活动目录详解(基础篇)
我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录(Active Directory)服务”,使得WIN2K系统与Internet上的各项服务和协议更加联系紧密,因为它对目录的命名方式成功地与”域名“的命名方式一致,然后通过DNS 进行解析,使得与在Internet上通过WINS解析取得一致的效果。活动目录也说明了Microsoft在网络结构方面的策略转移,虽然在以前NT时代也有部分产品(如EXCHANGE SERVER、IIS等)提供过类似于活动目录的服务,然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。活动目录的身影似乎在整个WIN2K系统中无处不在。然而要真正了解“活动目录”的方方面面又谈何容易,下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析,希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。
一、活动目录的由来
谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME 下“文件夹”,那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系,一个文件生成之后相对来说这个文件的所在目录也就固定了(当然可以删除、转移等,现在不考虑这些),也就是说它的属性也就相对固定了,是静态的。这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小,并不能得出其它有关信息,这样就影响到了整体使用目录的效率,也就是影响了系统的整体效率,使系统的整个管理变得复杂。因为没有相互关联,所以在不同应用程序中同一对象要进行多次配置,管理起来相当繁锁,影响了系统资源的使用效率。为了改变这种效率低下的关系和加强与Internet上有关协议的关联,Microsoft公司决定在WIN2K中全面改革,也就是引入活动目录的概念。理解活动目录的关键就在于“活动”两个字,千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解,那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹,正因为这个目录是活动的,所以它是动态的,它是一种包含服务功能的目录,它可以做到“由此及彼”的联想、映射,如找到了一个用户名,就可联想到它的账号、出生信息、E-mail、电话等所有基本信息,虽然
组成这些信息的文件可能不在一块。同时不同应用程序之间还可以对这些信息进行共享,减少了系统开发资源的浪费,提高了系统资源的利用效率。
活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别,仅仅是一个对象,是一实体;而目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,因为多台机上有相同的信息,所以在信息容氏方面具有很强的控制能力,正因如此,不管用户从何处访问或信息处在何处,都对用户提供统一的视图。
二、相关名词术语
虽然活动目录中用到的许多技术在其他软件产品中也已经出现过,但作为全面的整体网络方案还是首次亮相,其中有许多名词或术语或许是闻所未闻的,所以有必要详细了解一下活动目录的有关名词或术语。
1、名字空间
从本质上讲,活动目录就是一个名字空间,我们可以把名字空间理解为任何给定名字的解析边界,这个边界就是指这个名字所能提供或关联、映射的所有信息范围。通俗地说就是我们在服务器上通过查找一个对象可以查到的所有关联信息总和,如一个用户,如果我们在服务器已给这个用户定义了讲如:用户名、用户密码、工作单位、
联系电话、家庭住址等,那上面所说的总和广义上理解就是“用户”这个名字的名字空间,因为我们只输入一个用户名即可找到上面我所列的一切信息。名字解析是把一个名字翻译成该名字所代表的对象或者信息的处理过程。举例来说,在一个电话目录形成一个名字空间中,我们可以从每一个电话户头的名字可以被解析到相应的电话号码,而不是象现在一样名字是名字,号码归号码,根本不能横向联系。Windows 操作系统的文件系统也形成了一个名字空间,每一个文件名都可以被解析到文件本身(包含它应有的所有信息)。
2、对象
对象是活动目录中的信息实体,也即我们通常所见的“属性”,但它是一组属性的集合,往往代表了有形的实体,比如用户账户、文件名等。对象通过属性描述它的基本特征,比如,一个用户账号的属性中可能包括用户姓名、电话号码、电子邮件地址和家庭住址等。
3、容器
容器是活动目录名字空间的一部分,与目录对象一样,它也有属性,但与目录对象不同的是,它不代表有形的实体,而是代表存放对象的空间,因为它仅代表存放一个对象的空间,所以它比名字空间小。比如一个用户,它是一个对象,但这个对象的容器就仅限于从这个对象本身所能提供的信息空间,如它仅能提供用户名、用户密码。其它的如:工作单位、联系电话、家庭住址等就不属于这个对象的容器范围了。
4、目录树
在任何一个名字空间中,目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象,树的非叶子节点是容器。目录树表达了对象的连接方式,也显示了从一个对象到另一个对象的路径。在活动目录中,目录树是基本的结构,从每一个容器作为起点,层层深入,都可以构成一棵子树。一个简单的目录可以构成一棵树,一个
计算机网络或者一个域也可以构成一棵树。这也很容易理解,我们最初学电脑时不就是在全面理解DOS下的路径概念基础之上开始的吗,其实这“目录树”也就是一种“路径关系”,如果你理解了DOS下的“路径”相信理解这“目录树”是没什么问题的!
