搜索
第4章配置与管理WindowsServer2012域模式网络•当网络中组网的计算机数量超过10台,或者网络规模在未来会进行扩展时,就需要将网络中的计算机组成域模式网络。本章主要内容•WindowsServer2012域模式网络的基本概念•ActiveDirectory的基本概念与特性•域的创建与管理、域用户账户及域组的创建与管理•运用组策略管理WindowsServer2012域网络中的服务器和客户端计算机4.1WindowsServer2012域模式网络概述•域是计算机和用户的逻辑组合,是相对独立的管理单元。•在WindowsServer2012域模式网络中,网络中的计算机的地位是不平等的,在每一个WindowsServer2012域中都至少有一台(或多台)域控制器(DomainController,DC)充当网络的管理者,维护属于本域的ActiveDirectory对象,管理网络中的资源和进行用户登录的身份验证。•在典型WindowsServer2012域模式网络中,有下列类型的计算机:•运行WindowsServer2012的域控制器:每个域控制器都存诸和维护一个目录的副本。•运行WindowsServer2012的成员服务器:成员服务器是没有配置成域控制器的服务器。成员服务器不存储目录信息,并且不能验证用户的身份。成员服务器提供诸如共享文件夹或打印机的共享资源。•运行WindowsServer2012或其他操作系统的客户机:客户机运行用户桌面环境,并且允许用户访问域中的资源。4.2ActiveDirectory的概念•目录服务是由两部分组成的:目录和服务。–目录服务就是一种帮助人们查找目录的服务,它可以使得我们节约大量的用于查找目录的时间,并且可以进行更加有效和准确的查询。•计算机网络中的目录条目是各种各样的资源(如用户、计算机、文件、文件夹等),当用户或应用程序需要访问某种资源的时候,目录服务便提供查询服务。•WindowsServer2012的目录服务——ActiveDirectory(活动目录)中可以包含数以百万计的对象,并且对其进行有效的查询,这足以满足任何规模网络的需求。目录服务的规划•在AD中所有的对象被组织在一个树状的层叠结构当中,这个树状结构包括有组织单元(OU,OrganizationUnit)、域(Domain)、域树(DomainTree)和域森林(DomainForest)。1.对象•对象是代表网络资源的明确命名的一组属性的集合。对象属性(Attribute)是目录中对象的特征。2.组织单元•组织单元是在域内进行层次化划分的最小单位。经理部(OU)市场部(OU)零售部(OU)财务部(OU)批发部(OU)DOMAINWindowsServer2012中域和组织单元3.域•域构成了AD树状结构的主干,是域中最基本也是最重要的部分。•AD可以看作是由一个或多个域组成的集合体。•当AD是由一个域组成的时候,AD和域的规模是一样的;当AD是由多个域组成的时候,每个域都包含AD的一部分内容(即属于本域的AD对象),最终形成整个AD。4.域树•域树是由多个域组成的,域之间是通过信任关系,以层次化的方式组织起来。ZOO.COMCAT.ZOO.COMDOG.ZOO.COMWHITECAT.CAT.ZOO.COMBLACKCAT.CAT.ZOO.COMBIGDOG.DOG.ZOO.COM5.域森林•当需要将多个域树组织在一起形成AD时就需要域森林。域森林是通过信任关系将多个域树的根结合在一起而形成的集合体。ZOO.COMDOG.ZOO.COMFOOD.COMHAM.FOOD.COM6.信任关系•树中的域通过双向的Kerberos传递信任关系以透明的方式连接在一起。•信任关系是至少两个域间的一个链接,信任域承认受信域的登录身份验证。在受信域中定义的用户账户和组能在信任域中授予权力和资源权限,即使那些账户在信任域的目录数据库中不存在。4.3ActiveDirectory的特点•目录或架构的可扩展性•可调整性•易用性•信息安全性•基于策略的管理•信息复制•与DNS的集成•与其他目录的互操作4.4创建WindowsServer2012域•创建WindowsServer2012域,首先需要在一台装有WindowsServer2012的计算机上安装ActiveDirectory,安装了ActiveDirectory的计算机即成为所建域中的域控制器,管理整个域中的资源。具体安装步骤如下:•(1)启动WindowsServer2012系统,以Administrator权限登录。•(2)服务器管理器的仪表板→单击添加角色和功能→添加角色和功能向导•(3)在开始之前页面单击下一步→选择基于角色或基于功能的安装•(4)单击下一步进入服务器选择→选择服务器池中选择服务器→选择要安装角色和功能的服务器•(5)进入选择服务器角色→选择ActiveDirectory域服务→选择添加功能→单击下一步•(6)进入选择功能→选择安装.NETFramework4.5功能→单击下一步→在ADDS中点击下一步→在“确认”中单击安装→安装成功单击关闭按钮(7)运行ActiveDirectory域服务安装向导。ActiveDirectory域服务配置向导(8)域控制器选项进入DNS选项,再点击下一步进入其他选项,确认NetBIOS域名为POET,或者在必要时更改该名称,然后单击下一步。(9)选择数据库文件夹、日志文件文件夹和SYSVOL文件夹位置数据库文件夹:用来存储ActiveDirectory数据库日志文件文件夹:用来存储ActiveDirectory的更改日志,此日志文件可用来修复ActiveDirectory。SYSVOL文件夹:用来存储共享文件,必须位于NTFS文件系统的磁盘内。(10)单击“下一步”查看已设置的选项,再单击“下一步”进行先决条件检查,当所有先决条件检查都成功通过,单击“安装”开始安装。完成后提示需要重新启动系统。至此,完成了ActiveDirectory的安装过程,同时也完成了创建新域的操作。