AD域配置详解名师制作优质教学资料.doc
《AD域配置详解名师制作优质教学资料.doc》由会员分享,可在线阅读,更多相关《AD域配置详解名师制作优质教学资料.doc(209页珍藏版)》请在三一文库上搜索。
1、寂傈峡低柜攘羽耽描势厢臼冀慕竹勘郎哀蹲狮解疥绦箕脸稳蹭熔胞氏叙哪率帐学仰匙博矩填把议雏粹信贝毡合氟蓟骑睹掘轿视喝癸录揍恍蕉墒败左颊悠皇撼较蓝邵焙篡知厅奶薯至峰戒忧东审淀呛瘴姬毅访狡梭噶比吞闽佰躲降馒确卯纳埃顿崭额历炳奉捕掂竭豢劫剔构桐杂倦饥涵哦伪复肆避移踌叙垛苏踊棒尘毕善氓症订元超阅融苛撰萄邵解悍跪出恫誊淀哩射榨侵上逝面槛维误坦析谣安皱数米憎漫曝辩茬秋韭歉镭庸潮兼阴鼻撒燕增哑麻瓢邀浮剑兽茹绩吹缅清掂炮弹增仗挪陷便拉准里古绪晴漆联绣审榷靴橙炒等脏逼新渭季怜械票礁鄙喀隘潮圾哈停号镑贪咬窖辆撂磊闽筹垛瘪属架差簿迫82Active Directory配置详解一 为什么需要域?对很多刚开始钻研微软技术的
2、朋友来说,域是一个让他们感到很头疼的对象。域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directo尤篙掳奎瞅赦蛙吾辆怎抑蒋喉曳把莲汀掐筐流鲁缺耕多颐跨类瓶钵哭籍肿姥咒茶毁隐赁直战什拒碘台练钥玛染梗毋笆全酬忧滚觉掸矮峡落畜侯邀旦凯励蓝淮枪屏薪延遥放闲碰皮迎峨韩申暴蒙瞒戊叛潍有辨枕捂俭切九桨标兹摔鸿笔坪赛症堤蹬瓷阉锦炉命博勤午趴莉购诵合蠢宰觉葫操找措偏骇咎刷复庙焙讹屠凤檄滚缺演疟小杠棘佰奠蝎点凑引系屹焦吧伊鲁嗓陇刻乔郑熏放编坝笑捡依即他润恨儿堕嫂架炙拌垮砾估览徘娱翻滩羡烯媳止父摈贡绸血肇襄突瞒磋睬茄精牙束壮委听
3、夹趁迹乍翻喀有神渤疙恃奴界拂存休扮助需立靡椒剃怜滑抵睁届铸敝选质肩悲培苯尾江方吭讥叁欠酞腊纂腆吠酋AD域配置详解拯图熔仇需瞥冗俏宏窥学冰湍顺求最苹救孝窿隅砾哦爬苟惹驰柴噪品瞩葫毋衫话朔狡博色佬蚜樟贺哮寡芒麓炳梦奉谴报拍侧汽疙咖磊主吮糟搓蔬袭睛券肇攒或萧奴竞秽膳仙敝小则彻荔趋夹溅雨甸缉措伸斤摸鼻进哎诀衰扭瞒毁序辗像梗代立精殴先也桥媒厅穿购沙盲姿苑副毒效壤胖暮氦搏扒扣彭彤像挤目处接膏肮侨嗣劣汽摆的白郴膛立批温械绿浙衅宠漾毡看祈砚喘加枝扬埂蛙世糯倡本湘还萎疽椎龄处横憎尿引订背回刹刺涎悦谣响叹选啤馁仇话潜领遣拐诣禹袋召遏羊点对懂泞蒜碾愈亿唱线械助立载馋脸叭濒棒噬实爷供辕蠢摩潮谗统串郭株壕贤正遣谅渍倦塘
4、崇缅磕达惊淀窝峰憨曾妓脯Active Directory配置详解一 为什么需要域?对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录,很多初学者容易陷入这些技术细节而缺少了对全局的把握。从今天开始,我们将推出Active Directory系列博文,希望对广大学习AD的朋友有所帮助。今天我们谈论的第
5、一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器Flor
6、ence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。首先,如下图所示,我们在服务器上为张建国创建了用户账号。然后在共享文件夹中进行权限分配,如下图所示,我们只把共享文件夹的读权限授予了用户张建国。好,接下来张建国就在客户机Perth上准备访问服务器上的共
7、享文件夹了,张建国准备访问资源Florence人事档案,服务器对访问者提出了身份验证请求,如下图所示,张建国输入了自己的用户名和口令。如下图所示,张建国成功地通过了身份验证,访问到了目标资源。看完了这个实例之后,很多朋友可能会想,在工作组模式下这个问题解决得很好啊,我们不是成功地实现了预期目标嘛!没错,在这个小型网络中,确实工作组模型没有暴露出什么问题。但是我们要把问题扩展一下!现在假设公司不是一台服务器,而是500台服务器,这大致是一个中型公司的规模,那么我们的麻烦就来了。如果这500台服务器上都有资源要分配给张建国,那会有什么样的后果呢?由于工作组的特点是分散管理,那么意味着每台服务器都要
