域的應(yīng)用基本圖示

1、下次課開始于2022/10/5 MICROSOFT EDUCATIONAND CERTIFICATION目錄服務(wù)基礎(chǔ)結(jié)構(gòu)設(shè)計與管理Microsoft Windows 2000課程號2154A，考試號70-217（一）2022/10/5MCSE:Windows2000張東輝高培信息辦 TEL:5988204Email:zhangdh個人信息Systems EngineerMicrosoftCertifiedProfessional2022/10/5Windows 2000中的活動目錄介紹12022/10/51-1概述活動目錄簡介輕量級目錄訪問協(xié)議LDAP活動目錄邏輯結(jié)構(gòu)組織單元OU、域、樹、林2

2、000集中式和非集中式管理活動目錄物理結(jié)構(gòu)DC如何用于AD中的復(fù)制多主控和單主控的操作角色管理2000網(wǎng)絡(luò)的方法AD和組策略、委派控制2022/10/51-2多媒體：Windows 2000中活動目錄的概念2022/10/5對象object：屬性setting的集合用戶、組、計算機、打印機、共享夾、聯(lián)系人OU、域、樹、林站點SITE活動目錄AD的目錄服務(wù)提供用于組織、管理和控制網(wǎng)絡(luò)資源的結(jié)構(gòu)和功能2022/10/5活動目錄存儲整個網(wǎng)絡(luò)上資源的信息便于用戶查找、管理和使用這些資源小型網(wǎng)絡(luò)：UNC路徑大型網(wǎng)絡(luò)：難以確定資源位置、名稱所以需要目錄服務(wù)快速定位資源對用戶透明、高效不需要知道資源的物理位

3、置，如何連接1-3活動目錄介紹2022/10/5什么是活動目錄?目錄服務(wù)的功能組織管理控制資源集中管理單點管理用戶只需登錄一次，就可訪問整個活動目錄的資源目錄服務(wù)：存儲網(wǎng)絡(luò)資源的信息，使信息可有效利用實質(zhì)為后臺服務(wù)，表現(xiàn)為管理、用戶工具目錄服務(wù)2022/10/5活動目錄對象對象：網(wǎng)絡(luò)資源 屬性：關(guān)于對象的信息屬性名姓登錄名屬性打印機名打印機位置活動目錄PrintersPrinter1Printer2Suzan FineUsersDon Hall屬性值對象打印機用戶Printer32022/10/5目錄服務(wù)使用用戶可以通過查找對象的一個或多個具體屬性來確定對象的位置2022/10/5活動目錄架構(gòu)

4、（Schema）對象類例如：打印機計算機用戶用戶屬性可能包括：accountExpiresdepartmentdistinguishedNamemiddleName屬性列表accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName 屬性 例如：活動目錄架構(gòu)動態(tài)獲得動態(tài)更新通過DACLs保護對象和屬性2022/10/5查看并編輯架構(gòu)（Schema）安裝MMC插件找到I386schmmgmt.dl_（58K）復(fù)制到system32 下自動解壓為 sc

5、hmmgmt.dll（158K）Regsvr32 schmmgmt.dll架構(gòu)的改變可通過ADSI函數(shù)集進行目錄服務(wù)編程實現(xiàn)開發(fā)ADSI（活動目錄服務(wù)接口）函數(shù)集，可制作個性化的管理工具但應(yīng)先在一個林中進行測試 2022/10/5輕型目錄訪問協(xié)議（LDAP）為活動目錄中的對象標識LDAP命名路徑標識名DN（完整路徑）如：CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft相對標識名RDN如： CN=Suzan FineDC 域組件OU 組織單元CN 普通名字2022/10/52022/10/51-4活動目錄的邏輯結(jié)構(gòu)(logic Structure)具有伸縮性，包

6、括下列組件：域Domain：核心單元組織單元OU域目錄樹與目錄林TreeForest全局目錄GC2022/10/5活動目錄使你能夠通過名字（屬性）找到資源，而不是物理位置,這樣使網(wǎng)絡(luò)的物理結(jié)構(gòu)對用戶透明域Domains組織單元OU樹Tree和林ForestDomain域域目錄樹域域域目錄樹目錄林域OUOUOU邏輯結(jié)構(gòu):組織網(wǎng)絡(luò)資源2022/10/5域安全邊界域管理員只能在域內(nèi)進行管理，除非明確得到其它域的授權(quán)復(fù)制單元域控制器DC在域內(nèi)參加復(fù)制，并且包含它的域目錄信息的完整副本W(wǎng)indows 2000域User1User2User1User2復(fù)制2022/10/5安全邊界復(fù)制管理安全策略組策略2

7、022/10/5組織單元OU（Organizational Units）組織結(jié)構(gòu)SalesVancouverRepairUsersSalesComputers網(wǎng)絡(luò)管理模式利用OU可以把對象組織到一個邏輯結(jié)構(gòu)中，使其最好地適應(yīng)你的組織需求可以把管理控制權(quán)委派給OU內(nèi)的對象，通過指定權(quán)限到一個或幾個用戶和組2022/10/5組織結(jié)構(gòu)通過組織OU，可建立一個層次結(jié)構(gòu)ouououououou深層次/淺層次的結(jié)構(gòu)ouououou2022/10/5目錄樹和目錄林 japan. china. 目錄樹目錄林japan. china. Tree(root)域 Windows NT 4.0單向不可傳遞信任關(guān)系雙向

