掌控Windows-Server-2008活动目录

WindowsServer2008系统工程师视频突击清华出版社WindowsServer2008系统工程师视频突击清华出版社韩立刚编著2010-2-9WindowsServer2008系统工程师视频突击清华出版社第1章搭建单域环境..............................41.1活动目录介绍...........................................51.1.1工作组缺点....................................51.1.2域功能............................................51.1.3DNS服务器在域环境中的作用.....61.2实战：搭建域环境...................................61.2.1在DCServer上安装活动目录和DNS服务71.2.3安装活动目录后的检查..............111.2.4让域控制器向DNS服务器注册SRV记录131.2.5SRV记录注册不成功的可能的原因161.2.6将计算机加入到域.....................191.２.７授权特定普通域用户将计算机加入域22第2章管理域用户和组.........................262.2实战：创建和使用域帐号.....................262.2.1创建用户主名后缀和用户..........282.2.3使用CSVDE批量创建和修改域用户322.2.5使用主目录访问资源..................37第3章组策略管理计算机.....................383.1本章实战环境介绍..................................403.7.3示例：允许普通域用户登录域控制器413.7.4示例：允许普通用户能够关闭服务器433.11使用组策略配置注册表安全................453.11.1示例：使用组策略配置注册表安全463.14.1示例：使用组策略配置软件限制策略503.15.2示例：使用组策略控制可移动存储访问553.18.4示例：使用首选项更改注册表.58第4章组策略管理用户环境.................624.5.1示例：管理用户IE设置.............624.5.2示例：配置IE使用代理服务器..664.9禁止更改IP地址.....................................694.9.1示例：禁止用户更改IP地址.....69第5章组策略部署软件.........................735.3实战：组策略部署Office2007...............755.3.1自定义Office2007安装..............755.3.2示例：使用组策略部署Office....775.3.3示例：使用组策略添加Office功能835.5实战：组策略部署exe软件...................875.5.1示例：使用组策略部署exe程序87WindowsServer2008系统工程师视频突击清华出版社第1章搭建单域环境在企业网络规模大，计算机数量和用户多的情况下，以工作组的形式组织计算机，没有办法集中管理用户和计算机。下面介绍计算机的另外一种组织形式“域”，将企业中的计算机和服务器以域的形式组织，实现计算机和用户的集中的管理以及对用户的集中的身份验证。本章将会配置WindowsServer2008作为域控制器和DNS服务器，将计算机加入域，为了方便管理设计和规划组织单元，委派用户对组织单元的管理权限。详细讲解了将计算机WindowsServer2003的域控制器升级到WindowsServer2008。比较计算机工作组和域两种组织形式的优缺点知道活动目录的功能掌握DNS对活动目录的支持能够安装活动目录能够将计算机加入到域知道在域环境中通过DNS解析计算机名称根据企业的管理需求设计组织单元能够根据管理的需要委派管理控制能够将WindowsServer2003的域控制器升级到WindowsServer2008不允许普通域用户将计算机加入到域委派特定普通用户能够将计算机加入到域WindowsServer2008系统工程师视频突击清华出版社1.1活动目录介绍在规模较小的企业环境中，计算机可以使用工作组的形式组织和管理，如果企业的网络规模大，地理位置分散，计算机和服务器数量多，就需要使用域的形式来组织，以便进行集中的管理和集中的用户身份验证。1.1.1工作组缺点计算机安装操作系统后，默认的计算机属于workgroup工作组。工作组是最简单的计算机组织形式。工作组中的计算机没有统一的管理机制，每台计算机的管理员只能管理本地计算机，比如设置计算机的安全策略，本地连接和共享等等管理工作。工作组的计算机也没有对用户帐户的统一的身份验证机制，用户登录计算机只能使用该计算机的本地用户帐户，有本地计算机来验证用户的身份。当访问网络上的共享资源，还需要提供访问网络资源的凭据。用户需要记住访问各个服务器用的帐户和密码。工作组的计算机也没有统一查找网络资源的机制，比如网络中的共享的打印机，企业的用户帐户信息，共享文件夹等。基于以上限制，工作组是较小规模计算机网络组织的形式，大企业中网络规模大，计算机数量多，需要统一的管理和集中的身份验证，并且能够给用户提供方便的搜索和使用网络资源的方式，工作组的组织形式就不适合了。1.1.2域功能域将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域域是组织与存储资源的核心管理单元域是由域控制器（DomainController）和成员计算机组成，域控制器就是安装了活动目录（ActiveDirectory）的计算机。