项目任务
• 任务1 认知活动目录 • 任务2 创建和管理域控制器 • 任务3 域的应用
任务一 认识活动目录
2016
任务一 实训目标
理解域的概念 会安装域控制器 会管理本地域组和全局组 会管理OU （组织单位）
5
相关概念
创建Windows域 安装条件 安装活动目录 DNS的作用 部署活动目录域 域用户管理 域组管理 域资源管理 OU的管理 发布共享文件夹
域目录林
林由一个或多个域树组成 组成域目录林的两个域目录树的树根之间会自动创建相互的、可传递的信任 关系。
9
域和活动目录的概念
组织单位
组织单位是包含在活动目录中组织、管理一个域内对 象的容器。是为对活动目录对象进行分类而创建的。 它能包容用户账户、用户组、计算机、打印机和其他 的组织单元（如按公司不同部门创建不同的组织单位）
12
安装活动目录
推荐步骤
设定好IP、子网掩码、网关、DNS与计算机名 添加AD域服务角色 运行dcpromo命令启动安装向导 在新林中新建域 设置域名 DNS服务器 目录服务还原模式的Administrator密码 验证AD域服务的安装 P115 查看计算机属性 查看管理工具 查看活动目录对象 查看AD数据库 查看DNS记录
18
任务三 管理域中的组账户
2016
域用户账户
• 域用户账户用来使用户能够登录到域或其他计算机中，
从而获得对网络资源的访问权。
• 当在一个域控制器上创建新的用户账户时，这个域控制
器会把信息复制到其他域控制器，从而确保该用户可以 登录并访问任何一个域控制器
创建域用户账户2-1
域用户账户存储在活动目录数据库中 创建域用户ቤተ መጻሕፍቲ ባይዱ方法
1）客户机发送DNS查询请求给DNS服务器 2）DNS服务器查询匹配的SRV资源记录 3）DNS服务器返回相关DC的IP地址列表给客户机 4）客户机联系到DC 5）DC响应客户机的请求
域的DNS区域维护
SRV资源记录可以定位DC
17
安装额外的域控制器（现有林） 在域中安装额外的域控制器需要把活动目录从原有的域控制 器复制到新的服务器上。 转换服务器角色（P119 图3-29） 域控制器降级为成员服务器：在域控制器上把活动目录 删除，服务器就降级为成员服务器了。注：P120（再次 运行dcpromo） 成员服务器降级为独立服务器：将“隶属于”属性改为某 个工作组。 创建子域 部署配置：在现有林中新建域 验证子域的创建:Active Directory用户和计算机 验证父子信任关系
13
域功能级别
域功能级别 支持的域控制器
Windows 2000 Window Server 2003 Window Server 2008 Window Server 2003 Window Server 2008
Windows 2000纯模式
Window Server 2003
Window Server 2008
创建组织单位有如下好处： 可分类组织对象，使所有对象结构更清晰 可对某些对象配置组策略，实现对这些对象的管理 和控制 可委派管理控制权，给不同部门的网络主管授权， 让他们管理本部门的账号
10
任务二 创建与管理域控制器
2016
安装域控制器的条件
安装者必须具有本地管理员权限 操作系统版本必须满足条件（Windows Server 2008 除Web版外都满足） 本地磁盘至少有一个分区是NTFS文件系统 有TCP/IP设置（IP地址、子网掩码、网关、 DNS等） 有相应的DNS服务器支持 有足够的可用空间
“Active Directory用户和计算机”工具
21
创建域用户账户2-2
显示名
组织单位（OU）中唯一
用户登录名
域中惟一 最长20字符
密码设置
密码设置注意事项 密码选项的作用
22
配置域用户账户属性
登录时间 登录到 账户过期
23
设置用户账号模板
• 当添加多个用户账号时，可以以一个设置好的用户账号
26
本地域组
作为模板。
• 右击要作为模板的账号，并在弹出的快捷菜单中选择“复
制”命令，即可复制该模板账号的所有属性，而不必再一 一设置，从而提高账号添加的效率。
• 验证用户账户
组的类型
组的类型
安全组 通讯组
说明
用于设置用户权限，也可用于电子邮件通讯 只用于电子邮件通讯
25
组的作用域
本地域组 全局组 通用组
7
域和活动目录的概念
域
将网络中多台计算机逻辑上组织到一起，进行集中管 理，这种区别于工作组的逻辑环境叫做域 域是组织与存储资源的核心管理单元
域控制器
在域中，至少有一台域控制器 域控制器中保存着整个域的用 户帐号和安全数据库
8
域和活动目录的概念
域目录树
具有连续的域名空间的多个域 （包含多个域目录树结构）
Window Server 2008
14
删除活动目录
将域控制器降级为普通的服务器
运行dcpromo命令 设置当前域控制器是否为此域的最后一台域控制器 设置降级为普通服务器的管理员账户的密码
15
将计算机加入域
配置客户机的IP地址和首选DNS 将客户机加入域
16
扩：DNS在域中的作用
域名的命名采用DNS标准 客户机定位DC
项目3 配置与管理活动目录服务
2016
主讲：黄丽芬
项目描述
• 某公司是一个规模较大IT公司，其员工较多，可
共享使用的网络资源也较多，原来这些资源分 别由不同的服务器管理，管理较为琐碎，使用 也不方便。现此公司欲实现所有帐户、共享资 源由服务器集中管理，只要帐户的权限足够， 可以用一个帐户在公司的任何一台计算机上登 录，查询、使用公司任何的共享资源，既方便 又安全。
6
域和活动目录的概念
活动目录
活动目录是Windows网络中的目录服务，即活动目录域服务 （ADDS） 活动目录提供了存储网络对象信息并使网络用户使用这些数据的方 法，负责目录数据库的保存、新建、删除、修改与查询等服务。
活动目录特点
集中管理，用户容易根据目录找到所需数据。 便捷的网络资源访问 用户一次登录就可访问整个网络资源 网络资源主要包含用户账户、组、共享文件夹、打印机等 可扩展性 改进的性能与可靠性（可智能选择只复制更改过的信息） 安全性（权限与凭据）