8、可傳遞信任關(guān)系2022/10/5什么是目錄樹父域 子域連續(xù)的名字空間，（域后綴延續(xù) ）sales.contoso.msft父域子域新域目錄樹根 域contoso.msftsales.contoso.msft2022/10/5什么是目錄林?nwtraders.msftmarketing. nwtraders.msftsales. nwtraders.msftcontoso.msftsales. contoso.msft在目錄林中的所有域共用一個公共配置、架構(gòu)Schema、全局目錄GC一個目錄林是一個或多個目錄樹在目錄林中的目錄樹不共同一個連續(xù)的名字空間目錄林目錄樹目錄樹2022/10/5什么是目

9、錄林根域?目錄林根域是在林中第一個建立的域contoso.msft目錄林目錄林根域nwtraders.msft目錄樹目錄樹根域全局目錄配置和架構(gòu)企業(yè)Enterprise AdminsSchema Adminsmarketing.nwtraders.msftsales.contoso.msft目錄樹2022/10/5多層域的特征降低復(fù)制流量維護域唯一的安全策略單元保留 Windows NT早期版本的域結(jié)構(gòu)支持大量用戶和多域名2022/10/5全局目錄服務(wù)器（GC服務(wù)器）全局目錄GC服務(wù)器對象屬性DomainDomainDomainDomainDomainDomain查詢利用通用組成員身份的信息登

10、錄網(wǎng)絡(luò)2022/10/5GC和登錄過程GC提供為用戶帳號提供通用組權(quán)利信息 當用戶登錄用一個用戶主要名稱UPN（如：）時，提供域信息User登錄域域域域域GC服務(wù)器2022/10/5建立一個GC服務(wù)器AD Sites and ServicesConsole Window HelpActive ViewTreeNameTypeDescriptionActive Directory Sites and ServicesSitesDefault-First-Site-NameServersInter-Site TransportsSubnetsATLANTALONDONNew Active Dire

11、ctory ConnectionNewAll TasksNew Window from HereDeleteRefresh屬性HelpNTDS Settings PropertiesGeneralObjectSecurityNTDS SettingsDescription:Query Policy:全局編錄Domain ControllerDefault Query Policy啟用或者禁用全局編錄GC2022/10/51-5活動目錄的物理結(jié)構(gòu)（Physical Structure）與邏輯結(jié)構(gòu)相互獨立，之間沒有必然的聯(lián)系一般用來配置管理網(wǎng)絡(luò)交流DC和站點組成活動目錄的物理結(jié)構(gòu)定義復(fù)制和登錄發(fā)生

12、的時間和地點域控制器DC存儲AD的副本，管理信息的變化和復(fù)制一至多個，建議最少兩個容錯2022/10/5復(fù)制DC-BDC-CDC-A多主控制復(fù)制2022/10/5活動目錄復(fù)制多主控復(fù)制同步以前，DC上會在短時間內(nèi)有不同的信息解決方法：以后第11章再講單主控操作指定一個或幾個單主控操作規(guī)則一個域控制器執(zhí)行操作，不允許同時進行2022/10/5站點（Site）：連接性能較好（高帶寬）的子網(wǎng)的集合，通常是一個LAN活動目錄對象在AD中，反映網(wǎng)絡(luò)的物理拓撲結(jié)構(gòu)關(guān)于復(fù)制站點內(nèi)復(fù)制：基于變化通知，不壓縮站點間復(fù)制：基于時間調(diào)度，壓縮一致性差一些所用協(xié)議：RPC、SMTP2022/10/5站點IP 子網(wǎng)IP

13、 子網(wǎng)橋頭堡服務(wù)器站點內(nèi)復(fù)制站點IP 子網(wǎng)IP子網(wǎng)橋頭堡服務(wù)器站點內(nèi)復(fù)制慢速網(wǎng)絡(luò)鏈路上的復(fù)制優(yōu)化復(fù)制交流用戶可靠、高帶寬登錄一個站點可有幾個域一個域也可有幾個站點一般為后者2022/10/51-6管理Windows 2000網(wǎng)絡(luò)的方法利用活動目錄和組策略集中管理/委派管理控制權(quán)利用活動目錄實行集中式管理一個管理員就可以集中管理網(wǎng)絡(luò)資源管理員很容易確定對象的信息把相似的管理和安全要求對象組織到OU中利用組策略管理站點、域、OU2022/10/5管理用戶環(huán)境利用組策略對用戶可用范圍加以限制集中管理應(yīng)用程序的安裝、修復(fù)、更新、轉(zhuǎn)移配置用戶數(shù)據(jù)跟隨用戶，無論在線或離線委派管理控制權(quán)如三個OU，三個管理

14、員指定具體的權(quán)限，或定制控制臺也可同樣任務(wù)的權(quán)限，如在所有OU中重設(shè)密碼2022/10/5利用DNS（域名系統(tǒng)）來支持活動目錄22022/10/52-1概述DNS和AD集成2000關(guān)鍵特性使用相同的分層命名結(jié)構(gòu)域、計算機成為AD的對象/DNS資源記錄客戶機可通過查詢DNS找到DC（或其它對象）使DNS主區(qū)域結(jié)構(gòu)存儲于AD，并隨AD復(fù)制指DNS的AD集成區(qū)域2022/10/52-2活動目錄中的DNS角色介紹名字解析（正向，反向）DNS將計算機名稱轉(zhuǎn)化為IP地址計算機使用DNS在網(wǎng)絡(luò)中互相查找Windows 2000域的命名協(xié)定2000AD使用DNS的域名命名標準DNS域和AD域共享一公共的分層命

