活动目录简单介绍

活动目录简单介绍

活动目录服务是Windows server操作系统平台的中心组件之一。理解活动目录对于理解Windows server的整体价值是非常重要的。这篇关于活动目录服务所涉及概念和技术的介绍文章描述了活动目录的用途，提供了对其工作原理的概述，并概括了该服务为不同组织和机构提供的关键性商务及技术便利。

今天，对于在商业运作中保持竞争力而言，网络化计算变得比以往任何时候都更为重要。为此，就要求现代化的操作系统具有管理存在于构成网络环境所需分布式资源中的一致性和关联性的机制。目录服务提供一定空间，用于存储与基于网络的实体相关的信息，例如应用程序、文件、打印机和人员。同时，该服务也提供用于命名、描述、定位、存取、管理及保证独立资源信息安全性的一致性方法。

更形象地说，目录服务在网络操作系统中扮演着一个接线总机的角色。它是通过对一致性进行管理，并调度那些分布式资源间关联，从而使它们共同工作的中心授权机构。由于目录服务提供这些基础的网络操作系统功能，它必须与用于管理和提供安全性的操作系统机制紧密结合在一起，从而保证网络的完整性和保密性。同时，目录服务也在组织机构的下列能力中发挥至关重要的作用，这些能力包括：定义和维护网络基础构件的能力，执行系统管理的能力以及控制一家公司信息系统中全部用户经验的能力

什么是活动目录?

活动目录是Windows server网络体系结构中一个基本且不可分割的部分。它在Windows NT4.0操作系统的域结构基础上改进而成，并提供了一套为分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。

总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于

分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。

活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。

为什么要提供目录服务?

对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的。随着局域网（LAN）、广域网（WAN）规模与复杂性的不断提高和这些网络不断被连入Internet，以及应用程序对网络的依赖程度不断增强并不断被链接到协作企业网中的其它系统上，对目录服务的需求也日渐增多。基于下列原因，目录服务成为扩展的计算机系统中最重要的部件之一：

简化管理提供对用户、应用程序和设备的单一、一致性的管理点。

加强安全性向用户提供单一的网络资源登录，为管理员提供强大、一致性的工具以使他们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。

扩展的互操作性向所有活动目录特性提供基于标准的存取方式以及对通用目录的同步支持。

目录服务兼任管理工具和用户工具。随着网络中对象数量的增加，目录服务变得必不可少。目录服务在一个庞大的分布式系统中发挥着网络集线器的作用。致力于这些需求，Windows 2000 服务器版引入了活动目录--即一套用于改进Windows网络操作系统管理、安全性和互操作性的完整的目录服务集。

活动目录如何工作?

活动目录允许组织机构按照层次式的、面向对象的方式存储信息，并且提供支持分布式网络环境的多主复制机制。

层次式组织

活动目录使用对象来代表诸如用户、组、主机、设备及应用程序这样的网络资源。它使用容器来代表组织（如市场部）或相关对象的集合（如打印机）。它将信息组织为由这些对象和容器组成的树结构，这与Windows操作系统用目录和文件来组织一台计算机上信息的方法非常类似。

图1：活动目录使用层次化方式组织信息以简化网络的使用和管理

此外，活动目录通过提供单一、集中、全面的视图来管理对象集合和容器集合间的联系。这使得资源在一个高度分布式的网络中更容易被定位、管理和使用。活动目录的层次式结构具有灵活性并且可以进行配置，因此，组织机构能够按照一种优化自身可用性和管理能力的方法对资源进行组织。

在图1中，容器用来代表用户、主机、设备和应用程序的集合。容器可以被嵌套（在一个容器中创建另一个容器），从而精确反映公司内部的组织结构。在这个例子中，市场和人力资源组织容器代表它们各自的部门以及它们在公司内部的相互联系。将对象组织在目录中允许管理员在一个宏观层次上（作为集合）管理对象而非采取一对一的方式。这种方式在允许组织机构根据其自身商务运作来安排网络管理的同时，更增加了管理的效率和准确性。

面向对象的存储

如前所述，活动目录用对象的形式存储有关网络元素的信息。这些对象可以被设置属性来描述对象的特征。这种方式允许公司在目录中存储各种各样的信息并且密切控制对信息的访问。

图2：活动目录的对象和属性被访问控制列表所保护

如图2所示，对象和属性级安全性允许管理员精确控制对存储在目录中的信息访问。例如，一个为Bob Jones创建的存储在目录中的用户对象拥有用于记录Bob 的姓名、电子邮件地址、电话号码和社会保险号码的属性。活动目录允许管理员为对象的每一个属性和对象自身分配访问权限。在这个例子中，系统管理员允许对Bob Jones对象进行全局访问，却封闭了对其社会保险号码的访问。

多主复制

为了在分布式环境中提供高性能、可用性和灵活性，活动目录使用多主复制。如下图3所示，这种机制允许组织机构创建被称作目录复制的多个目录拷贝，并把它们放置在网络中的各个位置上。网络中任一位置上的变更都将自动被复制到整个网络上（这与单主复制机制相反，在单主复制中，所有变更必须针对单一的、授权的目录复制）

图3：活动目录通过支持多主复制实现灵活性、高可用性和性能

例如，完全同步的目录复制能够使活动目录在广域网（WAN）中的每个位置上均可使用。因为用户可以使用本地目录服务而非在广域网中漫游来定位资源，该过程能够向用户提供更高速的网络性能。根据可用的管理资源情况，这些相同的目录可在本地或远程进行管理。

使用活动目录服务的好处是什么?

