创建Windows域

 

 

          一，          域的概念

1．      什么是域

·可以将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的环境叫做域（Domain）。

·域是组织与存储资源的核心管理单元。

2．      域控制器DC（Domain Controller）

·有活动目录的服务器称为域控制器。

3．      活动目录AD（Active directory）

·活动目录提供了存储网络上对象信息并使网络用户使用数据的方法。

·活动目录的特点：

（1）      集中管理；

（2）      便捷的网络资源（方便访问）；

     --用户登录一次就可以访问整个网络资源；

     --网络资源包括组、用户帐户、共享文件夹、打印机等。

（3）可扩展性

4．域控制器的条件

   （1）安装者必须具有本地管理员权限；

   （2）操作系统版本必须满足条件（Windows Server 2003除Web版以外；（3）本地磁盘至少有一个分区是NTFS文件系统；

   （4）有TCP/IP设置（IP地址，子网掩码等）；

   （5）有相应的DNS服务器支持；

   （6）有足够的可用空间。

   ·注意：安装活动目录时插入系统盘。

二，安装活动目录          AD（Active　Ｄiretory）

1．      打开“Active Diretory安装向导”

   方法：（1）开始---程序---管理工具-----管理您的服务器----增加/删除角色----配置您的服务器。

    （2）开始—运行----dcpromo

2．是否创建新域

   控制器类型：新域的域控制器、现有域中的额外域控制器。

   新域的域控制器下的选择：在新林中的域、在现有域树中的子域、在现有林中的域树。

3，新域的DNS全名

4，新域的NetBIOS名

5，数据库和日志文件夹

  如果本计算机是第一台域控制器，则SAM数据库就会升级到C\Windows\ntds.dit        .本地用户帐户就会变成域帐户.

6.共享的系统卷:SYSVOL位置必须是在NTFS文件系统分区.

  数据库NTDS.DIT存放在域帐户的活动目录里。

  如果想删除活动目录和域，可以将域控制器降级为普通的服务器；DC降级的命令和升级域的命令相同。均为dcpromo。

7．DNS注册诊断

8．域兼容性

9．还原模式密码

·进入活动目录的方法：

（1）      开始---程序----管理工具---active directory用户和计算机

（2）      开始---运行---dsa.msc。

四，DNS（Domain Name System）域名系统信息，在域中的作用。

1．域名的命名采用DNS标准。

   例如：域名是AA.com；其子域可以为123.AA.com。

2．      客户机定位DC

   当域用户帐户登录或查找活动目录对象时，首先要定位DC，这需要DNS服务器支持。

   ·步骤如下：

（1）      客户机发送DNS查询请求给DNS服务器；

（2）      DNS服务器查询匹配的SRV资源记录；

（3）      DNS服务器返回相关DC的IP列表给客户机；

（4）      客户机联系到DC；

（5）      DC响应客户机的请求。

·DNS在活动目录中起到定位DC的作用，主要靠DNS区域中的SRV资源记录。

·打开SRV资源的方法：开始---程序---管理工具---DNS

·如果DNS的SRV资源不全，可能出现的问题：

（1）      在将计算机加入域时找不到域；

（2）      添加子域时找不到上级；

（3）      建立信任关系时找不到信任域或者被信任域。

·补全SRV资源的记录：

Net stop netlogon     Net　start netlogon

五，域用户帐户

1．      域帐户的创建

（1）      域用户的命名规则：

 ·唯一的用户登录名；

 ·最长20个字符。不能出现：  〈　〉 ？/ \ ； ：= ， + [ ]

 方法1)开始---程序---管理工具---active directory用户和计算机.右键”User”---新建----用户.

     2)开始---运行---dsa.msc---  右键”User”---新建----用户.

(2)域用户帐户的密码规则:

密码长度7位以上.

密码有一定的复杂性,大小字母,数字和特殊符号组成.

(3)设定密码中的选项:

用户下次登录时必须更改密码-------------为保证用户的私密性.

用户不能更改密码--------------用于共享用户

密码不过期

帐户已禁用----------用户暂时无法用该帐户登录.

