第10章 活动目录与用户管理.ppt

第10章 活动目录与用户管理 10.1 域与活动目录 活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问，既提高了管理效率，又使网络应用更加方便。 活动目录就是Windows 网络中的目录服务，有两方面内容：目录和与目录相关的服务。 Active Directory存储了有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等，并且让管理员和用户能够轻松地查找和使用这些信息。 域与活动目录 域（Domain）是在Windows NT/2000/2003网络环境中组建客户机/服务器网络的实现方式，是Windows Server 2003域中Active Directory数据库的基本管理单位。 域控制器中保存着整个网络的用户账号及目录数据库，即活动目录，并且可以被网络应用程序或者服务所访问。 一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。 目录树 目录树：共用 连续名字空间 的域就组成一 个域目录树。 域目录林 目录林是一个或多个目录树的集合。 目录林中的目录树并不共用相同的连续的名字空间。 信任关系 信任关系是网络中不同域之间的一种内在联系。只有在两个域之间创建了信任关系，这两个域才可以相互访问。 在通过Windows Server 2003系统创建域目录树和域目录林时，域目录树的根域和子域之间，域目录林的不同树根之间都会自动创建双向的、传递的信任关系，有了信任关系，使根域与子域之间、域目录林中的不同树之间可以互相访问，并可以从其他域登录到本域。 如果希望两个无关域之间可以相互访问或从对方域登录到自己所在的域，也可以手工创建域之间的信任关系。 组织单元 组织单元是包含在活动目录中的容器对象，是可以指派组策略设置或委派管理权限的最小作用单位。 组织单元可以将用户、组、计算机和其他单元放入活动目录的容器。 组织单元不能包括来自其他域的对象。 创建组织单元有如下好处： （1）可以分类组织对象，使所有对象结构更清晰。 （2）可以对某些对象配置组策略，实现对这些对象的管理和控制。 （3）可以委派管理控制权，如管理员可以给不同部门的网络主管授权，让他们管理本部门的账号。 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 启动Windows Server 2003系统，以Administrator权限登录 。 Active Directory安装向导 提示操作系统兼容性 选择域控制器类型 选择创建的域的类型 指定域名 指定域的NetBIOS名称 指定放置Active Directory数据库和日志文件的文件夹 数据库日志和系统卷设置 DNS注册诊断 选择兼容模式 设定还原模式管理员密码 安装选项摘要 提示重启计算机以使更改生效 安装完成后，需要重启计算机 10.2.2 安装后检查 1、计算机名 安装后检查 2. 管理工具中会添加包括“Active Directory 用户和计算机”、“Active Directory站点和服务”、“Active Directory域和信任关系”等管理工具。 3. 活动目录对象 安装后检查 安装后检查 4. Active Directory?数据库 Active Directory数据库文件保存在 %SystemRoot%\Ntds 文件夹中，主要的文件有： Ntds.dit：数据库文件。 Edb.log：日志文件。 Edb.chk：检查点文件。 Res1.log、Res2.log：保留的日志文件。 Temp.edb：临时文件。 安装后检查 5. DNS记录 10.2 活动目录的创建与配置 10.2.5 安装额外的域控制器 在一个域中可以有多台域控制器。 在安装额外的DC时，需要将活动目录数据库由现有的域控制器复制到这台新的DC上。 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 10.2 活动目录的创建与配置 删除活动目录 删除时要注意以下三点： （1）如果该域内还有其他域控制器，则该域会被降级为该域的成员服务器。 （2）如果这个域控制器是该域的最后一个域控制器，则被降级后，该域内将不存在任何域控制器了。因此，该域控制器被删除，而该计算机被降级为独立服务器