完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力，这样可以：

简化管理任务

加强网络安全性

通过互操作使用现存网络

简化管理

分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时，他们需要适当地向各桌面系统分发软件并管理多个

应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置，活动目录可以显著降低公司的管理费用。例如，活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。基于下列原因，活动目录可以从以下方面帮助公司简化管理：

消除冗余管理任务提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。

降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件，以减少或消除系统管理员为软件安装和配置而安排的多次行程。

更好的实现IT资源的最大化安全地将管理功能分派到组织机构的所有层次上。

降低总体拥有成本（TCO）通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。

活动目录如何简化管理

以层次化组织用户和网络资源，活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。这就减少了冗余的管理任务，同时，通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。

图4：活动目录简化了网络资源的管理

活动目录允许管理员分派特定的管理权限和任务给单独的用户和组，以便更好地使用系统管理资源。如上图所示，特定的管理任务，例如重新设置用户密码，可以被分派给市场机构的办公室管理员。更多的特权功能，如"创建用户"，可以为IT管理员保留。

活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分发给他们。例如，一个公司可以指定职员容器中的所有用户（无论是从哪里登录到网络上的）均可使用人力资源管理应用程序。活动目录集中存储这些信息，同时，应用智能镜像管理技术自动安装所分配的应用程序，并给予用户访问其桌面系统的能力而无论用户正在使用网络中的哪个工作站。

除了使网络管理对于管理员而言更加容易外，活动目录同时也使每个人对网络的使用都变得更加容易。例如，用户为了找到诸如打印机这样的网络资源可以直接查询目录。由于目录能够存储对象的属性，它可以存储组织机构中打印机的位置和能力信息并使这些属性成为查询标准--以至于用户可以通过Windows的"开始"菜单直接查询"六号建筑物中的彩色打印机"。此外，目录可以从桌面计算机的操作系统中查阅安装一台新打印机所需的全部配置信息--以至于当用户找到所需的打印机时，便可立即使用它。

加强安全性

强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。例如，对多身份验证协议（如Kerberos，X.509认证以及由灵活的访问控制模型组成的智能卡）的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安全性：

改进了密码的安全性和管理通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。

保证桌面系统的功能性通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问，例如软件安装或注册项编辑。

加速电子商务的部署通过提供对安全的Internet标准协议和身份验证机制的内建支持，如Kerberos, 公开密钥基础设施（PKI）和安全套接字协议层（SSL）之上的轻便目录访问协议（LDAP）。

紧密的控制安全性通过对目录对象和构成他们的单独数据元素设置访问控制特权。

活动目录如何增强安全性

Windows 2000 服务器最主要的结构优势之一便是它对活动目录以及活动目录中实现新层次上数据保护的先进安全特征的集成。这对于通过Internet进行商务活动的组织机构尤为重要。

图5：活动目录在简化访问过程的同时还提供了可用于Internet的安全服务以保护数据

如图5所示，活动目录充当管理用户身份和网络资源控制访问验证的中央授权机构。它支持一系列用于在登录到Windows 2000这一层次之上证明身份的验证机制，包括Kerberos, x.509认证以及智能卡。一旦用户通过身份验证并登录，系统中的所有资源便被保护起来，同时，用户的访问根据一个单一的身份验证模型被准许或拒绝。这就意味着组织机构不必使用两种方法进行资源访问，其中一种方法针对通过内部网络登录的用户，而另一种方法则针对通过Internet上数字认证访问资源的用户。

另外，活动目录缺省支持完全集成的公开密钥基础设施（PKI）和Internet安全协议--如安全套接字协议层（SSL）之上的LDAP协议--来允许组织机构安全地将选定目录信息扩展到防火墙之外，以便将其提供给外部网络用户和电子商务用户。这样，通过允许管理员使用相同的工具和步骤来维护桌面系统用户、远程拨号用户和外部电子商务客户的访问控制和用户权限，活动目录加强了安全性并加速了电子商务的部署。

扩展的互操作性

许多公司都有变化多样却又必须协同工作的技术集合。为此，许多企业的网络也拥有同等多样化的独立目录集合，这些目录集合作为电子邮件服务器、应用程序、网络设备、防火墙、电子商务应用程序等的组成部分而存在。活动目录为应用程序集成和开放同步机制提供了一套标准接口，以确保Windows能够与众多的应用程序和设备互操作。活动目录因具有下列功能而扩展了系统的互操作性：

利用现有的投资并确保灵活性。适应全部特性且基于标准的接口能够为将来的应用程序和基础结构利用现有投资并确保灵活性。

加强对多重应用程序目录的管理。在使用开放接口、连接器及同步机制的情况下，组织机构将能够加强包括有Novell NDS、LDAP、ERP、电子邮件及其它关键任务应用程序的目录。

允许组织机构布署具备目录功能的网络。来自诸如Cisco和3COM等领先供应商的网络设备能够通过目录来使管理员指定服务质量并根据用户在公司中所担当的角色为其分配网络带宽。

允许组织机构开发并部署具备目录功能的应用程序。通过使用全部可扩展的目录架构，开发者将能够开发应最终用户需求而量身定制的应用程序。

活动目录如何扩展互操作性

为将不同的系统结合在一起并增强目录及管理任务，活动目录提供了一个中枢集成点。上述功能是依靠将Windows 2000目录特性通过诸如LDAP、ADSI、JADSI 及MAPI等基于标准的接口尽数开放来实现的，因此，公司能够加强现有的目录，并开发具备目录功能的应用程序和基础结构。关于Microsoft如何在其自身的产品线中使用活动目录特性的一个范例就是Microsoft Exchange。Exchange服务器已与活动目录相集成，以使公司能够在同一位置管理Windows 2000用户帐号和Exchange邮箱。

图6：活动目录通过开放接口、连接器及同步机制为集成和扩展系统提供了一个平台

如图6所示，活动目录也为具备目录功能的应用程序提供一个开发平台。这就使应用程序开发者能够控制根据用户在公司中所担当角色而设计的应用程序的行为。例如，具备目录功能的应用程序能够参考目录中的用户简介，并根据该用户的工作职能为其提供特定的菜单选项和功能。这样一来，人事部门的用户将能够在人力资源管理应用程序中看到"改变工资"菜单选项，而财务部门的用户则不能看到该选项，即使这两个用户共享一台电脑。

正如组织机构能够改进其目录服务和应用程序协同工作的方式一样，他们也同样能够改进其网络硬件和软件与目录服务协同工作的方式。通过为具备目录功能的网络提供一个平台，活动目录使公司能够将网络资源分配同其商务处理需求相互匹配起来。特别应指出的是，管理员能够根据用户的业务需要为其分配相应的网络带宽。例如，管理员能够创建一个策略，以确保财务部门的用户在月末忙于结帐时能够分配到额外的网络带宽。

活动目录的益处能够向Windows环境的外延扩展。活动目录中的开放同步机制确保了Windows平台上众多应用程序和设备的互操作性。例如，对LDAP、DirSync及ADSI接口的本地支持使诸如Cisco、SAP、BAAN、及3COM等领先供应商能够将其产品与活动目录相集成，以提供对跨平台产品简化且强大的管理功能。

