《windows_2008域管理1-部署活動目錄域》由會員分享，可在線閱讀，更多相關(guān)《windows_2008域管理1-部署活動目錄域（41頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,*,201,6,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,*,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,*,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,*,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,*,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,*,單擊此處編輯母版標(biāo)題樣式,單擊此處編

2、輯母版文本樣式,第二級,第三級,第四級,第五級,*,*,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,*,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,主講：黃麗芬,項目,3,配置與管理活動目錄服務(wù),項目描述,某公司是一個規(guī)模較大,IT,公司，其員工較多，可共享使用的網(wǎng)絡(luò)資源也較多，原來這些資源分別由不同的服務(wù)器管理，管理較為瑣碎，使用也不方便?，F(xiàn)此公司欲實現(xiàn)所有帳戶、共享資源由服務(wù)器集中管理，只要帳戶的權(quán)限足夠，可以用一個帳戶在公司的任何一臺計算機上登錄，查詢、使用公司任何的共享資源，既方便又安全。,項目任務(wù),任

3、務(wù),1,認知活動目錄,任務(wù),2,創(chuàng)建和管理域控制器,任務(wù),3,域的應(yīng)用,任務(wù)一 認識活動目錄,5,理解域的概念,會安裝域控制器,會管理本地域組和全局組,會管理,OU,（組織單位）,任務(wù)一 實訓(xùn)目標(biāo),6,創(chuàng)建,Windows,域,域資源管理,相關(guān)概念,域用戶管理,域組管理,安裝條件,OU,的管理,DNS,的作用,安裝活動目錄,部署活動目錄域,發(fā)布共享文件夾,7,域和活動目錄的概念,活動目錄,活動目錄是,Windows,網(wǎng)絡(luò)中的目錄服務(wù)，即活動目錄域服務(wù)（,ADDS,）,活動目錄提供了存儲網(wǎng)絡(luò)對象信息并使網(wǎng)絡(luò)用戶使用這些數(shù)據(jù)的方法，負責(zé)目錄數(shù)據(jù)庫的保存、新建、刪除、修改與查詢等服務(wù)。,活動目錄特點

4、,集中管理，用戶容易根據(jù)目錄找到所需數(shù)據(jù)。,便捷的網(wǎng)絡(luò)資源訪問,用戶一次登錄就可訪問整個網(wǎng)絡(luò)資源,網(wǎng)絡(luò)資源主要包含用戶賬戶、組、共享文件夾、打印機等,可擴展性,改進的性能與可靠性（可智能選擇只復(fù)制更改過的信息）,安全性（權(quán)限與憑據(jù)）,8,域和活動目錄的概念,域,將網(wǎng)絡(luò)中多臺計算機邏輯上組織到一起，進行集中管理，這種區(qū)別于工作組的邏輯環(huán)境叫做域,域是組織與存儲資源的核心管理單元,域控制器,在域中，至少有一臺域控制器,域控制器中保存著整個域的用戶帳號和安全數(shù)據(jù)庫,9,域和活動目錄的概念,域目錄樹,具有連續(xù)的域名空間的多個域（包含多個域目錄樹結(jié)構(gòu)）,域目錄林,林由一個或多個域樹組成,組成域目錄林的兩

5、個域目錄樹的樹根之間會自動創(chuàng)建相互的、可傳遞的信任關(guān)系。,10,域和活動目錄的概念,組織單位,組織單位是包含在活動目錄中組織、管理一個域內(nèi)對象的容器。是為對活動目錄對象進行分類而創(chuàng)建的。它能包容用戶賬戶、用戶組、計算機、打印機和其他的組織單元（如按公司不同部門創(chuàng)建不同的組織單位）,創(chuàng)建組織單位有如下好處：,可分類組織對象，使所有對象結(jié)構(gòu)更清晰,可對某些對象配置組策略，實現(xiàn)對這些對象的管理和控制,可委派管理控制權(quán)，給不同部門的網(wǎng)絡(luò)主管授權(quán)，讓他們管理本部門的賬號,任務(wù)二 創(chuàng)建與管理域控制器,12,安裝域控制器的條件,安裝者必須具有本地管理員權(quán)限,操作系統(tǒng)版本必須滿足條件（,Windows Ser

