《活动目录的安装与配置课件.ppt》由会员分享,可在线阅读,更多相关《活动目录的安装与配置课件.ppt(30页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、一、活动目录的概述一、活动目录的概述 1 1、什么是活动目录、什么是活动目录 Active Directory(活动目录)是一种目录服务,它存储有关网络对象的信息。比如,用户、组、计算机、共享文件夹、网络打印机等,并使系统管理员和用户可以方便地查找和使用网络信息。Active Directory的应用起源于Windows NT 4.0,在Windows Server 2003中得到进一步的发展和应用,具有可扩展性和可调整性,并以结构化数据存储方式作为目录信息逻辑和分层组织的基础。 2 2、活动目录的相关概念、活动目录的相关概念 1 1)、目录与目录服务)、目录与目录服务 目录是存储有关网络上对
2、象信息的层次结构。而目录服务是提供用于存储器目录数据并使该数据可由网络用户和管理员使用的方法。目录服务标记管理网络中的所有对象资源,如计算机、用户、打印机、文件等,并且提供了命名、描述、查找、访问以及保护这些对象信息的方法,使网络中的所有用户都能访问到这些资源。2 2)、对象与属性)、对象与属性 对象是活动目录中一种有形的信息实体,它是一组属性的集合,比如用户帐户、文件名、计算机名等。对象通过属性描述它的基本特征,比如,一个用户帐户的属性中可能包括用户的姓名、 电话号码、 电子邮件地址和家庭住址等。 3 3)、容器与)、容器与OUOU(组织单位)(组织单位) 容器是存放对象的空间,它与对象相似
3、也有名称,也是一些属性的集合。容器内可以包含其他对象,如包含“用户”与“计算机”等对象,也可以包含其他的容器。而组织单位(Organization Units,OU)是Active Directory内一个比较特殊的容器,除了可以包含其他对象与OU之外,还有“组策略(group policy)”的功能。例如,一个名称为“业务部”的OU,包含了两个“用户”对象、两个“计算机”对象和两个OU。 Active Directory通过层次式的架构,将对象、容器、OU等组合在一起,并将它们存储在Active Directory的数据库中。 4 4)、名字空间与)、名字空间与DNSDNS 每一个域都必须有
4、名字,域的名字遵循 DNS 命名规则,并且通过 DNS 服务器解析域名。5 5)、域树)、域树 域树是由根域及其之下的子域所构成的域目录层次结构。域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别越低,一个“.”代表一个层次,如域child.M 就比 M这个域级别低。 6 6)、域(森)林)、域(森)林 域林是指由一个或多个没有形成连续名字空间的域树组成,它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间。域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通
5、过Kerberos信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同域树可以交叉引用其他域树中的对象。域林都有根域,域林的根域是域林中创建的第一个域,域林中所有域树的根域与域林的根域建立可传递的信任关系。 二、域的相关概念二、域的相关概念 1 1、什么是域、什么是域 域是由网络上的用户和计算机组成的一个逻辑组或逻辑集合。域中所有的对象都存储在活动目录下。一个网络可以建立一个或多个域,每个域都是一个安全界限,这意味着各种权限的设置不能跨越不同的域。简单的说,一个域就是一系列的用户帐户、访问权限和其他各种资源的集合。 2 2、域与工作组的区别、域与工作组的区别 工作组模式的网络中,