结论

今天，关于人员、应用程序和资源的信息遍布于大多数企业的信息系统之中。网络已从对互联设备的松散集成发展为由相互依存的资源所组成的复杂生态系统。为此，网络操作系统所要提供的服务将远远不止是简单的网络文件与打印服务。网络操作系统目前需要对分布式网络资源间的关系进行透明化管理。

Windows 2000中的活动目录服务为管理和保护Windows的用户帐号、客户及应用程序提供了一个焦点。此外，活动目录被设计成能与现有系统、应用程序及设备中的非Windows目录相兼容，以提供单一的空间和稳定的方式来管理整个网络基础结构。这样，活动目录通过减少管理员管理目录信息所需的空间以使组织机构现有的投资得到升值，同时，全面降低电算化成本。

活动目录(Active Directory)系列

活动目录（Active Directory）系列之一：为什么我们需要域 对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。从今天开始，我们将推出 Active Directory系列博文，希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。 假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Perth。服务器的职能大家都知道，无非是提供资源和分配资源。服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。现在服务器 Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。 首先，如下图所示，我们在服务器上为张建国创建了用户账号。

华为HCNA实验典型实例

、 fi 一、静态路由的配置实例： 实验目的：将拓扑图网络设备和节点，实现网络互通。 1、规划PC和路由器各接口IP地址； 2、配置路由器和PC的IP地址，并测试直连路由是否通过： [R1-GigabitEthernet0/0/0]ip address 24 ， 问题： 1、为什么要在边界路由器上默认路由 答：因为企业员工要上网，运行默认路由的这台路由器，都会把不知道往哪里的数据包往互联网上扔！ save Are you sure to continue (y/n)[n]:y It will take several minutes to save configuration file, please wait....... Configuration file had been saved successfully Note: The configuration file will take effect after being activated * 静态路由的负载分担

如图：静态路由负载分担拓扑图配置地址后，使用静态路由到达网络号 /24 。达到自由选路功能[R5]ip route-static 24 [R5]ip route-static 24 [R5]ip route-static 24 ￥ 二、rip动态路由实例 实验目的：通过rip动态路由协议配置，使下图设备全网互通

[R1]rip 问题：解决路由环路的办法 1、触发更新，用来避免环路 2、￥ 3、限制跳数 4、水平分割 5、路由中毒/毒性翻转 /路由毒化 6、Rip计时器 （以上方法都是rip路由协议默认启用的） 虽然更改成版本2RIPv2可以解决不连续子网问题，但是会使路由表变大。为了提高路由器性能需要进行路由手动汇总！ [R1-GigabitEthernet0/0/0]rip summary-address （掩码需要进行换算） & 前提是R1路由器有以下环回接口： 将这三个IP地址换算出子网掩码 RIP支持接口明文验证和密文验证

活动目录配置完整版

目录 一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………

一、活动目录配置基本知识 1、活动目录的重要概念 （1）目录服务是一个什么东西 一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中，目录就储存了有关文件的信息。 在一个分布式计算系统中或是一个公共计算机网络（如Internet）中，就有许多用户感兴趣的对象，如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象，而管理人员则想管理对这些对象的使用。 在此文档中，术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于，它既是目录的信息源，而它的服务又可以使用户得到和利用信息。 （2）什么是活动目录 活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务，还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作，从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性，使得在大规模信息的管理及在其中漫游变得很简单，为管理者和终端用户都节省了时间。 （3）为什么需要目录服务 目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性，而且可以查询目录来得到符合属性的对象列表，例如："查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。 目录服务可以： ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。 目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时，目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念 用来描述活动目录的概念和术语中有些是新的，而另外一些则不是。不幸的是，一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前，理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围

华为HCNA试验典型实例

fi 一、静态路由的配置实例： 实验目的：将拓扑图网络设备和节点，实现网络互通。 1、规划PC和路由器各接口IP地址； 配置路由器和PC的IP地址，并测试直连路由是否通过：2、 [R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //IP地址设置 [R1]display ip routing-table //查询R1的路由表蓝色表示辅助指令 [R1]display ip interface brief //查询路由器接口IP设置是否正确 注：其他接口同理！ 3、静态路由的配置（给路由器添加路由）： [R2]ip route-static 192.168.1.0 24 12.1.1.1 //静态默认路由配置：在R2路由添加192.168.1.0网络，出接口是 12.1.1.1（R2的下一跳） [R2]undo ip route-static 192.168.1.0 24 12.1.1.1 //删除指令 [R1]ip route-static 23.1.1.0 24 12.1.1.2 [R3]ip route-static 12.1.1.0 24 23.1.1.1 [R3]ip route-static 192.168.1.0 24 23.1.1.1 [R3]interface LoopBack 0 //进入环回接口环回接口：模拟路由器上的其他网络号 [R3-LoopBack0]ip address 3.3.3.3 24 //设置环回接口IP地址 4、默认路由的配置： 默认路由：不知道往哪里去的数据包都交给默认路由。（不安全、应用在边界路由即连接外网的路由器） 实际环境中会有很多环回接口，若是都使用静态路由的话，那么配置的工作量会非常大，因此引用默认路

活动目录系列之一：基本概念

活动目录系列之一：基本概念 目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。使用LDAP（端口389）轻量级目录访问协议工作，在域环境下所有用户及计算机等帐户信息均保存在一个数据库中，这个数据库位置%systemroot%\ntds\ntds.dit。 AD（活动目录）的逻辑结构包含如下组件：域/子域/树/森林/OU等。主要侧重于对网络资源的组织。 AD的物理结构包含如下组件：DC（域控制器）/site（站点）/OM（操作主机）。主要侧重于对网络资源的配置和优化。下面介绍有关几个重要的概念： 1.DN：(可辨别名称）--用来表示一个对象在AD中具体存储位置，类似于文件的绝对路径。 如：cn=user1,ou=sails, dc=blog,dc=com 该用户存在https://www.wendangku.net/doc/ca1284516.html,域的sails OU下，用户名为user1. cn=users (默认的容器users也以cn表示) dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。 2.UPN（用户主名）用户名@域名，即用户登录时可以采用，如jack@https://www.wendangku.net/doc/ca1284516.html,，也可以更改此后缀。 修改：domain.msc后，在根右击--属性--更改UPN后缀，

