1 / 43

活动目录 (Active Directory) 的管理

活动目录 (Active Directory) 的管理. 课程内容 : 工作组和域的区别 活动目录( Active Directory )可以做什么? DNS 和活动目录名称空间 安装活动目录的要求 搭建活动目录 如何把一台电脑加入域. 工作组和域的区别. “ 自由”的工作组 工作组( Work Group )就是将不同的电脑按功能分别列入不同的组中,以方便管理。 加入 一个工作组,只需要在系统属性 — 计算机名选项卡 — 更改,填入要加入的工作组。如果没有这个工作组,则会创建一个新的工作组。

nile
Download Presentation

活动目录 (Active Directory) 的管理

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 活动目录(Active Directory)的管理 课程内容: • 工作组和域的区别 • 活动目录(ActiveDirectory)可以做什么? • DNS和活动目录名称空间 • 安装活动目录的要求 • 搭建活动目录 • 如何把一台电脑加入域

  2. 工作组和域的区别 “自由”的工作组 • 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。 • 加入一个工作组,只需要在系统属性—计算机名选项卡—更改,填入要加入的工作组。如果没有这个工作组,则会创建一个新的工作组。 • 一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。

  3. 退出某个工作组,只要将工作组名称改变一下即可,不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。退出某个工作组,只要将工作组名称改变一下即可,不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。 • 也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。

  4. 域的管理和设置  • “域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。 • 在“域”模式下,至少有一台服务器负责每一台连入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。  • 在安装Active Directory时,第一个域服务器被配置成为域控制器,而其他的域成员服务器也可以通过使用[Active Directory安装向导]升级成为域控制器。

  5. 域最大的好处就是它的单一的网络登陆能力,任何用户只要在域中有一个用户帐户,就可以登陆域并能访问域中所有的资源。域最大的好处就是它的单一的网络登陆能力,任何用户只要在域中有一个用户帐户,就可以登陆域并能访问域中所有的资源。

  6. 活动目录(ActiveDirectory)可以做什么? 源于一种目录服务的概念 • 在域环境下有一个DC,存储这一个数据库---活动目录数据库,通过它来管理和维护域资源。 • 如何便捷的找到、管理、控制网络资源(如打印机、文档)?——使用活动目录 活动目录就好比一本书的索引,或者说它是一个数据库,它存储的是企业网络资源的快捷方式,通过它来找到网络资源。 • 所以活动目录既可以集中管理网络资源又可以优化网络性能。

  7. domain contoso.com 活动目录的逻辑结构 sub domian sub domain beijing.contoso.com shanghai.contoso.com nwtrators.com OU a.shanghai.contoso.com OU OU a.nwtrators.com b.nwtrators.com

  8. 什么时候要搭建一个域? • 公司比较小,要搭建一个域环境管理网络资源,只搭建一个DC,上面有活动目录数据库,如果此DC坏了,将导致所有的用户无法登陆,可以再搭建一台辅助DC。 • 一个域里面,两台DC之间进行数据复制——活动目录数据库的复制,采用多主机制——有一台DC更改了数据库则数据马上同步到另一台DC。 • 如果有一台DC坏了,另一台可以正常工作,可以腾出时间把坏的那一台修好,可以避免网络瘫痪,所以搭建一个域最少搭建两台DC。

  9. 什么时候创建子域? • 总部在北京,在上海开设分公司,如果搭成一个域两台DC,单域模型里是同步复制,DC上活动目录会频繁更改,数据同步的次数会比较多,增加网络流量占用带宽。 • 所以应该在分公司搭建子域,因为两个域的DC数据可以不一样,但仍然可以互访资源。 • 如果希望子公司有专门的人员来管理网络,父公司就不用去管理子公司的网络。 2003经常提域:安全的边界,复制的单元 • 在域中用组策略去做管理,在父域做策略,子域并不会继承这个策略。 • 复制的单元,域之间有的数据复制,有的不复制。

  10. 什么时候再去创建一棵树,组成一个森林? • 树里面的名称是连续,父域叫contoso.com,子域叫beijing.contoso.com,两个树之间名称不是连续,两棵树和起来就是一个森林。 • 当两个公司兼并,contoso.com兼并nwtrators.com,需要重新规划步署网络,建议保留原来的名称空间,因为 1.可以让员工继续登陆; 2.已有的名称也具有一定价值。 • 在一个森林里资源互访就是不需要输入用户名和密码,兼并一个企业重新搭建活动目录结构后,新老员工不输用户名和密码也可以互访对方资源

  11. 一个企业两个森林,需要吗? • 2003里,森林内的所有域之间的关系是---双向可传递。工作组模型是没有这个概念的。 • 一个企业一个森林就够,因为森林之间默认是不信任的。 当企业模型比较大,如果我希望财务部门的安全策略和其他部门都不一样,那我们可以怎么做?

