Author: 伏玲红
一:建域
1.开始>>运行>>dcpromo
2.进入AD安装向导
3.关于系统兼容性的说明
4.创建域控制器的类型,我们这里因为是第一台域控制器,所以选第一项。第二项为创建备份域控制器做冗余的时候用的,这留到以后关于迁移域控制器的时候再跟大家说。
5.创建一个新域。各项的说明图中已经给出,我们这里选第一项"在新林中的域",因为本文的环境为安装第一个域。
6.创建的域的名称。我个人来说习惯在企业内部用。local的后缀表示本地的。
https://www.doczj.com/doc/3b2683437.html,BIOS域名,一般不用改直接下一步!
8.数据库及日志文件存放的位置,可以改也可以不改。如果你习惯把日志类文件放到一齐的话,可以进行修改。因为我只有一个盘就不改了。
9.共享的系统卷,这里要注意了!此文件必须要放在NTFS卷上!而且sysvol文件是被用于以后的域信息同步的。所以在安装完后会自动的共享出来。
10.这里一般的话集成安装DNS比较好,如果是分离安装的话,对新手比较麻烦。因为AD 会在DNS下创建许多SRV记录。
11.设置权限,其实就是为了与旧的系统AD迹象联系用的。一般来说默认就可以了!2000以前的已经没见过有人用了。
12.AD在进入目录服务还原模式时使用的管理员密码。注意与现在的管理员密码概念区分。此密码只适用于目录服务还原模式。此模式在大家平时选择进入安全模式的菜单下可以找到。
13.你所创建的域环境摘要,说穿就是你前面的设置信息。
14.在上面的图示中点击下一步就开始部署AD了!需要一点时间,大概5分钟就可以了。休息一下眼睛。在这里之前如果大家没有填写TCP/IP的信息,会在安装过程中叫你填写TCP/IP信息。
15.会出现提示要选择映像文件的位置--如选择取消,DNS服务就会手动配置(有点麻烦),点击确定-----浏览---选择文件的位置
16.看到这里就表示安装完毕了。
17.最后就重启--------立即重启才会生效
二,加入域
1.加入域前的准备
a.开始---程序---管理工具---ActiveDirectory用户和计算机---选择---新建域名下的Computers---在右侧窗口,右击---新建---计算机---输入计算机名(是你要加入这个域的计算机名,)---下一步---下一步---完成。让这个加入的计算机账号是处于启动状态。
b.2003的本地连接---IP地址配置和你XP的本地连接在一个网段中,并保证能够互相通信。
c.2003和XP的DNS服务器地址都配置为2003系统的IP地址。(DC和DNS装在一起,如果分开装,2003的DNS服务器地址不用和2003系统的IP地一样)
d.将虚拟机2003系统和XP系统的网卡连接方式配置为“桥接”模式。
(加入域前,测试一下2003和XP之间的连通性。。。)
2.XP加入域(XP系统中)
右击“我的电脑”---属性---计算机名---更改---在隶属于中,选“域”---输入域名(此处是NetBIOS域名,大小写均可)---确定---在弹出的对话框中,输入2003系统的用户名和密码,2003默认用户名是administrator,密码 xxxxxx ---确定,稍等一会,就会弹出“欢迎加入hashnet域”对话框。即完成.....
