Download
1 / 41
420 likes | 587 Views
初 识 活动目录. 创建 Active Directory 域. 在一台普通的 windows server 2008 内安装 Active Directory ,这台计算机就 会升级成为域控制器,当一台计算机成为第一台域控制器时,升级过程会同时完 成如下操作: 创建一个新林 林: 由一个或者多个 域树状目录 所组成,每一个域树状目录都有自己唯一的 命名 空间. 最上层的是这个域树状目录的根域,根域下面有两个子域,子域下面还有 三 个子域 域树状目录内的所有域共享一个 Active Directory 域树状目录下面只有一个
E N D
创建 Active Directory 域 在一台普通的 windows server 2008 内安装 Active Directory,这台计算机就 会升级成为域控制器,当一台计算机成为第一台域控制器时,升级过程会同时完 成如下操作: 创建一个新林 林: 由一个或者多个域树状目录所组成,每一个域树状目录都有自己唯一的命名 空间
最上层的是这个域树状目录的根域,根域下面有两个子域,子域下面还有最上层的是这个域树状目录的根域,根域下面有两个子域,子域下面还有 三个子域 域树状目录内的所有域共享一个 Active Directory 域树状目录下面只有一个 Active Directory 但是其中的数据是分散存储在各个域内的,每一个域内只 存储属于该域的数据。
林: 是由一个或多个域树状目录组成的,每一个域树状目录都有自己的命名空间 命名空间: 一个活动目录就是一个命名空间,使用活动目录,可以通过对象名称来找到 与这个对象有关的信息 域名空间采用 DNS架构,所以活动目录域采用 DNS 格式来命名
2.创建新林中的第一个域树状目录 3.创建新域树状目录中的第一个域 4.创建此新域中的第一台域控制器 创建域的必要条件 DNS域名: 要为活动目录设计一个符合DNS格式的名字 DNS服务器: 由于域控制器需要将自己登记到DNS服务器内,所以要有一台支持活动目录的DNS服务器 若没有支持活动目录的DNS ,则可以在升级域控制器的过程中,在这台即将升级为域控制器的服务器上安装DNS服务器
创建网络中的第一台域控制器 两种方法: 通过服务器管理器安装 在运行下输入 dcpromo进行安装
是 数据库文件夹: 用来存放 Active Directory 数据库 日志文件夹: 存储活动目录日志信息 Sysvol文件夹: 存储域共享文件(如组策略)必须位于NTFS磁盘内
目录还原模式是一个安全模式,进入 此模式可以修复活动目录数据库。 在系统启动时按 F8 进入 此处配置的密码 4选3 大于7 即可
检查DNS 服务器内的日志是否完整 表示域控制器server1 已经成功添加到DNS中
gc说明 server1 是全局编录服务器 Ladp表示server1 已经成功等级为域控制器 其他加入域的成员,也会将主机与IP地址的数据等级到这个区域中
创建更多域控制器 一个域内若有多台域控制器的好处 提升用户登录效率 因为同时有多台域控制器对客户端提供服务,可以分担审核用户登录身份的负担 ,当用户登录效果更好 故障转移功能 即使其中一台域控制器出现了故障,对客户的服务并不会因此停止,仍然能由其他 功能正常的域控制器提供服务
在server2的运行 中输入 dcpromo来安装第二台域控制器
全局编录的数据存储在域控制器 中,这台域控制器我们称为全局 编录。上面存储着Active Dir 内的每一个对象,但是之存储着 每一个对象的部分属性,例如 姓 名 账户名称等 全局编录让用户即使不知道对象 是位于哪一个域,仍然可以快速 查找到所需的对象 一个林内的所有域树状目录共享 相同的全局编录,而林内的第一 台域控制器,默认是全局编录