5、域
域是WIN2K网络系统的安全性边界。我们知道一个计算机网最基本的单元就是“域”,这一点不是WIN2K所独有的,但活动目录可以贯穿一个或多个域。在独立的计算机上,域即指计算机本身,一个域可以分布在多个物理位置上,同时一个物理位置又可以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后,活动目录可以被多个信任域域共享。
6、组织单元
包含在域中特别有用的目录对象类型就是组织单元。组织单元是可将用户、组、计算机和其他单元放入活动目录的容器中,组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单元,您可在组织单元中代表逻辑层次结构的域中创建容器,这样您就可以根据您的组织模型管理
帐户、资源的配置和使用,可使用组织单元创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单元或对单个组织单元的管理权限,组织单元的管理员不需要具有域中任何其他组织单元的管理权,组织单元有点象我们在NT时代的工作组,我们从管理权限上来讲可以这么理解。
7、域树
域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别越低,一个“.”代表一个层次,如域https://www.doczj.com/doc/d616414339.html, 就比 https://www.doczj.com/doc/d616414339.html,这个域级别低,因为它有两个层次关系,而https://www.doczj.com/doc/d616414339.html,只有一个层次。而域https://www.doczj.com/doc/d616414339.html,双比 https://www.doczj.com/doc/d616414339.html,级别低,道理一样。
域树中的域是通过双向可传递信任关系连接在一起。由于这些信任关系是双向的而且是可传递的,因此在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。这些信任关系允许单一登录过程,在域树或树林中的所有域上对用户进行身份验证,但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限,所以必须在每个域的基础上为用户指派相应的权利和权限。
8、域林
域林是指由一个或多个没有形成连续名字空间的域树组成,它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间,而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同域树可以交叉引用其他域树中的对象。域林都有根域,域林的根域是域林中创建的第一个域,域林中所有域树的根域与域林的根域建立可传递的信任关系。
9、站点
站点是指包括活动目录域服务器的一个网络位置,通常是一个或多个通过TCP/IP 连接起来的子网。站点内部的子网通过可靠、快速的网络连接起来。站点的划分使得管理员可以很方便地配置活动目录的复杂结构,更好地利用物理网络特性,使网络通信处于最优状态。当用户登录到网络时,活动目录客户机在同一个站点内找到活动目录域服务器,由于同一个站点内的网络通信是可靠、快速和高效的,所以对于用户来说,他可以在最快的时间内登录到网络系统中。因为站点是以子网为边界的,所以活动目录在登录时很容易找到用户所在的站点,进而找到活动目录域服务器完成登录工作。
10、域控制器
域控制器是使用活动目录安装向导配置的WIN2K Server 的计算机。活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索,一个域可有一个或多个域控制器。为了获得高可用性和容错能力,使用单个局域网 (LAN) 的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。
WIN2K Server 域控制器扩展了 WINNT Server 4.0 的域控制器所提供的能力和特性,WIN2K Server 多宿主复制使每个域控制器上的目录数据同步,以确保随着时间的推移这些信息仍能保持一致,也就是说是动态的,这就是活动目录的作用。多宿主复制是 WINNT Server 4.0 中使用的主域控制器和备份域控制器模型的发展,在 WINNT Server 4.0 中只有一个服务器,即主域控制器,拥有该目录的可读写副本。
三、安装活动目录的意义
我们说WIN2K的成功和创造性之一就是成功的全面引入了活动目录服务,那么到底安装活动目录有什么意义呢?这是我们所有初学WIN2K的人首要要问的一个问题。因为
活动目录并不是WIN2K系统必需安装的一种服务,要全面理解它又是非常的不容易,那么安装活动目录的意义在哪里呢?它主要体现在以下几个方面:
1、信息的安全性大大增强
安装活动目录后信息的安全性完全与活动目录集成,用户授权管理和目录进入控制已经整合在活动目录当中了(包括用户的访问和登录权限等),而它们都是WIN2K操作系统的关键安全措施。活动目录集中控制用户授权,目录进入控制不只能在每一个目录中的对象上定义,而且还能在每一个对象的每个属性上定义,这一点是以前任何系统所不能达到的,包括WINNT 4.0。除此之外,活动目录还可以提供存储和应用程序作用域的安全策略,提供安全策略的存储和应用范围。安全策略可包含帐户信息,如域范围内的密码限制或对特定域资源的访问权等。所以从一定程序上可以这么说WIN2K的安全性就是活动目录所体现的安全性,由此可见对于网管来说如何配置好活动目录中对象及属性的安全性是一个网管配置好WIN2K系统的关键。
2、引入基于策略的管理,使系统的管理更加明朗
