AD活动目录攻略(全).pptVIP

ITPro俱乐部（全国）QQ群ITPro俱乐部（全国）QQ群ITPro俱乐部（全国）QQ群管理 Microsoft Windows Server 2003 网络环境  （活动目录设计和实施） 商业场景 你是某公司的系统管理员，公司之前的网络管理非常分散，网络中病毒泛滥，系统经常崩溃，文件经常丢失，用户网络行为很难控制，职员经常玩游戏看电影，管理员每天的工作都忙于维护机器，如重装系统，杀毒等等，整个公司的信息化办公效率非常低下． 现在公司要求规划活动目录域环境，实现集中管理，杜绝以上问题的产生． 公司网络环境 总部在青岛，分部在北京，德国，三地经常互访网络资源，网络通过VPN连接 要求实现每个站点的ＤＣ和ＤＮＳ容错 管理权在总部，分布只有部分权限 创建ＯＵ，规划好活动目录结构 实现打印机位置，方便用户快速寻找打印机 通过组策略管理用户和计算机 维护好活动目录的复制和活动目录数据库 通过ＳＭＳ管理公司的资产，实现远程控制以及软件分发 今日议程： 域和工作组的区别 实验：域中计算机之间的资源互访 Windows Server 2003活动目录的概述 实验：使用活动目录管理资源 组策略基础 实验：组策略管理企业网络安全 实验：使用GPO配置用户桌面环境 实验：使用GPO发布应用软件 实验：使用GPO限制应用软件 安全个体，SID，SAM 安全个体：是指能够产生与安全相关的行为的实体（比如用户和组是安全实体，而打印机则不是） SID：在计算机世界中标识一个安全个体的唯一凭证编号。就象身份证号码唯一标识每个中国公民一样。 SAM：是集中管理安全个体的数据库。 工作组 域 是指由管理员定义的计算机、用户和组对象的集合。这些对象共享公用目录数据库、安全策略以及与其他域之间的安全关系。 计算机加入域 必要条件: 可用的DC（域控制器） 可用的DNS 服务器 正确的域名 有权限将用户加入域的用户帐号和密码 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 将客户机加入到域 主题 2 : Windows Server 2003 活动目录概述 主题： 1.什么是活动目录 2.活动目录的数据库 3.活动目录的逻辑结构 4.活动目录的物理结构 5.活动目录和DNS服务 6.管理活动目录中的用户 7.管理活动目录中的组 1.什么是活动目录 活动目录是一个存放相关对象的信息源 2.活动目录的数据库 2.1活动目录中存储：对象，属性，类 使用“活动目录和计算机”工具查看对象 使用“活动目录和计算机”工具查看对象 Schema（架构） 2.2活动目录数据库分区 使用“ADSI EDIT”查看Schema信息 活动目录架构 3.活动目录的逻辑结构 3.1 森林 ( Forest ) 3.2 域树 ( Tree ) 3.3 域 ( Domain ) 3.4 组织单位 (Organization Unit) 3.1森林 (Forest) 由一个或者多个域构成 这些域共享相同的架构信息和配置信息以及全局编目 3.2域树 ( Tree ) 一个或多个域构成 这些域共享相同的架构和配置信息 这些域有着邻接的名字空间 域树 3.3 域 ( Domain ) 一组对象的集合，共享相同的活动目录域分区数据 包含用户，计算机，组等对象 域控制器 域控制器是存储活动目录数据库的计算机 一个域最少一台域控制器 多台域控制器之间需要同步活动目录数据库 域、域树、森林 域、域树、森林 根域下面可以建立多层子域 域和子域构建成域树 多棵域树构建成森林 域之间自动建立双向信任关系 3.4 组织单位 ( Organization Unit ) 活动目录的逻辑结构 4 活动目录的物理结构 4.1为什么需要活动目录的物理结构； 4.2 域控制器 ( DC ) 4.3 站点和IP子网 4.1 为什么需要活动目录的物理结构 客户端需要找到离自己最近的可用资源； 优化复制。 4.2 DC（域控制器） 域控制器是存储活动目录数据库的计算机； 一个域最少需要配置一台域控制器； 一个域中有多台域控制器时，这些域控制器需要定期同步活动目录数据库； 4.3 站点和IP子网 每个地理位置中的若干台域控制器可以划分为一个站点 站点内部优先同步活动目录数据库，同步后再和其他站点中的域控制器同步 5. 活动目录和DNS服务 6. 管理活动目录中的用户 6.1 域用户帐号的创建 创建帐号 创建帐号 创建帐号 创建帐号 6.2 域用户帐号管理 域用户帐号属性 7. 管理