第3章管理活动目录域

第3章管理活动目录域

教学要求：

理解：域的概念、特点；活动目录的架构；组织单位的概念、特点；域用户账户的概念、特点；域组账户的概念、特点；域组账户的使用原则；

掌握：创建域；将计算机加入或脱离域；将域控制器降级为服务器或成员服务器；管理组织单位；管理域用户账户的工作；管理域组账户的工作； 3.1活动目录的概述

活动目录（ActiveDirectory，AD）服务能把网络中的众多资源有效地组织在一起，实现集中管理与统一保护，最大限度地保证资源的可用性与安全性。

活动目录以数据库的形式存放在网络中的一些特定计算机上，这个数据库称为“活动目录数据库”。 管理员可以利用活动目录来集中执行组织、管理与控制网络资源的各项功能。用户也能够通过活动目录方便迅速的找到所需要的资源、使用所需要的功能。 活动目录的容量可以动态调整； 活动目录的结构可以动态调整。 动态的组织形式 方便的资源查找 集中管理与分散管理相结合 资源访问的分级管理 1、对象和属性 在活动目录中，存储着众多的资源、规则、策略等，它们被称作“活动目录对象”，简称对象。 一个活动目录对象所具有的各种各样的特征，称为“属性”。一个对象可认为是一系列属性的集合。 2、活动目录的架构 活动目录中所有对象和属性的定义存储在“活动目录架构”中，只有SchemaAdmins组的成员才有权限添加或修改架构中的内容。一个活动目录共享一个共同的架构。 查看活动目录架构的具体步骤为 1、 以SchemaAdmins组的一个用户账户身份登录 2、 注册ActiveDirectorySchema控制面板的动态链接库。在命令窗口中输入：

regsvr32.exeschmmgmt.dll. 3、在命令窗口中运行“mmc.exe”,添加“ActiveDirectory架构”管理工具。 4-6、在“ActiveDirectory架构”中有两个容器，类与属性，双击User，即可查看User类的定义，根据User类的定义可以创建大量的用户账户。 最后在保存控制台。 3.2活动目录的逻辑结构 在活动目录中，管理员可以完全忽略被管理对象的具体地理位置，将这些对象按照一定的方式放置在不同的容器中。由于这种组织对象的做法不考虑被管理对象的具体地理位置，因此得到的组织框架称作“逻辑结构”。

一个活动目录的完整逻辑结构称为“域森林”，一个域森林由若干“域树”组成，一个域树有若干“域”组成。

1、域的定义

在活动目录中，域是一种重要的逻辑管理单元，代表了一个的安全范围，能包含大量对象的一种容器。 2、域中计算机的角色

有域控制器、成员服务器、工作站。

域控制器是存放活动目录数据库的，是域中必须要有的。其它两种则不是必须的。 所以最简单的域将只包含一台计算机，这台计算机是该域的域控制器。

3、 计算机账户

每台计算机都有一个账户来标识自己，这个账户称为“计算机账户”。在Computers容器内

域用户账户 管理员在域的活动目录数据库中创建的用户账户称为域用户账户。 默认时，所有的域用户账户均放置在UserS容器中，域管理员可以在此创建和管理域用户账户。 5、 组织单位 为了对域中对象做进一步的组织和管理，还可以在域中创建一种新的容器——组织单位。 （1） 组织单位的含义：特点  组织单位是一种容器类的活动目录对象；  组织单位只能在域内创建，并且只能包含域内的对象。  在组织单位内还可以继续创建组织单位。  一个域中组织单位的结构与另一个域组织单位的结构无关。  组织单位不仅能容纳对象，还可以对其施加管理策略和安全规则 （2） 组织单位的用途 可以把域中一部分具有相同管理要求的活动目录对象分离出来，既可以对它们进行单独的管理又可以提高效率。 （3） 组织单位和组账号的区别 组账户通常只能包含用户账户和组账户，组织单位中不仅可以包含这些，还可以包含计算机账号、打印机、共享文件夹等很多活动目录对象。 创建组账户的主要目的是为用户账户分配资源访问权限，但是管理员不能直接对组账户指定管理策略，也就是不能直接控制组账户中各对象的更复杂的行为。