活动目录服务包括目录对象数据存储和逻辑分层结构(指上面所讲的目录、目录树、域、域树、域林等所组成的层次结构),作为目录,它存储着分配给特定环境的策略,称为组策略对象。作为逻辑结构,它为策略应用程序提供分层的环境。组策略对象表示了一套商务规则,它包括与要应用的环境有关的设置,组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录,域,或组织单元的组策略对象(GPOs)中。GPOs设置决定目录对象和域资源的进入权限,什么样的域资源可以被用户使用,以及这些域资源怎样使用等。例如,组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应用程序,当它在服务器上启动时有多少用户可连接至Server,以及当用户转移到不同的部门或组时他们可访问什么文件或服务。组策略对象使您可以管理少量的策略而不是大量的用户和计算机。通过活动目录,您可将组策略设置应用于适当的环境中,不管它是您的整个单位还是您单位中的特定部门。
3、具有很强的可扩展性
WIN2K的活动目录具有很强的可扩展性,管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如,在电子商务上你可以给每一个用户对象增加一个购物授权属性,然后存储每一个用户购买权限作为用户帐号的一部分。
4、具有很强的可伸缩性
活动目录可包含在一个或多个域,每个域具有一个或多个域控制器,以便您可以调整目录的规模以满足任何网络的需要。多个域可组成为域树,多个域树又可组成为树林,活动目录也就随着域的伸缩而伸缩,较好地适应了单位网络的变化。目录将其架构和配置信息分发给目录中所有的域控制器,该信息存储在域的第一个域控制器中,并且复制到域中任何其他域控制器。当该目录配置为单个域时,添加域控制器将改变目录的规模,而不影响其他域的管理开销。将域添加到目录使您可以针对不同策略环境划分目录,并调整目录的规模以容纳大量的资源和对象。
5、智能的信息复制能力
信息复制为目录提供了信息可用性、容错、负载平衡和性能优势,活动目录使用多主机复制,允许您在任何域控制器上而不是单个主域控制器上同步更新目录。多主机模式具有更大容错的优点,因为使用多域控制器,即使任何单独的域控制器停止工作,也可继续复制。由于进行了多主机复制,它们将更新目录的单个副本,在域控制器上创建或修改目录信息后,新创建或更改的信息将发送到域中的所有其他域控制器,所以其目录信息是最新的。域控制器需要最新的目录信息,但是要做到高效率,必须把自身的更新限制在只有新建或更改目录信息的时候,以免在网络高峰期进行同步而影响网络速度。在域控制器之间不加选择地交换目录信息能够迅速搞垮任何网络。通过活动目录就能达到只复制更改的目录信息,而不至于大量增加域控制器的负荷。
6、与 DNS 集成紧密
活动目录使用域名系统 (DNS)来为服务器目录命名,DNS 是将更容易理解的主机名(如 https://www.doczj.com/doc/d616414339.html,)转换为数字 IP 地址的 Internet 标准服务,利于在TCP/IP 网络中计算机之间的相互识别和通讯。DNS 的域名基于 DNS 分层命名结构,这是一种
倒置的树状结构,单个根域,在它下面可以是父域和子域(分支和叶子)。关于这一点我会在后面以专门的篇章加以详细讲述,在此就仅作简单介绍。
7、与其他目录服务具有互操性
由于活动目录是基于标准的目录访问协议,许多应用程序界面(API)都允许开发者进入这些协议,例如活动目录服务界面(ADSI)、轻型目录访问协议 (LDAP) 第三版和名称服务提供程序接口 (NSPI),因此它可与使用这些协议的其他目录服务相互操作。LDAP 是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议,所以可使用 LDAP 开发程序,与同时支持 LDAP 的其他目录服务共享活动目录信息。活动目录支持 Microsoft Exchange 4.0 和 5.x 客户程序所用的 NSPI 协议,以提供与Exchange 目录的兼容性。
8、具有灵活的查询
任何用户可使用“开始”菜单、“网上邻居”或“活动目录用户和计算机”上的“搜索”命令,通过对象属性快速查找网络上的对象。如您可通过名字、姓氏、电子邮件名、办公室位置或用户帐户的其他属性来查找用户,反之亦然。
实验成绩 《信息安全概论》实验报告 实验二PKI实验 专业班级:学号:姓名:完成时间_2016/5/18 一、实验目的 加深对CA认证原理及其结构的理解;掌握在Windows 2003 Server环境下独立根CA 的安装和使用;掌握证书服务的管理;掌握基于Web的SSL连接设置,加深对SSL的理解。 二、实验内容 客户端通过Web页面申请证书,服务器端颁发证书,客户端证书的下载与安装;停止/启动证书服务,CA备份/还原,证书废除,证书吊销列表的创建与查看;为Web服务器申请证书并安装,在Web服务器端配置SSL连接,客户端通过SSL与服务器端建立连接。 三、实验环境和开发工具 1.Windows 2003 操作系统 2.VMware Workstation 四、实验步骤和结果 CA分为两大类,企业CA和独立CA; 企业CA的主要特征如下: 1.企业CA安装时需要AD(活动目录服务支持),即计算机在活动目录中才可以。 2.当安装企业根时,对于域中的所用计算机,它都将会自动添加到受信任的根证书颁 发机构的证书存储区域; 3.必须是域管理员或对AD有写权限的管理员,才能安装企业根CA; 独立CA主要以下特征:
1.CA安装时不需要AD(活动目录服务)。 2.任何情况下,发送到独立CA的所有证书申请都被设置为挂起状态,需要管理员受 到颁发。这完全出于安全性的考虑,因为证书申请者的凭证还没有被独立CA验证; AD(活动目录)环境下安装证书服务(企业根CA)的具体步骤如下: 首先要安装IIS ,这样才可以提供证书在线申请。 1)从“控制面板”,双击“添加/删除程序”,单击“添加/删除Windows组件”,选中“证 书服务”,单击“下一步”。如图4-1所示。 图4-1添加证书服务 弹出警告信息“计算机名和域成员身份都不能更改”,选择“是” 2)选中“企业根CA”,并选中“用户自定义设置生成密钥对和CA证书”,单击“下 一步”。如图4-2所示。
、 fi 一、静态路由的配置实例: 实验目的:将拓扑图网络设备和节点,实现网络互通。 1、规划PC和路由器各接口IP地址; 2、配置路由器和PC的IP地址,并测试直连路由是否通过: [R1-GigabitEthernet0/0/0]ip address 24 , 问题: 1、为什么要在边界路由器上默认路由 答:因为企业员工要上网,运行默认路由的这台路由器,都会把不知道往哪里的数据包往互联网上扔!
