第五章 建立 Active Directory域
1.工作组和域的理解
a.工作组是一种平等身份环境,各个计算机之间各个为一个独立体,不方便管理和资源共享。
b.域环境一般情况下满足两类需求,一类是应用需求,比如微软的系列产品Exchange 群集技术都需要域环境;
第二类是管理需求,比如组策略的控制、集中控制用户和组身份、共享计算机资源,都可以在域环境中发挥极致的性能。
2.AD(活动目录)概述
a.AD域内的Directory Database(目录数据库)被用来存储用户账户、计算机账户、打印机、共享文件夹等对象,而提供目录服务的组件就是AD域服务(AD DS)
3.名称的理解
4.对象和属性的理解
5.容器与组织单位的理解
a.容器内可包含:容器=对象(用户、计算机等)+其他容器
b.组织单位可包含:组织单位=对象+组织单位+策略
c.AD DS是以层次式架构将对象、容器与组织单位等组合在一起,并将其存储到AD DS数据库内
d.组织单位可以理解为一种特殊的容器
6.域、树、林之间的关系
a.数据时分散存储在各个域内,每一个域内只存储隶属于该域的数据。
7.信任的理解
a.当你在建立林时,每一个域树的根域与根林域之间是双向的可传递的信任关系,这种关系是自动建立的。因此每个域树种的每一个域内的用户只要拥有权限就可以访问其他域内的资源,也可以到其他任何一个域树内登陆。
8.架构的理解
a.在同一个林内的所有域树共享相同的架构
9.域控制器的理解
a.AD域服务的目录数据时存储在域控制器内的
b.一个域内可以有多台域控制器,其身份几乎平等,它们各自存储着一份相同的AD DS数据库,其数据同步可以自动同步,也可以手动同步。
c.两台或多台域控制器可以提供容错功能。
10.Lightweight Directory Access Protocol(LDAP)的理解
a.首先强调的是LDAP是一种通信协议,用来查询与更新AD DS数据的目录服务通信协议。
b.AD DS利用LDAP名称路径来表示对象在AD DS数据内的位置,以便访问AD DS数据库内的对象
c.LDAP名称路径包含:
1、DN:Distinguished Name (专有名称),其表示对象在AD DS数据库内的
完整路径:CN=zhangsan,OU=Users,DC=birtop,DC=com
2、RDN:Relative Distinguished Name
3、GUID:Global Unique Identifier
4、UPN:User Principal Name:
11.全局编录概念理解
a、虽然在域树内的所有域能够共享一个AD DS数据库,但是其详细数据是分布在各个域内,而每个域只存储该域本身的数据,为了让用户以及应用程序能够快速找到位于其他域内的资源,在AD DS内便设计了全局编录。
b、一个林之内所有域树共享相同的全局编录
c、全局编录的数据是存储在域控制器之内的,这台域控制器被称为全局编录服务器,它存储着所有域的AD DS数据库内的每一个对象,不过只存储对象的部分关键属性。
12.站点的理解
a、站点是由一个或多个子网IP组成,这些子网之间通过调整稳定的链路连接起来,如果两个网络之间的链路不够高速和稳定,可以规划为不同站点。
b、根据上述描述,一般情况下LAN可规划为一个站点,而WAN之中的各个LAN应该规划为不同的站点。
c、域是逻辑的分组,而站点是物理的分组
d、若一个域的域控制器分布在不同的站点内,而站点之间是低俗链接的话,由于不同站点的域控制器会互相复制AD DS数据库,因此需要谨慎规划执行复制的时间段。
e、不同站点之间在复制时所传递的数据会被压缩,以减少站点之间连接的带宽负载;但同一个站点内的域控制器复制并不会进行压缩数据。
13.目录分区
a、架构目录分区(Schema Directory Partition)
它存储着整个林中所有对象与属性的关键数据,也存储着如何创建新的对象与属性的规则,整个林所有的域共享一份相同的架构目录分区,它会被复制到林中域内的所有域控制器。
b、配置目录分区(Configuration Directory Partition)
它存储着整个AD DS的结构,比如林中有哪些域、有哪些站点、有哪些域服务器控制器等数据,整个林所有的域共享一份相同的架构目录分区,它会被复制到林中域内的所有域控制器。
c、域目录分区(Domain Directory Partition)
每一个域各有一个域目录分区,其内存储着与该域有关的对象,比如用户,组,计算机,组织单位等。每一个域各自有一份域目录分区,它只会被复制到该域的所有域控制器中,并不会被复制到其他域控制器中。
d、应用程序目录分区(Application Directory Partition)
一般来说,应用程序的目录分区主要是由程序创建的,其内存储着与该应用有关的数据。应用程序目录分区会被复制到林中特定的域控制器。
14.试验环境及建立AD域的必要条件
1、建立AD域的必要条件
a、DNS
b、NTFS CONVERT D: /FS:NTFS
2、建立网络中的第一台域控制器
安装拓补图
(1)关闭防火墙
(2)配置网络(这里需要配置好自己VMware网卡)
最好禁用WINS上的Netbios
安装AD域服务
然后点击
添加新林
后面的默认就行,只要没做特别说明
这里我需要更改密码强度
更改过后,点击安装
重启即可
3.确定域控制器是否安装成功
确定是否是工作组还是域,如果是域则表示安装成功。
安装成功后,用户和组位置在这里
包含这项功能
4.建立更多的域控制器
另外一台主机名dc1
根上面的内容一样
确定网路通畅
接下来就是安装域控(主要是作为备份),大体内容和上面内容一样。
这里由于SID的问题,我需要重新安装一台windows 2012 R2
查看server01 这台主域控
在dc上新建一个用户
发现dc1上已经同步过来
建立两台域控的好处:1.容错 2.提高效率
15.将Windows7计算机加入域或者退出域