（4）登录名和显示名的区别

   登录名在属性的帐户里，在域中唯一。

   显示名在属性的常规里，在OU中唯一。

2.配置域用户”帐户属性”.

帐户:登陆时间.   登录到   .   帐户过期时间

3.配置文件:

(1)概念:每一个登录过Windows操作系统的用户,都会有一个独立的工作环境,包括桌面,开始菜单,我的文档,以及其他指定的设置,这些设置都放在操作系统所在的分区上的Documents and Setting \ username文件夹里.这些文件叫做配置文件.

(2)用户配置文件

·本地用户配置文件：对本地配置文件所做的任何更改都只放在本机上。

·漫游用户配置文件：将用户的配置文件存在网络服务器上，每次登录用户时，由服务器上复制一份配置文件到本地并配置用户环境。

  配置文件----路径----\\Service\sharename\username

·强制用户配置文件：一种特殊的漫游配置文件，允许用户更改工作环境的配置，不保存所做的更改。

  管理员配置文件夹中的Ntuser.dat文件更改为Ntuser.man即可使用该用户的配置文件变为强制配置文件。

·临时用户配置文件：对于工作环境不进行保存。

（2）      实现漫游配置：

当域中的用户在其他计算机登录时，就看不见原来的计算机上的工作环境和相关数据，因为这些信息都存在原来的计算机的Documents and Settings\username文件夹里.在Windows2003域中通过设置漫游用户配置文件夹来解决此问题:

原理:将用户配置文件放在一个服务器的共享文件里,在用户的属性里指向配置文件的网络路径,当用户登录时,自动加载服务器上的配置文件,当用户注销时,会将更新过的配置文件保存到服务器上.

步骤:(1)准备一台存放配置文件的固定计算机，建立一个共享文件夹，设置其共享和安全权限为完全控制。

(2)将用户的配置文件指向准备好的共享文件夹。

  路径为：\\存放文件夹的主机名\共享文件夹名.

4.用户文件夹

   也称用户主目录.  用于备份

   一般用户文件夹用于存放拥护的私有文件.

   增强安全可靠性.,提高私密性.

   打开:右键用户----属性----配置文件----\\域控制器所在计算机名\共享文件夹名\ ----确定.

六,组的管理

组（group）是用户帐户的集合。组的主要功能就是为了用户和镶套在里面的组等单元提供对网络资源的访问权限。

1．组的类型

·通讯组：只能用作电子邮件的通讯。

·安全组：可简化网络的维护和管理。

2．组的作用域

 在创建安全域时，有3种作用域。

（1）      本地域组：

     使用范围：本域。    针对本域的资源创建本地域组。

例如；创一个本地域组并指派读取，则只有本地域组的成员才可读取。

称为ADLP规则。Account用户帐户，Domainlocalgroup本地域，Permission权限。

（2）      全局组：

     使用范围：整个林以及信任域。   用来管理具有相同管理任务或者访问资源权限的用户帐户。限制外人加入.

例如：将部门中的用户帐户加入全局组，将全局组加入本地域组----授予权限。

称为   AGLP规则：Account帐户， Globalgroup 全局组，Domainlocalgroup，Permission权限。

（3）      通用组：

    使用范围：整个林和信任域。不限制外人加入.   创建和查询性能。

·通用组的创建。

若功能级别是Windows2000混合模式。则不能登录通用安全组。

域功能级别有3种：

~~~~Windows 2000混合模式

~~~~Windows 2000纯模式

~~~~Windows Server 2003

若想创建通用安全组需要提升模式。

方法：打开Active Diretory用户计算机----右键域名----提升域功能级别。--Windows 2000纯模式。

3．通用组的成员身份在全局编录中

在多域环境中，通用组成员身份在全局编录中，而全局组成员身份存储在每个域中，在多域情况下，通用组成员登录或查询速度较快。

七，组织单位管理

1．      OU是活动中的对象，也是活动目录中的容器。

OU统一管理某一部门的资源

可以根据部门，功能类型，地理位置或基于以上综合

2．      委派功能：指定某用户或组来管理本OU的一些行为。

查看；Active Directory用户和计算机----查看----高级功能---右键指定的OU属性----安全----高级---权限。