ms活動目錄
❶ 2003里的域是什麼意思
一、認識Windows 的域
本小節重點從理論上闡述域的概念、作用和Windows 中域的產生。
一台Windows 計算機,它要麼隸屬於工作組,要麼隸屬於域。所以說到域,我們就不得不提一下工作組,工作組是MS 的概念,一般的普遍稱謂是對等網。工作組通常是一個由不多於10 台計算機組成的邏輯集合,如果要管理更多的計算機,MS 推薦你使用域的模式進行集中管理,這樣的管理更有效。你可以使用域、活動目錄、組策略等等各種功能,使你網路管理的工作量達到最小。當然這里的10 台只是一個參考值,11 台甚至20 台,如果你不想進行集中的管理,那麼你仍然可以使用工作組模式。工作組的特點就是實現簡單,不需要域控制器DC,每台計算機自己管理自己,適用於距離很近的有限數目的計算機。另外工作組名並沒有太多的實際意義,只是在網上鄰居的列表中實現一個分組而已;再就是對於「計算機瀏覽服務」,每一個工作組中,會自動推選出一個主瀏覽器,負責維護本工作組所有計算機的NetBIOS 名稱列表。用戶可以使用默認的workgroup,也可以任意起個名字,同一工作組或不同工作組在訪問時也沒有什么分別。域(Domain)是一個共用「目錄服務資料庫」的計算機和用戶的集合,實現起來要復雜一些,至少需要一台計算機安裝NT/2000/03 Server 版本使其充當DC,來實現集中式的管理。若考慮到容錯的話,至少需要兩台。對於NT4 域就是一台PDC(具有唯一性),一至多台BDC,對於2000/03 域,已經沒有PDC 和BDC 的概念,要容錯就需要兩至多台DC。域是邏輯分組,與網路的物理拓撲無關,可以很小,比如只有一台DC;也可以很大,包括遍布世界各地的計算機,比如大型跨國公司網路上的域(當然實際中他們多採用多域結構,還可以利用AD 站點來優化AD 復制)。這個「目錄服務資料庫」,在NT4 時,保存用戶帳號名稱和密碼等安全安全信息,以及安全規則設置,又被稱作安全帳號管理(SAM)資料庫,簡稱SAM 庫。在非DC 上的本地的SAM庫與DC 上域所用的SAM 庫類似,只不過對於NT4 域的SAM 庫文件,保存有整個域的用戶和計算機,用「域用戶管理器」和「伺服器管理器」來管理,本地的SAM 庫文件,保存有本地機的用戶,由「用戶管理器」來管理。
從2000 開始,MS 引入了活動目錄AD,DC 通過AD 來提供目錄的服務,例如它負責維護AD 資料庫、審核用戶的賬戶和密碼是否正確、將AD 資料庫復制到其它的DC 等。AD 庫的核心文件就是winnt\ntds\ntds.dit 文件。注意組策略的具體設置值,並不存在這個文件中,而是保存在winnt\sysvol\sysvol 這個共享夾下,用於向其它DC 復制,傳播給域成員,來生效。但需要說明的是:2000/XP/03 的非DC 域成員計算機上仍使用和NT4 一樣的SAM 庫文件來保存本地帳號。正是由於所有域成員計算機和域用戶都共用這個域的「目錄服務資料庫」,域管理員就可以基於域的「目錄服務資料庫」來進行集中管理、共享資源,如用戶、組、計算機帳號、許可權設置、組策略設置等等。目錄服務為管理員提供從網路上任何一個計算機上查看和管理用戶和網路資源的能力。目錄服務也為用戶提供唯一的用戶名和密碼,用戶只需一次登錄,即可訪問本域或有信任關系的其它域上的所有資源(當然用戶得有許可權才行),而不需要多次提供用戶
名和密碼登錄。
二、構建Windows 2000 的域
這個過程簡單說就是:選一台2000S/AS 計算機,運行AD 安裝向導,在其上安裝活動目錄,使其成為DC。然後將其它的計算機加入到這個域。
說明:至於是用2000S,還是用2000AS,對於一般的用戶差別不大。2000S 支持最多4 個
CPU,最大4G 內存;2000AS 支持最多8 個CPU,最大內存8G,還支持群集功能。但這些我們一般用戶都用不到,所以對於普通用戶來說,選擇S 或AS 都是一樣的。
1、系統要求
*一台2000S 或2000AS 獨立或成員伺服器,2000DS 只有OEM 版,隨廠商硬體發售,平常我們是見不到的。
* 其上必須有一個NTFS 5.0 分區,用來保存AD 的sysvol 文件夾。注意:2000 的NTFS 分區是NTFS 5.0,NT4 的是NTFS 4.0,NT4 必須安裝SP4 後,才可訪問2000 的NTFS 分區。