活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法。活动目录有以下特点集中管理，可以集中的管理企业中成千上万分布于异地的计算机和用户。便捷的网络资源访问，能够容易的定位到域中的资源。用户一次登录就可访问整个网络资源，集中的身份验证。网络资源主要包含用户帐户、组、共享文件夹、打印机等可扩展性，既可以适用于几十台计算机的小规模网络，也可以适用于跨国公司。WindowsServer2008系统工程师视频突击清华出版社1.1.3DNS服务器在域环境中的作用活动目录域服务角色要求域名系统(DNS)服务按名称查找计算机、域控制器、成员服务器和网络服务。DNS服务器角色通过将名称映射到IP地址为基于TCP/IP的网络提供DNS名称解析服务，从而使计算机可以查找ADDS环境中的网络资源。域名解析DNS服务器通过其A记录将域名解析成IP地址定位活动目录服务客户机通过DNS服务器上SRV记录定位目录服务通常情况下，DNS和DC两个服务装在同一个计算机上。DNS上的SRV记录是由域控制器注册上去的。客户机如果要想找到域控制器，客户机的DNS必须指向域控制器的上DNS。1.2实战：搭建域环境首先搭建一个单域环境，掌握活动目录的功能，后面的章节将会讲授活动目录树活动目录林，以及林之间的信任。在现阶段只介绍单域单域控制器环境中如何使用活动目录集中管理和统一身份验证。目标学会安装活动目录检查DNS中注册的SRV记录能够解决SRV注册失败问题学会将XP和Windows7计算机加入域能够使用命令将计算机加入域退出域明白域中计算机如何使用DNS解析计算机名企业环境微软河北技术支持中心位于石家庄，有两个部门，培训部和市场部，现在的计算机和服务的组织形式都是以工作组的形式。没有办法对计算机和用户进行统一的管理，现在该公司的IT部门需要搭建域环境，根据企业部门设置，设计组织单元，实现集中的管理。网络环境如图1-1所示。WindowsServer2008系统工程师视频突击清华出版社图1-1实验环境计算机环境DCServer是WindowsServer2008企业版，将要安装活动目录成为域控制器，同时装DNS服务FileServer安装了WindowsServerCore的计算机，作为公司的文件服务器EduPC1是培训部的计算机，安装的Windows7企业版操作系统marketPC1是市场部的计算机，安装WindowsXP企业版操作系统1.2.1在DCServer上安装活动目录和DNS服务作为DNS服务器和域控制器，要求IP地址必须是固定的。因此安装活动目录前需要将IP地址设成固定的。域控制器需要向DNS注册相应的SRV记录，因此将首选的DNS服务器设置为自己的IP地址。任务更改IP地址安装活动目录步骤：1.如图1-2所示，点击“开始”“设置”“网络连接”，更改本地连接的TCP/IP属性，将首选的DNS指向自己的IP地址。2.如图1-3所示，点击“开始”“运行”，输入的dcpromo，点击“确定”。提示：删除活动目录也是这个命令。图1-2更改IP地址和首选DNS图1-3安装活动目录命令3.如图1-4所示，准备二进制文件。4.如图1-5所示，在出现的欢迎使用ActiveDirectory域服务安装向导对话框，点击“下一步”。WindowsServer2008系统工程师视频突击清华出版社图1-4准备二进制文件图1-5安装活动目录向导5.如图1-6所示，在出现的操作系统兼容性对话框，点击“下一步”。6.如图1-7所示，在出现的选择某一部署配置对话框，选择“在新林中新建域”，点击“下一步”。图1-6操作系统兼容性图1-7在新林中新建域7.如图1-8所示，在出现的命名林根域对话框，输入目录林根域的全称，点击“下一步”。注意，名称必须是分层的，级中间使用“.”隔开的名称。8.如图1-9所示，在出现的设置林功能级别对话框，选择“windows2000”，点击“下一步“。9.如图1-10所示，在出现的设置域功能级别对话框，选择“Windows2000纯模式”，点击“下一步“。10.如图1-11所示，在出现的其他域控制器选项对话框，选中“DNS服务器”，点击“下一步“。WindowsServer2008系统工程师视频突击清华出版社图1-8输入目录林的名字图1-9选择林功能级别图1-10选择域功能级别图1-11同时安装DNS服务器11.如图1-12所示，在出现的无法创建DNS服务器的委派对话框，点击“是”。12.如图1-13所示，在出现的数据库、日志文件和SYSVOL的位置对话框，保持默认位置，点击“下一步”。注意：将日志和数据库指定到不同的盘上，会得到较好的性能。13.如图1-14所示，在出现的目录服务还原模式的administrator密码对话框，输入密码和确认密码，点击“下一步”。14.如图1-15所示，在出现的摘要对话框，点击“下一步”。15.如图1-16所示，在出现的ActiveDirectory域服务安装向导对话框，选中“完成后重新启动”。WindowsServer2008系统工程师视频突击清华出版社图1-12提示框图1-13指定数据库文件和日志文件位置图1-14指定活动目录密码和确认密码图1-15摘要WindowsServer2008系统工程师视频突击清华出版社图1-16安装活动目录1.2.3安装活动目录后的检查任务：检查活动目录安装是否正常安装更改域控制器本地连接的DNS设置检查DNS服务域控制器注册的SRV记录步骤：1.安装完活动目录重启后，以域管理员身份登录到域控制器。2.如图1-17所示，更改域控制器的使用的DNS服务器，打开TCP/IPv4协议，将首选的DNS服务器更改10.7.1.110。注意：默认安装活动目录后，首选DNS会指定成127.0.0.1，所以启动后的第一件事就是将首选的DNS指向自己的IP地址。3.如图1-18所示，打开服务管理器，检查DNS上的SRV记录。注意上面是4项，下面是6项。提示：这些SRV记录是域控制器注册的。