15、名結(jié)構(gòu)如查找活動目錄的物理成分DNS通過提供的服務(wù)來驗證域服務(wù)器計算機使用DNS來查找DC和GC2022/10/5DNS域和AD域使用相同的分層命名結(jié)構(gòu)和域名但實際上域名空間是不同的好處：使2000網(wǎng)絡(luò)計算機能夠利用DNS查找提供AD相關(guān)服務(wù)的DC和計算機2-3 DNS和活動目錄2022/10/5DNS和活動目錄的域名空間sales. training. trainingmicrosoftDNS域名空間AD域名空間= DNS節(jié)點(域/計算機)= AD域salescomputer1（DNS根域）“.”com.Internet2022/10/5要點：使域和計算機成為DNS的節(jié)點AD的對象并相對應(yīng)活

16、動目錄和Internet如DNS的.com服務(wù)器中包含(zone)使別的域利用Internet來查找(domain)反之，你也可通過(domain).com來查找Internet上的域名服務(wù)器的資源記錄2022/10/5DNS主機名稱和Windows 2000計算機名稱DNS的主機記錄和AD計算機對象對應(yīng)同一物理計算機DNS允許計算機查找AD中的DC活動目錄BuiltinComputersComputer1Computer2DNS“.”com.salestrainingcomputer1microsoftFQDN = Windows 2000 計算機名 = Computer12022/10/5

17、DNS主機名與AD中計算機帳號是相同的計算機名可認為是特殊的域名FQDN：完全有效域名計算機的全稱域名計算機的全名2022/10/52-4活動目錄中DNS名字解析服務(wù)資源記錄（SRV記錄）2000計算機通過DNS的SRV記錄來查找DC本域、特定域、樹狀結(jié)構(gòu)中的域還可查找全局目錄GC、Kerberos KDC服務(wù)器的域控制器將服務(wù)和DNS計算機名稱一一對應(yīng)服務(wù)記錄和資源記錄2022/10/5SRV 記錄格式_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft. 字段描述Service 指定服務(wù)名，如LDAP或kerber

18、osProtocol 指出傳輸協(xié)議的形式，如TCP或UDPName 指定資源記錄中提到的域名Ttl 指定標準DNS資源記錄的連線時間值（秒）Class 指定標準DNS資源記錄的類值，在Internet里，總為INPriority 指定主機的優(yōu)先權(quán)，客戶嘗試與最低優(yōu)先權(quán)的主機相連Weight 指定負擔(dān)調(diào)節(jié)機理，隨機選擇較高負擔(dān)的服務(wù)記錄Port 顯示該主機的服務(wù)端口Target 指定支持提供該服務(wù)的主機的全稱域名（FQDN）2022/10/5由域控制器配置的服務(wù)記錄運行Windows 2000的域控制器額外注冊SRV記錄 _msdcs 子域，格式如下:_Service._Protocol.DcT

19、ype._msdcs.DNS域名SRV記錄查找標準ldap._tcp.DNS域名.允許計算機在該域中查找LDAP服務(wù)器，所有DC配置這個記錄_ldap._tcp.站點名._sites.dc._msdcs.DNS域名.允許計算機查找該域控制器和該站點，所有DC配置這個記錄_gc._tcp.DnsForestName.允許計算機DNS域名查找該林全局目錄服務(wù)器，僅GC且為2000DC配置這個記錄_gc._tcp.站點名._sites.Dns林名.允許計算機查找該林該站點的的全局目錄服務(wù)器，僅GC且為2000DC配置這個記錄_kerberos._tcp.DNS域名.允許計算機在該域中查找KDC服務(wù)器

20、，所有K5DC配置這個記錄_kerberos._tcp.站點名._sites.DNS域名.允許計算機查找該域該站點的KDC服務(wù)器，所有K5DC配置這個記錄2022/10/5怎樣使用DNS來查找域控制器DNS 服務(wù)器區(qū)域數(shù)據(jù)庫SRV記錄客戶機聯(lián)系域控制器6域控制器響應(yīng)7運行在DC上的LDAP服務(wù)器8客戶發(fā)送請求到域控制器用戶登錄，或AD搜索1發(fā)送帶有客戶信息的DNS查詢3網(wǎng)絡(luò)登錄收集客戶機信息2返回IP地址列表 5DNS查詢合適的SRV記錄4客戶2022/10/52-5活動目錄的集成區(qū)域活動目錄域控制器DCDNS服務(wù)器AD集成區(qū)域區(qū)域數(shù)據(jù)庫在活動目錄中存儲主要區(qū)域DNS區(qū)域復(fù)制隨AD復(fù)制進行20

21、22/10/5好處：消除了主DNS服務(wù)器作為單個主控帶來的不足之處能夠進行安全可靠的動態(tài)更新對那些沒有配置為域控制器的DNS服務(wù)器執(zhí)行標準區(qū)域傳送2022/10/52-6安裝和配置DNS以支持活動目錄DNS的執(zhí)行必須支持SRV記錄配置正向和反向區(qū)域活動目錄的DNS需求沒有DNS無法安裝活動目錄SRV服務(wù)記錄DNS動態(tài)更新協(xié)議增量區(qū)域傳送增量復(fù)制IXFR，全量復(fù)制AXFR2000的DNS服務(wù)器，以上三點全支持NT4+SP42022/10/5安裝和配置DNS分配靜態(tài)IP地址配置DNS的主后綴安裝DNS服務(wù)器服務(wù)創(chuàng)建正向區(qū)域與活動目錄域同名，并動態(tài)更新創(chuàng)建反向區(qū)域（可選）驗證DNS服務(wù)是有效的Nsl

