Windows域服务基础培训资料.ppt

还原模式用于当AD数据库毁损时,可在开机启动Windows Server 2008之前按F8键,进入目录服务还原模式,重建AD数据库。 安装完成后,需要立即重新启动。 重新启动后若要确认是否已经是DC,从检查几个组件是否正确安装，如下图： 域中的计算机 除了域控制器之外,域中的计算机还可区分成以下两类： 成员服务器（Member Server） 工作站（Workstation） 成员服务器和独立服务器 安装Windows Server 2008、Windows Server 2003 / 2003 R2、Windows 2000 Server等系统,加入了域、但不是DC的计算机。简单理解安装了Windows NT Server系统,且加入域的电脑,都算是成员服务器。成员服务器都信任DC的身份验证。 未加入域的服务器就是“独立服务器”无论安装的是Windows或非Windows的服务器操作系统。 此外，Windows XP HOME、Windows 7 HOME都没有加入域的功能。 最好停用成员服务器的本机账户 虽然加入了域,但是成员服务器上仍保留本机的帐户数据库,因此使用者仍可利用这些本机帐户,登入该服务器。 对域的安全管理而言,这些本机账户可能会是漏洞,所以我们建议停用成员服务器的本机帐户,强制使用者一律以域账户登入。 工作站 使用者可利用工作站登入域,存取域中的资源、执行应用程序等等,但是Windows Server 2008R2的某些新功能,必须搭配Windows 7的工作站才能发挥效果。 而工作站本身仍然保留了本机帐户的数据库,使用者利用本机账户登入工作站时,只能使用本机（该工作站）的资源,但无法存取域上的资源。 独立服务器或客户机加入域 建立域之后,通常会优先将网络上的独立服务器加入域,以便集中管理。 独立服务器/客户机加域的步骤： 1、客户端配置能解析到DC域名的DNS。 2、使用有域登陆权限的帐号（一般是域管理员）将独立服务器/客户机加入域。 3、为成员服务器/工作站添加域用户，设置域策略和分配域资源。 域功能级别的种类与高低 愈新的操作系统代表愈高的功能级别,因此Windows Server 2008 R2的等级最高；Windows Windows Server 2008 次之，Server 2003再次；Windows2000（原生）的等级最低。 在选择林和域功能级别时,要注意域功能级别不能低于林功能级别。 假设林功能级别为“Windows Server 2003”,则域功能级别就只有“Windows Server 2003”和“Windows Serer 2008”可选。 不同功能级别的影响 选择不同的功能级别,对于林或域会造成以下的影响： 哪些DC可以加入林或域：虽然都是DC,但是所执行的操作系统可能是Windows 2000、Windows 2003或Windows 2008,因此在不同的功能级别会限制某些DC不能加入林或域。 林或域支持哪些功能：在不同的功能级别,林或域所支持的功能也有差异。 功能级别愈高,所支持的功能愈多。 变更域/林功能级别 请以隶属于Domain Admin群组的使用者账户登入,而后执行“开始/系统管理工具/ Active Directory域及信任”,并如下操作： 五、DNS、IIS、FTP服务器的安装配置 （观看录像） 六、结合FB项目谈Windows域控的实际运用 前言 FB项目涉及对单位的IT资产进行全面清查，其中需要大量人力做终端加固和测评文档资料整理。 存在的问题： 1、终端加固项目繁多（10几项）手动加固时难免存在一些漏加固项。如策略的配置，停服务，禁多余帐号等，这些漏项经常需要再次返工，更要命的是你无法得到一份漏项名单，只能被动地发现一处补一处。 2、扫楼刚完成没几个星期，很多用户认为麻烦或以工作需要为由，取消BIOS密码，屏保，开启文件共享。 3、通常一次扫楼，好的情况下能完成75%左右的终端加固。但根据这75%的加固表整理得到的资料明显不齐全，而据此整理出来的IP分配表和终端情况表也是漏洞百出，怎么说服专家？ 使用域控对服务器和终端进行管理的好处 首先，使用域进行计算机管理是FB测评中的加分项。 其好处在于： 1、统一管理 对所有服务器和终端进行统一管理，资源统一分配，本单位的计算机资源和使用人员情况将一览无余，据此整理出来的终端资料是完整的和有说服力的。 2、加强终端管控 通过制订策略，对不同的域，不同的组织单位，不同组甚至具体某台计算机可以灵活地采取不同的管控措施。 3、简化终端加固工作 a,强制终端使用域用户登陆，可以杜绝域计算机上存在的多余账号。 b,完全禁止终端修改IP地址和进行文件或打印机共享。 c,通过下发策略可以更改域内任意终端的