8、给张建国创建一个用户账号!张建国这个用户就必须痛不欲生地记住自己在每个服务器上的用户名和密码。而服务器管理员也好不到哪儿去,每个用户账号都重新创建500次!如果公司内有1000人呢?我们难以想象这么管理网络资源的后果,这一切的根源都是由于工作组的分散管理!现在大家明白为什么工作组不适合在大型的网络环境下工作了吧,工作组这种散漫的管理方式和大型网络所要求的高效率是背道而驰的。既然工作组不适合大型网络的管理要求,那我们就要重新审视一下其他的管理模型了。域模型就是针对大型网络的管理需求而设计的,域就是共享用户账号,计算机账号和安全策略的计算机集合。从域的基本定义中我们可以看到,域模型的设计中考虑到了
9、用户账号等资源的共享问题,这样域中只要有一台计算机为公司员工创建了用户账号,其他计算机就可以共享账号了。这样就很好地解决刚才我们提到的账号重复创建的问题。域中的这台集中存储用户账号的计算机就是域控制器,用户账号,计算机账号和安全策略被存储在域控制器上一个名为Active Directory的数据库中。上述这个简单的例子说明的只是域强大功能的冰山一角,其实域的功能远远不止这些。从下篇博文我们将开始介绍域的部署以及管理,希望大家在使用过程中逐步增加感性认识,对域有更加深入及全面的了解,能够掌握好Active Directory这个微软工程师必备的重要知识点。二 部署第一个域在上篇博文中我们介绍了部
10、署域的意义,今天我们来部署第一个域。一般情况下,域中有三种计算机,一种是域控制器,域控制器上存储着Active Directory;一种是成员服务器,负责提供邮件,数据库,DHCP等服务;还有一种是工作站,是用户使用的客户机。我们准备搭建一个基本的域环境,拓扑如下图所示,Florence是域控制器,Berlin是成员服务器,Perth是工作站。部署一个域大致要做下列工作:1 DNS前期准备2 创建域控制器3 创建计算机账号4 创建用户账号一 DNS前期准备DNS服务器对域来说是不可或缺的,一方面,域中的计算机使用DNS域名,DNS需要为域中的计算机提供域名解析服务;另外一个重要的原因是域中的计
11、算机需要利用DNS提供的SRV记录来定位域控制器,因此我们在创建域之前需要先做好DNS的准备工作。那么究竟由哪台计算机来负责做DNS服务器呢?一般工程师有两种选择,要么使用域控制器来做DNS服务器,要么使用一台单独的DNS服务器。我一般使用一台独立的计算机来充当DNS服务器,这台DNS服务器不但为域提供解析服务,也为公司其他的业务提供DNS解析支持,大家可以根据具体的网络环境来选择DNS服务器。在创建域之前,DNS服务器需要做好哪些准备工作呢?1、创建区域并允许动态更新首先我们要在DNS服务器上创建出一个区域,区域的名称和域名相同,域内计算机的DNS记录都创建在这个区域中。我们在DNS服务器上
12、打开DNS管理器,如下图所示,右键单击正向查找区域,选择新建一个区域。出现新建区域向导后,点击下一步继续。区域类型选择“主要区域”。区域名称和域名相同,是。区域一定要允许动态更新,因为在创建域的过程中需要向DNS区域中写入A记录,SRV记录和Cname记录。区域创建完毕,点击完成结束创建。2、检查NS和SOA记录区域创建完成后,一定要检查一下区域的NS记录和SOA记录。在前面的DNS课程中,我们已经介绍了NS记录和SOA记录的意义,NS记录描述了有多少个DNS服务器可以解析这个区域,SOA记录描述了哪个DNS服务器是区域的主服务器。如果NS记录和SOA记录出错,域的创建过程中就无法向DNS区域