计算机配置
1.加入域
输入身份验证后,成功加入域
切换用户(administrator),登录域
加入域控过后,这里域服务器和Windows7会默认打开域防火墙,这里为了方便做实验,把它关掉。
访问域内容的共享测试
2.以普通用户登录(zhangsan)
注:而域控制器不能以普通用户来登录,这里被策略所限制。
位置:控制面板->系统和安全->管理工具->组策略管理->如图所示点击编辑->计算机配置->windows设置->安全设置->本地策略->用户权限分配->允许本地登录->添加用户和组
编辑组策略,增加本地登录
3.退出域
这里要有域控制器的权限,才能退出域。
4.子域的创建
网络的配置
关闭防火墙
同理安装域服务
将域添加到现有林
使用BJ\administrator登录这个域控
查看DC这一台
5.树域的创建
计算机配置
域控配置
16.管理Active Directory域用户账户
1.安装远程管理工具
remote server administration for windows 7
打开功能:角色管理工具然后找到AD管理中心
2.建立组织单位OU与域用户账户
打开AD用户和计算机
删除的时候使用高级功能,取消防止意外删除
3.多台域控制器情况分析
先新建用户
如果没有复制到dc1上(默认为15s),那么执行如下操作
这样在dc上新建的用户会复制到dc1上
对象:先在本机生效,然后复制到其他域控
策略:先在PDC上生效,再复制到其他域控
4.限制域用户登录时间与登录计算机
17.管理Active Directory域组账户
1.域内的组类型
安全组:它可以用来指定权限,例如你可以指定安全组对文件具备读取的权限。也可以被用来在与安全无关的工作上,例如可以发送电子邮件给安全组。
通讯组:它被用在与安全无关的工作上,例如你可以发送电子邮件给通讯组,但是无法给通讯组分配权限。
2.组的范围
1.本地域组(domain local group)
本地域组主要被用来分配其所属域内的访问权限,以便可以访问该域的资源
其成员可以包含任何一个域内的用户、全局组、通用组;也可以包含相同域内的本地域组,但无法包含其他域内的本地域组
本地域组只能访问该域内的资源,无法访问其他不同域内的资源,无法设置其他不同域内的本地域组的权限。
成员来自全林,用于本地
2.全局组(global group)
全局组主要用来组织用户,也就是你可以将多个即将被赋予相同权限的用户账户加入到同一个全局组内。
全局组内的成员只可以包含相同域内的用户与全局组
全局组可以访问任何一个域内的资源,也就是说可以在任何一个域内设置全局组的权限(这个全局组可以位于任何一个域内),以便让此全局组具备权
限来访问
成员来自本域,用于全林
3.通用组(universal group)
通用组可以在所有域内被设置访问权限,以便访问所有域内的资源
通用组具备"所有领域"特性,其成员可以包含林中任何一个域内的用户、全局组、通用组,但是它无法包含任何一个域内的本地组。
通用组可以访问任何一个域内的资源,也就是说你可以在任何一个域内设置通用组的权限(这个通用组可以位于任何一个域),以便让通用组具备权限
来访问域内的资源
成员来自树系、用于全林
注:A(账户)G(全局组)DL(域本地组)P(Permission)
演示:本地域组
在根域birtop这台
在树域ciscoit制台(跟上同理)
1.本地的组和账户都可以加进来
在树域新增一个用户
回到dc上
你会发现没有ciscoit的本地域组
3.AD DS内置的域组讲解
a、内置的本地域组
这些本地域组本身已经被赋予了一些权限,以便让其具备管理AD DS域的能力。只要将用户或组加入这些组内,这些账户就会自动具备相同权限。
b、内置的全局组
AD DS内置的全局组本身并没有任何的权利,但是可以将其加入到具备权限的本地域组
或另外直接分配给此全局组。这些内置全局组位于Users内的。
c、内置的通用组
只存在于林根域
d、内置的特殊组
18.提升域与林功能级别(理论+实验)
1、域功能级别:
a、Windows Server 2008
b、Windows Server 2008 R2
c、Windows Server 2012
d、Windows Server 2012 R2
2、林功能级别:
a、Windows Server 2008
b、Windows Server 2008 R2
c、Windows Server 2012
d、Windows Server 2012 R2
19.Active Directory回收站
1、AD回收站的功能是当不小心把AD DS中的对象删除后,可以进行恢复的一项技术。
2、要启用AD回收站的功能,林与域功能级别需要时windows server 2008 R2及以上级别
3、一旦启用AD回收站功能,就无法再停用
20.卸除域控制器与域
1、你可以通过降级的方式来卸除域控制器,也就是将AD DS从域控制器删除
2、如果域内还有其他控制器存在,则会被降级为该域的成员服务器
3、必须是Domain Admins或Enterprise Admins组的成员才有权限卸除域控制器
4、如果这台域控制器是此域内的最后一台域控制器,则域内不会再有其他域控制器存在,故域会被卸除,服务器被降级为独立服务器
5、建议先将域的成员计算机退出域,因为卸除域后,就无法再这些计算机上利用域用户账户登录
6、如果域下还有子域,需要先把子域卸除
7、如果域控制器是全局编录服务器,请检查其所属站点是否还有其他全局编录服务器,没有的话,请先指派另外一名域控制器来扮演全局编录服务器,否则将影响用户登陆
8、如果所卸除的域控制器是林内最后一台域控制器,则林会一并被卸除
实验:
卸除子域域控制器
默认点击下一步,然后取消AD域服务的功能
选择继续删除,点击下一步
输入密码点击下一步并降级,然后重启
再点击删除角色和功能(进一步删除),和上面一样的步骤,重启计算机
这时没有了AD相关的管理工具