三.域的管理
1.在管理你的服务器里选择Active Directory 用户和计算机
2.加入计算机(某些情况下不许要加入计算机,加入域的时候会自动加入,看情况而定)
3.在Active Directory 用户和计算机https://www.doczj.com/doc/3b2683437.html,域下,点击右键---新建----组织单位
4.填写组织单位的名称----确定
5.在组织单位下添加组
6.添加用户
7.输入用户的密码
可以修改密码策略--修改后可随便输入密码(没有长度和复杂行限制) a.域名---属性---组策略---编辑
B.密码必须符合复杂行要求选禁用
C.其他要求也如此
8.设置组的管理员,选中组---属性-----管理者---更改
9.计算机和用户绑定:选择用户---属性---账户---登录到----下列计算机---输入你要绑定计算机的名称
四.域的委派
委派---可以把计算机加入到域的权限,需要输入用户名和密码,输入委派的用户名和密码就ok了
1.右击----委派控制
2.点击---下一步
3.选择要委派的用户和组
下面开始是Stream的补充
先装DNS,后装DC,具体步骤见https://www.doczj.com/doc/3b2683437.html,/viewthread.php?tid=16557&extra=&page=1
大体步骤是
1.先建一个和你DC里的域名同名正向区域
2.属性里TCP/IP
3.重启netlogon服务(运行里 net stop netlogon | net start netlogon )
加域时候的错误, 当时我虚拟机测试的时候出错了,错误不记得了,用NewSID 搞好的,
gpupdate /force 组策略刷新,这个也得记住
还有如果是在找不错错误了,直接重新加入域一次(就是先加一个工作组,也就是退出域了,在加域一次)
Dcpromo
Dcpromo /adv
lusermgr.msc
dnsmgmt.msc 配置DNS
Dcpromo /Forceremoval卸载
dsa.msc 活动目录的用户和计算机管理控制台
netbios域名
活动目录
组策略
ipconfig /registerdns 重启获得DNS
gpupdate /force 组策略刷新
Active Directory 域和信任关系 domain.msc
Active Directory 站点和服务 dssite.msc
Active Directory 用户和计算机 dsa.msc
gpmc.msc 全称组策略管理控制台
看盘时不是NIFS
IP地址,DNS
改计算机名
DNS和DC分离安装
https://www.doczj.com/doc/3b2683437.html,/viewthread.php?tid=16557&extra=&page=1
https://www.doczj.com/doc/3b2683437.html,/data/27346
部署第一个域
https://www.doczj.com/doc/3b2683437.html,/202879/114661(yuelei 写的,他的BLOG里有很多2003的技术文章,自己看啊,很好很强大的,和域有关的也写了很多https://www.doczj.com/doc/3b2683437.html,/202879/d-1)
把一台成员服务器提升为域控制器(Active Directory)(图解)
https://www.doczj.com/doc/3b2683437.html,/toiota/blog/item/34c8e0d3c2a525d4a9ec9ac2.html
赣友网(更多问题这里讨论)
https://www.doczj.com/doc/3b2683437.html,/forum.php
AD域控服务器管理规范 一、基本规范 1.1、目的 为了加强域服务器、网络系统安全,保障系统、数据的安全运行特制定本制度。本制度适用于公司域服务器、网络系统的运行、维护和管理。 1.2、范围 1.本网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2.软件包括:服务器操作系统、数据库及应用软件、各部门工作相关的网络应用软件等。 3.域服务器网络系统配置包括在网络上的名称、IP地址分配,用户登录名称、用户密码、DNS地址设置及Internet的配置等。 4.软件是指操作系统(如Windows server2008等)系统软件。也包括病毒防范相关的应用软件。 1.3、职责 1.网络管理员为域服务器安全运行的工作人员,负责域服务器系统的日常维护和管理 2.负责系统软件的调研、采购、安装、升级、保管工作。 3.网络管理员负责域服务器的安全运行和数据备份;Ineternet对外接口安全以及计算机系统病毒防范管理;各种软件的用户密码及权限管理;协助其他职能部门进行数据备份和数据归档。 4.网络管理员和其他公司员工执行公司保密制度,严守企业商业机密;
5.服务器系统管理员密码及相关保密事项必须由网络管理相关人员掌握。1.4、管理 1.网络管理员每日定时对域服务器进行日常巡视,并填写《域服务器运行日志》。 2.对于系统和网络出现的异常现象,网络管理员应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在《服务器运行日志》。针对未能及时解决的异常现象应将异常现象描述、分析原因、处理方案、处理结果、预防措施等内容及时形成书面形式告知相关工作人员,并跟踪检查处理结果。 3.定时维护域服务器,及时组织清理磁盘(如:系统垃圾文件、各类文档临时储存文件等),保证服务器有充足空间,保障网络系统能够正常运行。 4.制定域服务器的病毒防范措施,及时下载、更新最新的病毒库,防止服务器受病毒的侵害。 1.5、使用 1.帐号管理:所有网络管理员在使用或维护完域控服务器后,应正常将帐号退出。 2.网络管理员不得随意使用其他工作人员的身份登录域控服务器或其他应用系统,确因工作需要需征得本人同意。 3.网络管理应保管好管理员密码,并定期更换密码,以保证密码安全。 4.其他拥有管理员权限用户不得随意更换域控服务器的名称、IP地址、DNS 等相关设置。因特殊原因确需更改时,应由网络管理员统一调整,并及时修改。
