项目6-Active-Directory域服务的配置与管理

Windowsserver2008服务器配置与管理第6章ActiveDirectory域服务的配置与管理项目6ActiveDirectory域服务的配置与管理本章要点ActiveDirectory与域。创建ActiveDirectory域。将Windows计算机加入域。管理ActiveDirectory内的组织单位和用户账户。管理ActiveDirectory中的组账户。技能目标理解域和工作组的区别，熟悉活动目录的相关概念。掌握ActiveDirectory域的创建条件、安装与配置方法。掌握将Windows计算机加入和登录域的方法，能够使用活动目录中资源。掌握ActiveDirectory内的组织单位创建和管理方法，用户账户创建和管理方法。理解域内组账户的类型和作用域，掌握ActiveDirectory内的组账户的创建和管理方法。项目6ActiveDirectory域服务的配置与管理6.1真实情景导入6.2ActiveDirectory与域6.3任务1-安装WindowsServer2008域控制器6.4任务2-WindowsServer2008活动目录的管理6.5回到工作情景6.6项目实训-活动目录的安装与管理6.1真实情景导入工作场景Contoso是一家IT公司，随着该公司规模的不断壮大，不仅部门增多，个人计算机和服务器的数量也越来越多。作为网管员的小明面对各种各样的管理问题，比如因为几百台计算机要上千人公用，还要能保证安全，就要给每个人在每台机器上都设置用户名密码，来了新同事，要在每台机器上给他开新账号，他离职了，还要每台机器删除该账号，这无疑是一个令人疯狂的工作，但是，小明想到了域控制器和活动目录。假设该公司的域名是contoso.com。引导问题(1)如何创建ActiveDirectory？创建时对服务器有什么要求？创建完成后如何管理？(2)一台Windows客户机如何添加到域中？如何使用ActiveDirectory中的资源？(3)组织单位是什么？如何创建和管理？(4)域用户账户和本地用户账户有何区别？如何创建和管理域用户账户？(5)域组账户和本地组账户有何区别？如何创建和管理域组账户？6.2.1工作组1．工作组的概念2．如何加入和退出工作组6.2.2域1．域名例子new.163.comtsinghua.edu.cn2．域（Domain）是一个比工作组更严格的单位，但它可以包含若干个工作组。3.域控制器在“域”模式下，至少有一台计算机负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（DomainController，简写为DC）4.活动目录域控制器中包含了由这个域的账户、密码甚至该域其他计算机的软硬件信息等构成的数据库，该数据库也称为活动目录（ActiveDirectory，简写为AD）6.2.3域和工作组的区别工作组可以说是“自由市场”，有几个工作组就有几个“自由市场”，你可以随时自由出入而没什么限制，从网上邻居最先看到的往往是自己机器所在的工作组的机器们。而域是严格控制权限的“私人会所”，没有正确的域用户是根本无法登录到域上的，也就无法访问域所控制的资源。6.2.4域树和域林域域树域林6.2.5活动目录及其结构活动目录（ActiveDirectory）是WindowsServer2008系统中提供的目录服务，用于存储网络上各种对象的相关信息，以便于管理员查找和使用。目录是一个用于存储用户感兴趣的对象信息的信息库。所谓目录服务就是结构化的网络资源信息库，如计算机、用户、打印机、服务器等。6.2.6域中的计算机分类（1）域控制器（2）成员服务器（3）独立服务器（4）域中的客户端6.3任务1-安装WindowsServer2008域控制器6.3.1建立第一台域控制器6.3.2在域中创建新用户6.3.3客户机登录到域6.3.1建立第一台域控制器1．域控制器的安装（1）在安装好windowsserver2008之后，启动后会弹出“初始任务配置窗口”，如图6.9所示。图6.9初始配置任务（2）选择“自定义此服务器”中的“添加角色”，弹出“添加角色向导”，如图6.10所示，在开始之前首先，要求验证管理员是否具有强密码，是否已配置静态IP地址，是否已安装最新的安全更新，如果上面的部分没有完成，再后续的步骤中会出现警告信息或者错误，严重的会导致域控制器无法安装。1．域控制器的安装图6.10添加角色向导1．域控制器的安装（3）选择“自定义此服务器”中的“添加角色”，在“添加角色向导”对话框中的左边选择“服务器角色”，右边选择“ActiveDirectory域服务”，如图6-11所示。图6.11选择服务器角色1．域控制器的安装（4）需要注意的是由于AD在某些版本的windowsserver2008上必须有“.NETFramework”功能的支持，所以在这一步后有时要求安装“.NETFramework3.5.1功能”，此时只需按照向导多执行一步即可。演示用的版本不需安装。点击【下一步】即可。图6.12ActiveDirectory域服务1．域控制器的安装（5）在“ActiveDirectory域服务”对话框中，向导会给出四点注意事项，如图6.12所示，根据这些注意事项可以了解到安装AD前后操作应该执行的任务和AD需要的服务。点击【下一步】继续。点击【安装】继续，最终达到如图6.14安装结果。图6-14安装结果1．域控制器的安装6）当出现“安装结果”对话框时，如果没有错误，只有如图6.14所示的没有开启更新的警告信息，则可以直接忽略，此时AD的安装准备已经完成，但是由于该台计算机还不能完全正常运行DC，所以提示需要启用AD安装向导（dcpromo.exe）来完成安装安装结束，选择“关闭该向导并启动ActiveDirectory域服务器安装向导（dcpromo.exe）”或者直接点下面的【关闭】按钮，然后在运行对话框中输入“dcpromo“，如图6.15所示。