知识点:
目录服务:结构化的网络资源(计算机、用户、打印机.......)
windows对目录服务的实现就是active directory
AD能做什么?网络资源的逻辑组织,为了集中的控制管理,集中,分散地资源管理。
集中地管理ADO(ADO就是域DC的对象成员,例如计算机,用户,打印机),但是ADO多的情况下,一个管理员就会很累,这时候,需要划分多个OU,每个OU弄出一个管理员来管理他本OU,这样就成了分散地管理。
DC是管理ADO的控制器。
Domain Tree域树:共享名称空间,父域,子域;子域和父域共享名称空间。
单域:只有一个域。
多域:多个域。
林,树;
森林,根域:
域:可以按照地理范围划分。
OU:子单元,(单域环境中,显得特别重要)存放ADO的容器。OU中才可以应用 组策略。
组:权限、权利的集合
容器:包括域、OU
GC全局编录服务(global catalog):森林里第一个DC,域中至少一个GC
Site:
WAN link
KCC
新森林中的域:
现域树中的子域:森林中子域
林中的域树:森林中的域树
AD物理结构:
站点Site,优化我们的网络数据交通,优化网络传输,复制数据,域登录。
合理规划站点。
站点链接:站点与站点之间的复制,复制拓扑,复制路径。
++++++++++++++++++++
domain controlers:DC
实验操作:
1.创建活动目录域DC
2.检验活动目录域
3.创建备份DC作冗余
4.DC降级,移除AD
软硬件要求:
(1)NTFS分区文件系统
(2)管理特权,管理员身份
(3)安装,配置TCP/IP
(4)支持SRV资源纪录的授权DNS服务器
步骤:
一、AD的创建
步骤参见:http://nickzp.blog.51cto.com/12728/39836
配置服务器或运行dcpromo
F8高级选项里面的目录服务还原模式中用到的密码,就是还原模式密码
(DNS)服务位置记录。若要确认已创建了DNS服务位置记录,按照下列步骤操作:
单击-开始,指向-管理工具,然后单击DNS ,以启动DNS 管理控制台。
展开该服务器名称,再展开 正向搜索区域,然后展开该域。
确认 _msdcs、_sites、_tcp和 _udp文件夹已存在。这些文件夹和它们包含的服务位置记录对于Active Directory 和 windows server 2003 的运行至关重要。
二、添加额外DC
额外的DC的作用,做冗余。(作容错,作平衡网络负载),活动目录数据库在dc上。
三、检验AD安装
SYSVOL是否创建并且是否已经共享
AD 数据库文件,日志文件
SRV (运行 dnsmgmt.msc)
缺省AD结构(运行dsa.msc)查看--高级功能--会查看更详细
事件日志(运行eventvwr.msc)
四、移除AD
AD安装向导
“配置服务器”或者运行“dcpromo”
管理特权
五、解决常见问题
访问拒绝(创建/添加DC) 权限问题。
DNS或netbios名称不唯一 是否存在同名。
不能联系到域 网络通信问题;dns错误
磁盘空间不足 有效的磁盘空间不能满足安装ad得最小要求
应用
企业兼并
上海分公司/北京总公司
--------------------
概述----实现OU---委派控制
概述
可以网络管理模型或者组织结构 划分OU
实现OU
委派控制--分散管理任务
实验过程:
新建立一个ou--右键点击,委派---下一步,添加某些用户或者某些组---委派任务,(可以自定义)----
创建一个名为‘学术部’的OU,再在该OU中创建一个属于学术部的用户zhangsan,密码:abc123
===================
用户帐户
组----给组分配相应的权限,把用户帐号加入进来。
了解Schema、Enterprise和Domain Administrators 组
组类型:
分发组(通信组):用于EMAIL应用程序,与安全无关
安全组:分发安全权限。
**********************************************************
计算机加入域之前,首先让客户机的ip和dc的ip同一个网段,DNS地址指向DC的IP地址即可。
然后检测网络是否畅通ping DC
把计算机加入域中,出现对话框,输入在AD中创建的域帐号即可,但普通的域帐号只允许10个客户端加入域,在此输入域管理员和密码。
posted on 2009-04-20 10:54
lan 阅读(2913)
评论(0) 编辑 收藏 引用 所属分类:
系统类信息