6、各服务器都是独立的,而且各服务器中的帐户和资源也是各自进行管理的。所以,管理员需要为每台服务器建立帐户,在管理时也需要分别登录各服务器完成管理工作。授权用户访问不同的服务器时,也需要分别登录。 域模式的网络中,服务器可以集中进行管理,域中的帐户和资源也是集中管理的。所以,管理员登录到服务器后就可以管理整个域并可以访问所有共享资源。在域模式的网络中,需要一个对帐户和资源进行统一管理的机制,这个机制就是活动目录(Active Directory)。域中所有的帐户和共享资源都需要在活动目录中进行登记,用户可以利用活动目录查找和使用这些资源。基于域模式的网络可大大减轻管理的复杂度和工作量,通常用于结构
7、较复杂的网络。 3 3、域控制器、域控制器 域控制器(Domain Controller,DC)是一台安装并运行Active Directory的服务器,它包含Active Directory数据库的可写副本,参与Active Directory复制并控制对网络资源的访问。在域中,域控制器统一管理帐户数据库、所有的用户登录、资源访问认证及其管理任务。一个域可以有一个或多个域控制器,各域控制器地位平等,管理员可以在任一台域控制器上更新域中的信息,更新的信息会自动传递到网络中的其它域控制器中。 4 4、成员服务器、成员服务器 成员服务器是一台运行 Windows Server 2003 的服务器,
8、它是域中的成员,但不是域控制器。成员服务器不执行用户身份验证,也不存储安全策略信息,这些工作由域控制器完成,这样,可以让成员服务器有更高的处理能力来处理网络中的其他服务。在域结构的网络中,身份验证与服务是分开的,这样可以提高服务器的效率。 5 5、独立服务器、独立服务器独立服务器是一台运行 Windows Server 2003但不参与域的服务器。独立服务器只有其自身的用户数据库,并由服务器自身处理登录请求。独立服务器不提供对域帐户的访问权限,该服务器通常于工作组模式下运行。6 6、活动目录和域控制器的关系、活动目录和域控制器的关系 如果网络规模较大,这时我们就会考虑把网络中对象,比如计算机、
9、用户帐户、组帐户、打印机、共享夹进行分类后存放在一个数据库中,并做好检索信息,以利于查找、管理和使用这些对象(资源)。这个有层次结构的数据库,就是活动目录数据库,简称AD库。接下来,我们把存放有活动目录数据库的计算机就称之为域控制器(Domain Controller),简称DC。 在Windows Server 2003中,域是建立在Active Directory中,是作为Active Directory的一个对象来使用和管理的。域的范围也被扩大到了整个网络。 三、域帐户的相关概念三、域帐户的相关概念 1 1、域帐户的分类、域帐户的分类域中的帐户分为用户帐户、组帐户、计算机帐户和共享资源帐
10、户。所有帐户都存放在活动目录中,系统使用安全标识符(SID)标识各个帐户。1)1)、用户帐户、用户帐户用于识别用户身份,它主要由用户名和密码组成,只有拥有了一个用户帐户的人员才能通过计算机登录到域。在实际应用中,应该尽量保证一个用户帐户由一个人使用,避免一个帐户供多人使用的情况出现。2)2)、组帐户、组帐户用于组织和管理用户帐户。不同用户帐户可拥有不同的权利和权限,为了方便管理,可设置组帐户,为组帐户设置权利和权限,当需要赋予一个用户某种权限时,只要把该帐户加入相应的组即可。一个用户帐户可同时加入多个组,此时他的权限是各个组权限的叠加。域中的组允许嵌套,即组的成员可以包括用户帐户和其它组。而本