如图:静态路由负载分担拓扑图配置地址后,使用静态路由到达网络号 /24 。达到自由选路功能[R5]ip route-static 24 [R5]ip route-static 24 [R5]ip route-static 24 ¥ 二、rip动态路由实例 实验目的:通过rip动态路由协议配置,使下图设备全网互通
[R1]rip 问题:解决路由环路的办法 1、触发更新,用来避免环路 2、¥ 3、限制跳数 4、水平分割 5、路由中毒/毒性翻转 /路由毒化 6、Rip计时器 (以上方法都是rip路由协议默认启用的) 虽然更改成版本2RIPv2可以解决不连续子网问题,但是会使路由表变大。为了提高路由器性能需要进行路由手动汇总! [R1-GigabitEthernet0/0/0]rip summary-address (掩码需要进行换算) & 前提是R1路由器有以下环回接口: 将这三个IP地址换算出子网掩码 RIP支持接口明文验证和密文验证
通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。:)OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况: 1、整个网络中有且仅有一台域控制器; 首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:
点击我用箭头指出的“高级模式”:
再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导: 在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:
AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限). 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任,部分用户资源互访。 配置双向信任关系:
fi 一、静态路由的配置实例: 实验目的:将拓扑图网络设备和节点,实现网络互通。 1、规划PC和路由器各接口IP地址; 配置路由器和PC的IP地址,并测试直连路由是否通过:2、 [R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //IP地址设置 [R1]display ip routing-table //查询R1的路由表蓝色表示辅助指令 [R1]display ip interface brief //查询路由器接口IP设置是否正确 注:其他接口同理! 3、静态路由的配置(给路由器添加路由): [R2]ip route-static 192.168.1.0 24 12.1.1.1 //静态默认路由配置:在R2路由添加192.168.1.0网络,出接口是 12.1.1.1(R2的下一跳) [R2]undo ip route-static 192.168.1.0 24 12.1.1.1 //删除指令 [R1]ip route-static 23.1.1.0 24 12.1.1.2 [R3]ip route-static 12.1.1.0 24 23.1.1.1 [R3]ip route-static 192.168.1.0 24 23.1.1.1 [R3]interface LoopBack 0 //进入环回接口环回接口:模拟路由器上的其他网络号 [R3-LoopBack0]ip address 3.3.3.3 24 //设置环回接口IP地址 4、默认路由的配置: 默认路由:不知道往哪里去的数据包都交给默认路由。(不安全、应用在边界路由即连接外网的路由器) 实际环境中会有很多环回接口,若是都使用静态路由的话,那么配置的工作量会非常大,因此引用默认路
目录 一、实训目的与要求 .......................................................................................... 错误!未定义书签。 二、实训内容...................................................................................................... 错误!未定义书签。 三、参考课时...................................................................................................... 错误!未定义书签。 四、实训考核与组织 .......................................................................................... 错误!未定义书签。 五、说明 ............................................................................................................. 错误!未定义书签。 六、实训项目...................................................................................................... 错误!未定义书签。实训项目一WINDOWS SERVER 2012的安装与配置........................................... 错误!未定义书签。实训项目二DNS域名服务的实现 ....................................................................... 错误!未定义书签。实训项目三DHCP服务器的配置与管理的实现 ................................................. 错误!未定义书签。实训项目四WINS服务器的配置 ......................................................................... 错误!未定义书签。实训项目五WINDOWS SERVER 2012活动目录的实现....................................... 错误!未定义书签。实训项目六WINDOWS SERVER 2012磁盘管理的实现....................................... 错误!未定义书签。实训项目七WINDOWS SERVER 2012文件管理 .................................................. 错误!未定义书签。实训项目八IIS服务器的应用实现 ...................................................................... 错误!未定义书签。实训项目九FTP服务器的配置的实现 ................................................................ 错误!未定义书签。
三层交换机和vtp协议的配置实验报告时间:2011年7月14日 地点:西一楼5实验机房 目的:1)了解三层交换机的原理及其的扩展应用,并掌握其配置方法。 2) 理解VTP协议的原理及应用,掌握VTP的配置技巧。 3)巩固对ACL列表的了解,并练习其配置方法。 内容:一、拓扑设计 二、设备配置 三、项目总结 一、拓扑图: 二、设备配置 1、初始化设备命令 en
conf t no ip domain-look line con 0 logging syn exec 0 0 pass 0 login line vty 0 4 pass 0 login end conf t enable pass 0 2、三层交换机上的捆绑通道命令 Sw0上的端口封装: conf t int rang f0/1- 2 channel-protocol lacp channel-group 1 mode active switchport trunk encapsulation dot1q switchport mode trunk show的结果显示: 修改端口模式为trunk: conf t int rang f0/4-5 switchport trunk encapsulation dot1q switchport mode trunk show的结果显示:
同理在Sw1上进行通道封装,三层交换机Sw1上的配置类似Sw0的配置。 3、在三层交换机Sw0和Sw1上 配置VTP协议 conf t vtp domain test vtp mode server vtp pass 0 show命令显示结果: Sw1的配置类似Sw0的配置。 在一般交换机sw0---sw3上配置VTP协议: conf t vtp domain test vtp mode client vtp pass 0 其余交换机的VTP配置类似Sw0的配置。 4、三层交换机SW0上vlan配置 conf t vlan 2
首先我们需要明确一点:为什么我们需要建立组? 答案很简单:为了管理方便! 其实计算机文件或者文件夹的控制权限是在属性的安全的选项卡中设定的,如下图所示: 在“组或用户名称”中可以添加对此文件夹行使权限的用户或者组。 现在来看这样一种情况: 你是一个域的管理员,在文件服务器上建立了一个共享文件夹,用来放置一些财务部专用文档,假如你有两个选择: 1.在安全属性页中一个一个添加财务部的人员并配置相应的权限。 2.在域控制器中创建财务部的组(包含所有财务部人员),在安全属性页中添加财务部组 假设财务部又新来了N位员工,如果你选择第一种方案,你就需要在安全属性中添加并配置N位员工,而选择第二种方案,你只需要在域控制器上创建用户帐户的时候指定他们的组为财务部就可以了,而无需修改安全属性中的角色列表。所以,很显然你应该选择第二种方式。尤其是你有很多共享文件夹进行管理的时候,使用组来管理的好处就更能够体现出来了。 通过这个例子你也能够体会到:使用组其实是为了管理方便,用最少的工作获得最好的效果!
