活動目錄配置
⑴ 活動目錄的配置管理
Windows Server 2003 增強了管理員有效配置和管理Active Directory的能力,即便是擁有多個森林、域和站點的超大型企業也可以得到輕松的管理。
利用新的安裝向導配置Active Directory
新的「配置您的伺服器」向導簡化了設置Active Directory的過程,並且針對特定的伺服器角色提供了經過預先定義的設置,它的優點之一便是:能夠幫助管理員對伺服器的初始化部署方式實施標准化。
在伺服器安裝期間,管理員可以獲得幫助,通過幫助用戶安裝他們在Windows安裝過程中選擇需要的可選組件,伺服器的安裝過程變得更加便利。他們可以使用該向導執行以下工作:
· 通過使用基本的默認設置自動配置DHCP、DNS和Active Directory,建立網路中的第一台伺服器。
· 在用戶安裝文件伺服器、列印伺服器、Web和媒體伺服器、應用伺服器、RAS和路由或者IP地址管理伺服器的時候,為用戶指出完成安裝所需的特性,從而幫助用戶在網路中配置成員伺服器。
管理員可以使用本特性進行災難恢復,將伺服器配置復制到多台計算機上,完成安裝,配置伺服器角色,或者在網路中建立第一個配置或主伺服器。
其它管理特性和改進
特性 描述
自動創建DNS區域 在運行Windows Server 2003操作系統時,DNS區域和伺服器可以自動創建並配置。您可以在企業中創建它們以託管新的區域。本特定可以極大減少手動配置每台DNS伺服器所需的時間。
得到改進的站點間復制拓撲生成過程 站點間拓撲生成器(ISTG)已經得到更新,不僅可以利用改進過的演算法,而且能夠支持比在Windows 2000下擁有更多數量站點的森林。因為森林中的所有運行ISTG角色的域控制器都必須在站點間復制拓撲方面取得一致,新的演算法在森林被提升到Windows Server 2003森林本機模式之前不會被激活。新的ISTG演算法跨越森林提供了得到改善的復制性能。
DNS 配置增強 本特性簡化了DNS錯誤配置的調試和報告過程,有助於正確配置Active Directory部署所需要的DNS基礎結構。
這包括了在一個現有森林中提升某個域控制器的情況,「Active Directory安裝向導」會與現有的一台域控制器進行聯系,以更新目錄並從該域控制器復制必需的目錄部分。如果向導由於不正確的DNS配置而無法找到域控制器,或者域控制器發生故障無法使用,它將執行調試過程,報告產生故障的原因,並指出解決該故障的方法。
為了能夠找到網路中的域控制器,所有的域控制器都必須登記它的域控制器定位DNS記錄。「Active Directory安裝向導」會驗證DNS基礎結構是否得到了正確的配置,以便新的域控制器能夠進行域控制器定位DNS記錄的動態更新。如果此項檢查發現了不正確的DNS基礎結構配置,它將報告相關問題,並給出解釋,告知修復該問題的方法。
通過媒介安裝副本 和通過網路復制Active Directory資料庫的完整副本不同,本特性允許管理員通過文件創建初始副本,這些文件是在對現有域控制器或者全局編錄伺服器進行備份的時候所生成的。任何具有Active Directory意識的備份工具所創建的備份文件都可以使用媒介(例如磁帶、CD、VCD或者網路文件復制)傳輸到候選域控制器上。
遷移工具增強 Active Directory遷移工具(ADMT)在Windows Server 2003中得到了增強,它可以提供:
口令遷移。ADMT version 2 允許用戶將口令從Windows NT 4.0 遷移到 Windows 2000 或 Windows Server 2003 域中,也可以將口令從Windows 2000域遷移到Windows Server 2003 域中。
新的腳本介面。對於大多數常見的遷移工作,例如用戶遷移、組遷移和計算機遷移,我們提供了新的腳本介面。ADMT現在可以通過任何語言驅動,並且支持COM介面,例如Visual Basic® Script、Visual Basic以及Visual C++®開發系統。
命令行支持。腳本介面已經得到了擴展,以支持命令行。所有可以通過編寫腳本來完成的工作都可以直接通過命令行或者批處理文件完成。
安全性轉換改進。安全性轉換(例如在ACL內重新調配資源)得到了擴展。現在,源域可以在安全性轉換運行的時候被脫離。ADMT還可以指定一個映射文件,並用該文件作為安全性轉換的輸入。
ADMT version 2 讓用戶向Active Directory的遷移工作變得簡單了,而且提供了能夠實現自動化遷移的更多選項。
特性 描述
應用程序目錄分區Active Directory服務將允許用戶創建新類型的命名上下文環境,或者分區(又稱作應用程序分區)。該命名上下文環境可以包含除安全主體(用戶、組和計算機)之外的各種類型對象的層次結構,而且能夠被配置為復制森林中的任何域控制器集合,而不一定是相同域中的所有域控制器。
通過對復制范圍和副本位置加以控制,本特性為用戶提供了在Active Directory中託管動態數據的能力,而且不會對網路性能造成不利影響。