1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。
B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。 9、安全性 域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。 10、可冗余性 每个域控制器保存和维护目录的一个副本。在域中,你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行。 三、公司域的详细规划
域管理实施方案 一、目的 ●加强公司IT系统及网络系统的有效管控 ●提升公司电脑系统技术支持的服务效率 ●为公司移动办公提供安全支撑平台 前期已经搭建模拟网络测试环境,对域管理的各项技术及有关方案进行了初步测试。在域服务器建立后,将对公司内部电脑系统,实施域管理。 二、域管理的好处 ●用户集中管理,在办公环境,用户需要验证和授权,才能进入公司内部网络 ●加入了域管理的电脑,未经授权,不能安装非办公需要的软件,有效预防由于 私自安装第三方的软件而引起的各种系统、网络和资源占用等方面的问题 ●提升公司电脑系统的维护效率。用户电脑系统补丁和升级(如Windows补丁 升级、杀毒软件升级、其他办公软件升级等),域服务器将统一自动分发、安 装到域内各桌面电脑。节省网络带宽资源,防止重要的系统补丁没有及时安装 引起的安全隐患 ●对公司用户分类管理,根据实际情况,可对不同用户组提供不同的服务(包括 下载、软件安装、系统升级、授权等) ●集中化资源管理,公司各部门的工作文档、软件工具等统一归档在服务器上, 各部门同事根据被授予了访问权限才能查阅 ●域服务器统一管理网络打印机等公共设备,每台桌面电脑不需要安装打印机就 可打印文件资料 ●每个同事登陆和退出公司网络都有详细的跟踪记录,可以监控非法用户的访问 ●根据需要,有效管理相关同事使用公司网络的时间范围
有效支持公司未来移动办公的需求 三、域管理的具体方法 (1)域规划 1、建立AD域,命名为https://www.doczj.com/doc/3b2683437.html, 2、计划建立单域的方式建立域控服务器,活动目录的逻辑结构由域和组织单元(OU)组成。 3、组织单元(OU)是一个用来在域中创建分层管理单位的单元,在域控中将会按照部门划分,暂时分为:总经办,财务部,运营部,销售部,研发部等,以后如有调整,可以适时修改。 4、用户名命名规则,两个字采用全拼,如张三,用户名为zhangsan;三个字及以上采用首字全拼加后面拼音首字母,如冯志强,用户名为fengzq;另可以根据用户自己需要采用英文名命名。 5、为保证域控稳定安装实施,将采用分布式逐个部门进行推广。 (2)DNS的规划实施 1. 首先我们要在DNS服务器上创建出一个区域,区域的名称和域名相同,域内计算机 的DNS记录都创建在这个区域中。 2. 区域创建完成后,建立正向反向查找,确保PC能够加入域。 (3)域管理实施 1.只能域登陆 IT部门会为公司各成员依照命名规则,在服务器上建立用户,账号会在服务器搭建完成后以邮件的形式发送给各位。
?域和工作组 域和工作组是针对网络环境中的两种不同的网络资源管理模式。 在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows 9x/NT/2000就引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。 在对等网模式(PEER-TO-PEER)下,任何一台电脑只要接入网络,就可以访问共享资源,如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。 你也可以退出某个工作组,只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网络上计算机共享资源的浏览。 与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。 在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来
活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。
1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理,加强了安全性,扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后,企业信息化建设者和网络管理员可以从中获得如下好处: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展
