第11章AD中的安装及设置.pptVIP

教学目的： 重点：域用户创建与管理 难点：域用户是如何进行验证的，同时如何 进行对资源的管理的。（授权的策略） 讲解过程 11-1概述 Windows 2003的域控制器DC： 2003S、En、DS 安装活动目录 Dcpromo.exe AD安装进程 检查AD默认结构 执行后活动目录的安装任务 11-2介绍如何创建Windows 2003域 域是2003网络中的核心管理单元 用来限定信息和资源的组织管理方式 新目录林中的第一个域为林根域（林根） 利用AD安装向导，可以创建域和DC 新目录林、第一个DC、附加DC 子域、新目录树 11-3安装活动目录 运行dcpromo.exe 准备工作、指定信息 11-5活动目录安装进程 配置参数 用户界面验证 管理员、2003S/En/DS等 命名验证 AD站点和服务—sites—default first site name—servers—s58 不可重名，否则s58将被删除 TCP/IP配置验证 必须有效IP（静态/动态） DNS：必须动态更新的DNS 否则将安装一个 DNS和NetBIOS域名字的生效 必须唯一 NetBIOS名字，有效15位 用户身份验证 新林，不需要 加入，需林管理员 文件位置的验证 SYSVOL需NTFS 有足够的空间 验证活动目录安装 验证SRV资源记录 DNS管理器 Nslookup Ls-t srv 域名 或set type=srv 验证SYSVOL Domain、staging、staging areas、sysvol 共享：netlogon—sysvol\domain\scripts sysvol—sysvol 验证目录数据库和日志文件 Ntds.dit,edb.*,res*.log 混合模式?本机模式 单向不可逆 操作 管理工具—AD用户和计算机/AD域和信任—域—属性—常规—改变模式 归纳与总结 本节课如果不深入进去学习，可能会错误的理解为是前面的用户管理的翻版，其实在域中的用户管理和实现都会比前面的用户管理深入很多。所以这一点一定要着重讲到 上机作业  课后习题 1:为了更好的管理企业网络，企业管理员现对公司的2个部门分别建立了全局组ga和gb，为了在管理时提供最大的灵活性并降低网络的复杂性，在实施管理时管理员应：(2分)?a.根据需要直接对ga和gb分配权限?b.根据需要建立适当的域本地组，将用户放入域本地组并对域本地组进行赋权?c.将两个部门的用户放入全局组ga和gb，并根据需要分别放入响应的域本地组中，对域本地组进行赋权?d.使用内置组以便简化管理 正确答案:c 2:某企业管理员在对活动目录中的组进行管理的时候发现，在向销售部（seal）组下的雇员（eplo域本地）组中添加临时雇员组时发生了错误，系统提示管理员不可以向该组（eplo全局）中加入其它组，那么可能产生这种状况的原因是：(2分)?a. 该组(eplo)为安全组?b. 网络的管理模式为混合模式?c. 组的嵌套不可以超过1级?d. 不可以将全局组放入域本地组 正确答案:b 新华网技windows Server 2003 Enterprise 创建Windows 2003域 11 1．掌握在AD中组的类型及作用范围 2．掌握AGDLP的授权策略 3．熟悉对比在工作组状态下的身份验证问题；用户帐号和组 4．了解说明集中管理用户帐号的好处、SAM数据库 5．了解用户帐号中众多的属性 计算机上运行的是Windows?2003 S、E、DS AD数据库至少需要200 MB AD数据库的事务日志文件，另需50 MB 若为GC，还需一定的空间 系统卷（SYSVOL）文件夹，必须NTFS 安装TCP/IP并且配置了DNS 如果是在现存的2003网络上创建域， 那么还需要创建域所需的管理特权 活动目录安装准备 TCP/IP NTFS 创建第一个域（多媒体演示） 启动AD安装向导：dcpromo.exe 选择域控制器和域类型 指定所需信息 域、DNS和NetBIOS名 AD数据库、日志文件和共用系统卷SYSVOL的位置 选择权限：以前兼容/2003 指定“目录服务恢复模式”管理员密码 AD不启动，由NT的一个小SAM库来验证 AD安装向导将: 安装活动目录AD 把计算机转换为域控制器DC 添加附加域控制器 为了容错，一个域中至少两个DC 在域中，一个以上的DC也可用来分布负载 登录请求、GC查询、其它服务 运行Dcpromo.exe加一个DC到已存在的域 AD安装向导将: 转换计算机为域控制器DC 复制活动目录AD从一个已存在的DC 至少有一个DC联机 11-4 实验A：创建W