6、ver 2008,除,Web,版外都滿足）,本地磁盤至少有一個分區(qū)是,NTFS,文件系統(tǒng),有,TCP/IP,設(shè)置（,IP,地址、子網(wǎng)掩碼、網(wǎng)關(guān)、,DNS,等）,有相應(yīng)的,DNS,服務(wù)器支持,有足夠的可用空間,13,安裝活動目錄,推薦步驟,設(shè)定好,IP,、子網(wǎng)掩碼、網(wǎng)關(guān)、,DNS,與計算機名,添加,AD,域服務(wù)角色,運行,dcpromo,命令啟動安裝向?qū)?在,新,林中新建域,設(shè)置域名,DNS,服務(wù)器,目錄服務(wù)還原模式的,Administrator,密碼,驗證,AD,域服務(wù)的安裝,P115,查看計算機屬性,查看管理工具,查看活動目錄對象,查看,AD,數(shù)據(jù)庫,查看,DNS,記錄,14,域功能級別,1

7、5,刪除活動目錄,將域控制器降級為普通的服務(wù)器,運行,dcpromo,命令,設(shè)置當(dāng)前域控制器是否為此域的最后一臺域控制器,設(shè)置降級為普通服務(wù)器的管理員賬戶的密碼,16,將計算機加入域,配置客戶機的,IP,地址和首選,DNS,將客戶機加入域,17,擴：,DNS,在域中的作用,域名的命名采用DNS標(biāo)準(zhǔn),客戶機定位,DC,1,）客戶機發(fā)送,DNS,查詢請求給,DNS,服務(wù)器,2,）,DNS,服務(wù)器查詢匹配的,SRV,資源記錄,3,）,DNS,服務(wù)器返回相關(guān),DC,的,IP,地址列表給客戶機,4,）客戶機聯(lián)系到,DC,5,）,DC,響應(yīng)客戶機的請求,域的,DNS,區(qū)域維護,SRV,資源記錄可以定位,D

8、C,18,安裝額外的域控制器（現(xiàn)有林）,在域中安裝額外的域控制器需要把活動目錄從原有的域控制器復(fù)制到新的服務(wù)器上。,轉(zhuǎn)換服務(wù)器角色（,P119,圖,3-29,）,域控制器降級為成員服務(wù)器：在域控制器上把活動目錄刪除，服務(wù)器就降級為成員服務(wù)器了。,注：,P120,（再次運行,dcpromo,）,成員服務(wù)器降級為獨立服務(wù)器：將,“,隸屬于,”,屬性改為某個工作組。,創(chuàng)建子域,部署配置：在現(xiàn)有林中新建域,驗證子域的創(chuàng)建,:Active Directory,用戶和計算機,驗證父子信任關(guān)系,任務(wù)三 管理域中的組賬戶,域用戶賬戶,域用戶賬戶用來使用戶能夠登錄到域或其他計算機中，從而獲得對網(wǎng)絡(luò)資源的訪問權(quán)。

9、,當(dāng)在一個域控制器上創(chuàng)建新的用戶賬戶時，這個域控制器會把信息復(fù)制到其他域控制器，從而確保該用戶可以登錄并訪問任何一個域控制器,21,創(chuàng)建域用戶賬戶,2-1,域用戶賬戶存儲在活動目錄數(shù)據(jù)庫中,創(chuàng)建域用戶的方法,“,Active Directory,用戶和計算機,”,工具,22,創(chuàng)建域用戶賬戶,2-2,顯示名,組織單位（,OU,）中唯一,用戶登錄名,域中惟一,最長,20,字符,密碼設(shè)置,密碼設(shè)置注意事項,密碼選項的作用,23,配置域用戶賬戶屬性,登錄時間,登錄到,賬戶過期,設(shè)置用戶賬號模板,當(dāng)添加多個用戶賬號時，可以以一個設(shè)置好的用戶賬號作為模板。,右擊要作為模板的賬號，并在彈出的快捷菜單中選擇,