明确了组的作用后就来看看本地组、全局组、域本地组和通用组的概念和区别。什么是本地组呢? 很多时候本地组被人认为是域本地组的简称。其实严格来说,本地计算机上也可以创建属于本机的组,这些组才应该称为“本地组”。它的成员可以来自本地计算机或者所有的可信任域。本地组存储在本地计算机中,而域本地组存储在域控制器上。你如果使用过域,应该有这种体验:使用域帐户登录域中任意一台计算机后,默认情况下是普通的Users组权限,如果要提升成管理员权限,需要把这个域帐户添加到本地计算机的Administrators组中。 全局组的特点是什么呢? 全局组成员来自于同一域的用户账户和全局组,在林范围内可用。 也就是说能够添加到全局组的成员是本域的成员或者全局组(这样就构成了组的嵌套)。如果在上海的域中创建了全局组A,那么能添加到A中的人只能是上海域中的对象或者是其他可信任域,如北京或大连的全局组。 域本地组的特点是什么呢? 域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组,在本域范围内可用。 通用组的特点是什么呢? 通用组成员来自林中任何域中的用户账户、全局组和其他的通用组,在全林范围内可用。但是注意通用组的成员不是保存在各自的域控制器上,而是保存在全局编录中,当发生变化时能够全林复制。 规则就这些,请不要记混。可以简单这样记忆: 全局组来自本域用于全林 通用组来自全林用于全林 域本地组来自全林用于本域 因为只有域本地组专用于在本地赋予权限,所以,通常情况下,域本地组总是最后被应用。下面我们通过几个例子来讲述他们的应用: 康博公司是一个大型的软件公司。公司的业务发展很快,目前在北京拥有自己的办公大楼,总部也因此设在那里,另外在上海也有分公司。公司在企业内部建立了域名为https://www.doczj.com/doc/d616414339.html,的域,由于上海的分公司主营外包业务,相对比较独立,于是为其创建了子域https://www.doczj.com/doc/d616414339.html,,从而形成了域树。 后来公司管理层经过商议与另外一个物流公司A合作创办了一个电子物流公
实训目标: 理解域的特点,掌握创建域、管理域以及管理组织单位的方法与步骤;理解域用户账户与组账户的特点、用途,掌握管理域用户账户与组账户的方法与步骤。 实训环境: 6台Windows Server 2008 R2企业版计算机。 实训内容: 假设你是一家公司的网络管理员,负责管理公司的网络。公司希望创建域来管理网络。为此,需要你执行以下工作: ①按照下图1,创建域森林。 图1 具有两棵域树的森林 ②在域https://www.doczj.com/doc/d616414339.html,中有三个部门:销售部、培训部和技术支持部,现在需要为这 三个部门分别建立组织单位,并把每个部门的10台计算机加入到各自的组织单位 中。 ③在域https://www.doczj.com/doc/d616414339.html,中,为公司员工创建域用户账户,并设置域用户账户的个人信息。 ④对某些用户(例如:临时工),设置这些域用户账户的登录时间以及限制登录地点。 ⑤如果一个用户(如:john)由于生病而在一段时间内无法上班,请禁用他的域用户账户。 ⑥如果一个用户忘记了自己的账户密码,为其重设账户密码。 ⑦一个用户辞职后离开了公司,请删除该用户的用户账户。 ⑧创建组账户,并把一系列的用户账户加入到这个组账户中。
提示:本实训需要搭建五台域控制器,如果学员实训中无法在计算机上运行这么多虚拟机,本实训可以化简为仅搭建 https://www.doczj.com/doc/d616414339.html,、https://www.doczj.com/doc/d616414339.html,、https://www.doczj.com/doc/d616414339.html,三台域控制器。内容②中对https://www.doczj.com/doc/d616414339.html,的操作改为对https://www.doczj.com/doc/d616414339.html,的操作。 一、创建森林域 ①在此计算机上安装Windows Server 2008 R2企业版。将此计算机的名称设置为dc3,当它升级为域控制器后会自动改名为https://www.doczj.com/doc/d616414339.html,。此计算机的IP地址和DNS服务器地址等信息按照图2所示进行配置。 ②以该计算机的本机管理员身份登录,然后使用以下两种方式之一安装活动目录。●单击屏幕左下角的“服务器管理器”图标,然后请转到步骤○3。●单击【开始】→【运行】,输入“dcpromo.exe”后,单击【确定】图标。此时它会自动执行步骤○3~步骤○10,所以请转到步骤○11。 ③在“服务器管理器”中,单击左侧的“角色”,然后单击右边的“添加角色”。 ④在“开始之前”窗口中,单击【下一步】按钮。 ⑤在“选择服务器角色”窗口中,选中【Active Directory域服务】,然后在弹出的“是 否添加Active Directory域服务所需的功能”窗口中,单击【添加必需的功能】,最后单击【下一步】按钮。 ⑥在活动目录安装窗口中,单击【下一步】按钮。 ⑦在“Active Directory域服务简介”窗口中,单击【下一步】按钮。 ⑧在“确认安装选择”窗口中,单击【安装】按钮。 ⑨在“安装结果”窗口中,单击【关闭】按钮。 ⑩单击【关闭该向导并启动Active Directory域服务安装向导(dcpromo.exe)】 ?在“欢迎使用Active Directory域服务安装向导”窗口中,单击【下一步】按钮。?在“操作系统兼容性”窗口中,单击【下一步】按钮。 ?如图2所示,因为是在一个已有森林中新创建子域,所以选中【现有林】和【在现有林中新建域】,然后单击【下一步】按钮。
管理活动目录域服务实训 管理是指一定组织中的管理者,通过实施计划、组织、领导、协调、控制等职能来协调他人的活动,使别人同自己一起实现既定目标的活动过程。是人类各种组织活动中最普通和最重要的一种活动。近百年来,人们把研究管理活动所形成的管理基本原理和方法,统称为管理学。作为一种知识体系,管理学是管理思想、管理原理、管理技能和方法的综合。随着管理实践的发展,管理学不断充实其内容,成为指导人们开展各种管理活动,有效达到管理目的的指南。 (一)管理体系:管理包罗万象,渗透在各个领域,凡是有人群活动的地方,就有管理。上自整个社会、一个国家,下到每个家庭和每个人,都离不开管理。 (二)管理手段:社会是个庞杂的大系统,千头万绪,怎样管理?管理学家们提出机构、法、人和信息四种管理手段。(1)机构,是使管理对象构成系统的组织结构。没有机构就组织不成系统。不成系统便无法管理;(2)法,政策与法律来源于管理目标。在管理活动中,它规定被管理的人哪些应该做,哪些不应该做,是人们的行动准则;(3)人,是管理中最活跃的因素。机构是人组成的,管理职权是人行使的,政策与法是人制定的。发挥人的积极性和创造性是搞好管理的重要手段;(4)信息,不利用信息,就不知道事物的发展形势,就会造成管理的盲目性。它是管理的重要工具。