* 網路上必須有可用的DNS 伺服器,並且必須支持SRV 記錄(Service Locaion Resource Record)和動態更新功能。如:MS Win2000S DNS,UNIX 的DNS BIND 8.12 及以上版本,使用已有的NT4 DNS 是不行的。
說明:
構建NT4 域並不需要DNS 的支持,但2000 域必須有DNS,且滿足上述要求。SRV 記錄的作用是指明域和站點(site)的DC、PDC 模擬、GC 是誰。動態更新也是2000DNS的新特色,管理員不必再象NT4 DNS 那樣手動為計算機創建或修改相應記錄,在域成員計算機
重啟,或改名、改IP 時依賴周期性更新,自動動態實現。
如果沒有DNS 伺服器的話,也不一定非得預裝DNS,可以在安裝AD 過程中,選擇在本機上安裝2000 DNS。而且推薦初學者使用這種方法,因為系統會根據你提供的FQDN 域名,自動創建好DNS 區域(zone),並配置成AD 集成區域,僅安全動態更新。如果需要向外連或反向
解析,用戶只需配置上轉發器和反向區域即可,不需要的話,直接就可以用了。如果決定在安裝AD 過程中在本機安裝DNS,應在安裝前,將本機TCP/IP 配置/DNS 伺服器指向自己,這樣在安裝AD 完成後重啟時,SRV 記錄將被自動注冊到DNS 伺服器的區域當中
去的,生成四個以下劃線開頭的文件夾,如_msdcs,03DNS 在這里夾的層次結構有所變化,但本質沒變。當然如果忘了指,也可以後補上,只不過需要多重啟一次。
2、安裝步驟、注意事項、常見問題、經驗技巧
(1)啟動AD 安裝向導
方法一:開始/程序/管理工具/配置伺服器/ Active Directory /啟動AD 安裝向導。
方法二:熟練後一般常用,開始/運行:dcpromo。
(2)安裝選項:指定伺服器角色
三個界面,實現四種組合:
新域
附加DC
新樹
子域
新林
加入林
即:
* 新域—新樹—新林
* 附加DC
* 新域—子域
* 新域—新樹—加入林
全新安裝:新域—新樹—新林,這樣來建立第一個域中的第一台DC。
2000 的多域模型採用層次結構,不同於NT4 域的平面結構,NT4 的多個域之間只是通過信任關系關聯起來。接下來以下圖為例,對2000 的域、樹、林進行簡要說明:
ms.com
/ \
trainning.mcse.com lotus.com
這整個是一個林,ms.com 為林根域,有兩個樹,一個由ms.com 和它的子域trainning.ms.com組成,另一個由lotus.com 單獨組成,林中有ms.com,trainning.ms.com,lotus.com 三個域。相關
概念如下:
林根域:在林中第一個建立的域,如:ms.com
樹:共用連續的命名空間的多層域,如ms.com 和trainning.ms.com
樹根域:樹最高層的域,名最短。如:ms.com
說明:
2000 可採用多層域結構,但最有效、最簡便的管理方法仍是單域,所以大家在實際工作中要記住一個原則「能用單域解決,就不用多域」。再者2000AD 是針對大中型網路設計的,而我們一般管理的網路也就幾百個節點,屬於小型網路,一般來講用一個單域結構就夠用了,不要人為將管理環境復雜化。在實驗中,我們甚至可以一個林中只有一個樹,一個樹中只有一個域,一個域里只有一台DC。
另外前面已經說過了,域是邏輯分組,與網路的物理拓撲無關,不要總試圖規劃一個子網
一個域。當然實際中多個子網一個域,子網中若有95/98/NT 老計算機,無法利用DNS 直接登錄到域,可以安裝一台WINS 伺服器解決問題。將所有計算機,包括WINS 伺服器本身的TCP/IP
配置中的WINS 伺服器指向此WINS 伺服器即可。
(3)安裝選項:新域的DNS 全名
說明:
在這里應該輸入新域的完全有效域名FQDN,形如:mcse.com。系統會打算以mcse 作為此
域的NetBIOS 名稱,並在網路中檢查是否存在重名,需要等一會兒。不重名則設為mcse,建議用戶不要修改此名;重名則設為mcse0,建議用戶最好換個名字。這也就是說,網路中如果已有一個域,名字叫做mcse.org,也會出現NetBIOS 名稱沖突的問題。
(4)安裝選項:為新域指定一個NetBIOS 名稱
說明:
NetBIOS 名稱,只是為95/98/NT 等老版本用戶通過「瀏覽服務」或WINS 來識別這個域用的,如果確信域用戶都是2000 及以上系統(它們通過DNS 定位域),其實NetBIOS 名稱沖不沖突,都無所謂。
(5)安裝選項:指定AD 庫和日誌文件位置
說明:
如果僅是實驗,用默認值即可。若是在真正的伺服器上,都會有多塊物理硬碟,最好分開存放,以提高性能。另外需要強調的是:AD 庫和日誌文件並不要求非得NTFS 5.0 分區,很多2000/03 書在此語焉不詳。
(6)安裝選項:指定sysvol 文件夾位置
說明:
是sysvol 這個文件夾要求必須得NTFS 5.0 分區。在它當中存儲有DC 間AD 要同步的內容,包括組策略的設置值。
(7)這時網路中若無可用DNS 伺服器,就會出現提示:找不到DNS 伺服器,需要考慮在本機上安裝一個DNS 伺服器。可先不必理會,點「確定」,接下來選「是,在本機上安裝並配置DNS」。初學者在此不要選「否,我將自己安裝並配置DNS」。
(8)幾分後,安裝完成,需要重啟。
說明:
若硬碟或網路上沒有可用的2000S 源文件,會提示要2000S 光碟。
最好用新裝2000S 來安裝AD,這樣不容易出問題。如果你是用一個台運行了一段時間的2000S/AS,來安裝AD,使其成為DC。重啟及登錄時可能會很慢(有時可能長達20 分鍾),這是較常見的現象。一般2-3 次以後就好了,如果多次重啟後還那樣,那就要重裝系統及AD 了。
3、域成員計算機
(1)將計算機加入到域
首先將客戶機TCP/IP 配置中所配的DNS 伺服器,指向DC 所用的DNS 伺服器。然後我的
電腦/右鍵/屬性/網路標識/屬性/隸屬於,選擇域:輸入域名,確定。提示輸入用戶口和口令,確定後提示重啟。
說明:
加入域時,如果輸入的域名為FQDN 格式,形如mcse.com,必須利用DNS 中的SRV 記錄
來找到DC,如果客戶機的DNS 指的不對,就無法加入到域。
加入域時,如果輸入的域名為NetBIOS 格式,如mcse,也可以利用瀏覽服務(廣播方式)
直接找到DC,但它不是一個完善的服務,有時就會不好使。
這樣雖然也可把計算機加入到域,而且在等較長時間後也可以登錄到域上去,但不推薦。因為客戶機的DNS 指的不對,則它無法利用2000DNS 的動態更新動能,也就是說無法在DNS區域中自動生成關於這台計算機的A 記錄和PTR 記錄。那麼同一域另一子網的2000 及以上計算機就無法利用DNS 找到它,這本應是可以的。
再者,管理員無法在客戶機上利用域的管理工具來遠程管理域,因為這些管理工具必須使用DNS,出錯提示:找不到域命名信息(有時客戶機的DNS Client 服務有問題也會出現上述提
示,重啟服務即可)。這種情況下,要進行遠程管理,就只能利用TS(終端服務)基於IP 來連了。
當然用戶也可以手動配置WINS 或Lmhosts 文件,來查找DC。這主要用於95/98/NT 老版本計算機跨子網(路由)查找DC 或加入域,因為這些老版本計算機無法利用DNS 來查找DC,瀏覽服務又是廣播方式,只能在本網段進行,因為廣播信息是無法通過路由器的,RFC1542 標
準的路由器,可設置成允許DHCP 的廣播數據通過,僅是一個特例。需要說明的是:95/98 可以使用域用戶帳號登錄到域,但並不能加入到域,在AD 中也沒有計算機帳號,而NT 可以。計算機加入域成功後,未重啟,即已在AD 用戶和計算機/computer 容器下生成計算機帳號
了,實驗中查看時,需要手動刷新一下。而在DNS 中記錄必須在計算機重啟後(不必登錄)或15 分鍾後才能自動注冊或更新到DNS 區域。但若我們平常修改一個計算機的名字或IP,要馬上更新到DNS 區域,倒不一定非得重啟,可利用ipconfig /registerdns 命令就行。明白以上討論可用於排錯,不一定非得重啟登錄後才知道結果。
加入到NT4 域時,需要有管理特權才行;從Windows 2000 開始,微軟作了改進:在Windows2000/03 域中,默認Authenticated Users 即可在域中最多創建 10 個計算機帳戶。Authenticated Users
指被驗證的用戶組,也就是說任何經過身份驗證的普通域用戶都可以加最多10 台計算機到域。
常見問題:在實際中用普通域帳號加計算機到域,有時會不好使,原因是同名計算機帳號(極
可能是它自己已經失效的計算機帳號)已存在而無權覆蓋,這時就得用域管理員帳號了。
(2)在加入域的計算機上,用域用戶帳號登錄到域。
說明:
在域中的非DC 計算機上,可以選擇登錄到域或本機,這是因為它同時還擁有本地用戶帳號。而在DC 上只能選擇登錄到域了,因為整個域都是DC 的,它沒有必要再保留本地帳號了。
2000 是個紅叉,03 乾脆就沒有了。安裝AD 時,會自動刪除本地帳號,即使將來刪除AD,也無法將本地帳號復原,而是重新