然后在用户属性-帐号中选择其后缀。用户登录可以使用此UPN.但必须在用户属性里进行相应的更改（即启用此Upn 后缀） 3.SID (安全标识符）用户/组都有唯一 whoami /user 当前用户的SID whoami /all 当前用户的详细信息（包含所属组的SID）getsid \\dc1 test \\dc1 test (安装suptools) psgetsid \\dc1 test 下载工具包。 4.AD数据库的目录分区：（AD数据库虽然是一个文件，但却是以目录分区的形式组成的） schema 架构分区---森林的对象类和属性，在森林级别复制。 configuration 配置分区--所有DC的位置、site，在森林级别复制。 domain 域分区--每个域的各种对象等信息，在域级别复制。application 应用程序分区—DNS，可以自定义。 通过adsiedit.msc来查看前三个目录（事先装支持工具）5.site:在物理位置上区分，一组高速可靠的一个子网或多个子网。（管理AD复制） 优点：

活动目录相关概念

域和活动目录 win2003支持的网络结构 1、工作组结构图的网络（对等式网络） 网络上没有专门的服务器，没有集中的数据库所有的资源分散在不同的 网络上的计算机都由本机的本地用户安全数据库审核。 2、域结构的网络 域是管理员定义的一组对象的集合（计算机、用户和组），域是一个安全边界，是由网络上的计算机组成，域中的资源存放在集中数据库内，便于用户的查找和使用，便于管理员的管理。 ●域中计算机的角色 域控制器 在win2000域内，只有win2000 server 才可做域控制器；win2003内只有WEB版不可以做DC； DC内存储了该域的AD数据库，它负责审核域用户的登录、域中资源的管理等； 域内可以有多台域控制器，它们的地位是平等的； 多台DC之间按照一定的频率相互复制数据库保持同步（即保持地位平等）； NT域内也有多台域控制器，但只能有一台PDC管理域，其余为BDC 注：额外域控制器的辅助功能： ）容错功能； ）相互减轻负担； ）提高用户的访问效率。 成员服务器 1）具有服务器版本的操作系统； 2）属于某个域中； 3）没有存储AD数据库的称为成员服务器。 注：服务器级的操作系统: windows NT服务器操作系统 win2000server以上版本 win2003所有版本 其它成员 ）本身加入某个域中 ）是非服务器版本的操作系统 例如：win2000 pro、win99、winNT workstation 等 注：独立服务器 1）本身是服务器版本操作系统； 2）不属于任何域的计算机。 活动目录地相关概念（一） 活动目录是微软目录服务的一种机制，它是用来存储网络上的用户账户、计算机、打印机等资源信息，方便用户的查找和使用。活动目录指的是用户在使用资源时不需要了解该资源存放在哪台计算机上和哪台计算机上有哪些资源！ 、名称空间 所谓的名称空间，实际是划分好的区域，在该区域可以通过名称查找到与该名称相关的信息。

域结构简介

域结构简介 1、域的含义： 域是由一群以网络连接在一起的计算机所组成的，它们将计算机内的资源共享给其他人使用。 2、与工作组结构网络区别： 域内所有的计算机共享一个集中式的目录数据库，它包括整个域内的用户与安全数据。而工作组结构的网络，每台计算机的位置平等。可以相互的共享。 3、域中的计算机类型： A、域控制器：只有WIN2000SERVER才可以做域控制器，域控制器在一个网络中可以有多个。一台的目录数据库可以自动复制到别一个域服务器的目录数据库中，域可以审核登录用户的用户名和密码。多台域服务器共同审核用户的登录可以提高效率 B、成员服务器：域内的WIN2000服务器如果不是域控制器，就是成员服务器，如果不加入域就独立服务器，成员服务器没有活动目录，不能审核域用户的登录，但它们都自己的本地安全数据库。以审核本地用户。 C、其他计算机：其他计算机可以用来访问这些计算机的资源。 活动目录定义 一个电话本：其中有姓名、电话号、地址等，这些就是目录，我可以很容易从找到所需的数据。目录服务：就让用户很容易在目录中查找所要的数据。而在WIN2000中，存储用户、组、打印机等对象相关数据的位置称为目录数据库，负责提供目录服务的组件称为活动目录。 1、适用范围 应用范围很广，可以在一台计算机、一个计算机网络，大至数据广域网的组合。 2、名称空间 A、名称空间的含义：就是一块划好的区域。在这个区域内，可以利用某个名字来找到与这个名字有关的信息。 B、WIN2000中的活动目录就是“名称空间”，可以利用对象名称找到相关的数据。 C、WIN2000的名称结构采用了DNS的结构。 3、对象与属性 WIN2000中的资源都是以对象的形式存在，而一个对象通过属性来描述其特征。如用户就是一个对象类别。用户的姓、名、电话，就是用户的属性。 4、容量与组织单位 A、容量与对象相似，也有自己的名称，也有自己的属性，但它不是一个实体，而可以一组对象和其它容量。 B、组织单位，就是一个容量，可以包括其他对象和组织单位。 5、域目录树 A、域目录树：对一个包含多个域的网络，则可以将网络设置成域目录树的结构，也就是说这些域以树状的形式存在。 B、域目录树中的子域名包含着父域的域名 C、域目录树中的所有的域共享一个活动目录。但活动目录中的数据分散地存储在各个域内。将各个域内的数据合并为一个活动目录。 6、信任 两个域之间，必须建立信任关系，才可以访问对方域内的资源，一个域加入到一个域目录树中后，这个域会自动信任其上一层域，并且这些信任关系具备双传递性。

