一.Windows域的相关概念
1.域和活动目录
活动目录是Windows网络中的目录服务。目录服务实际上包含两个概念,即活动目录是一个目录;活动目录是一种服务。这里的目录是一个目录数据库,它存储着整个域的用户账号,组,打印机,共享文件夹等活动目录对象的相关数据;活动目录一种服务,是指目录数据库所存储的信息都要经过事先整理的有组织,结构化的数据信息,这使得用户可以非常方便的,快速地找到所需数据,也可以对活动目录中的数据执行添加,删除,修改,查询等操作。活动目录的特点有:集中管理;便捷的网路资源访问;可扩展性。
2.域控制器
域是在Windows网络环境中组建客户机/服务器网络的实现方式。所谓域,是由网络管理员定义的一组计算机的集合,实际上就是一个网络。在域中,至少有一台成为域控制器的计算机,充当服务器的角色。在域控制器中保存着整个域的用户账号和安全数据库,即活动目录数据库。管理员可以通过修改活动目录数据库的配置,实现对整个域的管理和控制。
3.域树
当需要配置一个包含多个域的网络时,应该将网络配置成域树结构。域树是具有连续的域名空间的多个域。域树是一种树型结构。在整个域树种,所有域共享一个活动目录,即整个域树只用一个活动目录。只不过这个活动目录分散的存储在不同域中,整体上形成一个大的分布式的活动目录数据库。
4.林
林由一个或多个域树组成。林中的每个域树都有唯一的命名空间,它们之间并不是连续的。在整个林中存在一个根域,这个根域是最先安装的域。
二.Windows域的安装
1.安装域控制器的条件
创建域必须先安装一台域控制器(DC-Domain Controler),DC上存储着域中的资源信息。通过在一台服务器上安装活动目录,就会将这台计算机安装成DC。一台计算机要安装成DC,必须具备以下几个条件:
安装者具有本地管理员权限
操作系统版本必须满足条件(Windows Server 2008除Web版外都满足)
本地磁盘至少有一个分区时NTFS文件系统
有TCP/IP协设置
有相应的DNS服务器支持
有足够的可用空间
2. 通过在一台服务器上安装活动目录,就会将这台计算机安装成DC,步骤如下
1)运行“dcpromo”命令,打开“Active Directory域服务安装向导”
2)阅读操作系统兼容性说明,单击“下一步”
3)选择部署配置。在“选择某一部署配置”页面中,选择“在新林中新建域”
4)命名林根域。在“命名林根域”页面中输入目录林根域的域名
5)设置林功能级别。在“设置林功能级别”页面中选择林功能级别
6)设置域功能级别。在“设置域功能级别”页面中选择域功能级别
7)选择其他域控制器选项。在“其他域控制器选项”页面中选择“DNS服务器”
8)设置数据库,日志文件和SYSVOL的位置
9)设置目录还原模式的Administrator密码
10)查看摘要信息,确定无误后,单击“下一步”
11)配置Active Directory域服务。开始安装和配置活动目录服务
12)完成Active Directory域服务安装向导
3.各个域功能级别支持的域控制器
1)域功能级别为Windows2000纯模式,支持的域控制器有:
Windows2000,Windows Server2003,Windows Server2008
2)域功能级别为Windows Server2003,支持的域控制器有:
Windows Server2003,Windows Server2008
3)域功能级别为Windows Server2008,支持的域控制器有:
Windows Server2008
注意:如果想删除活动目录,可以使用DC的降级命令(为升级命令),为“dcpromo”
4.将计算机加入域
1)在安装完活动之后,需要将其他的服务器和客户计算机加入到域中。用户必须在客户计算机上拥有管理权限才能将其加入域中。一般情况下,在从客户计算机上加入域时,会在域中自动创建对应的计算机账号
2)加入域前,首先检查客户机的网络配置
确保网络物理上的连通;配置IP地址;检查客户机到服务器是否连通;配置客户机的首选DNS服务器(通常为第一台DC的IP)
3)加入的步骤
在“管理工具”中打开“服务器管理器”,单击“更改系统属性”,出现“系统属性”对话框。
在“计算机名”选项卡里,单击“更改”按钮打开“计算机名/域更改”对话框,在“隶属于”选项中选择“域”并输入域名“xxx.xxx”。在“Windows安全”对话框中输入域管理员的账户和密码,单击“确定”按钮。出现成功加入域的提示。
5.DNS在域中的作用
DNS在域有两个作用,即域名的命名采用DNS标准化和定位DC
1) 域名的命名采用DNS标准化
2) 客户机如何定位DC
当域用户账户登录或查找活动目录时,首先哟啊定位DC,这需要DNS服务器支持,主要步骤如下所示:
客户机发送DNS查询请求给DNS服务器;DNS服务器插叙匹配的SRV资源记录;DNS服务器返回相关DC的IP地址列表给客户机;客户机联系到DC;DC相应客户机的请求
3)DNS在活动目录中起到定位DC的作用,如果DNS中的SRV资源记录不全或者没有,则在定位DC方面可能会出现以下问题:
将计算机加入域找不到域;添加子域时找不到上级域;建立信任关系后找不到信任域或者被信任域