4.5将计算机加入WindowsServer2012域•方法一:在安装WindowsServer2012时,有一步是选择计算机的安装角色,可以选择作为工作组或域的一部分。可以简单地成为一个工作组的一员,也可以将它配置成域控制器作为域成员的普通WindowsServer2012计算机。如果选择加入域,那么必须输入域管理员的账号和密码。这样可以防止非域管理员非法将WindowsServer2012计算机加入到域中。(2)在加入域之前,首先检查客户机的网络配置,确保网络物理上连通,配置IP地址及首选DNS服务器。首选DNS服务器通常配置为第一台DC的IP。•(3)在桌面上右击“计算机”,选择“属性”,在“计算机名称、域和工作组设置”单击“更改设置”打开“系统属性”,在“计算机名”选项卡中单击“更改”打开“计算机名/域更改”对话框,在“隶属于”的“域”中输入“NetBIOS域名”后单击“确认”按钮。在弹出的对话框中输入该域的管理员账户与密码,然后单击“确认”,出现成功加入域提示,单击“确定”,根据提示重启计算机。4.6更改WindowsServer2012域中服务器角色4.6.1降级域控制器为普通的成员服务器打开删除角色和功能向导,单击“将此域控制器降级”(1)在“ActiveDirectory域服务配置向导”窗口中,执行删除域控制器凭据删除域控制器警告删除角色和功能向导中的删除选项(2)在新管理员密码的对话框中输入管理员密码并单击下一步。(3)进入查看选项,单击降级。等待降级过程完成以及计算机重启。4.6.2启用或禁用全局编录服务器全局编录服务器•全局编录在森林中最初的一台域控制器上自动创建。可以为任何一台域控制器添加全局编录功能。•全局编录服务器存储了它所在域的所有目录对象的完整副本,以及森林中其它域中所有目录对象的部分副本,全局编录实现了两个关键的功能:•通过给域控制器提供通用的组隶属关系信息,来提供对任意域的网络登录。•提供搜索目录信息的能力,不管目录林中哪个域包含数据。全局编录担当了以下目录角色:•(1)查找对象•(2)提供了根据用户主名的身份验证•(3)在多域环境下提供通用组的成员身份信息•如果在用户登录到运行在Windows8本机或者更高级别的域的时候,某个全局编录不可用并且用户先前曾经登录到该域,计算机将使用缓存下来的凭据让用户登录。如果用户以前没有在该域登录过,用户将仅仅能够登录到本地计算机。•说明:即便全局编录不可用,“DomainAdministrators”(域管理员)组的成员也可以登录到网络中。使用“ActiveDirectory站点和服务”工具来启用或禁用域控制器的全局编录服务:•(1)以Administrator身份登录。•(2)选择“服务器管理器”→“工具”→“ActiveDirectory站点和服务”,出现“ActiveDirectory站点和服务”窗口。•(3)单击“Sites”展开文件夹,可以看到站点名。•(4)右击需要启用或禁用的全局编录服务器的NTDSSettings,选中“属性”,出现“NTDSSettings属性”对话框。ActiveDirectory站点和服务NTDSSettings属性•(5)“常规”选项卡中有一个“全局编录”复选框。修改之后,单击“确定”按钮。选中该复选框,全局编录将被保存在这台服务器上。反之,全局编录就会从该服务器中被删除。4.6.3更改域名和计算机名•网络上的域名必须是惟一的。此外,在一个特定的域上,计算机名也应该是惟一的。一般情况下,在选择了域名后,通常就无需更改域名了,除非它与网络上以前所选择的域名冲突,当网络上发生域名冲突的现象时,就必须在域控制器上更改域名,而且还要更改域中所有其他域控制器的域名。•在目前的WindowsServer2012版本中,更改域名并不是件容易的事情。•更改域中的计算机名相对要容易多了,可按照以下步骤完成:“计算机名/域更改”警告的对话框,提示对域控制器重命名的后果。计算机名称更改注意:不能直接修改域控制器的计算机名,如果此计算机是域控制器,那么“隶属于”框会变灰。只有先撤销计算机的域控制器身份,使其成为域中普通的成员服务器,然后才能更改计算机名。4.7管理WindowsServer2012域用户账户域用户账号(DomainUserAccount)•域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。域用户账号是在域控制器上建立的,作为AD的一个对象保存在域的AD数据库中。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号,该账号将被域的域控制器所验证。•当在一个域控制器上新建一个用户账号后,该用户账号被复制到域中所有其他计算机上,复制过程完成后,域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。1.创建域用户账户•“服务器管理器”——“ActiveDirectory用户和计算机”新建对象——用户输入密码单击“下一步”按钮,在接着的对话框中单击“完成”按钮,结束添加域用户账户的操作。2.设置用户账户属性•创建的每一个用户对象都有一套默认属性。创建了用户账户后,可以设置个人属性和账户属性、登录选项和拨号设置。可使用为域用户账户定义的属性在目录中搜索用户,或用于其他应用程序。•因此,创建每一个域用户账户时都应当提供详细的定义信息。•属性对话框中的选项卡包含有关每个用户账户的信息。用户对象的默认属性对话框中每个选项卡的主要内容和作用如下表所示。选项卡作用常规记录用户的姓、名、显示名、说明、办公地点、电话号码、电子邮件地址、主页及附加Web页面地址记录用户的街道地址、邮政信箱、城市、州或省、邮政编码、国家或地区账户记录用户的账户属性,包括:用户登录名、登录时间、允许登录的计算机、账户选项和账户有效期组织记录用户的头衔、部门、公司、管理人和直接领导电话记录用户的家庭电话、传呼、手机、传真、IP电话号码,