存儲在應用程序分區中的集成化DNS區域 Active Directory 中的DNS區域可以在應用程序分區中存儲和復制。通過使用應用程序分區存儲DNS數據,減少了存儲在全局編錄中的對象數量。除此之外,當您在應用程序分區中存儲DNS區域的時候,只有在應用程序分區中指定的部分域控制器會被復制。默認情況下,特定於DNS的應用程序分區僅僅包含那些運行DNS伺服器的域控制器。此外,在應用程序分區中存儲DNS區域使得DNS區域可以被復制到位於Active Directory森林其它域中充當DNS伺服器的域控制器上。通過將DNS區域集成到應用程序分區中,我們可以限制需要復制的信息數量,並且降低復制所需的整體帶寬。
得到改進的DirSync 控制項 本特性改善了Active Directory對一個名為「DirSync」的LDAP控制項的支持,該控制項被用來從目錄中獲得發生了變化的信息。DirSync控制項可以用來進行一些檢查,這些檢查類似於在正常的LDAP搜索上進行的檢查。
功能級別 和Windows 2000的本機模式類似,本特性提供了一種版本控制機制,Active Directory的核心組件可以利用該機制確定域和森林中的每台域控制器都擁有那些功能特性。此外,本特性還可以用來防止Windows Server 2003以前的域控制器加入到一個全部使用Windows Server 2003的Active Directory特性的森林中。
取消架構屬性和分類的激活狀態 Active Directory已經得到了增強,以允許用戶停用Active Directory架構中的某些屬性和分類。如果原始定義中存在錯誤,屬性和分類可以被重新定義。
在將屬性或分類添加到架構中時,如果在設置一個永久性屬性的時候發生了錯誤,停用操作將為用戶提供了一種取代該定義的手段。本操作是可逆的,管理員可以撤銷某個停用操作而不會產生任何不良的副作用。現在,管理員在管理Active Directory的架構方面擁有了更多的靈活性。
域的重命名本特性允許用戶修改森林中現有域的DNS和(或)NetBIOS名稱,同時保證經過修改的森林依然保持良好的組織結構。經過重新命名的域由它的域全局唯一ID(GUID)所代表,它的域安全ID(SID)並沒有發生改變。此外,計算機的域成員關系也不會因為其所在域的名稱發生變化而變化。
本特性沒有包括對森林根域的修改。雖然森林的根域也可以被重命名,但是您不能指定一個其它的域來代替現有的根域而變成一個新的森林根。
域的重命名會導致服務中斷,因為它要求重新啟動所有的域控制器。域的重命名還需要被重命名域中的所有成員計算機都必須重新啟動兩次。雖然本特性為域的重命名提供了一種受支持的手段,但是它既沒有被視作一種例行的IT操作,也沒有成為例行操作的意圖。
升級森林和域 Active Directory已經在安全性和應用程序支持方面添加了很多改進。在現有域或森林中運行Windows Server 2003操作系統的第一台域控制器得到升級之前,森林和域必須為這些新的功能特性做好准備。Adprep便是一個新的工具,用來幫助用戶准備森林和域的升級。如果您是從Windows NT 4.0進行升級,或者在運行Windows Server 2003的伺服器上執行Active Directory的全新安裝,那麼您不需要使用Adprep工具。
復制和信任監視 本功能允許管理員對域控制器之間是否成功地復制了信息加以監視。因為很多Windows組件(例如Active Directory復制)都依賴於域間的相互信任,本特性還為信任關系正確發揮作用提供了一種方法。
⑵ 什麼是活動目錄,它有哪些部分組成,各部分又有怎樣的含義
活動目錄(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。活動目錄服務是Windows 2000操作系統平台的中心組件之一。理解活動目錄對於理解Windows 2000的整體價值是非常重要的。這篇關於活動目錄服務所涉及概念和技術的介紹文章描述了活動目錄的用途,提供了對其工作原理的概述,並概括了該服務為不同組織和機構提供的關鍵性商務及技術便利。
Active Directory簡介
活動目錄(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。(Active Directory不能運行在Windows Web Server上,但是可以通過它對運行Windows Web Server的計算機進行管理。)Active Directory存儲了有關網路對象的信息,並且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結構化的數據存儲方式,並以此作為基礎對目錄信息進行合乎邏輯的分層組織。
Microsoft Active Directory 服務是Windows 平台的核心組件,它為用戶管理網路環境各個組成要素的標識和關系提供了一種有力的手段。
目錄形式的數據存儲
人們經常將數據存儲作為目錄的代名詞。目錄包含了有關各種對象 [例如用戶、用戶組、計算機、域、組織單位(OU)以及安全策略] 的信息。這些信息可以被發布出來,以供用戶和管理員的使用。