  12. 什么时候创建OU(组织单元)? • 组可以组织用户帐号,OU也可以 (1) 组是应用于权利权限的管理,是权利权 限的体现,一个用户可以属于多个组。 (2) OU就是体现管理模型,根据企业实际管理模型,总经理一个OU,生产部门一个OU ,财务部门一个OU。 OU里面包含用户、组、计算机、打印机等。 OU、域、树林都是容器,生产部分用户能属于一个OU,就不能使用另一个OU了。

  13. 安装活动目录的要求: 1.计算机运行的windows server 2003,2000也可以。 2.磁盘空间250M,最少有一个NTFS分区,活动目录初始的大小,活动目录数据库随这使用空间使用会越来越大,留几个G的空间。 3.必须是管理员的权限,原来工作组模型的管理员,变成了域管理员。 4.使用TCP/IP、DNS。 5.支持SRV记录。

  14. 企业申请的域名和企业内部域模型的域名可以不一样,但只限于企业内部使用,无法从公网访问。企业申请的域名和企业内部域模型的域名可以不一样,但只限于企业内部使用,无法从公网访问。 企业域模型内的访问,同样需要但也需要DNS完成企业内部域模型名称的解析。

  15. 搭建活动目录 1.检查当前分区是否是NTFS,也有多的磁盘空间。 2.确认IP地址配置,DNS是自己的IP地址,那么自己是DNS、DC。 3.确认计算机名称是唯一的。 4.运行---dcpromo---AD安装向导。

  16. 在活动目录安装好以后,主要有3个Active Directory的控制台: • Active Directory用户和计算机管理,主要对域的用户和计算机进行管理。 • Active Directory域和信任关系的管理,主要管理多域的委托和信任关系。 • Active Directory站点和服务管理,可以把域控制器置于不同的站点进行管理。

  17. 如何把一台电脑加入域 1. 服务器端设置  “Active Directory用户和计算机”---右击“Computers”----“新建”----“计算机”----填入想要加入域的计算机名即可。 要加入域的计算机名最好为英文,中文计算机名可能会引起一些问题。 

  18. 2. 客户端设置  • 首先要确认计算机名称是否正确 • 将DNS地址指向DC(DNS)的IP地址 • 系统属性---计算机名---更改---加入域 • 使用域用户帐号和密码---登录域之后,就可以使用Windows 2000 Server域中的资源了。(请注意,这里的域用户账号和密码,必须是网络管理员为用户建的那个账号和密码,而不是由本机用户自己创建的账号和密码。)

  19. 课程内容: • AD站点和服务 站点和域 子网和站点链接 • AD用户和计算机 提升域和林的功能级别 域用户帐户的管理 设置用户密码策略 域组帐户的管理 计算机帐户的管理 添加组织单元 • AD域和信任关系 创建域信任关系

  20. AD站点和服务 站点和域 站点---把一组高度可靠的物理链路 一个域可以属于不同的站点,一个站点也可以包含不同的域 同一个站点内DC复制流量不压缩,而站点之间DC复制流量压缩,压缩成15%

  21. 什么是子网? • 一个子网是一组高速可靠的物理链路,不同子网是由不同的物理链接构成。 • 具体子网怎么划分,是基于IP地址的 什么是站点链接? • 一个站点链接可以连接两个站点,在两个站点之间配置复制(和站点内的复制不一样)。 • 可以指定什么时间去做复制,还可以指定cost值:A站点和B站点带宽10M,A到C是1M,B到C是512K,B和C要复制东西,走512K很慢。 • 可以配置站点链接,当B和C复制的时候,通过A去复制,虽然走的链路长一点,但连接的速度会很快,加速复制的速度。

  22. A 1M 10M 512k C B

  23. 一个站点有两台DC,一台是当前这个域的主要域控制器LONDON,另一台是其子域的域控制器ISTANBUL,现在要把ISTABUL这台DC放到上海。一个站点有两台DC,一台是当前这个域的主要域控制器LONDON,另一台是其子域的域控制器ISTANBUL,现在要把ISTABUL这台DC放到上海。 也就是要创建一个新的站点,分配到一个新的站点去。 1.先给已有的站点创建一个网段--新建子网 2.创建一个新站点--shanghai---选择连接 查看站点连接的关系 3.给默认站点换一个名字---beijing 4.新建子网---shanghai 5.选择istanbul这台DC--移动

  24. 这样这台DC以后就在上海了,可以通过管理控制台可以反映服务器的物理位置。这样这台DC以后就在上海了,可以通过管理控制台可以反映服务器的物理位置。 • 以后北京服务器和上海的服务器再进行复制的时候就要进行压缩了 站点链接的配置 1.新建一个站点 2.创建一个新的连接 3.设置开销值(越小,链路的利用率越高)和复制频率。

  25. 1 创建一个站点 • 站点--右--新站点---广州 刚才有一个默认站点连接是连接北京和上海的,现在又创建出了一个站点叫广州,并且希望广州和北京使用另外一个站点连接。 2 重新去创建一个新的站点连接,用它去连接这两个站点。 IP--右--新建站点连接---beijing-guangzhou--选择北京和广州 就多出了一个站点连接。