11、地帐户中的组是不能嵌套的。 3)、计算机帐户用于标识域中的计算机。一个拥有用户帐户的人并不能从任意的一台计算机登录到域,他只能在已加入域的计算机上才能登录域。每台加入到域的计算机(包括客户机和服务器)都会有一个计算机帐户。4)、共享资源帐户用于标识域中的共享资源,包括共享文件夹、共享打印机等。域中的共享资源必须公布在活动目录中才能由域用户共享。共享文件夹的实际位置可以在域中任一台计算机中,但域用户只要登录到域,就可以访问这些资源,而不必登录到具体计算机上。实际应用中,共享文件夹通常定义在服务器上,这样可保证资源总是有效,如果定义在客户机上,将会在客户机关机时无法访问。 2 2、域组的类型、域组
12、的类型 域模式中的组称为域组,域组可分为通信组和安全组。通信组用于创建电子邮件通信组列表,即用于部署电子邮件服务的网络。安全组用于给共享资源指派权限,系统自动创建的默认组也属于安全组。3 3、域组的作用域类型、域组的作用域类型通用组:成员可以来自任何域,成员可以访问任何域内资源。全局组:成员只来自本地域,成员可以访问任何域内资源。本地域组:成员可来自任何域,成员可以访问本地域内的资源。提示:本地组是指在工作组模式下的本地帐户中的组,它只针对于本机。而本地域组针对的是域,工作于域模式下,两者不是一个概念。4 4、默认组、默认组 默认组是系统安装Active Directory 域时自动创建的安全
13、组,我们可以使用这些系统预定义的组来控制对共享资源的访问,并委派特定的域范围的管理角色。 我们可以通过“Active Directory 用户和计算机”管理器来管理组。默认组位于“Builtin”容器和“Users”容器中,“Builtin”容器包含用本地域作用域定义的组(即本地域组),“Users”容器包含通过全局作用域定义的组和通过本地域作用域定义的组。我们可以将这些容器中的组移动到域中的其他组或组织单位,但不能将它们移动到其他域。 四、域控制器的安装四、域控制器的安装 1、安装域控制器的准备工作、安装域控制器的准备工作1)、已安装Windows Server 2003 操作系统,并以管理
14、员身份登录系统;2)、在安装活动目录之前要确保系统盘为NTFS文件系统,如果不是NTFS文件系统,则必须将其转换成NTFS文件系统。 3)、规划好一个DNS域名,也就是域控制器的根域,通常为二级域名,本教程假设根域名设置为。4)、一台DNS服务器,负责域名的解析和定位域控制器的位置,多个域控制器可共用一台DNS服务器。5)、如果是建立一个新域的域控制器,在安装活动目录的同时在本机安装和配置 DNS 服务器时,要求 DNS 服务器地址与本机 IP 地址设置成相同的值。本教程假设IP地址设置成192.168.1.1/24,首选DNS服务器IP地址也设为192.168.1.1。 2 2、安装域控制器
15、、安装域控制器 安装域控制器的思路是:先安装一台Windows Server 2003操作系统的独立服务器或成员服务器,然后将其升级为域控制器。 将服务器升级成域控制器的方法有两种:一种方法是使用“配置您的服务器向导”,另一种方法是通过运行“Active Directory安装向导”来建立一个域控制器。 运行“Active Directory安装向导”:1)、在“开始”“运行”处输入“dcpromo”命令,回车后启动安装向导。2)、在打开“欢迎使用Active Directory安装向导”的对话框中单击“下一步”按钮。3)、在打开的“操作系统兼容性”对话框中单击“下一步”按钮。4)、如果建立的
16、是域中的第一台域控制器,则在“域控制器类型”对话框中选择“新域的域控制器”选项,单击“下一步”按钮。5)、在“创建一个新域”对话框中选择“在新林中的域”选项,单击“下一步”按钮。6)、在“新的域名”对话框中的“新域的DNS全名”文本框中输入需要创建的域名,这里输入,如图9-1所示。单击“下一步”按钮,系统开始检测域名是否合格。 图9-1 新的域名提示:每个域都需要有一个域名,由于一个域建立后再更改域名将会是一件很麻烦的事,所以这里应慎重设置。在网络中域名设置应遵循 DNS命名规则且不允许重复,所以输入域名后,单击“下一步”按钮,系统会在网络中检测该域名是否可用。 7)、接着打开“NetBIOS