实验二Windows Server 2003活动目录与域控制器 [注意事项]: 1、在虚拟机软件里自己安装的网络操作系统中做实验。 2、有两种方式打开安装或删除活动目录的界面: (1)用命令“开始——管理工具——配置您的服务器向导”(Server 2003才有)。 (2)用命令“开始——运行——输入‘dcpromo’”。 3、密码可以设置与5.1管理员相同的密码或设置另外的密码,并且一定要书面记住密码。 4、安装结束后出现配置DNS服务器的选项,选择让系统自动配置。 5、安装活动目录成功后的标志见下图5.19。 6、安装好活动目录后,请不要再次运行“dcpromo”命令,否则会删除已安装的活动目录。 一、实验目的 学习活动目录的安装和删除(实验只要求安装)。 二、实验内容 1.活动目录的安装(升级) 2.活动目录的删除(降级)——理论上掌握,具体实验不要做 三、实验理论基础 活动目录是Windows Server 2003网络中提供的目录服务。目录服务也是一种网络服务,它把网络中的资源信息集中存储起来,并将其提供给用户和应用程序使用。它提供了一种一致化的命名、描述、定位、管理和设置相应安全的方法。通过提供通用的网络资源接口和直观的网络资源访问界面,使用户能够以一致的方式管理自己的整个网络。 由于活动目录中网络资源信息集中存放和管理,使得网络的物理结构和网络所使用的传输协议对用户来讲变得透明起来。当用户访问网络时,无需了解资源的物理位置和连接方法,就可以访问资源。这对于多数缺乏网络专业知识的网络普通用户来说,显得格外有意义。使管理员和一般用户可以方便地查找和使用网络信息,同时也更便于网络管理员有效的管理网络。 活动目录是由组织单位(OU)、域(Domain)、域树(Domain Tree)和森林(Domain Forest)组成的层次结构,它存储有关计算机网络对象的信息。例如,用户、组、计算机、组织、帐户、共享资源和打印机等等。 域是网络对象的分组,如用户、组和计算机。它是最基本的管理单元,同时也是最基层的容器,它可对用户、计算机等基本数据进行存储,域中的对象均为该域的成员。在一个AD中可以根据需要建立多个域。 在域中作为服务器的计算机可以充当成员服务器或域控制器中的任何一个角色,而不在域中的服务器则为独立服务器。 成员服务器是属于某个域,并安装了Windows 2000Server家族或Windows Server 2003家族的操作系统的计算机。该计算机不是域控制器,不处理帐户登录、不参与活动目录的复制,也不存储域安全策略信息。成员服务器通常用作以下几种类型的服务器:文件服务器、应用程序服务器、数据库服务器、Web服务器、证书服务器、防火墙和远程访问服务器。
AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限). 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任,部分用户资源互访。 配置双向信任关系:
一、安全性能加强、权限更加分明 有利于企业的一些保密资料的管理,比如说某个盘允许某个人可以读写,但另一个人就不可以读写;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等。可以封掉客户端的USB端口,防止公司机密资料的外泄。安全性完全与活动目录(ActiveDirectory) 集成。不仅可在目录中的每个对象上定义访问控制,而且还可在每个对象的属性上定义。活动目录(ActiveDirectory)提供安全策略的存储和应用范围。安全策略可包含帐户信息:如域范围内的密码限制或对特定域资源的访问权;通过组策略设置下发并执行安全策略。 三、账户漫游和文件夹重定向 个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。当客户机故障时,只需使用其他客户机安装相应软件以用户帐号登录即可,用户会发现自己的文件仍然在“原来的位置”(比如,我的文档),没有丢失,从而可以更快地进行故障修复。在服务器离线时(故障或其他情况),“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作,并在注销或登录系统时与服务器上的文件同步,保证用户的工作不会被打断。 四、方便用户使用各种共享资源 可由管理员指派登录脚本映射分布式文件系统根目录,统一管理。用户登录后就可以像使用本地盘符一样,使用网络上的资源,且不需再次输入密码,用户也只需记住一对用户名/密码即可。各种资源的访问、读取、修改权限均可设置,不同的账户可以有不同的访问权限。即使资源位置改变,用户也不需任何操作,只需管理员修改链接指向并设置相关权限即可,用户甚至不会意识到资源位置的改变,不用像从前那样,必须记住哪些资源在哪台服务器上。 五、SMS系统管理服务(System Management Server) 通过能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如WindowsUpdates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
