Windows Server 網(wǎng)絡(luò)管理課件第13章 活動目錄

第13章活動目錄本章的任務了解域和活動目錄的相關(guān)知識，為企業(yè)設(shè)計活動目錄的結(jié)構(gòu)在服務器上安裝活動目錄，把服務器提升為域控制器；把成員服務器、用戶計算機加入到域中活動目錄引入后，各服務器需要根據(jù)域的特點重新進行配置，例如：用戶和組需要在域中進行創(chuàng)建、文件夾的安全和共享權(quán)限需要分配給域用戶等13.1域與活動目錄簡介13.1.1為什么需要域如果資源分布在多臺服務器上，那就需要在每臺服務器分別為每一員工建立一個用戶（共M*N個），員工則需要在每臺服務器上（共M臺）登錄。13.1.1為什么需要域有了域，員工只需要在域中擁有一個域用戶，因此管理員只須為員工創(chuàng)建一個域用戶；員工只需要在域中登錄一次就可以訪問域中的資源了，實現(xiàn)了單一登錄。域用戶信息是存放在域中的域控制器(DC，DomainController)上，上圖中，可以在服務器中選定一臺或者幾臺服務器作為域控制器。有多臺域控制器時，各個域控制器是平等的，每個域控制器上都有所在域的全部用戶的信息，域控制器之間需要同步這些信息。而其它不是域控制器的服務器僅僅是提供資源。13.1.2什么是活動目錄一臺域中的服務器如果安裝了活動目錄，它就成為了域控制器；反之，域控制器就是安裝了活動目錄的服務器。域控制器（DC，DomainController）上存放有域中所有用戶、組、計算機等信息（實際上域控制器存放的信息還不止這些），域控制器把這些信息存放在活動目錄中。13.1.3活動目錄和DNS的關(guān)系在TCP/IP網(wǎng)絡(luò)中，DNS（DomainNameSystem）是用來解決計算機名字和IP地址的映射關(guān)系的，WindowsServer2008的活動目錄和DNS是緊密不可分的，活動目錄使用DNS服務器來登記域控制器的IP、各種資源的定位等，在一個域林中至少要有一個DNS服務器存在，所以安裝活動目錄時需要同時安裝DNS。此外，WindowsServer2008中域的命名也是采用DNS的格式來命名的。13.1.4活動目錄中的組織單元對象：有用戶、計算機、打印機、組等等。每個對象都有自己的屬性以及屬性值。組織單元（OU，OrganizationUnit）：組織單元用來組織對象：用戶、打印機、服務器、組、應用程序等，組織單元把這些對象按邏輯進行分組，便于管理、查找、授權(quán)和訪問。組織單元是類型為容器的對象，所謂的容器是可以包含其它對象的對象。值得注意的是組織單元是在某個域下的。13.1.5活動目錄設(shè)計1.域名與控制器的安裝位置中小企業(yè)，為簡單起見，在網(wǎng)絡(luò)中只安裝一個域控制器域的名字應該和DNS域名一樣，為：其它所有計算機加入到域中2.組織單元的設(shè)計我們這里根據(jù)公司的行政架構(gòu)來設(shè)計OU各部門的用戶、組、計算機、打印機等均放到對應的組織單元上13.2安裝活動目錄13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域13.2.1創(chuàng)建域不要立即重新啟動計算機，而是檢查“本地連接”屬性中的TCP/IP設(shè)置，確定首選DNS是否指向了自己。13.2.1創(chuàng)建域13.2.1創(chuàng)建域重新啟動計算機，由于活動目錄的存在，啟動時間會變長。在域控制器上登錄時，只能以域中的用戶登錄。雖然用戶名仍為Administrator，但是該Administrator是域用戶。13.2.1創(chuàng)建域13.2.2把服務器（或計算機）加入到域中三種角色：域控制器、成員服務器和獨立服務器。服務器的這三個角色可以發(fā)生改變。13.2.2把服務器（或計算機）加入到域中確認“本地連接”屬性中的TCP/IP首選DNS指向了域的DNS服務器13.2.2把服務器（或計算機）加入到域中13.2.2把服務器（或計算機）加入到域中輸入要加入的域的管理員用戶和密碼13.2.2把服務器（或計算機）加入到域中13.2.2把服務器（或計算機）加入到域中在成員服務器上，可以登錄到域中，也可以登錄到本地，需要在用戶名前加域名。如圖13-29，如果輸入的用戶名是“XYZ\administrator”說明是以域用戶（XYZ是域的NETBIOS名）進行登錄；如果輸入的用戶名是“WIN2008-2\administrator”說明是以本地用戶進行登錄。13.2.3把服務器（或計算機）從域中脫離13.3安裝活動目錄后的變化13.3.1使用“ActiveDirectory用戶和計算機”管理工具應該使用“ActiveDirectory用戶和計算機”工具來管理用戶和組等。創(chuàng)建組織單元創(chuàng)建用戶組作用域的區(qū)別全局組成員只來自本地域的用戶成員可以訪問同一域林中的任何域中的資源本地域組成員可來自同一域林中的任何域的用戶、組成員只能訪問本地域的資源通用組成員可來自同一域林中的任何域成員可以訪問同一域林中的任何域的資源有兩種組類型：通訊組和安全組?？梢允褂猛ㄓ嵔M來創(chuàng)建電子郵件分發(fā)列表，而使用安全組來分配共享資源的權(quán)限。在組織單元下添加計算機、用戶、組13.3.2文件和文件夾安全及共享權(quán)限的變化域控制器上的文件和文件夾安全及共享權(quán)限：域控制器上只有域用戶或者組，因此域控制器上的文件和文件夾安全權(quán)限、共享權(quán)限必須分配給域用戶或者組。域控制器上的文件和文件夾安全及共享權(quán)限域控制器上的文件和文件夾安全及共享權(quán)限成員服務器上的文件和文件夾安全及共享權(quán)限成員服務器上還存在本地用戶和組，因此成員服務器上的文件和文件夾安全權(quán)限、共享權(quán)限可以分配給域用戶或者組，也可以分配給本地計算機上的用戶和組。13.3.3DHCP服務器的變化安裝活動目錄后，域中的DHCP需要先進行授權(quán)才能工作。13.3.4遠程撥號的變化遠程撥號時可以用訪問服務器的用戶名撥號，也可使用域的用戶名撥號。如果使用域的用戶名撥號，應指明域名XYZ（XYZ是的NETBIOS名）。13.3.5WEB、FTP服務的變化WEB服務的變化：安裝活動目錄后，如果在WEB服務器上設(shè)置身份驗證，則應該使用域中的用戶進行登錄。13.3.5WEB、FTP服務的變化FTP服務的變化：如果在FTP服務器上設(shè)置身份驗證，則應該使用域中的用戶進行登錄。如果創(chuàng)建