  26. 3 把默认站点链接里的guangzhou删除,让它只连接beijing和shanghai 可以看到通过这两个站点链接就可以体现出这几个站点之间的复制拓扑了。 4 双击一个站点链接,里面有两项,一个是开销,一个是复制频率 • 开销值越小,链路利用率越高,当两台服务器有多条链路都可以走的情况下,是选择开销值低的走 • 复制频率:每180分钟复制一次。

  27. AD用户和计算机提升域和林的功能级别 为了与网络中的其他windows域或域控制器共存,windows server 2003 使用了几种不同的域和林的功能级别。 1.域功能级别

  28. 3种模式的域功能比较

  29. 注意: • 当NT或2000的域控制器还没有完全升级到server2003时,不能提升域和林的功能级别,因为会导致NT和2000的域控制器无法正常工作. • 如果域中有多个域控制器,并不需要在每个域控制器上提升功能级别,因为这个新的功能级别会复制到域的每个域控制器. • 提升域功能级别后,而且提升域功能级别后,将无法再还原,除非是删除AD后重新安装.

  30. 域功能级别提升 AD用户和计算机---域----右----提升域功能级别

  31. 2.林功能级别 设置不同的林功能级别,会影响林中能够存在的域控制器的类型,默认的林功能级别是win2000。

  32. 两种林功能级别的比较

  33. 注意: • 如果林中所有域的功能级别都是windows server 2003时,可以升级林功能级别. • 如域中仍有没有升级到server2003的域控制器,即使提升了域功能级别,也不能提升林功能级别 • 如果林中有多个域,并不需要在每个域上提升功能级别,因为这个新的功能级别会复制到林中的每个域控制器.

  34. 林功能提升 AD域和信任关系---右----提升林功能级别

  35. 域用户帐户的管理 • 本地帐户  计算机管理—本地用户和组:创建  存储在c:\windows\system32\config文件夹中的SAM文件  本地身份验证 • 域用户帐户  AD用户计算机--USER:创建  存储在c:\windows\NTDS中的ntds.dit文件(活动目录数据库)  域控制器上做身份验证

  36. 设置用户密码策略 安全模板的使用 Server提供了多安全模板,系统管理员可以选择直接提供的安全模板来设置服务器安全策略。 • mmc—添加/删除管理单元—安全模板/安全配置和分析 • 查看安全模板—安全配置和分析—打开数据库—为要创建的数据库指定名字---导入模板(选择一个合适的模板)---激活安全配置数据库(立即配置计算机)---立即分析计算机

  37. 域组帐户的管理 根据组领域,AD的组可以分为3种: 本地域----只能在本域中使用,用于赋予访问资源权限或组织用户帐户。 全局----可以在本域或信任域之间使用,用于组织用户帐户。 通用----可以在整个AD中使用,用于组织用户帐户。(只有域功能级别为windows server 2003,才能使用通用组)

  38. 在AD中,根据不同的情况创建组的策略不同 • 单域,采用PLGA策略(P-权限,L-本地域组,G-全局组,A-用户)将用户加入全局组,再将全局组加入本地域组,再将资源访问权限赋予本地域组. • 多域,采用PLGGA策略,将第一个域的用户加入本域全局组,然后将这个组加入第二个域的全局组,再在第二个域中将该全局组加入本地域组,最后将权限赋予该组,这样第一个域的用户就可以访问第二个域的资源了 • 在整个AD中访问资源,采用PLGUA

  39. 根据组类型,AD的组可以分为两种 安全组:可以赋予其访问权限,是最常用的组,所有的内置组都是安全组 通讯组:主要作用作为联系人,发布组可以让协助软件(EXchange)使用它来发送邮件,但是此类型的组是不能赋予权限的

  40. 计算机帐户的管理 • 在windows server2003中,加入到域中的且运行server2003或2000的每一台计算机均具有计算机帐户. • 与用户帐户类似,计算机帐户提供了一种验证和审核计算机访问网络以及域资源的方法. • 与用户帐户不同的是,连接到网络上的每一台计算机都只能有自己的唯一计算机帐户,而用户可以有多个用户帐户.

  41. 添加组织单元 在windows server 2003中,AD服务把域又详细的划分成组织单元(OU)。 • 组织单元是一个逻辑单元,它是域中一些用户、计算机和组、文件与打印机等资源对象。 • 组织单元体现的企业的管理模型,并且组织单元还可以再划分下级组织单元。组织单元具有继承性,子单元可以继承父单元的访问许可权。 • 每一个组织单元可以有自己的管理员并指定其管理权限,从而实现了对资源和用户的分级管理。

  42. 移动用户帐户和计算机帐户到组织单元 用户帐户—右---移动----选择组织单元 计算机帐户---右---移动---选择组织单元 查找活动目录资源: 操作---查找

  43. AD域和信任关系 创建域信任关系 域信任关系是一种建立在域间的关系,它使一个域中的用户可由另一个域中的域控制器来进行验证。 当管理员需要使域林中的某一个域和域林外的某个域建立信任关系时,就应建立外部明确信任关系。 AD域和信任关系----contoso.com---右----属性----信任选项卡---新建信任

More Related