(三)管理对象:事物多种多样,纷纭复杂,千变万化。管理些什么?科学家们提出了五个主要管理对象:人、财、物、时间和信息。(1)人,是社会财富的创造者、物的掌管者、时间的利用者和信息的沟通者,是管理对象中的核心和基础。只有管好人,才有可能管好财、物、时间和信息;(2)财,是人类衣、食、住及其进行交往的基础。管理者必须考虑运用有限的财力,收到更多的经济效益;(3)物,是人类创造财富的源泉。管理者要充分合理和有效地运用它们,使之为社会系统服务;(4)时间,反映为速度、效率,一个高效率的管理系统,必须充分考虑如何尽可能利用最短的时间,办更多的事;(5)信息,只有管理信息,及时掌握信息,正确地运用信息,才能使管理立于不败之地。
活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日
目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误!未定义书签。
操作系统安全实验报告 一、【实验构思(Conceive)】 操作系统安全: 实验目的: 操作系统是计算机的根本,没有操作系统的计算机的用处并不是很大。而如今随着网络的快速发展,计算机成为了我们生活中不可或缺的一部分,因此,计算机操作系统安全显得尤为重要,如果操作系统的安全指标很低的话,那么就会造成个人信息的暴露,受到其他计算机的攻击等等,因此,我们必须对自己的计算机系统安全负责,操作系统的安全是广义的,操作系统安全应该包括操作系统信息安全、操作系统运行速度、操作系统软件安全、操作系统硬件安全等。 操作系统的安全我们可以从操作系统版本、账户安全、文件系统、资源文件安全、日志与审核、服务管理、端口安全、注册表、系统备份与恢复等几方面入手,理解以上几个部分要达到什么样的指标然后在向这个指标去设计。 实验内容分析: 操作系统版本: 操作系统的版本决定计算机根本功能,目前最广泛的版本有windows 7、windows 8、windows XP,三个版本各有优点,例如windows XP更实用与台式计算机,windows 7的兼容性又比windows 8的好,而windows 8的开机速度又更快等等。 账户: 账户指的是登陆操作系统的用户,我们要做的是如何才能让账户安全。 文件系统:
文件系统是操作系统用于明确磁盘或分区上的文件的方法和数据结构即在磁盘上组织文件的方法。也指用于存储文件的磁盘或分区,或文件系统种类。操作系统中负责管理和存储文件信息的软件机构称为文件管理系统,简称文件系统。文件系统由三部分组成:与文件管理有关软件、被管理文件以及实施文件管理所需数据结构。从系统角度来看,文件系统是对文件存储器空间进行组织和分配,负责文件存储并对存入的文件进行保护和检索的系统。具体地说,它负责为用户建立文件,存入、读出、修改、转储文件,控制文件的存取,当用户不再使用文件撤销文件等。 资源文件: 所有可以从中读取出需要的资源的文件,可以称之为“资源文件”。资源的类型可以是图片、音频、视频、文字资源,或者其他可以在计算机中展示的内容等等。由专门的程序接口去读取,并在应用程序中根据需要向用户展示。资源文件的类型很多,不限制文件的后缀名。各个不同的软件系统,可以使用自己定义的资源文件类型。并采用自己的加密方式。资源文件中的资源是可替换的,替换之后,无需重新编译代码,即可实现视觉、听觉、文字等效果的改变。如果直接读取文件就是在程序运行到需要时才从硬盘上搜索(没有现成的地址,这应该是比较慢的原因)。也就是说如果一个工程需要外围文件的量很大,那就不应该把它们加入资源文件,而是在需要的那个文件时再加载它,资源文件比较适合于占空间小的文件。 系统日志与审核: 系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻
金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日
Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件: (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤: (4) 1.首先是“开始>运行”打开运行窗口 (4) 2.运行当中输入“dcpromo”开始安装活动目录 (5) 3.进入安装界面 (5) 4.新建域控制器 (6) 5.设置域控制器的域名 (7) 6.设置林功能级别 (8) 7.安装DNS服务器和全局服务 (9) 8.设置保存数据库、日志文件和SYSVOL的位置 (10) 9.设置目录还原模式的Administrator密码 (11) 10.安装完成自动重启 (12) 11.安装完成后的登陆界面 (13) 12.查看安装AD后的相关的服务,AD活动目录安装完成 (14)
安装部署活动目录条件: 硬件需求 硬件 需求 处理器 最低:1.4 GHz(x64处理器) 注意:Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低:512 MB RAM 最大:8 GB(基础版)或32 GB(标准版)或2 TB(企业版、数据中心版及 Itanium-Based Systems 版) 可用磁盘空间 最低:32 GB或以上 基础版:10 GB或以上 注意:配备16 GB以上RAM的计算机将需要更多的磁盘空间,以进行分页处理、休眠及转储文件。 显示器 VGA(800 × 600)或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标(或兼容的指针设备) 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件(除web版以外) 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间