目錄存儲在被稱為域控制器的伺服器上,並且可以被網路應用程序或者服務所訪問。一個域可能擁有一台以上的域控制器。每一台域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器復制到域、域樹或者森林中的其它域控制器上。由於目錄可以被復制,而且所有的域控制器都擁有目錄的一個可寫副本,所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。
目錄數據存儲在域控制器上的Ntds.dit文件中。我們建議將該文件存儲在一個NTFS分區上。有些數據保存在目錄資料庫文件中,而有些數據則保存在一個被復制的文件系統上,例如登錄腳本和組策略。
有三種類型的目錄數據會在各台域控制器之間進行復制:
·域數據。域數據包含了與域中的對象有關的信息。一般來說,這些信息可以是諸如電子郵件聯系人、用戶和計算機帳戶屬性以及已發布資源這樣的目錄信息,管理員和用戶可能都會對這些信息感興趣。
例如,在向網路中添加了一個用戶帳戶的時候,用戶帳戶對象以及屬性數據便被保存在域數據中。如果您修改了組織的目錄對象,例如創建、刪除對象或者修改了某個對象的屬性,相關的數據都會被保存在域數據中。
·配置數據。 配置數據描述了目錄的拓撲結構。配置數據包括一個包含了所有域、域樹和森林的列表,並且指出了域控制器和全局編錄所處的位置。
·架構數據。架構是對目錄中存儲的所有對象和屬性數據的正式定義。Windows Server 2003提供了一個默認架構,該架構定義了眾多的對象類型,例如用戶和計算機帳戶、組、域、組織單位以及安全策略。管理員和程序開發人員可以通過定義新的對象類型和屬性,或者為現有對象添加新的屬性,從而對該架構進行擴展。架構對象受訪問控制列表(ACL)的保護,這確保了只有經過授權的用戶才能夠改變架構。
活動目錄功能
活動目錄(Active Directory)主要提供以下功能:
①基礎網路服務:包括DNS、WINS、DHCP、證書服務等。
②伺服器及客戶端計算機管理:管理伺服器及客戶端計算機賬戶,所有伺服器及客戶端計算機加入域管理並實施組策略。
③用戶服務:管理用戶域賬戶、用戶信息、企業通訊錄(與電子郵件系統集成)、用戶組管理、用戶身份認證、用戶授權管理等,按省實施組管理策略。
④資源管理:管理列印機、文件共享服務等網路資源。
⑤桌面配置:系統管理員可以集中的配置各種桌面配置策略,如:界面功能的限制、應用程序執行特徵限制、網路連接限制、安全配置限制等。
⑥應用系統支撐:支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。
Active Directory升級方法
在windwons server上啟用AD的方法:
1、打開運行對話框
2、在運行對話框里輸入dcpromo,進入AD安裝向導
Active Directory和安全性
安全性通過登錄身份驗證以及目錄對象的訪問控制集成在Active Directory之中。通過單點網路登錄,管理員可以管理分散在網路各處的目錄數據和組織單位,經過授權的網路用戶可以訪問網路任意位置的資源。基於策略的管理則簡化了網路的管理,即便是那些最復雜的網路也是如此。
Active Directory通過對象訪問控制列表以及用戶憑據保護其存儲的用戶帳戶和組信息。因為Active Directory不但可以保存用戶憑據,而且可以保存訪問控制信息,所以登錄到網路上的用戶既能夠獲得身份驗證,也可以獲得訪問系統資源所需的許可權。例如,在用戶登錄到網路上的時候,安全系統首先利用存儲在Active Directory中的信息驗證用戶的身份。然後,在用戶試圖訪問網路服務的時候,系統會檢查在服務的自由訪問控制列表(DCAL)中所定義的屬性。
因為Active Directory允許管理員創建組帳戶,管理員得以更加有效地管理系統的安全性。例如,通過調整文件的屬性,管理員能夠允許某個組中的所有用戶讀取該文件。通過這種辦法,系統將根據用戶的組成員身份控制其對Active Directory中對象的訪問操作。
Active Directory 的架構
簡述
Active Directory的架構(Schema)是一組定義,它對能夠存儲在Active Directory中的各種對象——以及有關這些對象的各種信息——進行了定義。因為這些定義本身也作為對象進行存儲,Active Directory可以像管理目錄中的其它對象一樣對架構對象加以管理。架構中包括了兩種類型的定義:屬性和分類。屬性和分類還可以被稱作架構對象或元數據。
分類
分類,又稱對象分類,描述了管理員所能夠創建的目錄對象。每一個分類都是一組對象的集合。在您創建某個對象時,屬性便存儲了用來描述對象的信息。例如,「用戶」分類便由多個屬性組成,其中包括網路地址、主目錄等等。Active Directory中的所有對象都是某個對象分類的一個實例。
架構的擴展
有經驗的開發人員和網路管理員可以通過為現有分類定義新的屬性或者定義新的分類來動態地擴展架構。
