《第8章-活动目录与用户管理ppt课件(全).ppt》由会员分享,可在线阅读,更多相关《第8章-活动目录与用户管理ppt课件(全).ppt(60页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、计算机网算机网络技技术与基与基础实训第第8章章活动目录活动目录与用户管理与用户管理学学习习要点要点了解域与活了解域与活动动目目录录的概念的概念掌握活掌握活动动目目录录的的创创建与配置建与配置掌握活掌握活动动目目录录的的备备份与恢复份与恢复掌握掌握组织单组织单元、域用元、域用户户和和组组的管理的管理8.1域与活域与活动动目目录录8.1.1活活动目目录活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,既提高了管理效率,又使网络应用更加方便。活动目录就是Windows 网络中的目录服务,有两方面内容:目录和与目录相关的服务。Active Directory存储了
2、有关网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等,并且让管理员和用户能够轻松地查找和使用这些信息。8.1域与活域与活动动目目录录8.1.2域和域控制器(域和域控制器(DC)域(Domain)是在Windows NT/2000/2003网络环境中组建客户机/服务器网络的实现方式,是Windows Server 2003域中Active Directory数据库的基本管理单位。域控制器中保存着整个网络的用户账号及目录数据库,即活动目录,并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。8.1域与活域与活动动
3、目目录录8.1.3域目域目录树目录树:共用连续名字空间的域就组成一个域目录树。8.1域与活域与活动动目目录录8.1.4域目域目录林林目录林是一个或多个目录树的集合。目录林中的目录树并不共用相同的连续的名字空间。8.1域与活域与活动动目目录录8.1.5全局全局编录有了域林之后,同一域林中的域控制器共享一个活动目录,这个活动目录是分散存放在各个域的域控制器上的,每个域中的域控制器存有该域的对象的信息。如果一个域的用户要访问另一个域中的资源,这个用户要能够查找到另一个域中的资源才行。为了让每一用户能够快速查找到另一个域内的对象,微软设计了全局编录(Global Catalog,GC)。全局编录包含了
4、整个活动目录中每一个对象的最重要属性(即部分属性,而不是全部),这使得用户或者应用程序即使不知道对象位于哪个域内,也可以迅速找到被访问的对象。8.2活活动动目目录录的的创创建与配置建与配置8.2.1创创建第一个域建第一个域网络规划拓扑图网络规划拓扑图8.2活活动动目目录录的的创创建与配置建与配置8.2.1创建第一个域建第一个域(1)首先确认“本地连接”属性TCP/IP中首选 DNS 指向了自己。(2)把服务器提升为域控制器就是在服务器上安装活动目录。想要安装Active Directory,可以从“开始”“程序”“管理工具”菜单中打开“管理您的服务器”,然后单击“添加或删除角色”,打开“配置您
5、的服务器向导”。在“服务器角色”窗口中,选择“域控制器(Active Directory)”,打开Active Directory安装向导。也可以直接在“运行”中输入命令dcpromo也可以打开Active Directory安装向导。8.2活活动动目目录录的的创创建与配置建与配置8.2.1创建第一个域建第一个域(3)在“域控制器类型”窗口中,选择“新域的域控制器”,如图所示。8.2活活动动目目录录的的创创建与配置建与配置8.2.1创建第一个域建第一个域(4)在“创建一个新域”窗口中,选择“在新林中的域”,如图所示。8.2活活动动目目录录的的创创建与配置建与配置8.2.1创建第一个域建第一个域
6、(5)单击“下一步”按钮,如果在“本地连接”属性中TCP/IP没有配置首选DNS服务器,将弹出如图所示的界面;如果已经设置了首选DNS,可以跳过此步骤。这里选择“否,只在这台计算机上安装并配置DNS”单选按钮。这样在安装活动目录时可以一同安装DNS,并且把首选DNS指向自己(即192.168.22.98)。单击“下一步”按钮。8.2活活动动目目录录的的创创建与配置建与配置8.2.1创建第一个域建第一个域(6)在新的域名页面中,输入新域的完整域名(FQDN)。本例输入,单击“下一步”按钮。(7)在“NetBIOS域名”窗口中确认NetBIOS名(而不是FQDN)。8.2活活动动目目录录的的创创建