22、ookup type=ns DNS域名2022/10/5在安裝AD的過程中安裝DNS在提示時安裝安裝DNS服務(wù)創(chuàng)建正向區(qū)域配置為AD集成區(qū)域使之動態(tài)更新注意：不會創(chuàng)建反向區(qū)域2022/10/5 2-7 實驗A：安裝和配置DNS來支持活動目錄Ipconfig /registerdns 將自己的A記錄、PTR記錄立即注冊到DNS服務(wù)器2022/10/5創(chuàng)建Windows 2000域32022/10/53-1概述Windows 2000的域控制器DC：2000S、AS、DS安裝活動目錄Dcpromo.exeAD安裝進程檢查AD默認結(jié)構(gòu)執(zhí)行后活動目錄的安裝任務(wù)2022/10/53-2介紹如何創(chuàng)建Win

23、dows 2000域域是2000網(wǎng)絡(luò)中的核心管理單元用來限定信息和資源的組織管理方式新目錄林中的第一個域為林根域（林根）利用AD安裝向?qū)?，可以?chuàng)建域和DC新目錄林、第一個DC、附加DC子域、新目錄樹2022/10/53-3安裝活動目錄運行dcpromo.exe準備工作、指定信息可利用自動應(yīng)答文件來安裝AD2022/10/5計算機上運行的是Windows2000 S、AS、DSAD數(shù)據(jù)庫至少需要200 MBAD數(shù)據(jù)庫的事務(wù)日志文件，另需50 MB若為GC，還需一定的空間系統(tǒng)卷（SYSVOL）文件夾，必須NTFS 安裝TCP/IP并且配置了DNS如果是在現(xiàn)存的2000網(wǎng)絡(luò)上創(chuàng)建域，那么還需要創(chuàng)建域

24、所需的管理特權(quán)活動目錄安裝準備TCP/IPNTFS2022/10/5創(chuàng)建第一個域（多媒體演示）啟動AD安裝向?qū)В篸cpromo.exe選擇域控制器和域類型指定所需信息域、DNS和NetBIOS名AD數(shù)據(jù)庫、日志文件和共用系統(tǒng)卷SYSVOL的位置選擇權(quán)限：以前兼容/2000指定“目錄服務(wù)恢復(fù)模式”管理員密碼 AD不啟動，由NT的一個小SAM庫來驗證AD安裝向?qū)?安裝活動目錄AD把計算機轉(zhuǎn)換為域控制器DC2022/10/5添加附加域控制器為了容錯，一個域中至少兩個DC在域中，一個以上的DC也可用來分布負載登錄請求、GC查詢、其它服務(wù) 運行Dcpromo.exe加一個DC到已存在的域AD安裝向?qū)?/p>

25、:轉(zhuǎn)換計算機為域控制器DC復(fù)制活動目錄AD從一個已存在的DC 至少有一個DC聯(lián)機2022/10/52022/10/52022/10/52022/10/5使用無人值守安裝腳本來安裝活動目錄DCInstallRebootOnSuccess=YesDatabasePath=C:WinntntdsLogPath=C:WinntntdsSYSVOLPath=C:WinntSysvolSiteName=Default-First-Site-NameReplicaOrNewDomain=DomainTreeOrChild=TreeCreateOrJoin=Create2022/10/5DomainNetbi

26、osName=gpmcseNewDomainDNSName=DNSOnNetwork=NoNo表示不利用已有的，為新域創(chuàng)建新的DNSAutoConfigDNS=Yes運行：dcpromo.exe /answer:應(yīng)答文件2022/10/53-4 實驗A：創(chuàng)建Windows 2000域?qū)嶋H操作：,dns指向自己2022/10/53-5活動目錄安裝進程配置參數(shù)用戶界面驗證管理員、2000S/AS/DS等命名驗證AD站點和服務(wù)sitesdefault first site nameserverss58不可重名，否則s58將被刪除TCP/IP配置驗證必須有效IP（靜態(tài)/動態(tài)）2022/10/5DNS：

27、必須動態(tài)更新的DNS否則將安裝一個DNS和NetBIOS域名字的生效必須唯一NetBIOS名字，有效15位用戶身份驗證新林，不需要加入，需林管理員文件位置的驗證SYSVOL需NTFS有足夠的空間2022/10/5站點配置確定新DC加入哪個站點若有子網(wǎng)，加入到該子網(wǎng)關(guān)聯(lián)的站點若無子網(wǎng)，則加入default first site name并在合適的位置，創(chuàng)建服務(wù)器對象目錄服務(wù)配置對各種類型的安裝都相同的活動的目錄操作創(chuàng)建要求的注冊選項設(shè)置AD的執(zhí)行計數(shù)器配置服務(wù)器，使它向“第一資格授權(quán)”自動申請X.509域控制器資格對基于SMTP的復(fù)制是必須的2022/10/5啟動Kerero V5鑒定服務(wù)安裝A

28、D管理工具的快捷方式目錄分區(qū)配置架構(gòu)目錄分區(qū)林中所有DC配置目錄分區(qū)林中所有DC域目錄分區(qū)域中所有DC2022/10/5服務(wù)和安全配置設(shè)置自動啟動服務(wù)RPC Locator服務(wù)Net Logon服務(wù)KDC服務(wù)Intersite MessagingDistributed Link Tracking ServerWindows Time設(shè)置安全目錄服務(wù)和SYSVOL在AD的文件和對象上配置默認DACLs使用安全模板配置默認的域組策略Winntinfdcfirst.inf,defltdc.inf,dcup.inf2022/10/5附加活動目錄安裝操作設(shè)置計算機DNS根域名字，作為新域的名字確定服務(wù)器

