单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,201,6,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,主讲：黄丽芬,项目,3,配置与管理活动目录服务,项目描述,某公司是一个规模较大,IT,公司，其员工较多，可共享使用的网络资源也较多，原来这些资源分别由不同的服务器管理，管理较为琐碎，使用也不方便。现此公司欲实现所有帐户、共享资源由服务器集中管理，只要帐户的权限足够，可以用一个帐户在公司的任何一台计算机上登录，查询、使用公司任何的共享资源，既方便又安全。,项目任务,任务,1,认知活动目录,任务,2,创建和管理域控制器,任务,3,域的应用,任务一 认识活动目录,5,理解域的概念,会安装域控制器,会管理本地域组和全局组,会管理,OU,（组织单位）,任务一 实训目标,6,创建,Windows,域,域资源管理,相关概念,域用户管理,域组管理,安装条件,OU,的管理,DNS,的作用,安装活动目录,部署活动目录域,发布共享文件夹,7,域和活动目录的概念,活动目录,活动目录是,Windows,网络中的目录服务，即活动目录域服务（,ADDS,）,活动目录提供了存储网络对象信息并使网络用户使用这些数据的方法，负责目录数据库的保存、新建、删除、修改与查询等服务。,活动目录特点,集中管理，用户容易根据目录找到所需数据。,便捷的网络资源访问,用户一次登录就可访问整个网络资源,网络资源主要包含用户账户、组、共享文件夹、打印机等,可扩展性,改进的性能与可靠性（可智能选择只复制更改过的信息）,安全性（权限与凭据）,8,域和活动目录的概念,域,将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域,域是组织与存储资源的核心管理单元,域控制器,在域中，至少有一台域控制器,域控制器中保存着整个域的用户帐号和安全数据库,9,域和活动目录的概念,域目录树,具有连续的域名空间的多个域（包含多个域目录树结构）,域目录林,林由一个或多个域树组成,组成域目录林的两个域目录树的树根之间会自动创建相互的、可传递的信任关系。,10,域和活动目录的概念,组织单位,组织单位是包含在活动目录中组织、管理一个域内对象的容器。是为对活动目录对象进行分类而创建的。它能包容用户账户、用户组、计算机、打印机和其他的组织单元（如按公司不同部门创建不同的组织单位）,创建组织单位有如下好处：,可分类组织对象，使所有对象结构更清晰,可对某些对象配置组策略，实现对这些对象的管理和控制,可委派管理控制权，给不同部门的网络主管授权，让他们管理本部门的账号,任务二 创建与管理域控制器,12,安装域控制器的条件,安装者必须具有本地管理员权限,操作系统版本必须满足条件（,Windows Server 2008,除,Web,版外都满足）,本地磁盘至少有一个分区是,NTFS,文件系统,有,TCP/IP,设置（,IP,地址、子网掩码、网关、,DNS,等）,有相应的,DNS,服务器支持,有足够的可用空间,13,安装活动目录,推荐步骤,设定好,IP,、子网掩码、网关、,DNS,与计算机名,添加,AD,域服务角色,运行,dcpromo,命令启动安装向导,在,新,林中新建域,设置域名,DNS,服务器,目录服务还原模式的,Administrator,密码,验证,AD,域服务的安装,P115,查看计算机属性,查看管理工具,查看活动目录对象,查看,AD,数据库,查看,DNS,记录,14,域功能级别,15,删除活动目录,将域控制器降级为普通的服务器,运行,dcpromo,命令,设置当前域控制器是否为此域的最后一台域控制器,设置降级为普通服务器的管理员账户的密码,16,将计算机加入域,配置客户机的,IP,地址和首选,DNS,将客户机加入域,17,扩：,DNS,在域中的作用,域名的命名采用DNS标准,客户机定位,DC,1,）客户机发送,DNS,查询请求给,DNS,服务器,2,）,DNS,服务器查询匹配的,SRV,资源记录,3,）,DNS,服务器返回相关,DC,的,IP,地址列表给客户机,4,）客户机联系到,DC,5,）,DC,响应客户机的请求,域的,DNS,区域维护,SRV,资源记录可以定位,DC,18,安装额外的域控制器（现有林）,在域中安装额外的域控制器需要把活动目录从原有的域控制器复制到新的服务器上。