图6.15运行dcpromo命令1．域控制器的安装（7）确定后经过系统自动检测，将出现AD安装向导的欢迎界面，如图6.15所示。在该对话框中可以选择使用标准或高级模式来进行安装。对于高级模式是提供给有经验的用户，该模式对安装过程有更多的控制。此外，还可直接在命令提示符下运行带有/adv开关的dcpromo命令（dcpromo/adv）来启动高级向导。这里我们暂不选择高级模式。直接【下一步】按钮继续安装，如图6.16所示和图6.17所示。图6.16域服务安装向导图6.17操作系统兼容性1．域控制器的安装（8）由于目的是部属企业中的第一个DC，所以在此应选择“在新林中新建域”。因为，创建新林需要管理员权限，所以必须是正在其上安装AD的服务器本地管理员组的成员。继续【下一步】按钮，如入6.18所示。图6.18选择部署配置1．域控制器的安装（9）在“域服务安装向导”中选择“在新林中新建域”，下一步，对域林的根域进行命名，如图6.19所示。需要在之前对DNS基础结构有一个完整的计划。必须了解该林的完整DNS名称。可以在安装AD之前先安装DNS服务器服务，或者在下面安装过程中直接选择让AD安装向导安装DNS服务器服务。图6.19设置域名2.设置林功能级别（1）建议选择“windowsserver2008”，但此时只能向该林中添加运行WindowsServer2008或更高版本的域控制器。由于选择2000时，某些高级功能在该域控上不可用，如图6.20所示。图6.20选择林功能级别2.设置林功能级别（2）单击【下一步】按钮，安装DNS服务器。如图6.21所示。图6.21为域控制器选择其他选项2.设置林功能级别（3）单击【下一步】按钮会弹出如图6.22的警告对话框，选择“是”。这个对话框的出现是由于配置其它服务器时，选择了“DNS服务器”选项，而当前计算机又未找到指定域的权威父域WindowsDNS服务器，从而无法确定是否对指定域进行了委派导致的。图6.22警告信息2.设置林功能级别（4）接下来确定AD数据库、日志文件和SYSVOL放置的位置，如图6.23所示。对于数据库来讲主要存储有关用户、计算机和网络中其它对象的信息；日志文件记录与AD有关的活动；SYSVOL存储组策略对象和脚本，其默认是位于C:\windows目录中的操作系统文件的一部分。图6.23设置存储位置2.设置林功能级别（5）点击【下一步】按钮，向导要求输入“目录还原模式的Administrator密码。如图6.24所示。图6.24输入目录还原模式的Administrator密码2.设置林功能级别（6）点击【下一步】按钮，显示安装摘要如图6.25所示，并且可以单击“导出设置”将在此向导中指定的设置保存到一个应答文件。然后，可以使用应答文件自动执行AD的后续安装。图6.25安装摘要2.设置林功能级别（7）点击【下一步】按钮，安装向导执行安装操作（如图6.26）。如果没有勾选“完成后重新启动”复选框，则执行完毕后，AD安装向导将出现完成安装页，如图6.27所示。图6.26安装操作图6.27完成安装2.设置林功能级别（8）点击【完成】按钮。系统会提示需要重新启动计算机配置才能生效如图6.28所示。点击“立即重新启动”完成DC安装操作。图6.28重启提示2.设置林功能级别（9）重启后我们来验证下域控制器是否安装成功，首先看一下AD数据文件是否产生，打开“计算机\本地磁盘C:\windows\NTDS文件夹，如果有ntsd.dit文件，说明AD数据文件正常，如图6.29所示。图6.29ntds文件存在2.设置林功能级别（10）再者是看DNS服务是否工作正常，与域相关的资源记录，特别是SRV记录是否正确写入。如图6.30所示。图6.30DNS服务正常6.3.2在域中创建新用户（1）点击“开始”—“管理工具”—“ActiveDirectory用户和计算机”，打开Users文件夹，如图6.31所示，在右面，我们最常用到的3个用户是Administrator、DomainAdmins和Domainusers。图6.31域用户（2）要新建域账户的话，直接在左侧Users文件夹上右击，选择“新建”—“用户”，建立名为zhangming的账户，如图6.32所示。6.3.2在域中创建新用户图6.32新建用户（3）点击【下一步】按钮，输入并确认密码，如图6.33所示。6.3.2在域中创建新用户图6.33设置密码和密码策略（4）单击【下一步】按钮完成。如此时弹出错误提示，一般是因为用户密码的复杂度不够，参照项目3更改密码复杂度即可。如图6.34所示。6.3.2在域中创建新用户图6.34用户创建完成（5）用户创建完成后，出现zhangming账户，如图6.35所示。6.3.2在域中创建新用户图6.35新账户出现6.3.3客户机登录到域（1）客户机要登录到域，首先需要跟域控制器联通，比如我们以windowsXP为例，设置客户机的地址如图6.40所示，设置后可在命令行界面使用ping命令测试两台计算机是否能通信。图6.40填写IP6.3.3客户机登录到域（2）如果能够联通，右击“我的电脑”，选择“属性”，在打开的“系统属性”中选择“计算机名”选项卡，选择【更改】按钮，弹出“计算机名称更改”对话框，填写域名contoso.com，如图6.41所示。图6.41填写图域名6.3.3客户机登录到域点击【确定】按钮，要求输入“有加入该域权限的账户的名称和密码”，此时既可以使用域控制器的账户和密码，也可回到域控制器，在上面新建一组所需权限的账户和密码，输入即可，这里我们使用DC原有的账户administrator密码123，如图6.42所示。图6.42输入DC中的账户和密码6.3.3客户机登录到域（3）点击【确定】按钮，加入contoso.com域成功，要求重启计算机生效。如图6.43所示。（4