架構的內容由充當架構操作主控角色的域控制器進行控制。架構的副本被復制到森林中的所有域控制器上。這種共用架構的使用方式確保了森林范圍內的數據完整性和一致性。
此外,您還可以使用「Active Directory架構」管理單元對架構加以擴展。為了修改架構,您必須滿足以下三個要求:
· 成為「Schema Administrators」(架構管理員)組的成員
· 在充當架構操作主控角色的計算機上安裝「Active Directory架構」管理單元
· 擁有修改主控架構所需的管理員許可權
在考慮對架構進行修改時,必須注意以下三個要點:
· 架構擴展是全局性的。 在您對架構進行擴展的時候,您實際上擴展了整個森林的架構,因為對架構的任何修改都會被復制到森林中所有域的所有域控制器上。
· 與系統有關的架構分類不能被修改。您不能修改Active Directory架構中的默認系統分類;但是,用來修改架構的應用程序可能會添加可選的系統分類,您可以對這些分類進行修改。
· 對架構的擴展不可撤銷。某些屬性或者分類的屬性可以在創建後修改。在新的分類或者屬性被添加到架構中之後,您可以將它置於非激活狀態,但是不能刪除它。但是,您可以廢除相關定義並且重新使用對象標識符(OID)或者顯示名稱,您可以通過這種方式撤銷一個架構定義。
有關架構修改的更多信息,請通過參閱 Microsoft Windows 資源工具包 。
Active Directory不支持架構對象的刪除;但是,對象可以被標記為「非激活」,以便實現與刪除同等的諸多益處。
⑶ 誰知道怎麼樣設置活動目錄
活動目錄介紹及安裝
一、活動目錄介紹
(一)目錄服務
目錄,是一個資料庫,存貯了網路資源相關的信息,包括了資源的位置、管理等信息。
目錄服務 是一種網路服務,目錄服務標記管理網路中的所有實體資源(比如計算機、用戶、列印機、文件、應用等),並且提供了命名、描述、查找、訪問以及保護這些實體信息的一致的方法,使網路中的所有用戶和應用都能訪問到這些資源。
(二)活動目錄(Active Directory)
活動目錄 是Windows 2000完全實現的目錄服務,也是Windows 2000網路體系的基本結構模型,是Windows 2000網路操作系統的核心支柱,也是中心管理機構。
Microsoft在Windows 2000中提供的活動目錄是一個全面的目錄服務管理方案,也是一個企業級的目錄服務,具有很好的可伸縮性。活動目錄採用了Internet的標准協議,它與操作系統緊密地集成在一起。活動目錄不僅可以管理基本的網路資源,比如計算機對象、用戶賬戶、列印機等,它也充分考慮了現代應用的業務需求,為這些應用提供了基本的管理對象模型,比如用戶賬戶對象具有辦公電話、手機、呼機、住址、上司、下屬、電子郵件等屬性。幾乎所有的應用可以直接利用系統提供的目錄服務結構,而且活動目錄也具有很好的擴充能力,允許應用程序定製目錄中對象的屬性或者添加新的對象類型。
(三)活動目錄的用處
(四)活動目錄的邏輯結構
活動目錄的邏輯結構非常靈活,它為活動目錄提供了完全的樹狀層次結構視圖,邏輯結構與前面我們討論過的名字空間有直接的關系。邏輯結構為用戶和管理員查找、定位對象提供了極大的方便。活動目錄中的邏輯單元包括:域、組織單元(Organizational Unit,簡稱OU)、域樹、域森林。
1、 域(Domain)
域 既是Windows網路系統的邏輯組織單元,也是Internet的邏輯組織單元,在Windows 2000系統中,域是安全邊界。域管理員只能管理域的內部,除非其他的域顯式地賦予他管理許可權,他才能夠訪問或者管理其他的域。每個域都有自己的安全策略,以及它與其他域的安全信任關系。
2、 OU(Organizational Unit)
OU 是一個容器對象,我們可以把域中的對象組織成邏輯組,所以OU純粹是一個邏輯概念,它可以幫助我們簡化管理工作。OU可以包含各種對象,比如用戶賬戶、用戶組、計算機、列印機,甚至可以包括其他的OU。所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結構,對於一個企業來講,我們可以按部門把所有的用戶和設備組成一個OU層次結構,也可以按地理位置形成層次結構,還可以按功能和許可權分成多個OU層次結構。由於OU層次結構局限於域的內部,所以一個域中的OU層次結構與另一個域中的OU層次結構完全獨立。
3、 樹
當多個域通過信任關系連接起來之後,所有的域共享公共的表結構(schema) 、配置和全局目錄(global catalog),從而形成 域樹 。域樹由多個域組成,這些域共享同一個表結構和配置,形成一個連續的名字空間。樹中的域通過信任關系連接起來。活動目錄包含一個或多個域樹。
4、 森林
域森林 是指一個或多個沒有形成連續名字空間的域樹。域林中的所有域樹共享同一個表結構、配置和全局目錄。域林中的所有域樹通過Kerberos信任關系建立起來,所以每個域樹都知道Kerberos信任關系,不同域樹可以交叉引用其他域樹中的對象。
(五)其它
1、 域控制器(Domain Controller)