17、 域名”对话框,系统会默认取域名的前半段字符(本例为mylab),以便Windows95/98/NT操作系统利用此名称来访问域内的资源,直接单击“下一步”按钮。8)、在“数据库和日志文件文件夹”对话框中,将显示数据库、日志文件的保存位置,一般不作修改。直接单击“下一步”按钮。9)、在“共享的系统卷”对话框中,指定作为系统卷共享的文件夹。Sysvol文件夹存放域的公用文件的服务器副本,Sysvol广播的内容会被复制到域中的所有域控制器,其文件夹位置一般不作修改,直接单击“下一步”按钮。10)、在“DNS注册诊断”对话框中,选中“在这台计算机上安装并配置 DNS 服务器,并将这台DNS服务器设为这
18、台计算机的首选DNS服务器”单选框,然后单击“下一步”按钮。提示:如果在安装活动目录之前未安装DNS服务器,此时可选择安装并配置DNS,推荐使用这种方法,当然也可以以后再手动安装和配置DNS服务器;如果在安装活动目录之前已安装了DNS服务器,建议选删除DNS服务器再安装活动目录。 11)、在“权限”对话框中为用户和组选择默认权限,考虑到现在大多数网络环境中仍然需要使用Windows2003以前的操作系统,所以选择“与Windows2000之前的服务器操作系统兼容的权限”选项,单击“下一步”按钮。12)、在“目录服务恢复模式的管理员密码”对话框中输入以目录恢复模式下的管理员密码,也可以不输入密码
19、,直接单击“下一步”按钮。13)、此时,安装向导将显示安装摘要信息,单击“下一步”按钮,开始安装活动目录,如图9-2所示。安装期间可能要求插入Windows Server 2003安装盘,安装完成后,重新启动计算机,该计算机就成为域控制器了。 提示:当活动目录安装完成后,计算机的启动将变的很慢,启动后计算机名由“server”变为“”,域为“”。如图9-3所示。 安装完活动目录并配置了DNS服务器后,就可以在域模式下实现域名解析了,此时,只要配置了WEB服务器,就可以使用域名打开相应的网站了,在IE中输入的域名可以是“”或“”。如图9-4所示。 图9-3 域模式下的计算机名图9-4 域名解析五
20、、域用户帐户的创建与配置五、域用户帐户的创建与配置 1 1、新建域用户帐户、新建域用户帐户1)、右击域名下的“Users”容器,在弹出的菜单中选择“新建”“用户”,将弹出“新建对象-用户”对话框,如图9-5所示。在对话框中输入用户的姓名、登录名。其中“用户登录名”是用户用来登录域所使用的名称,在Active Directory内这个名称必须是唯一的。2)、单击“下一步”按钮,出现如图9-6所示的对话框,在“密码”文本框中输入密码。默认情况下,Windows Server 2003的帐户密码必须符合复杂性要求,即密码必须使用大小写英文字母、数字和特殊符号这3个条件中的2个,密码长度大于7。设置完
21、成后,单击“下一步”按钮。 图9-5 新建域用户图9-6 设置用户密码图9-7 修改域用户帐户 单击“开始”“程序”“管理工具”“Active Directory用户和计算机”“Users”,选定用户帐户后,单击右键,在下拉菜单中选择相应的操作就可以了。如图9-7所示。 2 2、修改域用户帐户、修改域用户帐户1)1)、重设密码、重设密码选择用户帐户后,单击“操作”菜单,选择“重设密码”,在弹出的密码设置对话框中输入新的密码。如果要求用户在下次登录时修改密码,则选中“用户下次登录时须更改密码”选项。2)2)、帐户的移动、帐户的移动选择用户帐户后,单击“操作”菜单,选择“移动”,在弹出的移动对话框