7、与配置建与配置8.2.1创建第一个域建第一个域(8)单击“下一步”按钮,可以改变活动目录数据库以及日志存放的路径。如果有多个硬盘,建议数据库和日志分别存放在不同的硬盘上,以提高安全性和性能。单击“下一步”按钮;指定SYSVOL文件夹的位置,采用默认值即可,单击“下一步”按钮;如图所示,在“DNS注册诊断”界面中,选择第二个单选按钮即可。单击“下一步”按钮。8.2活活动动目目录录的的创创建与配置建与配置8.2.1创建第一个域建第一个域(9)如图所示,在“权限”窗口中,选择一个权限选项(取决于将要访问该域控制器的客户端的Windows版本)。若网络中有NT系统的域控制器,选择第一项;若网络中全部是
8、Windows 2000/2003系统的域控制器,选择第二项。8.2活活动动目目录录的的创创建与配置建与配置8.2.1创建第一个域建第一个域(10)在“目录服务还原模式的管理员密码”窗口中,设置一个密码。这个密码用于活动目录损坏后,进行恢复时使用。单击“下一步”按钮。(11)最后系统显示安装摘要。如果需要修改某些地方,单击“上一步”重新配置。如果一切正常,单击“下一步”开始安装。所有文件复制到硬盘驱动器之后,重启计算机。8.2活活动动目目录录的的创创建与配置建与配置8.2.2安装后安装后检查1.查看看计算机名算机名在桌面上右键单击“我的电脑”,选择“属性”,再单击“计算机名”选项卡,可以看到计
9、算机已经由工作组成员变成了域成员,而且是域控制器。8.2活活动动目目录录的的创创建与配置建与配置8.2.2安装后安装后检查2.查看管理工具看管理工具活动目录安装完成后,会添加一系列的活动目录管理工具,包括“Active Directory 用户和计算机”、“Active Directory站点和服务”、“Active Directory域和信任关系”等。单击“开始”“程序”“管理工具”,可以在“管理工具”中找到这些管理工具的快捷方式。8.2活活动动目目录录的的创创建与配置建与配置8.2.2安装后安装后检查3.查看活看活动目目录对象象打开“Active Directory用户和计算机”管理工具,
10、打开一个窗口。在窗口中,可以看到企业的域名。单击该域,窗口右侧详细信息窗格中会显示域中的各个容器。4.查看看ActiveDirectory数据数据库Active Directory数据库文件保存在%SystemRoot%Ntds 文件夹中。8.2活活动动目目录录的的创创建与配置建与配置8.2.2安装后安装后检查5.查看看DNS记录为了让活动目录正常工作,需要DNS服务器的支持。活动目录安装完成后,重新启动时会向指定的DNS服务器上注册SRV记录。有时由于网络连接或者DNS配置的问题,造成未能正常注册SRV记录的情况。对于这种情况,可以先维护DNS服务器,并将域控制器的DNS设置指向正确的DNS
11、服务器,然后重新启动NETLOGON服务。8.2活活动动目目录录的的创创建与配置建与配置8.2.3安装安装额外的域控制器外的域控制器(1)首先要在 服务器上检查“本地连接”属性,确认能否正常通信。(2)运行“Active Directory”安装向导。(3)将该计算机设置为现有域的额外域控制器。(4)输入拥有将该计算机升级为域控制器权力的用户名和密码。(5)安装向导从原有的域控制器上开始复制活动目录。8.2活活动动目目录录的的创创建与配置建与配置8.2.3安装安装额外的域控制器外的域控制器在一个域中可以有多台域控制器。在安装额外的DC时,需要将活动目录数据库由现有的域控制器复制到这台新的DC上
12、。8.2活活动动目目录录的的创创建与配置建与配置8.2.4创建子域建子域(1)在要升级为域控制器的独立服务器上,设置“本地连接”属性。(2)运行活动目录安装向导。(3)选择“新域的域控制器”单选按钮,单击“下一步”按钮;选择“在现有域树中的子域”单选按钮,单击“下一步”按钮。8.2活活动动目目录录的的创创建与配置建与配置8.2.4创建子域建子域(4)输入父域的域名以及管理员的账户、密码等。8.2活活动动目目录录的的创创建与配置建与配置8.2.4创建子域建子域(5)接着输入子域的NetBIOS名。(6)重新启动计算机,用管理员登录到域中。8.2活活动动目目录录的的创创建与配置建与配置8.2.5创