域控制器是指運行Windows 2000 Server版本的伺服器,它保存了活動目錄信息的副本。域控制器管理目錄信息的變化,並把這些變化復制到同一個域中的其他域控制器上。域控制器也負責用戶的登錄過程,以及其他與域有關的操作,比如身份認證、目錄信息查找等。
一個域可以有多個域控制器。規模較小的域可以只需要兩個域控制器,一個實際使用,另一個用於容錯性檢查;規模較大的域可以使用多個域控制器。
Windows 2000的域結構與Windows NT 4的域結構不同的是,活動目錄中的域控制器沒有主次之分,活動目錄採用了多主機復制方案,每一個域控制器都有一個可寫入的目錄副本。在某一個時刻,不同的域控制器中的目錄信息可能有所不同,一旦活動目錄中的所有域控制器執行同步操作之後,最新的變化信息就會一致。
2、 活動目錄與DNS
活動目錄使用域名服務DNS作為它的定位服務,同時也對標準的DNS作了擴充。在活動目錄中使用DNS的最大好處在於,我們可以使Windows 2000域與Internet上的域統一起來,即Windows域名也是DNS域名。
3、Active Directory命名規范
(1)辨別名( distinguished name (DN))
活動目錄中的每一個對象都會有一個唯一的辨別名DN。DN由域名、對象名組成:
DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用戶對象James Smith在contoso.com域中的Users組織單元中的Teacher單元中.
(2) User Principal Name : 由用戶登錄名和域名組成,如 [email protected]
4、 域運行模式
(1) 混合模式 。混合模式的域既可以有Windows 2000的域控制器,也可以有Windows NT 4的域控制器。這是一個過渡模式,利用這種模式,我們可以對現有的系統逐步升級。但是,在混合模式下,活動目錄中有些功能不能很好地發揮出來。
(2) 准模式 。活動目錄的標准模式要求所有的域控制器都必須運行Windows 2000。只有在這個時候,活動目錄的所有功能和特性才能充分體現出來。
Active Directory 安裝
運行 Active Directory 安裝向導將 Windows 2000 Server 計算機升級為域控制器會創建一個新域或者向現有的域添加其他域控制器。創建域控制器可以:
§ 創建網路中的第一個域。
§ 在樹林中創建其他的域。
§ 提高網路可用性和可靠性。
§ 提高站點之間的網路性能。
要創建 Windows 2000 域,必須在該域中至少創建一個域控制器。創建域控制器也將創建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域,則必須為每個附加的域至少創建一個域控制器。樹林中的附加域可以是:新的子域、新域樹的根。
在安裝 Active Directory 前首先確定DNS服務正常工作,下面用戶來安裝根域為 nt2000.com 的域中第一台域控制器。
步驟1 利用配置伺服器啟動位於 %Systemroot%\system32 中的 Active Directory 安裝向導程序 DCPromo.exe,單擊"下一步"
步驟2 由於用戶所建立的是域中的第一台域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"創建一個新域的域目錄樹" ,單擊"下一步"
步驟4 選擇"創建一個新域的域目錄林", 單擊"下一步"
步驟5 在"新域的 DNS 全名"中輸入要創建得域名,nt2000.com,單擊"下一步
步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為 "nt2000" ,單擊"下一步"
步驟7 顯示資料庫、目錄文件 及Sysvol 文件的保存位置,一般不必作修改。單擊"下一步"
步驟8 配置 DNS 服務,單擊"下一步",(如果在安裝 Active Directory 之前未配置 DNS 伺服器可以在此讓安裝向導配置 DNS ,推薦使用這種方法。)
步驟9 為用戶和組選擇默認許可權,考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本,所以選擇"與 Windows 2000 伺服器之前版本相兼容的許可權",單擊"下一步
步驟10 輸入以目錄恢復模式下的管理員密碼,單擊"下一步"
步驟11 安裝向導顯示摘要信息,單擊"下一步"開始安裝如圖6.7
步驟12 安裝完成之後,重新啟動計算機。
檢驗安裝結果
在安裝完成後,可以通過以下方法檢驗 Active Directory 安裝正確,在安裝過程中一項最重要的工作是在 DNS 資料庫中添加服務記錄( SRV 記錄)。
1.檢查 DNS 文件的SRV記錄
用文本編輯器打開 %systemroot%/system32/config/ 中的 Netlogon.dns 文件,察看 LDAP 服務記錄,在本例中為
_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.