第十一章 活动目录的维护

第十一章活动目录的维护 内容摘要 本章重点介绍Windows2000活动目录数据的存储过程和维护方法。重点包括： ? 活动目录数据的备份和恢复 ? 活动目录数据的优化 ? 活动目录的维护程序 考点提示 ? 活动目录的授权恢复和非授权恢复 ? 管理活动目录对象移动的程序：Movetree ? Ntdsutil.exe的应用 11．1 活动目录维护简介 造成Windows2000活动目录故障的原因很多，后果也不完全相同，如系统不能启动，不能登录，网络访问和网络验证出现故障等。当活动目录出现故障时，首先应查找可能引起故障的原因，然后根据掌握的资源情况，制定修复策略，对活动目录进行修复。 11．2 活动目录数据的维护 Windows2000活动目录将数据存储在一个事物数据库和日志文件中，对活动目录数据进行维护可以在系统出现故障时，如硬盘损坏或者软件系统崩溃而导致数据丢失时，对数据进行有效的恢复。活动目录数据维护的关键在于对活动目录数据库和日志文件进行有效的维护。 Windows2000服务器对活动目录数据提供如下的维护方法： ? 备份和恢复。使用Windows2000自带的备份工具可以对活动目录数据库进行备份和恢复。活动目录数据库在Windows2000中是整个系统数据的一部分。 ? 移动。Windows2000服务器支持将活动目录数据库从一个地方移动到另一个地方，注意移动一个活动目录数据库文件后，原文件并不会自动删除，而是继续存在，这儿的移动和复制有一些相似。 ? 碎片整理。频繁的数据库访问会造成磁盘空间利用率下降。碎片整理可以重新排列数据库中的数据，回收可以利用的磁盘空间。 11．2．1 活动目录数据的存储过程 Windows2000活动目录使用可扩展的存储引擎(ESE)对数据进行存储。ESE应用事务和日志的概念将数据存储在数据库和事务日志文件中。所谓事务（Transaction），是指系统作为一个不可分割的整体进行处理的更改、添加、删除等操作的集合。 活动目录数据存储的基本过程如下： 1、为数据库更改创建一个事务 2、向日志文件中写入事务 3、将事务写入内存缓冲区 4、将更改在系统空闲的时候写入数据库 5、更改指向日志中未写入数据库的数据项的指针。

第3章管理活动目录域

第3章管理活动目录域 教学要求： 理解：域的概念、特点；活动目录的架构；组织单位的概念、特点；域用户账户的概念、特点；域组账户的概念、特点；域组账户的使用原则； 掌握：创建域；将计算机加入或脱离域；将域控制器降级为独立服务器或成员服务器；管理组织单位；管理域用户账户的工作；管理域组账户的工作； 3.1活动目录的概述 活动目录（ActiveDirectory，AD）服务能把网络中的众多资源有效地组织在一起，实现集中管理与统一保护，最大限度地保证资源的可用性与安全性。 活动目录以数据库的形式存放在网络中的一些特定计算机上，这个数据库称为“活动目录数据库”。 1 2 1 2输入： 3 4-6User 3.2 。 一个活动目录的完整逻辑结构称为“域森林”，一个域森林由若干“域树”组成，一个域树有若干“域”组成。 1、域的定义 在活动目录中，域是一种重要的逻辑管理单元，代表了一个独立的安全范围，能包含大量对象的一种容器。 2、域中计算机的角色 有域控制器、成员服务器、工作站。 域控制器是存放活动目录数据库的，是域中必须要有的。其它两种则不是必须的。 所以最简单的域将只包含一台计算机，这台计算机是该域的域控制器。 3、计算机账户 每台计算机都有一个账户来标识自己，这个账户称为“计算机账户”。在Computers容器内

4 5 创建组账户的主要目的是为用户账户分配资源访问权限，但是管理员不能直接对组账户指定管理策略，也就是不能直接控制组账户中各对象的更复杂的行为。 当删除一个组账户时，其包含的用户账户并不会被删除。但删除一个组织单位时，其包含的所有活动目录对象都将随之删除。 （4）组织单位和其他活动目录容器的区别 图标有所不同 普通容器仅起到把一些活动目录对象组织在一起的作用，管理员不能对其设置组策略。 在组策略中只能看到组织单位而看不到普通容器，这说明只能对组织单位设置组策略而不能对普通容器设置组策略。 在上图中右击“DefaultDomainControllers Pllicy”组策略对象，然后在快捷菜单中选择编辑。可以看到各种组策略。

活动目录的好处

使用活动目录服务的好处是什么? 完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力，这样可以： ●简化管理任务 ●加强网络安全性 ●通过互操作使用现存网络 简化管理 分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时，他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置，活动目录可以显著降低公司的管理费用。例如，活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。基于下列原因，活动目录可以从以下方面帮助公司简化管理： ●消除冗余管理任务提供对Windows用户账号、客户、服务器和应 用程序以及现存目录同步能力进行单一点管理。 ●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分 发软件，以减少或消除系统管理员为软件安装和配置而安排的多次行程。 ●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的 所有层次上。 ●降低总体拥有成本（TCO）通过使网络资源容易被定位、配置和 使用来简化对文件和打印服务的管理和使用。 活动目录如何简化管理 以层次化组织用户和网络资源，活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。这就减少了冗余的管理任务，同时，通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。 图4：活动目录简化了网络资源的管理 活动目录允许管理员分派特定的管理权限和任务给单独的用户和组，以便更好地使用系统管理资源。如上图所示，特定的管理任务，例如重新设置用户密码，可以被分派给市场机构的办公室管理员。更多的特权功能，如"创建用户"，可以为IT管理员保留。 活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分 发给他们。例如，一个公司可以指定职员容器中的所有用户（无论是从哪里登录到网络上的）均可使用人力资源管理应用程序。活动目录集中存储这些信息，同时，应用智能镜像管理技术自动安装所分配的应用程序，并给予用户访问其桌面系统的能力而无论用户正在使用网络中的哪个工作站。

51CTO下载-windows2003下载全集

Windows Server 2003从入门到精通系列之一：详细探讨Windows server 2003*作系统的安装方法 Windows Server 2003从入门到精通系列之二：创建和管理用户帐户 Windows Server 2003从入门到精通系列之三：NTFS特性在Windows 2003上的体现

Windows Server 2003从入门到精通系列之四：网络共享资源的各种访问方法 Windows Server 2003从入门到精通系列之五：Windows server 2003安全策略 Windows Server 2003从入门到精通系列之六：Windows server 2003中的磁盘管理

Windows Server 2003从入门到精通系列之七：Windows server 2003灾难恢复——备份 Windows Server 2003从入门到精通系列之八：使用IPSec加强系统安全性 Windows Server 2003从入门到精通系列之九：TCP/IP协议基础

Windows Server 2003从入门到精通系列之十：Windows server 2003 服务应用大全之DNS服务使用详解 Windows Server 2003从入门到精通系列之十一：Windows server 2003 服务应用大全之DHCP服务使用详解

Windows Server 2003从入门到精通系列之十二：Windows server 2003 服务应用大全之WINS服务使用详解 Windows Server 2003从入门到精通系列之十三：如何使用Windows server 2003搭建VPN服务器 Windows Server 2003从入门到精通系列之十四：利用SUS实现自动补丁管理