实验二:活动目录域服务的安装与配置 实训课时:2 实训目的: 1、理解域环境中计算机4种不同的类型。 2、熟悉Windows Server 2008域控制器、额外域控制器以及子域的安装。 3、掌握确认域控制器安装成功的方法。 实训要求: 这个项目需要分组来完成完成。 1、安装5 台独立服务器win2008-1、win2008- 2、win2008- 3、win2008-4 和win2008-5 要求: 把win2008-1 提升为域树https://www.doczj.com/doc/d616414339.html, 的第一台域控制器; 把win2008-2 提升为https://www.doczj.com/doc/d616414339.html, 的额外域控制器; 把win2008-4 提升为域树https://www.doczj.com/doc/d616414339.html, 的第一台域控制器; https://www.doczj.com/doc/d616414339.html, 和https://www.doczj.com/doc/d616414339.html, 在同一域林中; 把win2008-3 提升为https://www.doczj.com/doc/d616414339.html, 的域控制器, 把win2008-5 加入到https://www.doczj.com/doc/d616414339.html,中,成为成员服务器。 各服务器的IP 地址自行分配。实训前一定要分配好IP 地址,组与组间不要冲突。 2、请读者上机实训前,一定做好分组方案。分组IP 方案举例(以第10 组为例,每 组 3 人):5 台计算机的IP 地址依次为:192.168.10.1/24、192.168.10.2/24、 192.168.10.3/24、192.168.10.4/24、192.168.10.5/24。 3、在上面项目完成的基础上建立https://www.doczj.com/doc/d616414339.html,和https://www.doczj.com/doc/d616414339.html,域的双向的快捷信任关系。 4、在任一域控制器中建立组织单元outest,建立本地域组Group_test,域账户User1 和 User2,把User1和User2加入到Group_test;控制用户User1 下次登录时要修改密码,用户User2可以登录的时间设置为周六、周日8:00~12:00,其他日期为全天。 实验设备和环境 安装虚拟机和WindowsServer2008系统的计算机5台 实训内容: 1.创建第一个域https://www.doczj.com/doc/d616414339.html, ①在win2008-1上设置TCP/IP 协议,并且确认DNS 指向了自己。 ②在win2008-1上安装AD 域服务。 ③在win2008-1上安装活动目录(dcpromo.exe)。注意将DNS服务器一同安装。 2.安装后检查 ①查看计算机名。 ②查看管理工具。 ③查看活动目录对象。 ④查看Active Directory 数据库。 ⑤查看DNS 记录。 3.安装额外的域控制器win2008-2 ①首先要在win2008-2 服务器上检查“本地连接”属性,确认win2008-2 服务器和现在 的域控制器win2008-1 能否正常通信;更为关键的是要确认“本地连接”属性中TCP/IP
ad活动目录,解决方案,ppt 篇一:活动目录AD解决方案 客户现状:现在客户在各地共有4个办公点。每个点采用的是独立的域环境。现在客户希望将分散在各地的办公点连接起来,能够实现各地间的访问与共享。 一、客户方案:通过VPN技术实现网络的互联,并通过林间的信任来实现各地间的互相信任,以达到共享与访问。 客户的方案如下:拓扑图如下: 由于客户各地点域已经建立,现在需要做的如下: 1、DNS的转发: 作用:处理本地没有应答的DNS查询。 方法:每个域内的DNS服务器都需要做到其他域的DNS 转发,以便于DNS的解析。 2、信任关系的建立 作用:为了使不同域可以互相访问。 方法:在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。在这里建立A,B的相互信任,B,C的相互信任,C,D的相互信任,A,D的相互信任(一但前三个相互信任形成,则第四个A,D的相互信任自动形成。) 3、 WINS服务器的安装
作用:信任域间可以通过主机名称进行访问。 方法:每个域建立独立的WINS服务器,并与其他域内的WINS服务器建立“推/拉”伙伴关系,实现域间WINS服务器的同步。各域客户端WINS服务器指向本地服务器。 说明:每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。 二、单域多站点结构 方案拓扑图: 方案描述如下: 所有站点处于同一个域下,每个站点的子网不相同。在A站点建立主DC服务器,其他站点分别建立额外DC,如, , 实现方法: 1. 子网划分:分配各个站点的子网,要求子网不能够相同,比如A站点/24 B站点 /24; C站点/24; D站点/24 2. 主DC的建立:A站点域控制器集成AD与DNS服务,并且在DNS 上做转发,实现对外网的访问。在A站点建立域内主DC,DNS地址指向本地地址。 3. 额外DC的建立:首先DC
实验07 活动目录与域--组策略 实验目的 1 所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为https://www.doczj.com/doc/d616414339.html, 4 所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6管理员可以使用本地连接-属性,任何域用户帐号不可使用。 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除windows组件” 9 取消自动播放 实验环境 BENET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理,要求企业管理员按如下要求完成设置 1 所有域用户不能随便修改背景,保证公司使用带有公司LOGO的统一背景。 2. 所有域用户不能运行管理员已经限制的程序,比如word等。 3 配置域用户所有IE的默认设定为本企业网站https://www.doczj.com/doc/d616414339.html,,保证员工打开IE 可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行,管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 5保证域用户有关机权限,保证员工下班可以自行关机,节省公司资源。 6除管理员外的任何域帐号都不可以更改计算机的IP地址设置,防止由于IP地址冲突造成网络混乱。 7 隐藏所有用户的C盘,防止用户误删除系统文件,造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”,防止用户随意添加windows组件,造成系统问题。 9 取消自动播放,以防止插入U盘有病毒,自动运行病毒 实验准备 1 一人一组 2 准备两台Windows Server 2003虚拟机(一台DC,一台成员主机) 3 实验网络环境192.168.8.0/24
一、静态路由的配置实例: 实验目的:将拓扑图网络设备和节点,实现网络互通。 1、规划PC和路由器各接口IP地址; 2、配置路由器和PC的IP地址,并测试直连路由是否通过: [R1-GigabitEthernet0/0/0]ip address 24 问题: 1、为什么要在边界路由器上默认路由? 答:因为企业员工要上网,运行默认路由的这台路由器,都会把不知道往哪里的数据包往互联网上扔!