29、是不是域的成員在新域的“DC”這個OU中，創(chuàng)建計算機帳號用戶提供的密碼，作為管理員的密碼在配置容器中創(chuàng)建交互參考對象LDAP利用該對象來確定其它域中資源的位置加入域安全策略，域控制器安全策略的快捷方式創(chuàng)建SYSVOL文件夾組策略信息、網(wǎng)絡(luò)登錄文件2022/10/5在創(chuàng)建目錄林根域時創(chuàng)建架構(gòu)和配置容器指定PDC仿真、RID、域命名、架構(gòu)、基礎(chǔ)結(jié)構(gòu)主控2022/10/53-6 檢查活動目錄默認結(jié)構(gòu)組策略可用于OU，但不能用于容器查看高級功能2022/10/5檢查活動目錄默認結(jié)構(gòu)Active Directory Users and ComputersConsole Window HelpActive

30、 ViewActive Directory Users and Co.contoso.msft 8 objectsNameBuiltinComputersDomain ControllersForeignSecurityPrincipalsLostAndFoundSystemUsersBuiltinComputersDomain ControllersForeignSecurityPrincipalsLostAndFoundSystemUsersInfrastructurecontoso.msftTree默認的 Windows 2000安全組默認的計算機帳號存儲位置默認的DC的計算機帳號存儲位

31、置外部安全原則：保存外部有信任關(guān)系的域的SID保存獨立的對象保存一些內(nèi)置的系統(tǒng)設(shè)置用戶帳號和組帳號的默認位置2022/10/5驗證 SRV記錄，DNS驗證系統(tǒng)卷 SYSVOL，WINNTSYSVOL驗證目錄數(shù)據(jù)庫和日志文件,WINNTNTDS通過檢查事件日志驗證安裝結(jié)果SYSVOLDNSDatabase and Log Files驗證活動目錄安裝3-7執(zhí)行后活動目錄安裝任務(wù)2022/10/5驗證活動目錄安裝驗證SRV資源記錄DNS管理器NslookupLs -t srv 域名驗證SYSVOLDomain、staging、staging areas、sysvol共享：netlogonsysvol

32、domainscripts sysvolsysvol 驗證目錄數(shù)據(jù)庫和日志文件Ntds.dit,edb.*,res*.log2022/10/5實現(xiàn)AD集成區(qū)域DNS可利用AD存儲和復(fù)制區(qū)域數(shù)據(jù)庫DNS服務(wù)器contoso.msft區(qū)域數(shù)據(jù)庫AD集成區(qū)域在DNS中使用AD集成區(qū)域?qū)崿F(xiàn)正向區(qū)域?qū)崿F(xiàn)反向區(qū)域2022/10/5確保AD集成區(qū)域：安全更新只有AD集成區(qū)域才可配置：僅安全更新在DNS的AD集成區(qū)域使用：安全更新這樣你可以控制區(qū)域和資源記錄的訪問DNS服務(wù)器contoso.msftAD集成區(qū)域區(qū)域數(shù)據(jù)庫安全更新客戶2022/10/5轉(zhuǎn)換域模式本機模式域控制器DC (Windows 2000

33、only)混合模式域控制器DC(Windows 2000)和域控制器DC (Windows NT 4.0)AD安裝后，運行在混合模式下，提供對已存在的NT域的支持 但組嵌套和安全通用組必需域在本機模式下2022/10/5混合模式本機模式單向不可逆操作管理工具AD用戶和計算機/AD域和信任域?qū)傩猿Ｒ?guī)改變模式2022/10/5設(shè)計組織單元OU結(jié)構(gòu)UsersSalesComputers如果你想要設(shè)計OU結(jié)構(gòu)增強管理控制 對網(wǎng)絡(luò)資源委派管理控制 組織相似的網(wǎng)絡(luò)資源到OU 簡單對象管理和控制網(wǎng)絡(luò)資源的訪問 使資源管理更有效控制組策略的應(yīng)用使用“AD用戶和計算機”在域/OU中建立一個OU權(quán)限要求父：讀，列

34、表，創(chuàng)建子，列組件2022/10/53-8實驗B：執(zhí)行后活動目錄安裝任務(wù) 2022/10/53-9解決AD安裝過程中出現(xiàn)的問題在創(chuàng)建或添加DC的時候，訪問被拒絕，（新：本管，加：域管） Err orDNS或NetBIOS域名稱不統(tǒng)一 Err or不能與域取得聯(lián)系Err or磁盤空間不足 Err or2022/10/53-10 刪除活動目錄域控制器DC (Windows 2000)提供管理證書Enterprise Admins組成員Domain Admins組成員刪除活動目錄AD刪除活動目錄通過：Remove Active Directory by:AD安裝向?qū)?提供適當?shù)墓芾碜C書 AD安裝向?qū)?/p>

35、，執(zhí)行特定的刪除操作依賴于DC的類型2022/10/5設(shè)置和管理用戶和組42022/10/54-1概述活動目錄一種目錄服務(wù)保存和維護網(wǎng)絡(luò)資源所需的數(shù)據(jù)用戶帳號：登錄域/本地機組帳號：用戶帳號的集合組類型：安全組、分發(fā)組組作用范圍：全局組、域本地組、通用組2022/10/54-2介紹用戶帳號和組為每個人創(chuàng)建一個唯一登錄的用戶帳號 利用批處理成批創(chuàng)建用戶帳號利用組來方便地管理用戶對共享資源的訪問 將組加入組來減少管理工作量用戶共享資源Permissions組2022/10/54-3用戶登錄名每個用戶帳號用戶主要名UPN前綴后綴2000以前版本的用戶登錄名2022/10/5User Principa

36、l Name用戶主要名稱UPN后綴默認為根域/當前域林管理員可改變只能在2000域中使用不需要是有效的DNS域利于域間移動；同EMAIL地址格式用戶登錄名（2000以前版本）登錄時，用戶需選擇域介紹用戶登錄名后綴前綴suzanfcontoso.msft+用戶名域contoso/suzanf2022/10/5用戶登錄名唯一性原則全名（顯示名稱）在容器內(nèi)必須唯一zhangdonghui用戶主名在林中必須唯一zhangdh用戶登錄名在域中必須唯一zhangdh2022/10/5創(chuàng)建用戶主名UPN后綴（林管理員）AD域和信任關(guān)系A(chǔ)ction ViewTreeNameTypeActive Directo