集团AD域服务器管理规范 一、基本规范 1.1、目的 为了加强域服务器、网络系统安全,保障系统、数据的安全运行特制定本制度。本制度适用于对公司域服务器、网络系统的运行维护和管理。 1.2 、范围 1.本网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2.软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3.域控服务器网络系统配置包括在网络上的名称,IP地址分配,用户登录名称、用户密码、DNS地址设 置及Internet的配置等。 4.软件是指操作系统(如 Windows server 2008等)系统软件。也包括防病毒这样的应用软件。 1.3. 职责 1.信息管理部门为域服务器安全运行的部门,负责域服务器系统的日常维护和管理。 2.负责系统软件的调研、采购、安装、升级、保管工作; 3.负责操作系统软件有效版本的管理。 4.信息管理人员负责域控制服务器的安全运行和数据备份;internet对外接口安全以及计算机系统防病 毒管理;各种软件的用户密码及权限管理;协助其他职能部门进行数据备份和数据归档。 5.信息管理人员执行企业保密制度,严守企业商业机密; 6.其他员工执行服务器安装管理制度,遵守企业保密制度。 7.服务器系统管理员的密码必须由信息管理部门相关人员掌握。 1.4.管理 1.系统管理员每日定时对域控服务器进行日常巡视,并填写《网络运行日志》。
2.对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极 措施,并如实将异常现象记录在《网络运行日志》。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》上。部门负责人要跟踪检查处理结果。 3.定时维护域控服务器,及时组织清理磁盘,保证服务器有充足空间,网络系统能够正常运行。 4.制定域控服务器的防病毒措施,及时下载最新的防病毒补丁,防止服务器受病毒的侵害。 5.公司新IT员工(或外包人员)需使用域控服务器须向部门主管提出申请,经批准后由信息部门负责分 配帐号。 1.5、使用 1.帐号注销:所有IT员工(或外包人员)在使用或维护完域控服务器后,应正常将帐号注销退出。 2.IT人员不得盗用其他人的身份登陆服务器或进入应用系统,确因工作需要需征得本人的同意。 3.系统管理员应保管好自己的密码,并三个月更换一次密码,以保证安全。 4.有权限网络用户不得随意更改域控服务器的名称、IP地址、DNS设置。因特殊原因的确需更改时,应 由计算机管理人员统一调整,并及时修改。 5.对于网络用户传播、复制、制造计算机病毒或采用黑客技术而致使域控服务器瘫痪造成重大损失的情 况,将给予严肃处理。 1.6 域控服务器软件的管理 1.信息管理人员负责软件的安装。 2.信息管理部门保存和使用软件的复制盘片,也可根据需要从档案借出原始盘片,复制相关资料留存使 用。 3.信息管理人员应及时检查系统更新平台的相关补丁程序的下载,并与原系统进行配套管理和使用。 4.信息管理员负责将软件商信息记录在《软件信息表》,就软件技术问题与软件商联系,并负责软件的 升级,升级程序执行。 1.7、系统保密制度
域帐户的好处 经过一段时间磨合及把域用户加到本地管理员后。感觉域帐户真是越用越好用了,尤其是我在刚进入公司时第一项任务便是研究TFS、SharePoint、SQL Server 如何配置及管理,域帐户的用处一次次让我产生不小的震撼,有时是思想上的颠覆,我真的被他折服了。如果没有域帐户这些工作可真是不知道要麻烦多少。使用一段时间后发现我所感受及用到的: 1. 域帐户可以在任意一台已经加入域的电脑上登录。 2. 将域用户组加入到SQL Server 登录里,域用户组内所有人员便都可以使用域用户登录数据库,继承相关权限。 3. 域用户登录Team Foundation Server、SharePoint 等都不用输入用户名密码,可自动识别。 4. 域用户密码是放在服务器上的,可以集中设置权限策略,不易被破解,比放在本地更安全。 5. AD,可以查到所有人所在部门、职位、手机、分机等。 6. 可以对域用户及域用户组设置邮箱,对组发邮件会发给组内所有人员。 一次次震撼的结果就是:我想研究下他到底还有哪些好处!于是乎,就发现了以下文章(简单修改及美化): 域控制器的优点 一、权限管理集中、管理成本下降 权限管理集中
1. 域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理。所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。 2. 防止公司员工在客户端随意安装软件, 能够增强客户端安全性、减少客户端故障,降低维护成本。 3. 通过域管理可以有效的分发和指派软件、补丁等,实现网络内的一起安装,保证网络内软件的统一性。 4. 配合ISA 的话就可以根据用户来确定可不可以上网。不然只能根据IP。 二、安全性能加强、权限更加分明 1.安全性能加强、有利于企业的一些保密资料的管理,比如说某个盘允许某个人可以读写,但另一个人就不可以读写;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等。 2. 可以封掉客户端的USB 端口,防止公司机密资料的外泄。 3. 安全性完全与活动目录(Active Directory) 集成。不仅可在目录中的每个对象上定义访问控制,而且还可在每个对象的属性上定义。活动目录(Active Directory)提供安全策:略的存储和应用范围。安全策略可包含帐户信息:如域范围内的密码限制或对特定域资源的访问权;通过组策略设置下发并执行安全策略。 三、账户漫游和文件夹重定向 1.个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。当客户机故障时,只
域控制器建立完整教程 Company number:【0089WT-8898YT-W8CCB-BUUT-202108】