2.驗證 SRV 記錄在 NSLOOKUP 命令工具中運行正常
步驟1 在命令提示行下,輸入 NSLOOKUP
步驟2 輸入 set type=srv
步驟3 輸入 _ldap._tcp.nt2000.com
如果返回了伺服器名和 IP 地址,說明 SRV 記錄工作正常
6.2.3 安裝第二台域控制器
在安裝完第一台域控制器後其域名為 nt2000.com ,在上例中該伺服器用於總公司,如果由於公司擴展的需要為其新建的工廠建立自己的域名和域控制器,則用戶將工廠的域名定義為 man.nt2000.com ,由於此域名與 nt2000.com 是連續的域名,所以他們組成了一個目錄樹,今後隨著工廠的發展用戶還可以在這個目錄樹下繼續逐級添加子域(如:accounting.man.nt2000.com),如果需要添加的域名與該目錄樹不連續(如:nt3000.com)則用戶就需要建立一個新的目錄樹,這樣由多個目錄樹組成了域目錄林。
在安裝第二台域控制器之前,首先檢驗它的IP設置和DNS設置,以保證可以訪問域控制器(n2k_server.nt2000.com)。
步驟1 利用配置伺服器啟動位於 %Systemroot%\system32 中的 Active Directory 安裝向導程序 DCPromo.exe 。如圖6.4,單擊"下一步"
步驟2 由於用戶所建立的是域中的一台域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"在現有域目錄樹中創建一個新的子域" ,單擊"下一步"
步驟4 在"網路憑據"對話框中輸入上一級域的域名及具有管理員許可權的用戶名和密碼, 單擊"下一步"
步驟5 在"子域安裝"對話框中輸入父域域名(nt2000.com)和子域域名(man),在下方的子域完整域名中會自動顯示 man.nt2000.com,單擊"下一步"
步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為"man",用戶也可以進行修改 ,單擊"下一步"
步驟7 顯示資料庫、目錄文件及 Sysvol 文件的保存位置,一般不必作修改。單擊"下一步"步驟8 為用戶和組選擇默認許可權,考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本,所以選擇"與 Windows 2000 伺服器之前版本相兼容的許可權",單擊"下一步"
步驟9 單擊"下一步"開始安裝,在重新啟動後,在 n2k_server.nt2000.com 的" Active Directory 域和信任關系"中將顯示新建的子域 man.nt2000.com
⑷ 配置了活動目錄怎麼用不了呢
活動目錄之用戶配置文件分類:電腦技術
關於域用戶的開設在前面的文章中(如何把一台成員伺服器提升為域控制器(一)、(二))已經涉及過了,所以在這里開設用戶的方法就不再重復了,本篇文章主要向大家介紹一下用戶配置文件。
首先,什麼是用戶配置文件?根據微軟的官方解釋:用戶配置文件就是在用戶登陸時定義系統載入所需環境的設置和文件和集合,它包括所有用戶專用的配置設置。用戶配置文件存在於系統的什麼位置呢?那麼用戶配置文件包括哪些內容呢?來給大家看一副截圖:
用戶配置文件的保存位置在:系統盤(一般是C盤)下的「Documents and Settings」文件夾下,有一個和你的登陸用戶名相同的文件夾,該用戶配置文件就保存在這里,順便提示一下,如果本機和域上有一個同名用戶,並且都登陸過的話,那麼就會出現在同名文件夾後面拖後綴的情況,舉個例子:比如在一個域(demo.com)裡面有一台計算機(testxp),本地有一個swg的帳號,域上也有一個swg的帳號,並且都登陸過這台計算機,那麼會發生如下情況:
本地帳號先登陸:那麼本地的swg的用戶配置文件夾為swg,而域用戶的用戶配置文件夾為swg.demo。
域帳號先登陸:那麼域用戶的用戶配置文件夾為swg,本地用戶的配置文件夾為swg.testxp。
通過上面的截圖,我們可看出,用戶配置文件包括桌面設置、我的文檔、收藏夾、IE設置等一些個性化的配置。另外需要說明的是在「Documents and Settings」文件夾下有一個名為「All Users」的文件夾,如果你在這個文件夾下的「桌面」文件夾下新建一個文件的話,你會發現所有用戶在登陸時的桌面上都有這個文件,所以這個文件夾里的配置是對這台計算機的每個用戶均起作用的。
當網路變成域構架後,所有的域用戶可以在任意一台域內的計算機登陸,當你在一台計算機上的用戶配置文件修改後,你會發現到另一台計算機上登陸時,所有的設置還是原來的,並沒有發生修改,這是因為用戶的配置文件是保存在本地的,不管是域用戶還是本地用戶,都是保存在那台登陸的計算機上。我們可以在「我的電腦」上擊「右鍵」,選「屬性」,點「高級」,然後在「用戶配置文件」里點「設置」:
請注意「類型」里用紅框標出的部分,全部是「本地」,這就說明用戶配置文件保存在本地,那麼如何才能讓用戶的配置文件隨著帳號走,也就是不管用戶在哪台計算機上登陸都能保持用戶配置文件一致呢?為了解決這個問題,就要用到漫遊用戶配置文件,原理就是把用戶配置文件保存在一個網路的公共位置,當用戶在計算機上登陸里,會從網路公共位置把用戶配置文件下載到本地並加以應用,然後當用戶注銷時,會把本地的用戶配置文件同步到網路公共位置,以保證公共位置用戶配置文件的有效性,以便下一次使用。那麼如何來實現這個功能呢?現在就來實踐一下:
首先,要在一個網路的公共位置開設一個共享文件夾,用來存放用戶配置文件,在個實驗里,就在域控制器上開設一個為share的共享文件夾,並開放許可權:
然後,點擊「開始-設置-控制面板-管理工具」,雙擊「AD用戶和計算機」,並選中相應的用戶,這里以「swg」帳號為例:
在「swg」帳號上雙擊,然後選「配置文件」,在「用戶配置文件-配置文件路徑」里輸入:\\192.168.5.1\share\%username%,「192.168.5.1」是域控制器的IP地址,如下圖所示:
然後點確定,接下去就到客戶端去,用「swg」帳號登陸一下,看看會發生什麼變化。
如上圖所示,DEMO\swg的狀態由剛剛的「本地」變成了「漫遊」,此時注銷一下用戶,那麼就會自動的將該用戶的本地用戶配置文件同步到網路公共位置,如果再用「swg」到另外的域內計算機上去登陸的話,會發現所有的用戶配置文件和這台計算機上是一樣的。那麼伺服器上發生了些什麼變化呢?
