Active Directory域服务

来源：https://blog.51cto.com/13586200/2346477?source=dra

 

 

 

Active Directory域服务

概念：

工作组：workgroup

适合网络资源少,10台左右计算机。

分散管理(对等网，每个员工维护自己的电脑，身份平等)

适合于小型网络

不便之处：为了达到互相访问的目的，可能需要在每台电脑上为其他同事建立很多用户帐号（不愿意透露管理员密码的情况下）

        每台电脑自己维护管理员密码，如果忘记密码，可能由it管理员强行破解密码

        每台计算机自由安装各种软件，容易引起系统崩溃

Windows域 Domain

将网络中的资源逻辑上组织到一起，将其视为一个整体。资源：计算机、用户、组、打印机、共享文件夹等。

            逻辑上组织到一起：物理计算机和网络无需做任何更改，★★搜索

集中管理（Client/Server架构）

            发起管理的计算机：域控制器 Domain Controller=DC 被管理的计算机：成员机或成员服务器

适合于大中型网络

对于工作组的改进：只需在域控上建立一套帐号，可以通行整个活动目录

                遗忘密码后，简单的由域管理员在域控制器上重置即可

                可以使用组策略进行软件分发：全自动为成员机安装配置所需软件。

                利用配置文件位置实现对用户文件的自动备份。

概念：

目录服务：可以方便的在网络中搜索用户账号、组、计算机、共享文件夹等对象。

活动目录：微软公司实现的目录服务。Active Directory，是目录服务的一种，开放tcp389端口，ldap轻型目录访问协议。

活动目录又是一个数据库：Database，轻松存储海量对象，可以在极短时间内返回查询结果。

活动目录优点：

集中管理：有力工具=组策略

便捷的网络资源访问(一次登录，到处访问)

可扩展性

域Domain：目录服务的一种通俗实现，把后台复杂的查询语句，包装成图形化的容易管理的形式。

域控制器Domain Controller：安装了活动目录服务的计算机。

容器Container：可以容纳其他对象的对象称为容器。

逻辑结构：

单域Domain：只有一个域。

域树Domain Tree：父域和子域形成域树，★使用连续的域名后缀

域林Domain Forest：多棵域名后缀不同的域树构成一个森林。

组织单位：OU、子OU

★★★整个森林中的多个域存在“信任”关系，可以互访。

物理结构：

站点：用于优化多个域控制器之间的复制流量（知识的同步，主要是通用组的同步）

  可以把同一个高速网络中的多个域控制器放到一个站点中，★★站点内部优先复制。

域控制器。

域控制器的实现：

1 必须是windows server操作系统（web版除外）

2 有本地管理员权限

3 有ntfs文件系统，有足够空间

4 ★★有静态ip地址

5 ★★有dns服务的支持（工作组中靠计算机名标识一台电脑，域中靠类似于 www.benet.com 的域名标识一台电脑，可以在提升域控制器的过程中自动安装、配置）

配置过程：

1 2008r2原始状态，用管理员登录

2 设置静态ip地址，★★dns指向127.0.0.1（域控制器上将要安装dns服务，可以用自己来解析域名）

3 执行 dcpromo.exe 提升域控制器。

domain controller promotion，域控制器的实现

在新林中创建域（无中生有产生一个林，并成为这个林中第一个域，也称为“林根域”）

★★★新林的域名：至少两段，用英文的句点隔开，例如qq.com，不推荐无意义的字符串或特殊符号。

后续默认，忽略dns警告，选中“安装dns服务器”

定义还原模式密码：仅在还原域控制器备份时使用，可以并且推荐和活动目录管理员密码不同。

★★选择“完成后重新启动”选项。

4 重启后，原来工作组管理员自动升级为域管理员，密码不变。

管理工具实验：Active Directory 用户和计算机，简称ADUC

1 打开活动目录用户和计算机控制台，展开域名后缀

Builtin 目录：无需自建，windows自带的组，称为“内置组”

Computers 目录：加入域的成员机会列在此处

Domain Controllers 目录：列出域中所有的域控制器

Users 目录：域用户和组的默认位置

    Domain Admins：域管理员所在的组

    Domain Users：普通与用户所在的组

    Enterprise Admins：企业管理员所在的组，权限范围比域管理员更大

2 组织单位OU的创建：

★★根据地区或部门，把规模较大的域分割成容易管理的几块。

右键单击域名后缀、新建、组织单位：

模拟公司的架构，为每个部门建立组织单位

3 用户的创建：

在每个部门的组织单位中建立员工帐号即可。

新建、用户

姓名可以使用中文

★★★登录名：纯粹中国公司往往使用员工姓名全拼zhangsan，外企中习惯使用：名的全拼.姓的全拼san.zhang

★★★密码：必须符合复杂性要求

————————————————————————————————————————————————————

显示名：在所在OU中唯一

登录名：在所在的域中唯一

当显示名和登录名不同时，登录域必须使用登录名。

4 把计算机加入域：

启动原始状态windows，设置和域控制器同一网段ip

★★★dns必须指向域控制器的ip

在正式加域之前，应该可以ping通活动目录的域名后缀，例如 ping qq.com，如果不能解析，不要急于加域，先排查网络问题

计算机属性、更改计算机名位置、隶属于：填写域名后缀，输入有权限把计算机加入域的帐号、密码

★★★重启计算机

登录域：★★成员计算机有两套帐号可用，一套是原来的本地帐号，一套是域帐号

如果要登录域，必须点击“切换用户”、使用“其他用户”登录域，用户名的写法：

域名简写\登录名，例如qq.com的zhangsan用户，可以写 qq\zhangsan

登录名@域名后缀, 例如qq.com的zhangsan用户，可以写 zhangsan@qq.com

————————————————————————————————————————————————————

额外域控制器的实现：防止“单点故障”（重要服务只有唯一的一台服务器，出现故障后引起业务混乱），一个域至少两台域控制器

1 启动现有域控制器

2 启动一台工作组状态2008r2，和域控制器在同一vm交换机（如果不在同一交换机需要设置网关）

设置和域控制器同一网段ip，首选dns指向127.0.0.1，辅助dns指向第一台域控制器ip

3 运行dcpromo.exe提升域控制器

现有林

向现有域添加域控制器

输入林中任何一个域的域名后缀（一般填写本域的域名后缀）

选择要成为哪一个域控制器的额外域控制器

后续默认

填写还原模式密码，完成重启。

4 额外域控制器刚刚提升完毕，需要在第一台域控制器上执行 ipconfig /flushdns （推荐执行，否则可能短时间内第一台域控不能识别第二台）

分别在两台域控制器建立ou、组、用户等对象，查看另一台是否能学习到。