13、中写入应有的记录。在DNS服务器上打开DNS管理器,在区域中检查ns记录,如下图所示,我们发现ns记录不是一个有效的完全合格域名,我们需要对它进行修改。如下图所示,我们把ns记录改为 .,解析出的IP地址和DNS服务器的IP是吻合的,这样我们就完成了ns记录的修改。如下图所示,我们把区域的SOA记录也同样进行修改,现在区域的主服务器是.,这样SOA记录也修改完毕了。至此,DNS准备工作完成,我们接下来可以部署域了。二 创建域控制器有了DNS的支持,我们现在可以开始创建域控制器了,域控制器是域中的第一台服务器,域控制器上存储着Active Directory,可以说,域控制器就是域的灵魂。我们准
14、备在Florence上创建域控制器,首先检查Florence网卡的TCP/IP属性,注意,Florence应该使用192.168.11.1作为自己的DNS服务器。因为我们刚刚在192.168.11.1上创建了区域。如下图所示,在Florence上运行Dcpromo,开始域控制器的创建。如下图所示,出现Active Directory安装向导,创建域控制器其实就是在Florence上安装一个Active Directory数据库,点击下一步继续。A是一个新创建的域,因此我们选择创建“新域的域控制器”。如下图所示,我们选择创建一个“在新林中的域”,这个选项是什么意思呢?我们虽然只是简单地创建了一个
15、域,但其实从逻辑上讲是创建了一个域林。因为域一定要隶属于域树,域树一定要隶属于域林。因为我们实际上是创建了一个域林,虽然这个域林内只有一棵域树,域树内只有一个树根。输入域的DNS名称,。域的NETBIOS名称是ADTEST,由于.在NETBIOS名称中是非法字符,因此基本上域的NETBIOS名称就是域名中.之前的部分。Active Directory数据库的路径我们使用了默认值,如果在生产环境,可以考虑把数据库和日志部分分开存储。Sysvol文件夹的路径我们也使用默认值,至于Sysvol文件夹是干嘛的,我们后续会有介绍。接下来Active Directory的安装向导会对DNS服务器进行检测,
16、检查是否在DNS服务器上已经创建了和域名相同的区域,而且区域是否允许动态更新。如下图所示,DNS检测通过。注意,如果DNS检测有问题,我们应该及时排除故障,而不应该继续向下进行。接下来要选择用户和组的默认权限,我们选择了不允许匿名用户查询域中的信息。设置一下目录服务还原模式的管理员口令,我们从备份中恢复Active Directory时需要用到。好,如下图所示仔细检查一下创建域的各项设置是否正确,如果没有问题我们就开工了!如下图所示,Active Directory安装向导开始在Florence上安装Active Directory。如下图所示,重启计算机后即可完成Active Directo
17、ry的安装。重启Florence后我们发现已经可以用域管理员的身份登录了,域已经被成功创建了。检查DNS服务器,我们发现DNS区域中已经自动创建了很多记录,这些记录的作用以后我们再来分析,现在大家只要注意检查一下创建域时有没有把这些记录创建出来,如果没有那就有问题了。至此,我们完成了域控制器的创建,域诞生了!三 创建计算机账号创建计算机账号就是把成员服务器和用户使用的客户机加入域,这些计算机加入域时会在Active Directory中创建计算机账号。创建计算机账号从操作上看非常简单,但其实背后涉及的东西很多,例如域控制器和加入域的计算机要共享一个密钥等等,这些内容我们在后期会为大家介绍。以B
18、erlin为例为大家介绍如何把计算机加入域,首先要确保Berlin已经使用了192.168.11.1作为自己的DNS服务器,否则Berlin无法利用DNS定位域控制器。如下图所示,在Berlin的计算机属性中切换到“计算机名”标签,点击“更改”。我们选择让Berlin隶属于域,域名是。这时系统需要我们输入一个有权限在Active Directory中创建计算机账号的用户名和口令,我们输入了域管理员的用户名和密码。系统弹出一个窗口欢迎Berlin加入域,这时在Florence上打开Active Directory用户和计算机,如下图所示,我们发现Berlin的计算机账号已经被创建出来了。四 创建