13、建域林中的第二棵域建域林中的第二棵域树1.创建建DNS域域(1)选择“开始”“管理工具”“DNS选项”,弹出DNS管理窗口,展开左部的列表,右击“正向查找区域”,选择“新建区域”命令。8.2活活动动目目录录的的创创建与配置建与配置8.2.5创建域林中的建域林中的第二棵域第二棵域树1.创建建DNS域域(2)在“欢迎使用新建区域向导”界面中单击“下一步”按钮;在“区域类型”界面中,选择“主要区域”单选按钮,单击“下一步”按钮。(3)选择如何复制DNS区域数据。8.2活活动动目目录录的的创创建与配置建与配置8.2.5创建域林中的第二棵域建域林中的第二棵域树1.创建建DNS域域(4)输入DNS区域名称
14、,选择“只允许安全的动态更新”或者“允许非安全和安全动态更新”单选按钮。(5)单击“完成”按钮。8.2活活动动目目录录的的创创建与配置建与配置8.2.5创建域林中的建域林中的第二棵域第二棵域树2.安装安装域域树的域控制器的域控制器(1)确认服务器上“本地连接”属性中的TCP/IP的首选DNS指向。(2)运行活动目录安装向导。(3)选择“新域的域控制器”。选择“在现有的林中的域树”单选按钮。8.2活活动动目目录录的的创创建与配置建与配置8.2.5创建域林中的第二棵域建域林中的第二棵域树2.安装安装域域树的域控制器的域控制器(4)输入已有域树的根域的域名和管理员的账户、密码。(5)接着输入新域的N
15、etBIOS名,按照原步骤继续设置,直到完成。8.2活活动动目目录录的的创创建与配置建与配置8.2.5创建域林中的第二棵域建域林中的第二棵域树2.安装安装域域树的域控制器的域控制器(6)重新启动计算机,用管理员账户登录,单击“开始”“管理工具”“Active Directory域和信任关系”菜单项,可以看到域已经存在了。8.2活活动动目目录录的的创创建与配置建与配置8.2.6成成员员服服务务器和独立服器和独立服务务器器8.2活活动动目目录录的的创创建与配置建与配置8.2.5创建域林中的第二棵域建域林中的第二棵域树1域控制器降域控制器降级为成成员服服务器。器。具体步具体步骤:1 1)删除活除活动
16、目目录注意要点注意要点如果该域内还有其他域控制器,则该域会被降级为该域的成员服务器。如果这个域控制器是该域的最后一个域控制器,则被降级后,该域内将不存在任何域控制器了。因此,该域控制器被删除,而该计算机被降级为独立服务器。如果这台域控制器是“全局编录”,则将其降级后,它将不再担当“全局编录”的角色,因此请先确定网络上是否还有其他的“全局编录”域控制器。8.2活活动动目目录录的的创创建与配置建与配置8.2.6成成员服服务器和独立服器和独立服务器器2 2)删除活除活动目目录 直接运行命令dcpromo打开Active Directory删除向导。但如果该域控制器是“全局编录”服务器,就会显示图示的
17、提示框。8.2活活动动目目录录的的创创建与配置建与配置8.2.6成成员服服务器和独立服器和独立服务器器若该计算机是域中的最后一台域控制器,请选中“这个服务器是域中的最后一个域控制器”复选框,则降级后变为独立服务器。接下来输入新的管理员密码,单击“下一步”按钮;确认从服务器上删除活动目录后,服务器将成为域上的一台成员服务器。确定后,安装向导从该计算机删除活动目录。删除完毕后重新启动计算机,这样就把域控制器降级为成员服务器。8.2活活动动目目录录的的创创建与配置建与配置8.2.6成成员服服务器和器和独立服独立服务器器2独立服独立服务器提器提升升为成成员服服务器器 8.2活活动动目目录录的的创创建与
18、配置建与配置8.2.6成成员服服务器和独立服器和独立服务器器3成成员服服务器降器降级为独立服独立服务器器单击“开始”“控制面板”“系统”菜单项,弹出“系统属性”对话框,选择“计算机名”标签,单击“更改”按钮;弹出“计算机名称更改”对话框,在“隶属于”选项区域中,选择“工作组”单选按钮,并输入从域中脱离后要加入的工作组的名字,单击“确定”按钮;输入要脱离的域的管理员账户和密码,确定后重新启动计算机即可。8.3管理域用管理域用户户和和组组用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。定期使用网络的每个人都应有一个惟一的用户账号。Windows Server 2003
19、提供两种主要类型的用户账号:本地用户账号和域用户账号。除此之外,Windows Server 2003系统中还有内置的用户账号。8.3管理域用管理域用户户和和组组8.3.1管理域用管理域用户和和计算机算机账户域用户账户用来使用户能够登录到域或其他计算机中,从而获得对网络资源的访问权。经常访问网络的用户都应拥有网络惟一的用户账户。如果网络中有多个域控制器,可以在任何域控制器上创建新的用户账户,因为这些域控制器都是对等的。当在一个域控制器上创建新的用户账户时,这个域控制器会把信息复制到其他域控制器,从而确保该用户可以登录并访问任何一个域控制器。8.3管理域用管理域用户户和和组组8.3.1管理域用管