37、ry 域和信任關(guān)系 contoso.msftnwtraders.msftdomain.DNSdomain.DNScontoso.msftnwtraders.msftOpens property sheet for the current selection.Connect to Domain ControllerOperations MasterViewRefreshExport ListHelp屬性Active Directory Domains and Trusts PropertiesUPN 后綴The names of the current domain and the root d

38、omain are the default user principal name (UPN) suffixes. Adding alternative domain names provides additional logon security and simplifies user logon names.If you want alternative UPN suffixes to appear during user creation, add them to the following list.其它UPN后綴:contoso.msftAddRemoveOKCancelApply添

39、加新的后綴2022/10/5創(chuàng)建用戶主名后綴的目的：附加的登錄安全性必須在用戶帳號中選用備用的UPN后綴才行登錄到林中另一個域簡化管理G常改為根域，如2022/10/54-4創(chuàng)建多用戶帳號成批導(dǎo)入/導(dǎo)出程序使用CSVDE創(chuàng)建多用戶帳號逗號分隔符目錄交換使用LDIFDE創(chuàng)建多用戶帳號輕型目錄訪問協(xié)議互換格式目錄交換2022/10/5成批導(dǎo)入程序用于導(dǎo)入的文本文件必須包含用戶帳號的OU，對象的類型以及用戶登錄名的路徑用戶主名，啟用/禁用不指定：禁用可包含個人信息不可包含密碼2022/10/5使用CSVDE創(chuàng)建多用戶帳號只能用來添加對象，不能用于刪除/修改可使用Excel、Word另存為.csv導(dǎo)入

40、/導(dǎo)出為導(dǎo)入準備一個CSVDEDn,objectclass,samaccountname,userprincipalname,displayname,useraccountcontrol“cn=suzan fine,ou=human resources,dc=asia,dc=contose,dc=msft”,user,suzanf,suzanfcontoso.msft,suzan fine,512512啟用，514禁用見光盤上文件使用CSVDE命令Csvde i-f 文件名2022/10/5使用LDIFDE創(chuàng)建多用戶帳號可用于添加/刪除/修改對象為導(dǎo)入準備一LDIF文件Dn:cn=suzan

41、fine,ou=human resources,dc=asia,dc=contose,dc=msftObjectclass:userSamaccountname:suzanfUserprincipalname: suzanfcontoso.msftDisplayname:suzan fineuseraccountcontrol:512使用LDIFDE命令ldifde i-f 文件名2022/10/5用戶帳號的日常管理及維護執(zhí)行公共管理任務(wù)重設(shè)密碼、解除鎖定、重命名、禁用/啟用、刪除、域內(nèi)不同OU間移動查詢用戶帳號4-5管理用戶帳號2022/10/5執(zhí)行公共管理任務(wù)Active Director

42、y Users and ComputersActive Directory Users and ComputersConsole Window HelpAction ViewTreeAccounting 4 objectsNameTypecontoso.msftAccountingBuiltinComputersDomain ControllersUsersAnne PaperUserCreates a new user, copying information from the selected user.HelpCopyAdd members to a group禁用帳戶重設(shè)密碼移動Ope

43、n home pageSend mailAll Tasks刪除重命名Refresh屬性Account is locked out帳號被鎖定2022/10/5同理，可查詢其它對象如：計算機、打印機、共享夾等操作AD用戶和計算機域查找網(wǎng)上鄰居目錄域查找屬性少，只三個常規(guī)、地址、公司查詢用戶帳號2022/10/5查找用戶帳號Find Users, Contacts, and GroupsFile Edit View HelpFind:Entire DirectoryUsers, Contacts, and GroupsIn:Find NowStopClear AllBrowse.AddRemoveN

44、ameDescriptionTypeJoe PakDon HallAnne PaperUserUserUserEntire DirectorycontosoAccountingFieldUsers, Contacts, and GroupsAdvanced31 item(s) found選擇搜索的屬性指定屬性的值設(shè)置條件在結(jié)果框中管理用戶帳號搜索整個目錄/域/OU2022/10/54-6實驗A：設(shè)置和管理用戶帳號2022/10/5兩種組類型安全組（有SID）用于與安全性有關(guān)的功能，如資源權(quán)限也可用于向多用戶發(fā)送e-mail信息（此時功能與分發(fā)組相同）分發(fā)組（無SID）與安全性無關(guān)，不能為其授權(quán)

45、仍是必要的，某些應(yīng)用程序只能夠讀分發(fā)組如MS Exchange Server 2000（針對AD設(shè)計）注意：應(yīng)用程序必須支持AD，才可使用分發(fā)組駐留在AD中4-7在活動目錄中使用組2022/10/5介紹活動目錄中的組組可以加入別的組當中（組嵌套）用戶可以是多個組的成員組組組可使指派資源權(quán)限簡單化組組組組組組2022/10/5范圍：域本地、全局、通用以前我們討論過用戶帳號的使用范圍：本地帳號本地機資源域帳號域內(nèi)資源接下來討論：各種組什么范圍內(nèi)的資源在混合域模式下，同樣組之間不能嵌套組最多5000個成員2022/10/5使用全局組全局組規(guī)則可加入組成員作用范圍權(quán)限范圍混合模式: 同一個域的用戶帳號