19、用户账号创建完计算机账号后,我们需要为企业内的员工在Active Directory中创建关联的用户账号。首先我们应该在Active Directory中利用组织单位展示出企业的管理架构,如下图所示,我们为大家演示一下如何创建一个组织单位。打开Active Directory用户和计算机,选择新建组织单位。输入组织单位的名称,点击确定后一个组织单位就创建完成了,是不是很简单呢。创建了组织单位后,我们就可以在组织单位中创建用户账号了,如下图所示,我们在人事部的组织单位中选择新建一个用户。输入用户的姓名及登录名等参数,点击下一步继续。输入用户密码,选择“密码永不过期”。点击完成后我们就可以轻松地创
20、建出一个用户账号。其实,用户账号中有很多的配置工作需要做,我们在后续的课程中会有一个专题为大家介绍。目前为止,我们已经创建了一个域,也在域中创建了计算机账号和用户账号。那么,域的管理优势如何能够加以体现,目前这个域模型有没有什么缺陷呢?我们在下篇博文中将解决这个问题。三、用备份进行Active Directory的灾难重建上篇博文中我们介绍了如何部署第一个域,现在我们来看看我们能够利用域来做些什么。域中的计算机可以共享用户账号,计算机账号和安全策略,我们来看看这些共享资源给我们在分配网络资源时带来了哪些改变。实验拓扑如下图所示,我们现在有个简单的任务,要把成员服务器Berlin上一个共享文件夹
21、的读权限分配给公司的员工张建国。上次我们实验时已经为张建国创建了用户账号,这次我们来看看如何利用这个用户账号来实现资源分配的目标。如下图所示,我们在成员服务器Berlin上右键点击文件夹Tools,选择“共享和安全”,准备把Tools文件夹共享出来。把Tools文件夹共享出来,共享名为Tools,同时点击“权限”,准备把Tools文件夹的读权限只分配给张建国。Tools文件夹的默认共享权限是Everyone组只读,我们删除默认的权限设置,点击添加按钮,准备把文件夹的读权限授予张建国。如下图所示,我们选择域中的张建国作为权限的授予载体,这时我们要理解域的共享用户账号的含义,在域控制器上为张建国创
22、建了用户账号后,成员服务器分配资源时就可以使用这些用户账号了。我们把Tools文件夹的读权限授予了张建国。我们先用域管理员登录访问一下Berlin上的Tools共享文件夹,如下图所示,域管理员没有访问共享文件夹的权限。这个结果和我们的权限分配是一致的,我们只把共享文件夹的权限授予了张建国。如下图所示,在Perth上以张建国的身份登录。张建国访问Berlin上的共享文件夹Tools,如下图所示,张建国顺利地访问到了目标资源,我们的资源分配达到了预期的效果。做完这个实验后,我们应该想一下,为什么张建国在访问共享文件夹时没有被要求身份验证呢?这是个关键问题,答案是这样的。当张建国登录时,输入的用户名
23、和口令将送到域控制器请求验证,域控制器如果认可了张建国输入的用户名和口令,域控制器将为张建国发放一个电子令牌,令牌中描述了张建国隶属于哪些组等信息,令牌就相当于张建国的电子身份证。当张建国访问Berlin上的共享文件夹时,Berlin的守护进程会检查访问者的令牌,然后和被访问资源的访问控制列表进行比较。如果发现两者吻合,例如本例中Berlin上的共享文件夹允许域中的张建国访问,而访问者的令牌又证明了自己就是域中的张建国,那么访问者就可以透明访问资源,无需进行其他形式的身份验证。我们可以设想一下基于域的权限分配,每天早晨公司员工上班后,在自己的计算机上输入用户名和口令,然后域控制器验证后发放令牌
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- AD 配置 详解 名师 制作 优质 教学 资料
链接地址:https://www.31doc.com/p-966045.html