windows域配置及管理.ppt

北京天和科瑞咨询有限公司 北京邮电大学移动互联网与信息化实验室 2011年6月;域;域的基本概念;域的基本概念;域的基本概念; （1） 信息的安全性大大增强 1、活动目录集中控制用户授权 2、 提供存储和应用程序作用域的安全策略，提供安全策略的存储和应用范围。 （2） 引入基于策略的管理，使系统的管理更加明朗 作为目录，它存储着分配给特定环境的策略，称为组策略对象 （3） 具有很强的可扩展性 管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。 计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。;（4）具有很强的可伸缩性 活动目录可包含在一个或多个域，每个域具有一个或多个域控制器，以便调整目录的规模以满足任何网络的需要 （5） 智能的信息复制能力 信息复制为目录提供了信息可用性、容错、负载平衡和性能优势，活动目录使用多主机复制，允许在任何域控制器上而不是单个主域控制器上同步更新目录;（6）与DNS集成紧密 活动目录使用域名系统（DNS）来为服务器目录命名 （7）与其他目录服务具有互操性 LDAP是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议，所以可使用LDAP开发程序，与同时支持LDAP的其他目录服务共享活动目录信息。 （8）具有灵活的查询 任何用户可使用【开始】菜单、【网上邻居】或【活动目录用户和计算机】上的【搜索】命令，通过对象属性快速查找网络上的对象。 ;AD活动目录作用: 通过将企业网络中的各种资源，例如电脑，用户，共享的打印机，服务器等等组织起来形成活动目录域，在这个域中把这些信息进行分类形成目录树。这样，用户通过一定的形式，就可以很方便的访问活动目录域中的信息. 这种便利的访问机制，也需要安全的保障机制！ad活动目录域正是基于这种信息共享基础上的安全管理规范。 安装了活动目录的计算机称为“域控制器”，只要加入并接受域控制器的管理就可以在一次登录之后全网使用，方便地访问活动目录提供的网络资源。对于管理员，则可以通过对活动目录的集中管理就能够管理全网的资源。;域;域;域、域树、域森林;OU-组织单位;域控制器;站点; 活动目录安装与卸载;活动目录安装与卸载;安装活动目录;DNS在域中的作用;活动目录安装与卸载;安装活动目录后操作系统的??化 （1）查看域控制器的计算机名 安装活动目录后DC（Domain Controller，即域控制器）的计算机名会发后变化，在DC上右键单击【我的电脑】，选择【属性】，在弹出的【系统属性】对话框中选择【计算机名】标签，可以查看当前域控制器的计算机名;查看管理工具 在DC上依次打开【开始】→【程序】→【管理工具】，可以看到新增加5个与活动目录相关的工具;Active Directory用户和计算机：该工具用于管理域中的用户、组、计算机账号及OU等 Active Directory域和信任关系：该工具用于管理活动目录域之间的信任关系 Active Directory站点和服务：该工具用于管理与活动目录复制相关的站点信息 域安全策略：该工具用于创建和管理域的安全策略 域控制器安全策略：该工具用于创建和管理域控制器的安全策略;查看用户和组账号的位置 活动目录安装成功后，计算机上的用户和组账号的位置会发生变化。在DC上打开【计算机管理】控制台，发现已经看不到【本地用户和组】工具。; 在DC上使用【Active Directory用户和计算机】工具来管理用户和组账号。在DC上依次打开【开始】→【程序】→【管理工具】→【Active Directory用户和计算机】，在控制台下打开Users容器;查看SYSVOL（系统卷）文件夹 对DC来说SYSVOL文件夹非常重要，如果SYSVOL文件夹创建的不正确，那么存储在此文件夹下的组策略、脚本等就不能正确的分发给域中的计算机，也无法在DC之间进行复制。 SYSVOL文件夹位于%systemroot%下，其中包含以下几个文件夹，如后图所示。;验证SYSVOL文件夹 ;（5）查看活动目录数据库和日志文件 缺省情况下活动目录数据库和日志文件存放在%systemroot%\NTDS文件夹下，其中ntds.dit是活动目录数据库文件，还有检查点文件edb.chk、日志文件edb.log和保留日志文件res*.log等。; 活动目录域与DNS服务是紧密结合的，如果要使一个活动目录域正常工作，必须要有相应的DNS区域来支持它，而且还要有服务资源记录（SRV记录）。如下图所示为在DNS服务器上打开DNS控制台查看活动目录域