46、本機模式: 同一個域的用戶帳號和全局組混合模式: 域本地組本機模式: 任何域的通用組和域本地組，同域全局組訪問本域和所有信任域目錄林中所有的域 本機模式：加入加入全 局 組2022/10/5使用域本地組混合模式域本地組規(guī)則可加入成員作用范圍權(quán)限范圍混合模式: 任何域的用戶和全局組 本機模式: 林中任何域的用戶、全局組、通用組，同域的域本地組 混合模式: 不能加入任何組本機模式: 同一域的域本地組只能訪問自己的域域本地組所在的域加入加入全局組域域本地組域本地組2022/10/5使用通用組（集全局組和域本地組的所有優(yōu)點）可加入通用組規(guī)則成員混合模式: 安全通用組不可使用本機模式: 目錄林中的任何域

47、的用戶、全局組、其它通用組混合模式: 不可使用本機模式: 任何域的本地組和通用組作用范圍訪問目錄林中所有域權(quán)限范圍目錄林中所有的域從多層域加入全局組通用組2022/10/5增：組在GC中的表現(xiàn)GC中全局組、本地組的名稱，無其成員的內(nèi)容通用組，含其成員的內(nèi)容通用組的成員變化會引起GC變化，進行林內(nèi)復(fù)制，增加流量解決：少做成員改變，成員盡量為組2022/10/5增：在本機模式下：組的類型、作用范圍可改變?nèi)滞ㄓ茫蛄海┯虮镜亟M原則仍是：AGDLPAGDLP原則DL可能是其它域的若直接給每個用戶賦權(quán)每次都要麻煩對方域的管理員刪除組，并不會刪除其下的用戶但注意：不可恢復(fù)（用戶帳號也是一樣）2022/1

48、0/54-8在域中使用組的策略本章在討論在單域中使用組第十章在討論在多域中使用組（通用組）范圍：域本地、全局、通用2022/10/5使用全局組和域本地組（本機模式）用戶帳號全局組全局組域本地組權(quán)限AGDLPGDLG加域用戶帳號到全局組(對于多層次部門可選) 加全局組到另一個全局組加全局組到域本地組對域本地組指派資源的權(quán)限2022/10/54-9 實驗B：在單域中建立和管理組2022/10/54-10解決域用戶帳號和組的問題不能建立用戶帳號和組，可能違反了唯一性規(guī)則Err or不能更新用戶帳號的屬性，權(quán)限不夠Err or用戶不能訪問資源，一票否決（考題）Err or2022/10/5在活動目錄上

49、發(fā)布資源52022/10/55-1概述如何在活動目錄上發(fā)布資源打印機、共享夾網(wǎng)絡(luò)管理應(yīng)保障發(fā)布資源具有安全性和選擇性便于用戶在網(wǎng)絡(luò)上尋找信息2022/10/55-2發(fā)布資源介紹發(fā)布資源: 在活動目錄中建立對象:包含所需信息對所需信息提供參考有一些資源已經(jīng)在活動目錄中，如：用戶帳戶發(fā)布的資源應(yīng)相對靜態(tài)，很少改變使管理員和用戶能夠定位資源，即使資源的物理位置發(fā)生了改變 已被發(fā)布資源服務(wù)器1資源 活動目錄發(fā)布到活動目錄2022/10/55-3設(shè)置和管理發(fā)布打印機按照預(yù)設(shè)：所有2000上的打印機都自動發(fā)布到AD上組策略中可改組計管打印機非2000上的打印機AD用戶和計算機Pubprn.vbs腳本202

50、2/10/5打印機發(fā)布介紹發(fā)布打印機的預(yù)設(shè)特性:任何運行在2000的打印服務(wù)器上的共享打印機將被自動發(fā)布到活動目錄 如果打印服務(wù)器從網(wǎng)絡(luò)上刪除，打印機也將自動從活動目錄中刪除 每個打印服務(wù)器負責(zé)發(fā)布在活動目錄中的各自打印機Windows2000自動在活動目錄中更新打印機對象的屬性被發(fā)布的打印機2022/10/5管理打印機發(fā)布瀏覽打印機對象在“AD用戶和計算機”查看用戶、組和計算機作為容器此時可看到相應(yīng)計算機下的共享打印機控制打印機發(fā)布在“打印機”屬性 列在目錄中默認：自動選中默認域策略計算機配置管理模板打印機，設(shè)置“自動在AD上公布新的打印機”2022/10/5管理孤立打印機AD利用孤立切斷器

51、刪除孤立打印機對象如打印服務(wù)器關(guān)閉時的打印機對象孤立切斷器將不斷地從不存在的打印機中刪除對象檢查3次，每次間隔8小時仍未找到，則刪除2022/10/5發(fā)布不是運行2000計算機的打印機發(fā)布不是運行2000計算機下的打印機1.安裝并共享打印機2.在活動目錄中發(fā)布打印機用下列方法之一，發(fā)布不是運行2000計算機下的打印機AD用戶和計算機，相應(yīng)OU，新建打印機，UNC路徑Pubprn.vbs腳本文件Cscript c:winntsystem32pubprn.vbs 參數(shù)已被發(fā)布打印機安裝并共享活動目錄發(fā)布到活動目錄打印機2022/10/5發(fā)布所有安裝在contoso.msft域中Sales OU上的

52、打印機Pubprn.vbs server “LDAP:/OU=Sales,dc=contoso,dc=msft”發(fā)布contoso.msft域中Accounting OU上的名為Printer打印機Pubprn.vbs serverprinter LDAP:/OU=Accounting,dc=contoso,dc=msft 以上兩例上server為服務(wù)器名2022/10/5管理發(fā)布打印機 將安裝在多個計算機上的相關(guān)打印機移到一個OU中 移動的打印機，依然由原打印管理器管理在發(fā)布的打印機上執(zhí)行其它的管理任務(wù)Active Directory Users and ComputersConsole W