企业活动AD域控规划方案活动目录介绍 活动目录是Windows 2003网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。
活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.1. 应用Windows 2003 Server AD的好处 Windows 2003 Server是微软最新推出的网络操作系统服务器,它沿用了Windows 2000 Server 的先进技术并且使之更易于部署、管理和使用。其结果是:其高效结构有助于使您的网络成为单位的战略性资产。 应用Windows 2003 Server的好处如下表所示: 优势描述 可靠性Windows Server 2003 是迄今为止最快、最可靠和最安全的Windows 服务器操作系统。 ●提供集成结构,用于帮助您确保商业信息的安全性。 ●提供可靠性、实用性和可伸缩性,使您可以提供用户需要的网络结构。
注意:预习作业在上课前提交,复习作业在上课后提交,共性的作业在实验课会评讲一下,一般不会单独评讲,统一在习题课做综合解答,请各位组长记录作业出现的问题,提交到教员。预习重点部分,不用做在作业上,是给各位学员预习时的引导线。务必记住80%的精力放在预习。 第一章: 预习作业:1.什么是域?什么是活动目录?活动目录有什么特点?2.什么是域树?什么是林?3.安装域控制器必须具备哪些条件?4.将计算机加入域前,要检查客户机哪些配置?5.DNS 在域中有什么作用?● (预习重点:这章节就开始难了,会有很多的名词要理解:域 域控 活动目录 域树 森什么安全组通讯组等等,工作组只适合小型网络,换句话来说,域就适合更大型网络了啦!更换句话来说,你想当个大一点的网络管理,就一定要学好域了,给几个简单的解释先骗大家懂一下吧:?活动目录:一是目录,二是活动,也就是说有一个目录,它是活动的,不属于一台计算机,属整个域的所有电脑。更具体地说他是一个数据库存储着很多对象,例如:组 帐号 打印机 共享文件等等。它能存储这些对象,就能提供一种很好的服务,能让属这个域的用户能快速查找所需的数据了。?域:前面的课提到过,两种网络环境,一种是对等网,平等,没有谁管谁的,另一种是c/s 组构,有服务器有客户机。而我们本课所提到的域,其实就是c/s 结构,能进行集中管理的,其它的域树和森主要看图再对比书本的文字再理解一下。?域控:那一台用来管理这个域的计算机就是域控了,在这里我们暂且单纯地认域域控只有一台,其实在多域的环境下会有多台的,在后面的课程会详细学习。● 安装活动目录:先检查条件够不够,熟读六个条件,域的安装。?加入域:加入域时候,客户机要设置什么才能加入域,这个很重要,很多学员做实验的时候,两台主机都没ping 就去加域,加不入就在大呼大叫,组长帮组员排错的时候要注意是否ping 通ip,是否ping 通域名,别把每个组员都想得太理想了,没有ping 通就急着去加域的学员及加入域的时候域名都写错了,还敢大呼大叫的学员我见得多了。●看书本5页的图,理解一下域树和域林,当然课只应用到单域,由于单一次接触域,多域只是理论上的理解,不要纠结于怎么创,如果非要纠结也行,请预习第八章。 、管路敷设技术通过管线敷设技术,不仅可以解决吊顶层配置不规范问题,而且可保障各类管路习题到位。在管路敷设过程中,要加强看护关于管路高中资料试卷连接管口处理高中资料试卷弯扁度固定盒位置保护层防腐跨接地线弯曲半径标高等,要求技术交底。管线敷设技术中包含线槽、管架等多项方式,为解决高中语文电气课件中管壁薄、接口不严等问题,合理利用管线敷设技术。线缆敷设原则:在分线盒处,当不同电压回路交叉时,应采用金属隔板进行隔开处理;同一线槽内,强电回路须同时切断习题电源,线缆敷设完毕,要进行检查和检测处理。、电气课件中调试对全部高中资料试卷电气设备,在安装过程中以及安装结束后进行高中资料试卷调整试验;通电检查所有设备高中资料试卷相互作用与相互关系,根据生产工艺高中资料试卷要求,对电气设备进行空载与带负荷下高中资料试卷调控试验;对设备进行调整使其在正常工况下与过度工作下都可以正常工作;对于继电保护进行整核对定值,审核与校对图纸,编写复杂设备与装置高中资料试卷调试方案,编写重要设备高中资料试卷试验方案以及系统启动方案;对整套启动过程中高中资料试卷电气设备进行调试工作并且进行过关运行高中资料试卷技术指导。对于调试过程中高中资料试卷技术问题,作为调试人员,需要在事前掌握图纸资料、设备制造厂家出具高中资料试卷试验报告与相关技术资料,并且了解现场设备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况,然后根据规范与规程规定,制定设备调试高中资料试卷方案。、电气设备调试高中资料试卷技术电力保护装置调试技术,电力保护高中资料试卷配置技术是指机组在进行继电保护高中资料试卷总体配置时,需要在最大限度内来确保机组高中资料试卷安全,并且尽可能地缩小故障高中资料试卷破坏范围,或者对某些异常高中资料试卷工况进行自动处理,尤其要避免错误高中资料试卷保护装置动作,并且拒绝动作,来避免不必要高中资料试卷突然停机。因此,电力高中资料试卷保护装置调试技术,要求电力保护装置做到准确灵活。对于差动保护装置高中资料试卷调试技术是指发电机一变压器组在发生内部故障时,需要进行外部电源高中资料试卷切除从而采用高中资料试卷主要保护装置。