当删除一个组账户时，其包含的用户账户并不会被删除。但删除一个组织单位时，其包含的所有活动目录对象都将随之删除。

（4） 组织单位和其他活动目录容器的区别

图标有所不同

普通容器仅起到把一些活动目录对象组织在一起的作用，管理员不能对其设置组策略。

在组策略中只能看到组织单位而看不到普通容器，这说明只能对组织单位设置组策略而不能对普通容器设置组策略。

在上图中右击“DefaultDomainControllers Pllicy”组策略对象，然后在快捷菜单中选择编辑。可以看到各种组策略。

4、

１、域树的含义

若干域组成的集合称为“域树”。 2、信任关系

单向信任与双向信任

不可传递的信任与可传递的信任 3、域树的结构

域树中，各域之间利用双向的、可传递的信任关系联系在一起。第一个域称为父域，各分部的域称为该域的子域。

4、域树的特点

若干个域树的组合称为“域森林” 3.3活动目录的物理结构

从物理的角度观察活动目录时而得到的组织框架，称为活动目录的物理结构。 活动目录的物理结构为：域控制器与站点。活动目录的物理结构中，最基本的单元就是域控制器。在此基础上，域控制器又被放入不同的站点中。 所谓站点时若干个利用快速链路连接在一起的局域网的组合。在一个站点中，所有局域网均通过快速链路连接在一起。 3.4全局编录 一个完整的活动目录数据库实际上被分割成若干部分而存放在各个域控制器中。在这种情况下，域用户虽然可以很方便地从本域的域控制器那里差找到本域的对象，但是却无法从中找到其他域的对象。为了解决这种跨域查找问题，活动目录提供了全局编录。 全局编录存储着活动目录中所有域的全部对象，但是仅存储了这些对象的部分能被搜索的属性信息。一个森林共享一个全局编录。 3.5活动目录的功能级别 域的功能级别 森林的功能级别 3.6创建活动目录 一个完整的活动目录对应着一个森林，因此创建活动目录即意味着创建一个森林。创建森林应从创建第一颗树开始，另外一棵树又有若干个域组成，因此创建第一颗树应从创建树根域（森林根域，而最简单的域中只有一台计算机（域控制器），因此创建域应从创建域控制器开始。 创建森林的步骤：  创建森林根域  在森林根域的下面添加子域，形成第一个树。  在森林根域的下面创建第二个树根域，形成第二课树。  在森林根域的下面创建第三个树根域，形成第三棵树。 在WindowsServer2008R2上安装活动目录，将其设置为此域的第一台域控制器 1、 创建域的准备工作  DNS域名  DNS服务器  NTFS分区

2、 安装第一台域控制器

以管理员的身份登陆，然后使用以下两种方式登陆。单击屏幕左下角的服务器管理器图标，如下图。

单击开始——运行，输入dcpromo.exe后，单击确定。

3、 检查域的建立是否正常

 检查DNS服务器（检查域控制器是否已到DNS服务器那里注册了自己的IP地址和服务记录）  检查活动目录数据库文件和SYSVOL文件夹。  检查新添加的活动目录管理工具。

提升域与森林的功能级别 方法为：开始——管理工具——ActiveDirectory域和信任关系。右击ActiveDirectory域和信任关系，在快捷菜单中选中提升林功能级别。

5、 添加额外的域控制器（图略）

多台域控制器具有容错、负载平衡的优点。

6、 将Windows计算机加入域或脱离域

（1） 将Windows计算机加入域 （2） 在域中计算机上登陆

在域中计算机上登陆的方式有两种：“登陆到域”和“登陆到计算机”。其中，用户在域控制器上只能选择“登陆到域”；在成员服务器和工作站上可以选择“登陆到域”或“登陆到计算机”。

（3）、脱离域

操作者必须是Enterprise组、DomainAdmins组的成员或本地管理员才有权将此计算机脱离域。

7、 在域成员计算机上安装活动目录管理工具 8、 删除域控制器和域 如果在域控制器上删除了活动目录，那么它就会降级为本域的成员服务器或者降级为本工作组中的服务器。如果删除了域中最后一台域控制器，那么该域将不复存在。 3.6.2创建域树 此节将介绍在森林根域下面创建子域从而形成一颗具有多域的域树 此节介绍的在森林中创建第二颗域树。 1、 在DNS服务器上创建第二颗域树的DNS区域 的IP地址，以便它们自动向其注册自己的信息。 2、 创建第二颗域树 与前面创建域树类似 3.7管理域用户账户 在域的活动目录数据库中，管理员可以为每个用户创建一个用户账户。由于这种账户只存在于域中，所以称为“域用户账户”。 Administrator和Guest 操作步骤如下 1、允许普通域用户账户在域控制器上登录到域 为了允许普通域用户账户可以再域控制器上登录到域，需要设置允许在本地登录。 开始——管理工具——组策略管理，在右击defaultdomainpolice，选中编辑 3、 添加UPN后缀 开始——管理工具—ActiveDircetory域和信任关系，在右击ActiveDircetory域和信任关系——属性。 在上图中选择登录时间或登录到，即可以设置只能在特定的时间或特定的计算机上登录到域 8.8管理域组账户 管理员可以再域的活动目录数据库中创建组账户。由于这种组账户只存在于域中，所以称为“域组账户”。与本地组账户不同，一个域组账户能够对域用户账户进行组织，而且能够为其分配访问域中任何计算机的资源访问权限和权利。

在WindowsServer2008R2域中，组账户分为两种类型：安全组和通信组。 安全组：管理员可以为安全组分配权限和权利。 通信组：管理员不能为安全组分配权限和权利

对于安全组而言，还可以根据使用范围的不同，将其分为三种：全局组、本地域组和通用组。 在全局中，只能够包含所在域中的域用户账户和全局组。

在本地域组中，能够包含森林中任何域的域用户账户、全局组和本域的本地域组。 开始——管理工具——ActiveDirectory用户和计算机

建议按照以下原则使用组，即“A-G-DL-P”,其中A代表用户账户，G代表全局组，DL代表本地域组，P代表权

4、

限。

使用这种组的嵌套原则分配权限有以下好处：

由于给组而不是给每个用户账户分配权限，所以大大减少了权限的分配次数。 只要打开这个本地域组就能够根据全局组的名称判断这些用户所在的公司部门。

如果不希望某个部门的某个用户访问这个共享文件夹，只要从那个部门所对应的全局组中删掉这个用户账户即可。

如果不希望某个部门访问这个共享文件夹，则只要从本地域组中删掉这个部门所对应的全局组即可。