如上圖所示,伺服器的「share」文件夾里會自動創建一個和用戶名一樣的「swg」文件夾,默認情況下這個文件夾只允許對應的用戶打開:
畫面很熟悉吧?
目前很多公司的IT Pro都有共同的感嘆,就是用戶喜歡把自己的桌面什麼的搞得亂七八糟,雖然通過組策略可以限制掉一部份,但總覺得不是很完善,在這里,向大家推薦使用強制用戶配置文件,用戶可以對自己個人配置文件任意修改,但是一旦注銷後,這些修改將不會被保存,這樣用戶下次登陸里,用戶的配置文件還是保持和原來一樣,那麼如何實現這個功能呢?其實只要將用戶配置文件夾下的「Ntuser.dat」改成「Ntuser.man」就可以了,來看一下修改過程:
首先,在顯示隱藏文件和已知文件的擴展名,可以在「工具-文件夾選項-查看」里進行修改:
~
點「確定」後,就可以在看到那個「Ntuser.dat」文件了,但此時會有一個問題,如果去修改C:\Documents and Settings\swg下的「Ntuser.dat」,會發現根本沒有辦法修改這個文件,因為文件在使用中,無法修改;如果去修改網路公共位置的「Ntuser.dat」,也就是\\192.168.5.1\share\swg下的「Ntuser.dat」,修改當然可以修改,但是由於在「swg」用戶注銷的時候,本地的「Ntuser.dat」會把網路公共位置的「Ntuser.man」覆蓋掉,也就是等於沒有修改。很多人都想直接在伺服器上更改 「swg」文件夾的所有者,然後給管理員帳號添加許可權,這樣就可以直接在伺服器上把「Ntuser.dat」改掉,但本人實踐過幾次,都發現這樣的操作會引起一些許可權無法繼承,而導致出錯的情況,所以不建議大家使用,這里推薦一種方法:
先把「swg」帳號注銷掉,然後用另外一個帳號登陸,比如管理員,當然,如果在登陸成功後直接去訪問\\192.168..5.1\share\swg以試圖修改的話,那麼你將會感到失望,因為還是拒絕訪問的,那麼如何訪問並修改呢,可以這樣操作,「開始-運行-cmd」然後回車,這樣就啟動了命令行,在命令行下輸入:net use \\192.168.5.1 password /user:swg,顯示「命令成功完成」,這樣就利用「swg」和伺服器建立一個連接,此時就可以\\192.168.5.1\share\swg,里進行修改了,
然後再注銷管理員帳號,用「swg」登陸,看看有沒有成功:
看到了吧,類型由「漫遊」變成了「強制」,現在可以在桌面這些地方進行任意的修改,你會發現注銷再登陸,又恢復到了原樣。這種設置在多人使用同一個帳號的情況下非常有用。
最後再請大家注意兩個問題:
1、 在配置強制用戶配置文件時,當用其它用戶登陸修改時,請保證被修改的用戶處於注銷狀態,為什麼?大家不妨自己想一想!