组策略高手·完全手册-WebCast视频教程(全15课)

组策略高手·完全手册-WebCast视频教程是微软官方网出的一个系列讲座 组策略是活动目录里的重要组成部分，也是活动目录里的重点内容。了解和使用组策略将最大限度的使你的管理工作变得简单化、条理化。你想了解更多的组策略知识，并希望成为组策略的高手吗？本系列课程将就组策略的概念、实现、管理、维护以及使用GPMC（组策略管理工具）来对组策略进行备份、恢复等进行讲解，并结合组策略的实际应用深入了解组策略这个管理用户和计算机的利器。帮助大家从了解组策略到熟练使用组策略的入门到进阶的学习。 系列课程列表 入门篇 入门篇中，我们将首先了解组策略的概念，知道什么是组策略？组策略能做什么？我们为什么要使用组策略？通过这部分课程的学习，我们主要要认识组策略并知道组策略的常规使用方法，知道如何对组策略进行建立、编辑和应用的基础知识。 讲师信息：王辉微软金牌认证讲师苏州索迪培训中心 2005-12-16 10:00-11:30 什么是组策略？组策略能做什么？本讲将简要介绍组策略的概念，组策略的构成和专用术语。了解组策略的功能介绍和主要应用场景，初步认识组策略的设置内容和组成结构的基础知识。 组策略高手完全手册入门篇之一：组策略介绍和功能概览.rar 讲师信息：张华微软金牌认证讲师微软护航技术专家 2005-12-19 10:00-11:30 讲述如何建立组策略对象和组策略链接，如何对组策略对象进行编辑，如果将组策略对象链接到对应的OU或域上，以及如何使用组策略编辑器来编辑设置组策略。并引导听众了解组策略的简单处理规则。 组策略高手完全手册入门篇之二：创建、编辑和应用组策略.rar 讲师信息：王辉微软金牌认证讲师苏州索迪培训中心 2005-12-21 14:00-15:30 你需要部署软件吗？你是否为烦琐的大批量部署软件而犯愁？你希望用户可以自己选择软件安装而不需要安装介质吗？你希望强制为用户或计算机安装指定的软件吗？通过组策略可以快速方便的完成软件的部署和分发工作。

计算机网络 活动目录的结构

计算机网络活动目录的结构 活动目录（Active Directory）是一个分布式的目录服务，信息可以分散在多台不同的计算机中，以保证用户的快速访问和容错。它包括目录和目录相关的服务两个方面，其中目录是存储各种对象的一个物理上的容器，目录管理的基本对象是用户、计算机、文件及打印机等资源；目录服务是使目录中的所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务及基于网络的应用管理等。 另外，Active Directory集成了关键服务，如DNS、MSMQ、MTS等和关键应用，如电子邮件、网络管理、ERP等。为了更加深入的了解活动目录，我们从其物理结构和逻辑结构两方面分别进行讲解。 1．Active Directory逻辑结构 在Active Directory中，是将资源组织到逻辑结构中，该逻辑结构是组织逻辑结构的镜像。资源在逻辑上进行分组，使得用户可以通过名称而不是物理位置就能查找资源，也使网络的物理结构对用户来说是透明的。 Active Directory是由组织单位、域、域树构成的层次化目录结构。它为每个域建立一个目录数据库副本，用于存储这个域的对象。如果多个域之间存在相互关系，则他们可以构成域树，每个域都拥有各自的目录数据库副本存储自己的对象，并且可以查找域树种其他域的目录数据库副本。多个域树则构成域林。 在前面已介绍过域、域树及域林，这里我们只对组织单位进行讲解。组织单位（Organizational Unit）是组织、管理一个域内对象的容器，它包括用户账户、用户组、计算机、打印机、其它活动单位等。因此，我们可以利用组织单位将域中的对象形成一个完全逻辑上的层次结构。 为了有效组织目录对象，组织单位根据企业业务模式的不同来创建不同的层次结构，如可以通过按部门、地理位置、对象类型等来划分层次结构。这样可以帮助企业解决很多问题，极大地简化了网络管理工作，用户可以利用一个服务功能轻松的找到某个对象而不必考虑他的具体位置。 2．Active Directory物理结构 物理结构与逻辑结构有很大的不同，逻辑结构侧重于网络资源管理，而物理结构侧重于网络的配置和优化，其主要作用为Active Directory信息的复制和用户登录网络时的性能优化。 Active Directory的物理组件有站点和域控制器，用户需使用这些组件创建反映组织物理结构的目录结构。 站点（Site）是一个或多个IP子网连接组合，这些子网通过高可靠的快速链路连接，尽可能多地使网络通信量局部化。它往往由企业的物理位置分布情况决定，可以把一个局域网作为一个站点，如图10-20所示。创建站点的主要目的是优化复制流量、使用户通过高速且可靠的链路连接服务器。

windows server 2012活动目录知识点总结

一、活动目录概述 目录：存储以某种方式相关联的对象的信息集 目录服务：用户通过其提供的服务来使用目录中的信息 目录服务功能：组织网络中的资源，提供对资源的管理，对资源的控制 功能：组织，管理，控制 适用范围：便于用户查找、管理和使用这些资源 –小型网络：UNC路径(一般不使用AD) –大型网络：难以确定资源位置、名称 –所以需要目录服务快速定位资源 ?对用户透明、高效 ?不需要知道资源的物理位置，如何连接、 目录服务的逻辑结构：域（domain） 域树(domain tree) 森林(forest) 组织单元(OU) 目录服务的物理结构：站点(site) 域控制器(domain controller) 操作主机(operation master) 域： 域是活动目录中逻辑结构的核心单元，是一个有安全边界的计算机集合。一个域包含许多计算机，它们由管理员设定，共用一个目录数据库，一个域有一个唯一的名字。 容器与OU: –容器与对象相似，有自己的名称，也是一些属性的集合。容器可以包含其它的对象，也可以包含其它的容器。OU是AD中的一个特殊的容器，他可以包含对象、OU和组策略。 –OU 可以把对象组织到一个逻辑结构中，使其能最佳适应组织的需要。 –委派OU 的管理控制权，必须把OU 及OU 包含对象的具体的权限指定给一个或几个用户和组。 看图写DN