20、理域用户和和计算机算机账户1.域用域用户账户Windows Server 2003自动创建若干个用户账号,并且赋予了相应的权限,称为内置账号。内置用户账号不允许被删除。最常用的两个内置账号是Administrator和Guest。使用内置Administrator(管理员)账号管理计算机和域配置。Guest(来客)账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。8.3管理域用管理域用户户和和组组1.域用域用户账户新建用新建用户(1)要创建一个新的域用户,右击Users容器并选择“新建”“用户”,打开“新建对象-用户”对话框,如图所示,在其中输入姓、名,Windows
21、 Server 2003可以自动填充完整的姓名。8.3管理域用管理域用户户和和组组1.域用域用户账户新建用新建用户(2)输入用户登录名。域中的用户账户是惟一的。(3)接下来配置用户密码,如图所示。8.3管理域用管理域用户户和和组组强密密码特征特征长度至少有7个字符。不包含用户名、真实姓名或公司名称。不包含完整的字典词汇。包含全部下列4组字符类型:大写字母(A、B、C)、小写字母(a、b、c)、数字(0、l、2、3、4、5、6、7、8、9)、键盘上的符号(键盘上所有未定义为字母和数字的字符,如!#$%&()*_+-|/?:”;,.)。账户已禁用。防止用户使用选定的账户登录,当用户暂时离开企业时,
22、可以使用该选项,以便日后迅速启用。也可以禁用一个可能有威胁的账户,当排除问题之后,再重新启用该账户。许多管理员将禁用的账户用做公用用户账户的模板。以后拟再使用该账户时,可以在该账户上右击,并在弹出的快捷菜单中选择“启用账户”选项即可。8.3管理域用管理域用户户和和组组8.3.1管理域用管理域用户和和计算机算机账户2.计算机算机(1)添加)添加计算机算机账户8.3管理域用管理域用户户和和组组8.3.1管理域用管理域用户和和计算机算机账户2.计算机算机(2)修改用)修改用户属性属性8.3管理域用管理域用户户和和组组8.3.2域中的域中的组账户1.创建建组8.3管理域用管理域用户户和和组组8.3.2
23、域中的域中的组账户1.创建建组(1)打开“Active Directory用户和计算机”控制台窗口,展开左侧控制台目录树,右击目录树中的“Users”选项,或者选择“Users”选项并在右侧窗口的空白处右击,在弹出的快捷菜单中选择“新建”“组”选项,或者直接单击工具栏中的“添加组”图标,均可显示“新建对象-组”对话框。(2)在“组名”文本框中输入该计算机账户的计算机名,“组名(Windows 2000以前版本)”文本框可采用默认值。8.3管理域用管理域用户户和和组组8.3.2域中的域中的组账户1.创建建组(3)在“组作用域”选项组中选择组的作用域,即该组可以在网络上的哪些地方使用。本地域组只能
24、在其所属域内使用,只能访问域内的资源;通用组则可以在所有的域内(如果网络内有两个以上的域,并且域之间建立了信任关系)使用,可以访问每一个域内的资源。8.3管理域用管理域用户户和和组组8.3.2域中的域中的组账户1.创建建组组作用域有三个选项:本地域组本地域组的概念是在Windows 2000中引入的。本地域组主要用于指定其所属域内的访问权限,以便访问该域内的资源。对于只拥有一个域的企业而言,建议选择“本地域组”选项。全局组全局组主要用于组织用户,即可以将多个被赋予相同权限的用户账户加入到同一个全局组内。通用组通用组可以设置在所有域内的访问权限,以便访问所有域资源。8.3管理域用管理域用户户和和
25、组组8.3.2域中的域中的组账户1.创建建组(4)在“组类型”选项中选择组的类型,包括两个选项:安全组。可以列在随机访问控制列表(DACL)中的组,该列表用于定义对资源和对象的权限。通讯组。仅用于分发电子邮件并且没有启用安全性的组。不能将“通讯组”列在用于定义资源和对象权限的随机访问控制列表(DACL)中。8.3管理域用管理域用户户和和组组8.3.2域中的域中的组账户2.常用的内置常用的内置组Domain Admins:该组的成员具有对该域的完全控制权。Domain Computers:该组包含加入到此域的所有工作站和服务器。Domain Controllers:该组包含此域中的所有域控制器。