22、中选择相应的容器或组织单位。3)3)、重命名、重命名 选择用户帐户后,单击“操作”菜单,选择“重命名”,在弹出的对话框中更改用户的名称,对内置的帐户也可以更改。在更改名称后,由于该帐户的安全标识SID并未被修改,因此,其帐户的属性、权限等设置均未发生改变。4)4)、删除帐户、删除帐户选择用户帐户后,单击“操作”菜单,选择其中的“删除”,用户可以一次删除一个或多个帐户。在删除帐户后如再添加一个相同名称的帐户,由于SID不同,因而它无法继承已被删除帐户的属性和权限。5)5)、解除被锁定的帐户、解除被锁定的帐户选择用户帐户后,单击“操作”菜单,选择其中的“属性”,在弹出的对话框中将“帐户被锁定”复选
23、框清除即可。 3 3、域用户帐户属性设置、域用户帐户属性设置选择某用户后,单击鼠标右键,在弹出的下拉菜单中选择“属性”,弹出如图9-8所示的对话框。 图9-8修改域用户帐户1)、设置用户信息在用户属性对话框中的“常规”选项卡中输入有关用户的描述、办公室、电话、电子邮件及个人主页地址;在“地址”选项卡中输入用户的所在地区及通信地址;在“电话”选项卡中输入用户的家庭电话号码、移动电话、传真、IP电话及相关备注信息。这样便于用户在活动目录中查找用户并获得相关信息。2)、设置用户的环境可以设置每一个用户的环境,如用户配置文件、登录脚本等 3)、设置用户登录时间在属性对话框中选择“帐户”选项卡,通过单击
24、“登录时间”按钮来设置。4)、限制用户由某台客户机登录在“帐户”选项卡中单击“登录到”按钮,将出现“登录工作站”对话框。在默认情况下用户可以从所有的客户机登录,也可以设置让用户从某些工作站登录。设置时输入计算机的名称,然后单击“添加”按钮即可。这些设置对于非WindowsNT/2000工作站是无效的,例如用户可以不受限制地从任何一台DOS、Windows客户机登录。5)、设置帐户的有效期限在属性对话框中单击“帐户”选项卡,在帐户的下方用户可以选择帐户的使用期限。在默认情况下帐户是永久有效的,但对于临时员工来说,设置帐户的有效期限就非常有用,在有效期限到期后,该帐户被标记为失效,默认为一个月。
25、4 4、新建组织单位(、新建组织单位(OUOU)组织单位(OU)是一个存放帐户的文件夹,而不是域中的组帐户,位于同一个 OU 中的用户帐户可以隶属于不同的组,拥有的权利也可以不同。新建OU具体步骤如下:1)、打开“Active Directory用户和计算机”管理器窗口;2)、在窗口左列表的域名或某容器上单击鼠标右键,选择“新建”“组织单位”,在弹出的对话框中,输入一个名字即可。提示:组织单位(OU)相当于活动目录中的文件夹,如果用户帐户数较少,建议把所创建的用户帐户放置于“域名Users”文件夹中;如果用户帐户数较多,建议建立组织单位(OU),把用户帐户分门别类的放在不同的组织单位中。 六、
26、域组帐户的创建与配六、域组帐户的创建与配置置1 1、新建域组帐户、新建域组帐户 当安装了域控制器后,系统将默认组帐户放置在 Builtin 容器和 Users 容器中。所以,建议另外创建组织单位(OU)用于存放新建的域组帐户,这样可方便管理。建立域组帐户的步骤如下:1)、单击“开始”“程序”“管理工具”“Active Directory用户和计算机”,打开“Active Directory用户和计算机”管理器;2)、在存放组帐户的容器(文件夹)上单击鼠标右键,选择“新建组”菜单项命令,弹出“新建对象-组”对话框,如图9-9所示。图9-9 新建组帐户3)、在该对话框中输入新组的名称,选择“组作用
27、域”和“组类型”后,单击“确定”按钮,新组就创建完成了。 2 2、修改域组帐户、修改域组帐户1)1)、域组的改名、域组的改名 选择需要改名的组帐户,单击鼠标右键,在弹出的下拉菜单中选择“重命名”,输入新的组帐户名称。 提示:在Windows Server 2003中,当添加完一个组帐号后,系统会自动分配一个唯一的安全标识(SID)给此组,系统内部就是利用这个SID来管理组帐户。而更名后组帐户的属性、权限等设置都是不会变的。2)、域组的删除 选择组帐户后,单击鼠标右键,在弹出的下拉菜单中选择“删除”,就可以删除组帐户。3)、域组的移动 选中需要移动的组,单击鼠标右键,在弹出的下拉菜单中选择“移动
