教案6-项目二 企业域服务器配置.ppt

（1）计算机名 验证Active Directory域服务的安装 任务1-1 域控制器的安装 （2）管理工具中会添加包括“Active Directory 用户和计算机”、“Active Directory站点和服务”、“Active Directory域和信任关系”等管理工具。 （3）活动目录对象 验证Active Directory域服务的安装 任务1-1 域控制器的安装 （4） Active Directory?数据库 Active Directory数据库文件保存在 %SystemRoot%\Ntds 文件夹中，主要的文件有： Ntds.dit：数据库文件。 Edb.chk：检查点文件。 Temp.edb：临时文件。 验证Active Directory域服务的安装 任务1-1 域控制器的安装 （5）DNS记录 验证Active Directory域服务的安装 任务1-1 域控制器的安装 Verifying the Active Directory Installation 验证SRV资源记录 验证SYSVOL已成功创建并已正常共享 验证活动目录数据库和日志文件已成功创建 检查日志文件看安装过程中有没有出现错误 验证Active Directory域服务的安装 任务1-1 域控制器的安装 任务1-2 管理AD用户、计算机和组 域（AD）用户账户概念 域用户账户在域控制器上建立，用来登录域、访问域内资源。 域用户账户数据存储在目录数据库，实现用户统一安全认证。 域成员计算机一般不必再建立和管理本地账户 Windows Server 2003域控制器内置域用户账户 为加入网络的每个用户创建单独的域用户账户 管理域用户账户 任务1-2 管理AD用户、计算机和组 域用户账户创建 管理域用户账户 任务1-2 管理AD用户、计算机和组 域用户账户管理 管理域用户账户 计算机能加入域的先决条件是： 该计算机与域控制器能连通 在计算机上正确设置首选DNS服务器的IP地址(这里设为第一台DC的IP)。 客户端1 （物理机） 客户端2 （虚拟机2） IP：172.16. 102.X+160/16 DNS：172.16. 102.X+80/16 IP：172.16.102.X/16 域控制器 （虚拟机1） IP：172.16. 102.X+80/16 DNS：172.16. 102.X+80/16 加入域 任务1-2 管理AD用户、计算机和组 任务1-2 管理AD用户、计算机和组 计算机账户提供一种验证和审核计算机访问网络以及域资源的方法 连接到网络上的每一台计算机都应有自己的唯一计算机账户 管理计算机账户 限制用户登录域的时间： 任务1-2 管理AD用户、计算机和组 限制域用户账户只能从特定的计算机上登录域 任务1-2 管理AD用户、计算机和组 任务1-2 管理AD用户、计算机和组 组的特性 组可跨越组织单位或域 组可作为安全主体 组为非容器对象，组成员与组之间没有从属关系 组的作用域 通用组：具有通用作用域，成员可以是任何域的用户账户、全局组或通用组，权限范围是整个林 全局组：具有全局作用域，其成员可以是同域用户账户或其他全局组，权限范围是整个林。 本地域组：具有本地域作用域，成员可以是任何域的用户账户、全局组，权限范围仅限于同域（建立组的域）的资源 管理组 域组分类 安全组 通讯组（分布式组） 实现与安全性有关的工作和功能，可以通过给安全组赋予访问资源的权限来限制安全组的成员对域中资源的访问。如：可设置对某个文件有“读取”或“改写”的权限。 也可用在与安全无关的任务上，如：可以通过电子邮件软件将电子邮件发送给安全组。 用在与安全无关的任务上。不能被赋予访问资源的权限。只能收发电子邮件，即分发组可以组织其成员的E-MAIL地址成为E-MAIL列表。利用这个特性使基于AD的应用程序就可以直接利用分发组来发E-MAIL给多个用户以及实现其他和E-MAIL列表相关的功能（例如在 Exchange Server 2007/1010中使用）。 本地域组 全局组 通用组 作用范围 该组所在的域内 所有受信任的域 所有受信任的域 成员 所有域的用户账户、全局组、通用组，以及本域的