随笔-2  评论-0  文章-0  trackbacks-0

知识点:
目录服务:结构化的网络资源(计算机、用户、打印机.......)
windows对目录服务的实现就是active directory
AD能做什么?网络资源的逻辑组织,为了集中的控制管理,集中,分散地资源管理。
集中地管理ADO(ADO就是域DC的对象成员,例如计算机,用户,打印机),但是ADO多的情况下,一个管理员就会很累,这时候,需要划分多个OU,每个OU弄出一个管理员来管理他本OU,这样就成了分散地管理。

DC是管理ADO的控制器。
Domain Tree域树:共享名称空间,父域,子域;子域和父域共享名称空间。
单域:只有一个域。
多域:多个域。
林,树;
森林,根域:
域:可以按照地理范围划分。
OU:子单元,(单域环境中,显得特别重要)存放ADO的容器。OU中才可以应用 组策略。
组:权限、权利的集合
容器:包括域、OU
GC全局编录服务(global catalog):森林里第一个DC,域中至少一个GC
Site:
WAN link
KCC
新森林中的域:
现域树中的子域:森林中子域
林中的域树:森林中的域树

AD物理结构:
   站点Site,优化我们的网络数据交通,优化网络传输,复制数据,域登录。
   合理规划站点。
   站点链接:站点与站点之间的复制,复制拓扑,复制路径。
++++++++++++++++++++
domain controlers:DC

实验操作:
      1.创建活动目录域DC
      2.检验活动目录域
      3.创建备份DC作冗余
      4.DC降级,移除AD

软硬件要求:
      (1)NTFS分区文件系统
      (2)管理特权,管理员身份
       (3)安装,配置TCP/IP
        (4)支持SRV资源纪录的授权DNS服务器

步骤:
         一、AD的创建
               步骤参见:http://nickzp.blog.51cto.com/12728/39836
               配置服务器或运行dcpromo
               F8高级选项里面的目录服务还原模式中用到的密码,就是还原模式密码
               (DNS)服务位置记录。若要确认已创建了DNS服务位置记录,按照下列步骤操作:
                        单击-开始,指向-管理工具,然后单击DNS ,以启动DNS 管理控制台。
                        展开该服务器名称,再展开 正向搜索区域,然后展开该域。
                        确认 _msdcs、_sites、_tcp和 _udp文件夹已存在。这些文件夹和它们包含的服务位置记录对于Active Directory 和 windows server 2003 的运行至关重要。
         二、添加额外DC
               额外的DC的作用,做冗余。(作容错,作平衡网络负载),活动目录数据库在dc上。
         三、检验AD安装
               SYSVOL是否创建并且是否已经共享
               AD 数据库文件,日志文件
               SRV (运行 dnsmgmt.msc)
               缺省AD结构(运行dsa.msc)查看--高级功能--会查看更详细
               事件日志(运行eventvwr.msc)
         四、移除AD
               AD安装向导
                  “配置服务器”或者运行“dcpromo”
               管理特权

         五、解决常见问题
                  访问拒绝(创建/添加DC) 权限问题。
                  DNS或netbios名称不唯一       是否存在同名。
                  不能联系到域                           网络通信问题;dns错误
                  磁盘空间不足                           有效的磁盘空间不能满足安装ad得最小要求
应用
                  企业兼并
                  上海分公司/北京总公司
--------------------
概述----实现OU---委派控制
概述
可以网络管理模型或者组织结构 划分OU

实现OU
委派控制--分散管理任务

实验过程:
新建立一个ou--右键点击,委派---下一步,添加某些用户或者某些组---委派任务,(可以自定义)----
创建一个名为‘学术部’的OU,再在该OU中创建一个属于学术部的用户zhangsan,密码:abc123
===================
用户帐户
组----给组分配相应的权限,把用户帐号加入进来。
了解Schema、Enterprise和Domain Administrators 组
组类型:
分发组(通信组):用于EMAIL应用程序,与安全无关
安全组:分发安全权限。
**********************************************************

计算机加入域之前,首先让客户机的ip和dc的ip同一个网段,DNS地址指向DC的IP地址即可。
然后检测网络是否畅通ping DC
把计算机加入域中,出现对话框,输入在AD中创建的域帐号即可,但普通的域帐号只允许10个客户端加入域,在此输入域管理员和密码。

posted on 2009-04-20 10:54 lan 阅读(2915) 评论(0)  编辑 收藏 引用 所属分类: 系统类信息
只有注册用户登录后才能发表评论。