域环境的搭建
7.1理论知识
- Windows Server 2008网络类型
- 工作组(Work Group)
在安装Windows系统的时候 ,工作组名一般为"workgroup",也可以任意起个名字,在同一工作组或不同工作组在访问时也没有什么分别,在使用时,每台计算机是独立的,不受其他计算机的约束。我们可以在"网络和共享中心--查看网络计算机和设备"看到工作组中的其他计算机。
如左图所示,如果资源分布在多台服务器上,那就需要在每台服务器分别为每一员工建立一个用户(共M*N个),员工则需要在每台服务器上(共M台)登录。
- 域(Domain)
域是一个有安全边界的计算机集合,可以实现集中管控、安全访问、和复制单元。如下图所示,有了域,员工只需要在域中拥有一个域用户,因此管理员只须为员工创建一个域用户;员工只需要在域中登录一次就可以访问域中的资源了,实现了单一登录。
2 、 活动目录对象
简单来说,在活动目录中可以被管理的一切资源都称为 活动目录 对象 ,如用户、组、计算机账号和共享文件夹等。活动目录的资源管理就是对这些活动目录对象的管理,包括设置对象的属性、对象的安全性等。每一个对象都存储在活动目录的逻辑结构中,可以说活动目录对象是组成活动目录的基本元素。
3、活动目录架构
架构(Schema)就是活动目录的基本结构,是组成活动目录的规则。活动目录架构中包括两方面内容:对象类和对象属性,如图所示。
4、轻型目录访问协议
****LDAP(Light Directory Access Protocol,轻型目录访问协议)****是访问活动目录的协议,当活动目录中对象的数目非常多时,如果要对某个对象进行管理或使用就需要定位该对象这时就需要有一种层次结构来查找它,LDAP就提供了这样一种机制。
在LDAP协议中制定了严格的命名规范,按照这个规范可以惟一地定位一个活动目录对象,如表所示。
按照这个规范,假如在域xintian.com中有一个组织单位xsb,在这个组织单位下有一个用户账号为ann,那么在活动目录中LDAP用下面的方式来标识该对象。
CN=ann,OU=xsb,DC=xintian,DC=com
5、活动目录的逻辑结构
活动目录的逻辑结构非常灵活,它为活动目录提供了完全的树状层次结构视图,为用户和管理员查找、定位对象提供了极大的方便。活动目录的逻辑结构可以和公司的组织机构框图结合起来,通过对资源进行逻辑组织,使用户可以通过名称而不是通过物理位置来查找资源,并且使网络的物理结构对用户来说是透明的。
活动目录的逻辑结构包括域(Domain)、域树(Domain Tree)、域目录林(Forest)和组织单位(Organization Unit),如图所示。
- 域
域(Domain)是Windows Server2008活动目录逻辑结构的核心单元,是活动目录对象的容器。在Windows Server 2008的活动目录中域用三角形来表示。
- 域树
域树(Domain Tree)是由一组具有连续命名空间的域组成的。
- 域目录林
域目录林(Forest)是由一棵或多棵域树组成的,每棵域树独享连续的命名空间,不同域树之间没有命 名空间的连续性。
- 组织单位
组织单位(OU,Organization Unit)是活动目录中的一个特殊容器,它可以把用户、组、计算机和打 印机等对象组织起来。
- 全局编录服务器
全局编录(GC,Global Catalog)就相当于一个总目录,就像一套系列丛书一样,在全局编录中存储 已有活动目录对象的子集,默认情况下,存储在全局编录中的对象属性是那些经常乃至的内容,而非 全部属性。整个目录林会共享相同的全局编录信息。
全局编录存放在全局编录服务器上,全局编录服务器是一台域控制器。默认情况下,域中的第一台域 控制器自动成为全局编录服务器,当域中的对象和用户非常多时,为了平衡用户登录和查询的流量, 可以在域设置额外的GC。
- 信任关系
信任关系是网络中不同域之间的一种内在联系。只有在两个域之间创建了信任关系,这两个域才可以 相互访问。域目录树的根域和子域之间,域目录林的不同树根之间都会自动创建双向的、传递的信任 关系,有了信任关系,使根域与子域之间、域目录林中的不同树之间可以互相访问,并可以从其他域 登录到本域。
如果希望两个无关域之间可以相互访问或从对方域登录到自己所在的域,也可以手工创建域之间的信 任关系。
6、活动目录的物理结构
前面所讲的都是活动目录的逻辑结构,在活动目录中,逻辑结构和物理结构是两个截然不同的概念。逻辑结构是用来组织网络资源的,而物理结构则是用来设置和管理网络流量的。活动目录的物理结构由域控制器和站点组成。
- 域控制器
域控制器(DC,Domain Controller)是实际存储活动目录的地方,用来管理用户登录进程、验证和目 录搜索的任务。
- 站点
站点(Site)一般与地理位置相对应,它由一个或几个物理子网组成。