第二台域控制器安装完成后,在DNS中我们可以看到相应的主机记录第二台域控制器安装完成后,在DNS中我们可以看到相应的主机记录
管理活动目录域内的用户账户 通过这个控制台来管理 域用户账户,只有域 控制器中才有这个控制 台。
在服务器升级为域控制器之后 原本处于本地的用户账户会被 添加到 user 当中 Computer: 其他加入域的计算机账户都会 保存其中 Domain controller 保存服务器的计算机账户
开启防止容器被意外删除 可以确保 创建好的 OU 不会因为误操作而被删除 若要删除 在活动目录用户和计算机控制台中 选择“菜单”—“查看”—“高级功能” 之后右击组织单位选择属性 在对象中取消防止容器被以外删除
dc CN ou 创建用户账户成功 密码规则 四选三 大于七
创建 UPN 后缀 用户账户的UPN后缀默认是账户所在的域的名称,例如上面用户被创建在 jluzh.com 中,那么UPN后缀就是jluzh.com. 用户可能希望他的UPN后缀与自己的电子邮件相同,不论是登录系统还是收发电子邮件 都使用想用的帐号 或 当域内有较多层次的子域,则域名会很长,所以就导致UPN后缀很长,造成用户登录 时候的不便
将计算机加入或脱离域 计算机加入域后,便可以访问 Active Directory 数据库与其他的域资源 将计算机加入域步骤 选择更改
Jluzh.com 加入域成功
将计算机脱离域 必须是 企业管理员组或者是域管理员 组的账户才有权限将计算机脱离域
域用户账户的属性设置 这部分属性很简单,自行浏览字段 进行配置即可
登录时间设置 登陆时间用来设置用户何时可以登录 到域,默认是任何时段都可以登录 若要改变设置,按照如图所示方法 更改 横轴:每一个方格代表一小时 纵轴:每一个方格代表一天
周一到周五的 6点到20点 可以登录到域
管理活动目录域组账户 创建组 安全组: 可以被用来设置权限,例如设置安全组对文件具备 读取的权限 通讯组: 用在与安全无关的工作上
组的使用范围: 本地域组 全局组 通用组 全局组特点: 成员来自于同一个域的用户账户和全局组,能添加到全局组的成员是本地域 的成员或者是全局组 通用组的特点: 成员来自林中任何域中的用户账户,全局组和其他的通用组 域本地组: 成员来自林中任何域中的用户账户 全局组和通用组以及本域中的域本地组
例2 世纪翔在珠海是一家知名的网络技术公司,总部在珠海,公司内部创建了一个域 Flying.com 由于业务量大,我们在广州创建了一家分公司子域是 ts.flying.com 后来我们业务量不再局限于网络技术支持,而开发私有云 我们就收购了一家做云 的公司作为子公司位置在深圳,但是收购的公司已经有了自己的域 cloud.com 我们在子公司和总公司之间建立了一个信任关系,以便能够互相访问网络资源 当深圳的财务部出了 一点问题,需要从广州 和珠海分别找10个人来 支援一下,深圳公司的 账目都保存在财务部 服务器上,因为是机密 对于安全性要求较高,所以只允许财务部人访问,为了方 便管理,深圳可以创建一个域本地组并且定义这个组的权限 广州珠海的管理员可以创建一个10个人的全局组,然后深圳 的管理员只需要把 广州珠海的全局组加入到自己的域本地组 中就可以了。而不需要知道究竟是哪些人来支持财务部的工 工作,也不用一个个定义用户的权限了
内置本地域组 点击“添加” 为该组添加成员
活动目录基本概念 信任: 两个域之间必须创建信任关系,才可以访问对方域内的资源 域的信任关系具有传递性 A 信任 B B信任C 那么A自动信任C 这种信任关系称为隐式信任
林: 由一个或多个域树状目录所组成,每一个域树状目录都有自己的名称空间 创建的第一个域树状目录的根域就是整个林的根域,同时此域的域名就是该林的 林名. 图上 sayms.com 是第一个域树状目录的根域,它也是整个林的根域,林名就是 Sayms.com