[上海360宽带网] [制作人:360宽带网] [] [360宽带网口号:为人民服务] 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC 数目低于10台,则建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统,我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添 加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中: 默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在 这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位 了。 安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车 就可以看到“Active Directory安装向导”
AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介 1、工作组与域的区别........................................ 2、公司采用域管理的好处.................................... 3、Active Directory(AD)活动目录的功能...................... 二、AD域控(DC)基本操作.................................... 1、登陆AD域控............................................. 2、新建组织单位(OU)...................................... 3、新建用户................................................ 4、调整用户................................................ 5、调整计算机.............................................. 三、AD域控常用命令.......................................... 1、创建组织单位:(dsadd)................................... 2、创建域用户帐户(dsadd)................................... 3、创建计算机帐户(dsadd)................................... 4、创建联系人(dsadd)....................................... 5、修改活动目录对象(dsmod)............................... 6、其他命令(dsquery、dsmove、dsrm)....................... 四、组策略管理 .............................................. 1、打开组策略管理器........................................ 2、受信任的根证书办法机构组策略设置........................ 3、IE安全及隐私组策略设置 .................................
域管理的优势 公司采用域管理的好处: 1.方便管理,权限管理相对比较集中,可以较好的管理计算机资源. 2.安全性高,有利于企业内的一些重要的资料和文件的管理。(例如:一个文件只可以让 某一个人看;或者指定人员看,但不能删除\修改\移动等操作。或者机密文件只可以在领导之间传阅等). 3.方便对员工的操作进行权限设置。也可以分发指派软件等,实现网络内的软件统一安装。 4.很多服务都是都是必须建立在域环境中的,对与管理员来说,方便统一管理,集成。 5.个人账户在工作文件夹的数据可以存储在服务器上统一进行备份,管理.企业员工的数 据更有安全性,有很高的保障性. 6.方便域内用户使用各种资源.(例如:软件,驱动程序,文档,照片,音视频,技术资料等). 7.域管理内能够分集中发应用程序、系统补丁。域内用户可以选择性安装,或由系统管理 员指派自动安装,并能集中管理操作系统及软件补丁.不需每台客户端服务器都下载同样的补丁(例如windows update),从而节约大量网络带宽. 资源共享:方便域内用户使用各种资源.用户登录后就可以像使用本地盘符一样,使用服务器上和网络上的资源,且不需再次输入密码,用户也只需记住一对用户名和密码即可.并且各种资源的访问\读取\修改的权限均可设置,不同的账户可以有不同的访问权限。即使资源位置改变,用户也不需任何操作,只需管理员修改链接指向并设置相关权限即可,甚至不会意识到资源位置的改变.不用像从前那样,必须记住哪些资源在哪台服务器上。 8.管理方面, 8.1域控制器集中管理域内用户对网络的访问,如登录\验证\访问目录\共享资源。为了 简化管理,所有域中的域控制器都是平等的,可以再任何控制器上进行修改. 8.2域的实施通过提供对网络上所有对象的单点管理进一步简化了管理,因为域控制器 提供了对网络上所有资源的单点登录,可以登录到一台计算机来管理网络中任何计算机上的管理对象。 9.可扩展性:在活动目录中,目录通过将目录组织成几个部分,存储信息从而允许存储大量 的对象。因为,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。 10.安全性,域用户提供了单一的登录过程来访问网络资源,如所有它们具有的权限的文件、