Administrator@https://www.wendangku.net/doc/ca1284516.html, UPN的认识。 二、快照准备（无内容） 三、管理域账户和组 账户类型：计算机账户，用户账户，组账户 用户账户UPN理解 建立UPN好处： ?由于UPN的格式与电子邮件帐户相同，所以可以让用户不论是登录域或收发电子邮件，都可以使用一致的名称。 ?如果域内有很多子域，则域名很长，如https://www.wendangku.net/doc/ca1284516.html,,所以当用户登录域的时候名字就会太长，所以可以通过创建UPN后缀来减少长度，便于记忆 管理域账户的几种方式：ad管理中心，ad用户和组，目录服务工具，csvde，ldifde 域组的类型：通讯组（仅作电子邮件组，么有启用安全特性），安全组 域组作用域的分类：域本地组，全局组，通用组（三个域组的理解） 域组的嵌套：A,G,DL,P为主理解各种嵌套 四、管理信任关系 访问令牌: 当用户登录到某台计算机，在验证用户帐号和密码无误外系统会为该用户建立一个“访问令牌”(access token)，其包含该用户的SID和用户所属组的SID。用户拿到“访问令牌”后系统会根据令牌中的SID去决定用户对特定资源拥有哪些访问权限。 信任关系理解： 信任种类： 安全设置

第十章管理活动目录的数据复制

第十章管理活动目录的数据复制内容摘要 本部分内容主要在1561课程中系统讲述。这一章讲解与活动目录的数据存储和复制有关的基本概念，和为实现和优化活动目录的数据复制需要进行的网络规划与配置。内容包括：? 活动目录数据区域 ? 操作主机的概念和种类 ? 活动目录数据复制 ? 站点和链接 考点提示 ? 活动目录的站点 ? 站点之间的链接 ? 站点之间的目录复制 10．1 活动目录的数据存储概述 活动目录（Active Directory ）使用的数据在多个域控制器中进行复制。该部分数据通常简称为目录或者目录数据。 目录数据包含特定对象的有关信息，这些对象包括用户、组、计算机、域、组织单位和安全策略。这些信息都可发布，以供用户和管理员在网络中使用。 目录数据存储在域控制器上，可以通过网络应用程序访问，网络服务也可以访问这部分数据。 一个域可有一个或多个域控制器。每个域控制器都有它所在域的目录数据副本。对目录数据进行的更改从更改的源域控制器复制到域、域树或森林中的其他域控制器。由于目录数据被复制并且每个域控制器都有目录的副本，因此整个域中的用户和管理员都可使用目录。 注意：同一个域中不同域控制器之间的目录数据复制，和同一个森林中不同域中域控制器之间的目录数据复制，复制的内容是不一样的。不同域的域控制器仅仅复制目录数据的一部分。详见“数据分区”部分。 活动目录的目录数据存储在域控制器上 NTFS 分区的 Ntds.dit 文件中。Ntds.dit 文件是一个使用ESE引擎的数据库文件。Windows2000域控制器上共有两个Ntds.dit 文件副本： %SystemRoot%＼NTDS＼Ntds.dit这个文件存储正常情况下使用的数据。它存储本域中完整目录数据和森林中的部分目录数据。 %SystemRoot%＼System32＼Ntds.dit这个文件存储Windows2000默认的目录数据，当升级Windows 2000到域控制器时使用。有了这个文件在升级就不需要Windows2000安装盘了。在升级过程中，Ntds.dit从这个目录复制到%SystemRoot%＼NTDS＼Ntds.dit，并对新文件根据配置做更改。 在域控制器之间复制的目录数据根据内容和功能可以分为三个数据区域： 1、域数据区域（Domain Partition） 域数据区域(Domain Partition)包含域中对象的有关信息，如电子邮件联系人、用户、计算机帐户和组织单元的属性，以及发布在活动目录中的资源信息等。域数据区域(Domain Partition)在一个域内的所有域控制器之间进行复制。不同域的域数据区域(Domain

域与活动目录的管理

单元一：Windows Server 2008域与活动目录 任务一：安装Windows Server 2008域控制器 任务描述： 企业网络采用域的组织结构，可以使得局域网的管理工作变得更集中、更容易、更方便。虽然活动目录具有强大的功能，但是安装Windows Server 2008操作系统时并未自动生成活动目录。因此，管理员必须通过安装活动目录来建立域控制器，并通过活动目录的管理来实现针对各种对象的动态管理与服务。同时客户机登录域的操作也是组建域网络必不可少的部分，也是网络管理员应该熟练掌握的基本技能之一。 任务目标： 作为网络管理员，只有明确安装域控制器的条件和准备工作，掌握域网络的组建流程和操作技术，才能在服务器上安装好Windows Server 2008操作系统。为此，可以启用活动目录安装向导，成功安装活动目录后，将使得一个独立服务器升级为域控制器。同时通过任务，还应能够区分登录窗口，例如是登录域不是登录本机的登录框。 任务实施： 一、建立第一台域控制器： 活动目录是Windows Server 2008非常关键的服务，它不是孤立的，与许多协议和服务有着非常紧密的关系，并涉及整个操作系统的结构和安全。因此，活动目录的安装并非一般Windows组件那样简单，必须在安装前完成一系列的准备，注意事项如下： （1）文件系统和网络协议：Windows Server 2008所在的分区必须是NTFS文件系统，同样活动目录必须安装在NTFS分区，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP协议。 （2）域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。在组建一个全新的Windows Server 2008网络时，所安装的第一台域控制器将生成第一个域，这个域也被称为根域，选择根域最为关键。根域名字的选择可以有以下几种方案： 使用一个已经注册的DNS域名作为活动目的根域名，使得企业的公共网络

第十二章 域的实战部署实训

第十二章域的实战部署实训 实训导读 局域网上的资源管理有两种模式，一种是工作组管理模式，另一种是域管理模式。工作组管理模式一般按功能对网络中的计算机分组，仅限于小型局域网，缺乏对组中计算机的统一控制。域管理模式则是一种相对严格的管理模式，适用于大型局域网，由专门的服务器统一控制、管理网络中所有计算机。本章将专门针对域的部署展开详细的实战分析。 本章重点及难点 1 企业域环境逻辑部署 (1) 安装新森林 (2) 安装额外DC (3) 安装新子域 (4) 安装新域树 2 企业域环境物理部署，包括站点、子网、链路 物理环境 注：四个标准版Windows Server 2003（每个操作系统的超级管理员都为Administrator，密码为空）。 任务一企业域环境逻辑部署 1 活动目录逻辑部署方案设计及实验目标 以一家北京公司成长为例，不断提出问题，不断解决问题。 (1)问题ⅰ的提出与解决