,转换服务器角色（,P119,图,3-29,）,域控制器降级为成员服务器：在域控制器上把活动目录删除，服务器就降级为成员服务器了。,注：,P120,（再次运行,dcpromo,）,成员服务器降级为独立服务器：将,“,隶属于,”,属性改为某个工作组。,创建子域,部署配置：在现有林中新建域,验证子域的创建,:Active Directory,用户和计算机,验证父子信任关系,任务三 管理域中的组账户,域用户账户,域用户账户用来使用户能够登录到域或其他计算机中，从而获得对网络资源的访问权。,当在一个域控制器上创建新的用户账户时，这个域控制器会把信息复制到其他域控制器，从而确保该用户可以登录并访问任何一个域控制器,21,创建域用户账户,2-1,域用户账户存储在活动目录数据库中,创建域用户的方法,“,Active Directory,用户和计算机,”,工具,22,创建域用户账户,2-2,显示名,组织单位（,OU,）中唯一,用户登录名,域中惟一,最长,20,字符,密码设置,密码设置注意事项,密码选项的作用,23,配置域用户账户属性,登录时间,登录到,账户过期,设置用户账号模板,当添加多个用户账号时，可以以一个设置好的用户账号作为模板。,右击要作为模板的账号，并在弹出的快捷菜单中选择,“,复制,”,命令，即可复制该模板账号的所有属性，而不必再一一设置，从而提高账号添加的效率。,验证用户账户,25,组的类型,26,组的作用域,本地域组,全局组,通用,组,27,本地域组,使用范围是本域,针对本域的资源创建本地域组,成员：,用户账户,本地域组,全局组,通用组,28,全局组,使用范围是整个林及信任域,按逻辑关系创建全局组,具有相同管理任务或者访问权限的用户,如，按部门创建,可以按,AGDLP,规则来使用全局组,29,通用组,使用范围是整个林及信任域,全局组和通用组的区别,通用组的成员身份在全局编录中,多域环境下通用组成员登录或者查询速度较快,全局组的成员身份在每个域中,30,组织单位（,OU,）的管理,概念,容器：有效地组织活动目录对象,委派控制,组策略,设计方式,基于部门的,OU,基于地理位置的,OU,基于对象类型的,OU,OU,的设计也可以是混合的,创建方法,新建组织单位,31,OU,的委派,为什么需要委派,管理员为适当的用户和组指派一定范围的管理任务，从而减轻管理员的工作负担,实现方法,打开,【Active Directory,用户和计算机,】,，右击,OU,委派控制,添加要委派任务的账户或组,选择要委派的任务,32,删除委派,要取消委派时可以删除委派任务,删除方法,33,发布共享文件夹,为什么要发布共享文件夹,统一管理，方便查找,实现思路：,创建共享文件夹,创建,OU,右击,OU,新建共享文件夹，输入名称和路径,设置发布文件夹的属性信息,34,查找共享文件夹,搜索,Active Directory,输入搜索条件,35,总结,创建,Windows,域,域资源管理,相关概念,域用户管理,域组管理,安装条件,OU,的管理,DNS,的作用,安装活动目录,部署活动目录域,发布共享文件夹,36,实验案例,1,：安装活动目录,需求描述：,ABC,公司的网络中约有,100,台计算机。公司需要集中管理计算机和用户账户以及其他网络资源，这需要建立,Windows 2008,域，域名为,。如何实现？,37,实验案例,1,：安装活动目录,实现思路：,准备两台虚拟机,安装活动目录,将客户机加入域,38,实验案例,1,：安装活动目录,学员练习：,在服务器上安装活动目录,同时安装,DNS,配置客户机的,IP,与,DNS,地址,将客户机加入域,创建域用户,使用域用户在客户机上登录,39,实验案例,2,：,OU,的管理,需求描述：,ms,公司有,5,个部门：行政部、人事部、工程部、销售部和财务部。网络管理员需要按部门来管理用户账户和组。网络管理员委派销售部的某员工可以有权限重置本部门员工的密码,销售部,财务部,重设密码,40,实验案例,2,：,OU,的管理,实现思路：,创建,OU,创建用户,委派权限,验证委派,41,实验案例,2,：,OU,的管理,学员练习：,创建,OU,创建用户,委派权限,在客户机添加“,Active Directory,域服务工具”功能,在客户机上使用被委派用户验证委派,