实训2 域和活动目录.pptVIP

实训2域和活动目录 2．1 概述 域（Domain）是一个共用“目录服务数据库”的计算机和用户的集合，实现起来要复杂一些，至少需要一台计算机安装Windows NT/2000/2003 Server版本使其充当DC，来实现集中式的管理。 域是逻辑分组，与网络的物理拓扑无关。 2．1．1 域和活动目录 1、域控制器（Domain Control） 在域中将所有用户的信息存储在域控制器中，在域控制器上对整个域范围内的用户进行身份认证和权限管理。 2、活动目录（Active Directory） Active Directory是指Windows网络中的目录服务。目录服务是一种网络服务，它用于存储网络资源信息并使用户和应用程序能够访问这些资源。目录服务提供了统一的命名、描述、查找、访问和管理网络资源的方法，它还为网络资源提供了安全保障。 1）目录服务功能 Active Directory提供了一系列集中组织、管理和访问网络资源的目录服务功能。 Active Directory被划分成区域进行管理，这使其可以存储大量的对象。 2）集中式管理 运行 Windows 2003的服务器可以将系统配置信息、应用程序信息和用户配置文件的位置信息存储在 Active Directory中。 Active Directory还可以集中管理对网络资源的访问，并允许用户只登录一次就能访问在 Active Directory上的所有资源。 3、Active Directory 对象 Active Directory存储网络对象的信息。如用户、组、计算机和打印机。 网络中所有的服务器、域和站点也可以被看作为对象。 2．1．2 域树和域林 1、域树 域树：树型结构，相互之间建立可传递的信任关系，一个域中的用户可以按照权限及信任关系访问其他域中的资源。 2、域林 域树中的域的名称是按照DNS域名来建立的，因为域中的计算机使用DNS来定位域控制器和服务器以及其他计算机等。如果一个企业申请了多个DNS域名，则需要相应建立多个域树。 2．2 安装活动目录 2．2．1 安装域控制器 1、在一台服务器上安装域控制器 2．安装额外的域控制器 2．2．2 创建子域 2．3 创建域用户帐户和计算机帐户 Windows Server 2003有两种工作模式，工作组模式和域模式。针对这两种工作模式，也有两种用户身份，本地用户帐户和域用户帐户。本地用户帐户管理在第4章已经介绍过了，这里我们来介绍域用户帐户的管理。 域用户帐户驻留在域控制器中并且被自动复制到所有其它域控制器中。 域管理员可以在域控制器上打开“Active Directory用户和计算机”，在其中进行域用户帐户的各种操作。 2．3．2 创建计算机帐户 每个运行 Windows NT、Windows 2000、Windows XP 的计算机或运行加入域的 Windows Server 2003 的服务器都有一个计算机帐户。与用户帐户类似，计算机帐户提供了一种验证和审核计算机访问网络以及域资源的方法。每个计算机帐户必须是唯一的。 2．4 将计算机加入到域中 2．4．1 管理员亲自将客户计算机加入到域 由具有管理员权限的网络管理人员亲自到客户计算机上操作，操作步骤如下： 管理人员打开要加入域的计算机，并且以本地管理员的身份登录，然后在计算机的IP设置中，将DNS服务器指向能够解析域中域名的DNS服务器。 (l)在“我的电脑”上右击，选择“属性”命令，打开“系统属性”对话框。 (2)选择“计算机名”选项卡，如图7-32所示，单击“更改”按钮。 (3)打开“计算机名称更改”对话框，选择要加入到“域”；并输入新的计算机名和要加 入的域名，如图7—33所示，然后单击“确定”按钮。 (4)此时计算机将寻找网络中的域控制器，然后打开如图7-34所示的对话框，输入 域管理员的用户名和密码。默认情况下，只有管理员权限的用户才能将计算机加入到域。 (5)在域控制器上验证通过后，就将该计算机加入到域中，出现如图7-35所示的欢 迎对话框，然后重新启动计算机，就可以在此计算机上登录进入域了。 (6)此时在域控制器上可以看到系统自动创建的计算机账户，如图7-36所示。 2．4．2 域用户将自己使用的计算机加入到域中 这种方法是让普通用户将自己使用的计算机加入到域中，操作步骤如下： (l)域管理员打开管理工具中的“Active Directory用户计算机”，然后打开“Comput- ers”容器，在空白区域右击，选择“新建”一“计算机”命令，如图7-37所示。 (2)打开如图7-38所示的“新建对象一计算机”对话框，单击“更改”按钮。 (3)打开“选择用户和组”对话框，在其中选择z