活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日
目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误!未定义书签。
一工作组与域的区别 现公司所有电脑采用工作组的管理模式,域管理与工作组管理的主要区别在于: 1、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。 而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 二公司采用域管理的好处 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享
公司域控实施方案一、服务器、磁盘柜、操作系统采购 二、域控服务器搭建(一个星期左右) 1、硬件安装及连接,如下图: 服务器与磁盘柜之间通过SAS连接线连接。
2、Windows server 2008操作系统安装 服务器上硬盘仅用来安装操作系统,AD数据及安装目录均存入磁盘柜中硬盘。 (1)、操作系统安装:通过光驱安装windows server 2008 标准版操作系统,两台服务器安装完操作系统后,安装系统补丁,更改计算机名,配置完整的网络配置参数(静态IP地址,备份域控的DNS地址设置为主域控IP地址);通过windows server backup对系统进行一次完整备份,再设置每天的增量备份。 (2)、安装域控制器:在主域控上安装DNS,域名设置为https://www.doczj.com/doc/3b2683437.html,;安装备份DC时,选择“现有域的额外域控制器”,其它配置相同。 设置目录还原密码,该密码用于还原活动目录,必须保证其复杂性。 3、域控服务器设置 (1)、用户账户管理: ●域管理员账号设置: 域管理员账号可以登录域内任何一台计算机或者成员服务器,且具有最大管理 权限,只为运维管理人员设置;域账号三次密码输入不正确会被锁定,需通过 另外的域管理员账号解除锁定。 ●为现有员工添加域账号: 用户名为名字的全拼,设置初始密码,第一次登陆时,提示修改密码,密码必 须符合复杂性要求(9位,包括字母、数字、特殊字符),三个月之内更换一次 密码。密码三次输入错误,账号会被锁定,需通知管理员解锁,同时不得将自 己的账号和密码擅自泄露给他人。 ●用户登录设置: 一般情况下,用户的域账号只能登录至自己的计算机,特殊情况下,单个账号 可以登录多台计算机;同时可以设置登录时间段,如:白天上午9点至下午6 点可以正常登录,除此时间段之外,无法登录至计算机。 ●新员工和离职人员账户操作: 为新加入的员工,设置新的域账号,离职员工在离职的最后一天停用其域账号。
金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日
Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件: (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤: (4) 1.首先是“开始>运行”打开运行窗口 (4) 2.运行当中输入“dcpromo”开始安装活动目录 (5) 3.进入安装界面 (5) 4.新建域控制器 (6) 5.设置域控制器的域名 (7) 6.设置林功能级别 (8) 7.安装DNS服务器和全局服务 (9) 8.设置保存数据库、日志文件和SYSVOL的位置 (10) 9.设置目录还原模式的Administrator密码 (11) 10.安装完成自动重启 (12) 11.安装完成后的登陆界面 (13) 12.查看安装AD后的相关的服务,AD活动目录安装完成 (14)
安装部署活动目录条件: 硬件需求 硬件 需求 处理器 最低:1.4 GHz(x64处理器) 注意:Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低:512 MB RAM 最大:8 GB(基础版)或32 GB(标准版)或2 TB(企业版、数据中心版及 Itanium-Based Systems 版) 可用磁盘空间 最低:32 GB或以上 基础版:10 GB或以上 注意:配备16 GB以上RAM的计算机将需要更多的磁盘空间,以进行分页处理、休眠及转储文件。 显示器 VGA(800 × 600)或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标(或兼容的指针设备) 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件(除web版以外) 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间
为什么我们需要域?Active Directory系列之一 为什么需要域? 对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。从今天开始,我们将推出Active Directory系列博文,希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。 假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器Florence 提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。 首先,如下图所示,我们在服务器上为张建国创建了用户账号。