注意:要补全SRV记录,一种方法是在命令下执行:net stop netlogon和net start netlogon。也可以删除DNS区域,重新建立DNS区域。
6.在加入域时收到错误信息,通常说明计算机不能正确的定位到域控制器,可以按照以下步骤进行排查:(1)检查DNS客户端网络配置:在命令行提示符下使用ipconfig/all命令,确认IP地址,子网掩码,网关,首先和辅助DNS服务器配置是正确的;(2)检查防火墙配置:在命令行提示符下使用telnet命令连接域控制器的53端口,如果不能连接,检查客户端机DNS服务器的防火墙配置是否正确;(3)检查DNS服务器配置:如果DNS客户端配置正确,检查域的DNS服务器资源记录和服务是否正确。
三.域用户账户
1.创用户账户的命名规则
唯一用户登录名:域用户账户的用户登录名在域中必须是唯一的。域用户账户的显示名在其所在的组织单位中必须是唯一的
最长20字符:域用户账户的用户登录名最多可以包含20个字符
非法字符:域用户账户名称不能出现以下字符:<>?/\;:=,+[]*@”
2.设置密码及相关选项
3.配置域用户账户的属性
域用户账户属性的“账户”选项卡允许用户设置账户的各种属性,如登录时间;登录到;账户过期。
四.组的管理
1.组的概述
组是用户账户的集合。组的主要功能就是为用户和嵌套在里面的组提供对网络资源的访问权限
2.组的类型
1)安全组:将用户账户加入到安全组中,通过赋予安全组访问资源的权限,而使得安全组包含的用户也具有相应的权限
2)通讯组:只能用作电子邮件的通信,其中可以包括联系人和用户账户
3.组的作用域
1)本地域组
具有本地域作用域的组(本地域组)的使用范围时本域。通常是针对本域的资源创建本地域组。成员在全局,权限在本地。通常使用ALP规则,称为ADLP规则,其中A表示账户,DL表示本地域主,P表示赋权限
2)全局组
具有全局作用域的组(全局组)的使用范围时整个林以及信任域。通常使用全局组来管理那些具有相同管理任务或访问权限的用户账户。成员在本地,权限在全局。通常使用AGDLP规则,A表示账户,G表示账户,DL表示本地域组,P表示赋权限
3)通用组
具有通用作用的组(通用组)的使用范围时整个林和信任域。在多域环境下,通用组成员的身份信息在全局编录中,而全局组成员身份存储在每个域中,通用组成员登录或者查询速度较快。不应频繁更改通用组成员身份,因为对这些组成员身份的任何更改都将引起整个组的成员身份在复制到森林中的每个全局编录中,增加了复制的流量。
五.组织单位的管理
1.组织单位的概述
一个域中有很多类的对象,如用户账户,组,计算机账号,共享文件夹和打印机等,它们数量巨大,要在一个平面内有条理的管理所有对象非常困难。在域中的组织单位(OU)提供了一种解决方案,它采用逻辑的等级结构来组织域中所有的对象,方便了管理。
2.OU的概念
OU是活动目录对象,也是活动目录容器。在活动目录中,域一般对应于公司级别,而OU则对应于公司中的部门。
2.OU的委派
1)利用OU不但可以有效的组织活动目录对象,还有委派控制和实施组策略的功能。委派控制管理是指管理员可以为适当的用户和组指派一定的管理任务,从而减轻管理员的工作负担。实现步骤:在“Active Directory用户和计算机”窗口中,右击需要委派的OU,如Sales,选择“委派”;按照提示向导,添加要委派任务的账户User,单击“下一步”;选择要委派的任务,按照向导提示最终完成委派。
2)如何在非DC计算机是哪个执行委派任务?实现步骤如下:
以域管理员账号打开Windows Server2008的“服务器管理器”,在控制台树中选择“功能”,在结果窗口选择“添加功能”,在添加功能向导中选择“远程服务器管路工具(SRAT)”的“
Active Directory域服务工具”,然后单击“下一步”,按提示完成安装,安装完该管理工具,会发现即使不是DC,也会在“开始”-“程序”-“管理工具”中有活动目录管理的管理工具,这样进行委派了。
注意:如何删除委派的任务呢?可以先启用“Active Directory用户和计算机”,然后选择“查看”-“高级功能”,“高级功能”启用后,右击指定的OU,选择“属性”-“安全”-“高级”-“权限”,选中委派了任务的账户条目,单击“删除”按钮即可。
3.在活动目录中发布共享文件夹
1)在Windows域中,可以将共享文件夹发布到活动目录中,统一管理,方便查找。必须是Domain Admins组或Enterlprise Admins组的成员。可以将不同部门的共享文件夹建立在不同的组织单元(OU)中,也可以将所有的共享文件夹统一组织到一个指定的OU中。
2)发布共享文件夹Software的步骤
使用“Active Director用户和计算机”创建一个名叫“共享文件夹”的OU;右击“共享文件夹”OU,选择“新建”-“共享文件夹”,输入发布的共享文件的名称“Software”和网络路径“\\计算机名\Software”,单击“确定”即可,在发布的共享文件夹的“属性”中可以设置描述信息和关键字。
3)查找共享文件夹
用户可以通过“网络”中的“搜索Active Directory”来进行检索,可以搜索活动目录的各种对象。只有将计算机加入域中,才会出现“搜索Active Directory”功能。