2、 當使用漫遊用戶配置文件時,請不要在桌面等地方存放一些大型的程序或文件,因為用戶在登陸和注銷過程中會下載和上傳配置文件,如果文件過大,會影響登陸和注銷的速度。
⑸ 活動目錄的功能
活動目錄(Active Directory)主要提供以下功能:
①伺服器及客戶端計算機管理:管理服專務器及客戶端計算機賬戶,所屬有伺服器及客戶端計算機加入域管理並實施組策略。
②用戶服務:管理用戶域賬戶、用戶信息、企業通訊錄(與電子郵件系統集成)、用戶組管理、用戶身份認證、用戶授權管理等,按省實施組管理策略。
③資源管理:管理列印機、文件共享服務等網路資源。
④桌面配置:系統管理員可以集中的配置各種桌面配置策略,如:用戶使用域中資源許可權限制、界面功能的限制、應用程序執行特徵限制、網路連接限制、安全配置限制等。
⑤應用系統支撐:支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。
⑹ 如何安裝和配置活動目錄
安裝活動目錄:
在運行中輸入 dcpromo
然後一步一步根據提示操作,
⑺ 活動目錄中用戶配置文件漫遊的基本原理是什麼
如何才能讓用戶的配置文件隨著帳號走,也就是不管用戶在哪台計算機上登陸都能保持用戶配置文件一致呢?為了解決這個問題,就要用到漫遊用戶配置文件,原理就是把用戶配置文件保存在一個網路的公共位置,當用戶在計算機上登陸里,會從網路公共位置把用戶配置文件下載到本地並加以應用,然後當用戶注銷時,會把本地的用戶配置文件同步到網路公共位置,以保證公共位置用戶配置文件的有效性,以便下一次使用。
http://hi..com/lits2000/item/f53d08e95c01c0374ddcafdd
⑻ 什麼是活動目錄活動目錄安裝前,應該做什麼樣的准備工作
你好樓主!
你是要創建域吧
活動目錄 AD (active directory)既是一種目錄,也是一種服務
域與活動目錄是密不可分的,要創建域要注意以下幾點:
1 創建者是本地管理員許可權
2 操作系統是windows server 2008 (除web版)(srever2003 也是可以的,不過你要確保你創建的是新域,或域林中沒有2003以上的域控)
3 至少有一個NTFS分區
4 配置你的TCP/IP設置
5 有相應的DNS服務支持
6 又足夠空間
在命令提示符下輸入 dcpromo 更具提示一步一步操作即可。
希望幫到你!
⑼ 名詞解釋:目錄服務,活動目錄,域,ou,安全組,通信組,本地域組,全局組,通用組,用戶配置文件
目錄服務:
網路上,特別是互聯網中有各型各類的主機,有各種各樣的資源, 這些東西雜散在網路中, 需要有一定的機制來訪問這些資源, 得到相關的服務, 於是就有了目錄服務.早期的目錄服務主要是提供文件檢索, NOVELL就是廣為使用的目錄伺服器系統; 隨著互聯網的發展, 網站的定位又成了難題, 於是有了DNS服務,它也是典型的目錄服務,即幫你做域名與IP地址之間的轉換. 樓上說的NETMEETING, 也是目錄伺服器的服務內容之一, 對NetMetting來說,其目錄伺服器主要是幫助定位用戶狀態信息的.
活動目錄:活動目錄包括兩個方面:目錄和與目錄相關的服務。目錄是存儲各種對象的一個物理上的容器,從靜態的角度來理解這活動目錄與我們以前所結識的「目錄」和「文件夾」沒有本質區別,僅僅是一個對象,是一實體;而目錄服務是使目錄中所有信息和資源發揮作用的服務,活動目錄是一個分布式的目錄服務,信息可以分散在多台不同的計算機上,保證用戶能夠快速訪問,因為多台機上有相同的信息,所以在信息容氏方面具有很強的控制能力,正因如此,不管用戶從何處訪問或信息處在何處,都對用戶提供統一的視圖。
域:網路中的域是一個應用的范圍,在這個范圍內的用戶有一定的訪問許可權而不在域中的用戶會受到域許可權的控制而不能訪問一些東西
OU:OU(Organizational Unit,組織單位)是可以將用戶、組、計算機和其它組織單位放入其中的AD容器,是可以指派組策略設置或委派管理許可權的最小作用域或單元。通俗一點說,如果把AD比作一個公司的話,那麼每個OU就是一個相對獨立的部門。
用戶配置文件:用戶配置文件就是在用戶登錄時定義系統載入所需環境的設置和文件的集合。它包括所有用戶專用的配置設置,如程序項目、屏幕顏色、網路連接、列印機連接、滑鼠設置及窗口的大小和位置。
本地域組:具有本地域作用的組的使用范圍是本域。通常是針對本域的資源創建本地域組。本地域組具有所屬域的訪問許可權,以便訪問本域的資源。本地域組的成員可以是同一個域的本地域組,也可以是任何域內的賬戶、全局組和通用組,他們能訪問的資源只是該本地域組所在域的資源。
全局組:全局組主要是用來組織用戶的。全局組內可以包含同一個域的用戶賬戶與全局組,可以訪問任何一個域內的資源。
通用組:通用組的使用范圍是整個林和信任域。通用組可以訪問任何一個域內的資源,通用組可以包含所有域內的用戶賬戶、全局組和通用組。