
