10、“,復(fù)制,”,命令，即可復(fù)制該模板賬號的所有屬性，而不必再一一設(shè)置，從而提高賬號添加的效率。,驗證用戶賬戶,25,組的類型,26,組的作用域,本地域組,全局組,通用,組,27,本地域組,使用范圍是本域,針對本域的資源創(chuàng)建本地域組,成員：,用戶賬戶,本地域組,全局組,通用組,28,全局組,使用范圍是整個林及信任域,按邏輯關(guān)系創(chuàng)建全局組,具有相同管理任務(wù)或者訪問權(quán)限的用戶,如，按部門創(chuàng)建,可以按,AGDLP,規(guī)則來使用全局組,29,通用組,使用范圍是整個林及信任域,全局組和通用組的區(qū)別,通用組的成員身份在全局編錄中,多域環(huán)境下通用組成員登錄或者查詢速度較快,全局組的成員身份在每個域中,30,組織單

11、位（,OU,）的管理,概念,容器：有效地組織活動目錄對象,委派控制,組策略,設(shè)計方式,基于部門的,OU,基于地理位置的,OU,基于對象類型的,OU,OU,的設(shè)計也可以是混合的,創(chuàng)建方法,新建組織單位,31,OU,的委派,為什么需要委派,管理員為適當(dāng)?shù)挠脩艉徒M指派一定范圍的管理任務(wù)，從而減輕管理員的工作負擔(dān),實現(xiàn)方法,打開,【Active Directory,用戶和計算機,】,，右擊,OU,委派控制,添加要委派任務(wù)的賬戶或組,選擇要委派的任務(wù),32,刪除委派,要取消委派時可以刪除委派任務(wù),刪除方法,33,發(fā)布共享文件夾,為什么要發(fā)布共享文件夾,統(tǒng)一管理，方便查找,實現(xiàn)思路：,創(chuàng)建共享文件夾,創(chuàng)建

12、,OU,右擊,OU,新建共享文件夾，輸入名稱和路徑,設(shè)置發(fā)布文件夾的屬性信息,34,查找共享文件夾,搜索,Active Directory,輸入搜索條件,35,總結(jié),創(chuàng)建,Windows,域,域資源管理,相關(guān)概念,域用戶管理,域組管理,安裝條件,OU,的管理,DNS,的作用,安裝活動目錄,部署活動目錄域,發(fā)布共享文件夾,36,實驗案例,1,：安裝活動目錄,需求描述：,ABC,公司的網(wǎng)絡(luò)中約有,100,臺計算機。公司需要集中管理計算機和用戶賬戶以及其他網(wǎng)絡(luò)資源，這需要建立,Windows 2008,域，域名為,,。如何實現(xiàn)？,37,實驗案例,1,：安裝活動目錄,實現(xiàn)思路：,準(zhǔn)備兩臺虛擬機,安裝活

13、動目錄,將客戶機加入域,38,實驗案例,1,：安裝活動目錄,學(xué)員練習(xí)：,在服務(wù)器上安裝活動目錄,同時安裝,DNS,配置客戶機的,IP,與,DNS,地址,將客戶機加入域,創(chuàng)建域用戶,使用域用戶在客戶機上登錄,39,實驗案例,2,：,OU,的管理,需求描述：,ms,公司有,5,個部門：行政部、人事部、工程部、銷售部和財務(wù)部。網(wǎng)絡(luò)管理員需要按部門來管理用戶賬戶和組。網(wǎng)絡(luò)管理員委派銷售部的某員工可以有權(quán)限重置本部門員工的密碼,銷售部,財務(wù)部,重設(shè)密碼,40,實驗案例,2,：,OU,的管理,實現(xiàn)思路：,創(chuàng)建,OU,創(chuàng)建用戶,委派權(quán)限,驗證委派,41,實驗案例,2,：,OU,的管理,學(xué)員練習(xí)：,創(chuàng)建,OU,創(chuàng)建用戶,委派權(quán)限,在客戶機添加“,Active Directory,域服務(wù)工具”功能,在客戶機上使用被委派用戶驗證委派,