28、”,弹出“移动”对话框,选择存放移动组的容器,单击“确定”按钮。 3 3、域组帐户的属性设置、域组帐户的属性设置 打开“Active Directory 用户和计算机”管理器,选择需要更改的组,双击组名,打开组属性对话框,如图9-10所示。1)、“常规”选项卡:该选项卡中可以修改组名。2)、“成员”选项卡:该选项卡中可以添加或删除组的成员,组的成员可以是用户账户,也可以是组。3)、“隶属于”选项卡:该选项卡中可以设置将该组添加到其它组中,也可以将该组从其它组中删除。 图9-10 修改域组属性七、将客户端计算机加入域七、将客户端计算机加入域1)、在“我的电脑”上单击鼠标右键,选择“属性”,打开“
29、系统属性”对话框,选择“计算机名”选项卡;2)、单击“更改”按钮,在弹出的对话框中设置计算机名,把“隶属于”设置为“域”,并输入要加入的域名,单击“确定”按钮;3)、在弹出的“域用户名和密码”对话框中,输入具有加入该域权限的帐户名和密码,单击“确定”按钮,提示:添加计算机时使用的用户名和密码是用来验证添加者是否有添加权限的,该计算机一旦添加到域中后,任何一个拥有域用户账户的人都可以用自己的帐户从这台计算机上登录到域,不必再使用添加计算机时所用的帐户。4)、计算机开始执行加入域的操作,完成后提示欢迎加入域,并要求重新启动计算机。 当重启计算机后,就完成加入域的操作。 八、域共享资源管理八、域共享
30、资源管理1 1、发布共享文件夹、发布共享文件夹1)、以具备有域系统管理员身份的用户登陆到文件夹所在的计算机上,在“我的电脑”或“资源管理器”中将文件夹设置为“共享”,并为它设置一个共享名,共享名与文件夹的实际名称可以不同,如图9-13所示。图9-13 设置共享文件夹2)、在域控制器上,单击“开始管理工具Active Directory用户和计算机”,在打开的窗口左列表域的目录中选择一个放置共享文件夹的组织单位(OU),单击鼠标右键,选择“新建共享文件夹”,在弹出的对话框中输入共享文件夹的名称和它的网络路径,单击“确定”按钮就可以把这个文件夹加入活动目录中了,如图9-14所示。图9-14 新建共
31、享文件夹2 2、共享文件夹的属性设置、共享文件夹的属性设置 如果域中的共享资源较多,最好为共享文件夹设置关键字,这样可以方便用户查找共享资源。方法如下:1)、在域控制器上,单击“开始管理工具Active Directory用户和计算机”,从打开的窗口中找到要设置属性的共享文件夹,双击它的名称,弹出共享文件夹属性对话框。2)、单击“关键字”按钮,弹出如图9-15所示的对话框,输入关键字并点击“添加”按钮。这里可以添加多个关键字方便用户查找访问。 3 3、共享资源权限的设置、共享资源权限的设置 默认情况下Windows Server 2003 允许所有用户(Everyone)以读取方式访问共享文件夹,如图9-16所示。管理员可以更改这个权限。但通过网络访问共享文件夹时,其访问权限不仅受共享权限的限制,还受 NTFS 权限的限制。所以,如果更改权限,不仅应该在“共享”选项卡中设置,还应该在“安全”选项卡中作相同的设置,这样权限的修改才会有效。4、共享文件夹的访问从域中的任意一台计算机上登录到域,打开“网上邻居整个网络目录”,可以看到有权访问的所有域,打开它们就可以浏览并访问域中的共享资源了。如果不能确定要访问的资源位置,可以使用查找功能,方法是在目录窗口的域名上单击右键,选择“查找”,设置要查找资源的类型、范围、关键字等参数就可以查找相应资源了。图9-16设置共享文件权限