7、DNS与活动目录名称空间
DNS是Internet的重要组件,它为Internet提供了一种逻辑的分层结构,利用这个结构可以表示全世界所有的计算机,同时这个结构也为人们使用Internet.提供了方便。
与之类似,活动目录的逻辑结构也是分层的,因此可以把DNS和活动目录结合起来,这样就可以把活动目录中所管理的资源利用DNS带到Internet上,使人们可以利用Internet访问活动目录。
8、 设置DNS服务支持活动目录
如果要实现活动目录,就必须设置DNS服务。活动目录对DNS的要求有以下几方面:
支持服务资源记录。
支持动态更新协议。该项虽然不是必需的,但还是推荐使用,因为可以减轻手工更新的负担。
支持增量传输。该项也不是必需的,但使用该项可以提高区域传输的效率。
尽管其他操作系统的DNS也可以用来支持活动目录,但还是推荐使用Windows Server 2003或Windows 2000中的DNS来维护与活动目录相应的区域。
- 在安装活动目录前创建DNS区域
- 在安装活动目录过程中创建DNS区域
7.2实践操作
准备网络环境:
1台windows server 2008
2台 XP系统
网络连接方式采用:LAN网段
手动配置IP地址:
windows server 2008 192.168.10.1 255.255.255.0 DNS:192.168.10.1
XP系统 192.168.10.2 255.255.255.0 DNS:192.168.10.1
XP系统 192.168.10.3 255.255.255.0 DNS:192.168.10.1
安装活动目录的前提:
有固定的Ip地址,操作系统必须是windows server 2003以上,系统必须有一个分区为NTFS分区,用户密码必须符合复杂性要求。Server2008
- 安装活动目录(配置域控制器)
新天集团需要在Windows Server 2008的服务器中安装活动目录服务对公司的各种资源进行统一的管理,请你使用"服务器管理器"的方式安装活动目录,并升级为域控制器。
****步骤一:****开始--管理工具--服务器管理器--角色--添加角色,如下图并根据向导点击下一步--安装
****步骤二:****开始--运行--dcpromo
****步骤三:****检查活动目录是否安装成功
1.查看计算机名字
2.查看AD的管理工具
3.检查DNS
4.修改DNS地址
****注意:****当服务器安装了活动目录,这台服务器就叫DC(域控制器),当成为DC以后就没有本地的概念了,所有的用户都是域用户。
2、在活动目录中创建OU
在新天的域控制器中,使用"Active Directory用户和计算机"创建北京分公司 的OU,并创建市场部、技术部和财务部等三个子OU。
开始--管理工具--AD用户和计算机
3、域组账号的创建与配置
给每个部门创建一个经理账号和多个员工账号,并创建一个经理组与员工组。
4、把计算机加入到域
(1)将各部门的计算机加入到域中,并配置各部门的账号只能在本部门的计算机上进行登录和在周一至五才能使用域账号登录到计算机。
计算机加入域之前 必须保证网络是可以通信的,DNS配置必须正确 。
在客户端使用域用户登录到计算机
并配置各部门的账号只能在本部门的计算机上进行登录和在周一至五才能使用域账号登录到计算机。
(2)在成员服务器上发布共享文件供所有域用户访问,并配置权限经理可修改,员只能看。
5、域策略配置
(1)配置软件分发策略将AD管理工具分发给所有用户,让他们在登录域中的计算机时安装AD管理工具。
DC服务端的策略配置:
准备软件包:ADMINPAK.msi
将软件包放在D:\soft 文件夹中,并共享出来,权限为所有人具有完全控制权限
配置软件分发策略:开始管理工具---组策略管理--
由于策略不是及时生效,所以需要都去刷新策略:cmd命令行中输入:gpupdate /force
客户端计算机的配置:
由于普通域用户在客户端登录后是没有权限安装软件的,以客户端的管理员登录到本地,将域用户加入到本地管理员组,再重启使用域用户登录就可以安装软件了。
客户端使用域用户登录并安装软件,如下图:
(2)为了减轻管理员的工作量,可以将各部门的用户管理工作委派给各部门经理进行管理。
(3)为了公司形象,要求统一公司所有电脑的桌面背景,并让用户不能更改。
首先准备一张图片,并放到D盘的image文件夹中共享出来,所有人都可以读写。
其次做桌面背景的策略:开始管理工具---组策略管理--
由于策略不是及时生效,所以需要都去刷新策略:cmd命令行中输入:gpupdate /force
6、在现有域下安装子域实现域树结构
在现有域xintian.com下安装子域beijing.xintian.corn实现域树结构。
7、在域控制器上删除活动目录
(1)将计算机从域中退出
(2)删除活动目录