公司起初并未部署域，随着其逐渐发展壮大，目前在工作组环境下运行的计算机已明显暴露出以下两个不足： A 资源检索不方便。工作组环境下，计算机的检索条件较为单一，致使不同部门的同事在共享资源前，必须事先打电话询问其IP及共享文件夹的名称。而他们更希望只需输入对方姓名即可轻松共享资源。 B 资源利用不充分。工作组环境下，用户只能在自己计算机上登录，不能在其他计算机以自己的账号登录。而他们希望计算机能做到和QQ一样，无论在哪里都能登录，使用属于自己的资源。 以上两项不足，只需在公司中部署域即可解决，如图12-1。 https://www.wendangku.net/doc/ca1284516.html, 图12-1 活动目录演示实验i 将整个域取名为https://www.wendangku.net/doc/ca1284516.html,，图中标蓝部分为支撑该域的域服务器（Domain Controller，DC）。只需将所有计算机加入域，便可解决问题ⅰ。 (2) 问题ⅱ的提出及解决 目前整个域只靠一台域服务器支撑，一旦宕机，将会导致所有域成员无法登录，严重影响日常工作。 为解决该问题，需要在域https://www.wendangku.net/doc/ca1284516.html,中增加一台额外的域服务器，以作日常备份，如图12-2。 https://www.wendangku.net/doc/ca1284516.html,

Windows Server 2003活动目录备份与恢复

Windows Server 2003图文教程（活动目录之备份与恢复 E） 活动目录之备份与恢复 E 通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况: 1、整个网络中有且仅有一台域控制器; 首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。那么，怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”，输入:“Ntbackup”回车，也可以点击“开始-程序-附件-备份”，其实是一回事，我们就可以看到如下的画面: 点击我用箭头指出的“高级模式”:

活动目录系列之四：脚本和软件限制策略的应用

活动目录系列之四：脚本和软件限制策略的应用 在域环境中，组策略显得尤为重要，作为一个域管理员，要时刻有效的管理域中的成员，就必须对组策略熟之又熟，它是我们域中的一个十分强大的管理机制，我们要学懂它，恐怕还得多下点功夫，下面我单把脚本的应用和软件限制策略作一下简单的叙述： 1、脚本。 我们知道，在组策略中分为两大模块：计算机配置和用户配置。对计算机做配置只是作用于某台计算机，对用户配置做配置只是作用于某用户，不过，计算机配置的优先级是大于用户配置的优先级的，明白了这点，我们就可以有目的的去做配置了。 首先，我在域https://www.wendangku.net/doc/ca1284516.html,中新建了一个组织单元“精英计划”，在“精英计划”下面又建了两个用户。 我现在想对张三和李四同时做脚本策略，那么我们就对“精英计划”这个组织单元做策略好了。 点击“精英计划”属性，点组策略。 然后新建策略

点编辑，既然对用户对策略，我们就对“用户配置”做配置。 我们先点开“登录”，然后点“添加” 这时我手动作一个“登录”脚本

好了，把这个做好的脚本粘贴到上面的面板中 好了，我们接着点“确定”就可以了，我们用同样的方法做一个用户注销脚本 不同的是在用户配置中点击“注销” 最后，等配置好了我们来刷新组策略（刷新策略有利于策略及时生效） 到用户机器上看一下结果 用账号“张三”登录到域中

登录后就会出现“登录脚本”提示了 然后我们来注销“张三”这个用户 2. 软件限制策略 首先新建一条策略

编辑该策略（我们还是对用户进行配置） 点击“创建软件限制策略”，我们可以看到“安全级别”和“其他规则”，“安全级别”定义了策略的表现形式（“不允许的”和“不受限的”），“其他规则”就包含了软件限制策略的四条规则（证书规则、哈希规则、Internet区域规则和路径规则）。下面我就“哈希规则”做一下演示： 新建“哈希规则：

活动目录规划方案

XXX公司 活动目录规划方案文档信息：

目录 ----------------------------------------------------------------------------------------- 第一章项目概述 (3) 1.系统目标 (3) 第二章基础服务规划 (3) 1.核心基础结构服务 (4) 2.辅助服务 (5) 3.W INDOWS S ERVER 基础服务 (7) 4.DNS名称解析 (7) 5.关键服务推荐布局 (9) 第三章活动目录设计 (9) 1.A CTIVE D IRECTORY基本概念 (9) 2.安全、统一的目录服务机制 (10) 3.严格、周密的客户端桌面管理 (10) 4.系统实现 (11) ●域结构 (11) ●站点设计 (12) ●AD FSMO主机角色设计 (12) ●组织单元结构 (13) ●委派管理 (14) ●账号和口令管理 (15) 5.客户端管理 (17) ●本地用户和组介绍 (17) ●默认安全设置（Administrators 组、Power Users 组、Users 组） (18) 6.实现功能描述 (20) ●主要功能实现 (20) ●组策略功能实现 (21) 7.灾难恢复考虑 (22) 第四章文件服务的规划 (22) 第五章物理实现 (24)

第一章项目概述 1. 系统目标 此次我们系统建设的目标为： 1) 提供一个安全、高效、灵活的企业级操作系统平台，为整个企业的IT应用奠定坚实基础。 2) XXX 3) XXXX 4)XXXX 第二章基础服务规划 通常一个企业的IT 环境从一个简单的IT 服务开始，这个服务一般旨在满足特定的当前业务需要，例如传真、电子邮件、业务应用程序或办公室的远程连接。随着时间的推移，由于新需求的出现，新的IT 服务会无规划的添加到这个环境中。这样创建的IT 环境在技术上种类烦杂、难以支持和运行，并且难以使用，因此给IT 管理人员和最终用户都带来额外的负担。 采用具有标准化IT 基础结构的IT 环境，这是一种运用IT 为企业创造价值的具有成本效益的方法。我们的方案将帮助中小企业构建此类IT 环境。采用此解决方案中提供的指南能带来下列好处： ●经过测试的可靠文档：此解决方案已经由微软及合作伙伴进行了测试，并且通过了大量客户部署的检验。