26、Domain Guests 该组包含所有域来宾。Domain Users:该组包含所有域用户,即域中创建的所有用户账户都是该组成员。Enterprise Admins:该组只出现在林根域中。该组的成员具有对林中所有域的完全控制作用,并且该组是林中所有域控制器上Administrators组的成员。Group Policy Creator Owners:该组的成员可修改此域中的组策略。Schema Admins:该组只出现在林根域中。该组的成员可以修改Active Directory架构。8.3管理域用管理域用户户和和组组8.3.2域中的域中的组账户3.为组指定成指定成员组成员可以包括用户账户、
27、联系人、其他组和计算机。4.将用将用户添加至添加至组新建一个用户之后,可以将该用户添加至某个或某几个组。5.查看用看用户组8.4练练习习题题一、填空题1.在Windows Server 2003中安装活动目录的命令是 。活动目录存放在 中。2.在Windows Server 2003系统中安装了 后,计算机即成为一台域控制器。3.同一个域中的域控制器的地位是 。域树中子域和父域的信任关系是 、。独立服务器上安装了_就升级为域控制器。4.Windows Server 2003服务器的3种角色是 、。5.账户的类型分为 、。6.根据服务器的工作模式,组分为 、。7.工作组模式下,用户账户存储在 中
28、;域模式下,用户账户存储在 中。8.4练练习习题题二、选择题1.在设置域账户属性时()项目是不能被设置的。A.账户登录时间B.账户的个人信息C.账户的权限D.指定账户登录域的计算机2.下列()账户名不是合法的账户名。A.abc_234B.Linux bookC.doctor*D.addeofHEIP8.4练练习习题题三、判断题1.在一台Windows Server 2003计算机上安装AD后,计算机就成了域控制器。()2.客户机在加入域时,需要正确设置首选DNS服务器地址,否则无法加入。()3.在一个域中,至少有一个域控制器(服务器),也可以有多个域控制器。()4.管理员只能在服务器上对整个网
29、络实施管理。()5.域中所有账户信息都存储于域控制器中。()6.OU是可以应用组策略和委派责任的最小单位。()7.一个OU只指定一个受委派管理员,不能为一个OU指定多个管理员。()8.同一域林中的所有域都显式或者隐式地相互信任。()8.4练练习习题题四、简答题1.为什么要安装额外的域控制器?什么时候需要安装多个域树?2.简述什么是活动目录、域、活动目录树和活动目录林。3.简述什么是信任关系。4.为什么在域中常常需要DNS服务器?5.活动目录中存放了什么信息?6.简述工作组和域的区别。7.简述通用组、全局组和本地域组的区别。8.5拓展拓展训练训练配置活配置活动目目录与用与用户管理管理实训一一.实
30、训目的目的掌握活动目录的安装与删除。掌握活动目录中的组和用户账户。掌握创建组织单元、组和用户账户的方法。掌握管理组和用户账户的方法。掌握工作站加入域的方法。8.5拓展拓展训练训练二二.实训要求要求这个项目需要多人完成。如第10章图10-3所示,安装5台独立服务器win2003-1、win2003-2、win2003-3、win2003-4和win2003-5;把win2003-1提升为域树的第一台域控制器,把win2003-2提升为的额外域控制器;把win2003-4提升为域树的第一台域控制器,和在同一域林中;把win2003-3提升为的域控制器,把win2003-5加入到中,成为成员服务器。
31、各服务器的IP地址自行分配。(实训前一定要分配好,组与组间不要冲突。最好结合虚拟机来完成。)在上面项目完成的基础上建立和域的双向的快捷信任关系。在任一域控制器中建立组织单元outest,建立本地域组Group_test,域账户User1和User2,把User1和User2加入到Group_test;控制用户User1下次登录时要修改密码,用户User2可以登录的时间设置为:周六、周日8:0012:00,其他日期为全天。8.5拓展拓展训练训练三三.实训指指导 1.创建第一个域2.安装后检查3.安装额外的域控制器win2003-24.创建子域5.创建域林中的第二棵域树 6.将域控制器win2003-降级为成员服务器 7.独立服务器提升为成员服务器 8.将成员服务器win2003-降级为独立服务器。9.建立和域的双向的快捷信任关系。10.按实训要求建立域本地组、组织单元、域用户并设置属性。8.5拓展拓展训练训练四.实训思考题1组与组织单元有何不同。2组可以设置策略吗?3作为工作站的计算机要连接到域控制器,IP与DNS应如何设置。4分析用户、组和组织单元的关系。5简述用户账户的管理方法与注意事项。6简述组的管理方法。7简述用户、组和组织单元关系更改的方法
限制150内