53、indow HelpActive ViewActive Directory Users and DENVER2154 1 objectsNameTypeTreeDenverDOM2154.msftAccountingBuiltinComputersDomain ControllersDENVER2154UsersMoves the current selection to anotherPrinterDENVER2154 Apple Printer移動連接打開All TasksDeleteRenameRefreshHelp屬性在計算機上安裝打印機改變打印隊列屬性在域內(nèi)移動打印機打開并管理打印機

54、隊列2022/10/5新增：實現(xiàn)打印機位置步驟為組織建立命名約定 如：gp/mcse位置名稱格式如下：name/name/name/name/.（斜杠 / 必須是除號。） 如：china/hlj/dq/gp/building1/floor3/room301名稱可以由除斜杠 / 之外的任意字符組成。 名稱的等級數(shù)限制為 256。 name 的最大長度是 32 個字符。整個位置名稱的最大長度是 260 個字符。 2022/10/5新增：實現(xiàn)打印機位置步驟在目錄服務(wù)中創(chuàng)建子網(wǎng)對象設(shè)置站點和子網(wǎng)的位置屬性啟用位置跟蹤（組計管打印機）預(yù)設(shè)打印機位置搜索文本設(shè)置每臺打印機的位置測試設(shè)置。2022/10/5

55、5-4實現(xiàn)打印機位置以子網(wǎng)為單位，實現(xiàn)打印機的定位建立子網(wǎng)對象AD站點和服務(wù)設(shè)置“位置”屬性詳見幫助：“啟用打印機位置跟蹤”2000網(wǎng)絡(luò)上，允許用戶定位打印機，并連接到物理位置較近的打印設(shè)備上需要的時候，也可連接與他們工作位置不同的打印機上2022/10/5什么是打印機位置?當用戶搜索打印機時：SubnetLocationObjectSecurityLocation:USA/Seattle/Building 1Browse/20 Properties11. AD尋找與用戶計算機所在位置的IP子網(wǎng)相一致的子網(wǎng)對象PRIV0118 PropertiesDevice SettingsPrinter

56、CommandsFont SelectionGeneralSharingPortsAdvancedSecurityPRIV0118USA/Seattle/Building 1/Near 1134Location:2. AD利用子網(wǎng)對象位置屬性中的值搜索具有同樣值的打印機23. AD顯示一系列位置值與子網(wǎng)對象位置值相匹配的計算機NameLocationModelPRIV0080PRIV0039PRIV0118CORP0071CORP0032CORP0099CORP0026CORP0051USA/Seattle/Building 1/Near 1119 USA/Seattle/Building 1

57、/Near 2005USA/Seattle/Building 1/Near 1134USA/Seattle/Building 1/Near COPY ROOMUSA/Seattle/Building 1/Near 1280USA/Seattle/Building 1/Near 1218USA/Seattle/Building 1/Near 1218USA/Seattle/Building 1/Near 1182HP ColorHP LaserHP Laser HP Laser HP LaserHP ColorHP LaserHP Laser32022/10/5打印機位置要求帶有兩個或兩個以上I

58、P子網(wǎng)的活動目錄網(wǎng)絡(luò)否則都處于同一物理位置，沒有差別與網(wǎng)絡(luò)物理拓撲相一致的IP尋址方案同一子網(wǎng)，物理位置也較近每個站點的子網(wǎng)對象代表活動目錄中IP子網(wǎng) 包含活動目錄用來搜索具有相同物理位置的打印機的位置屬性可以搜索活動目錄的客戶計算機2022/10/5定義位置名稱每一個位置名稱與具體的IP子網(wǎng)相一致必須利用同一個命名規(guī)則為子網(wǎng)對象和打印機確定位置屬性的值可為打印機添加更多層的節(jié)點，以便更具體地確定打印機的物理位置USA/Seattle/Building1/floor3/office3334,最大長度：名32，級256，總：260USADenverSeattleBuilding 1192.168

59、.30.*Building 2192.168.32.*USA/Seattle/Building 1USA/Seattle/Building 2Floor 2192.168.10.*Floor 3192.168.11.*USA/Denver/Floor 2USA/Denver/Floor 3Entire DirectoryUSABuilding 1DenverBuilding 2Seattle2022/10/5配置打印機位置任務(wù)利用組策略進行位置跟蹤組策略計算機配置管理模板打印機在活動目錄中建立子網(wǎng)對象AD站點和服務(wù)站點子網(wǎng)如：/24設(shè)置子網(wǎng)對象的位置屬性子網(wǎng)屬性位置設(shè)置打印機的位置屬性打印機屬

60、性位置2022/10/55-5設(shè)置和管理發(fā)布的共享文件夾發(fā)布共享文件夾AD用戶和計算機相應(yīng)OU新建共享夾輸入UNC路徑為發(fā)布的共享文件夾配置搜索選項共享文件夾屬性描述、關(guān)鍵字（可多個）移動發(fā)布的共享文件夾同移動其它對象共享文件夾的物理位置并不改變2022/10/5設(shè)置和管理發(fā)布的共享文件夾被發(fā)布的共享文件夾服務(wù)器1活動目錄發(fā)布到活動目錄共享文件夾發(fā)布共享文件夾：1.將文件夾共享在活動目錄中發(fā)布共享文件夾AD用戶和計算機相應(yīng)位置新建共享文件夾添加共享夾對象的描述和關(guān)鍵詞，以便于用戶搜索當需要時，移動發(fā)布的共享夾對象到其它容器或OU中2022/10/55-6發(fā)布對象與共享資源的比較Accounti