生成的。這一點一定要注意:如果本地有EFS 加密的文件,一定要將證書導出或將文件解密後,再在這台計算機上做AD 安裝實驗。
在2000 及以上計算機上登錄到域的過程是這樣的:域成員計算機根據本機DNS 配置去找DNS 伺服器,DNS 根據SRV 記錄告訴它DC 是誰,客戶機聯系DC,驗證後登錄。
(3)深入討論:
如果是在林中跨域登錄,是首先查詢DNS 伺服器,問林的GC 是誰。
前面我們在步驟(1)中強調「加入域前,首先將客戶機TCP/IP 配置中所配的DNS 伺服器,指向DC 所用的DNS 伺服器。」其實如果域中有多個DNS 伺服器,也可以指向其它的DNS 伺服器,當然這些DNS 伺服器之間得有區域復制關系。這樣做的目的恰恰是:大中型網路為了平衡DNS 負載。
❷ 「通用組、全局組、域本地組」怎麼理解關於活動目錄的。
真的很想幫你!可是我卻無能為力!抱歉哦
❸ 微軟認證培訓課程有哪些
主要有以下幾點,希望致力於微軟認證的朋友能夠認真的對待: 微軟認證系統管理員(Microsoft Certified Systems Administrator,簡稱 MCSA) 70-270(安裝、配置和管理Microsoft Windows XP Professional) (2272)實現和支持Microsoft Windows XP 70-290(管理與維護Microsoft Windows Server 2003環境) (2273)管理和維護Microsoft Windows Server 2003環境 70-291(實現、管理與維護Microsoft Windows Server 2003網路基礎架構) (2276+2277)實現,管理和維護Microsoft Windows Server 2003網路架構 70-299 (實現與管理Microsoft Windows Server 2003網路的安全) (2823)實施和管理Microsoft Windows Server 2003網路的安全 微軟認證系統工程師(Microsoft Certified Systems Engineer,簡稱MCSE) 70-293(規劃和維護Microsoft Windows Server 2003 網路架構) (2278)規劃和維護Microsoft Windows Server 2003網路架構 70-294(規劃、實現和維護Microsoft Windows Server 2003 活動目錄架構) (2279)規劃、實現和維護Microsoft Windows Server 2003活動目錄架構 70-298(為Microsoft Windows Server 2003網路設計安全) (2830)設計微軟網路的安全 MCSE:Security方向 70-350(實現Microsoft Internet Security and Acceleration Server 2004) (2824)實現Microsoft Internet Security and Acceleration Server 2004 MCSE:Messaging方向 70-284 (實現與管理Exchange Server 2003)70-285 (設計微軟Exchange Server 2003 組織架構) (2400)實現和管理Microsoft Exchange Server 2003(2008)規劃與設計Exchange Server 2003 組織架構
❹ 微軟的WDS和MDT 是什麼
微軟的WDS是Windows 部署服務(Windows Deployment Services),適用與大中型網路中的計算機操作系統部署。可以使用 Windows 部署服務來管理映像以及無人參與安裝腳本,並提供人工參與安裝和無人參與安裝的選項。
微軟的MDT是微軟的部署工具(MicrosoftDeployment Toolkit),通過它可以自動完成桌面和伺服器部署的推薦操作進程。要結合WDS一起使用,還要安裝ADK。
(4)ms活動目錄擴展閱讀:
WDS服務配合DHCP服務和Windows活動目錄域服務,可以對支持PXE啟動的客戶端從遠程安裝和部署操作系統。
MDT可以從任何地方通過網路訪問部署狀況,跨區域復制文件或是進行系統設置。為組織管理驅動、操作系統、應用、軟體包和任務進程提供了改進的用戶界面。能夠使用Windows PowerShell命令行界面的自動化UI功能。
❺ MCSE(微軟系統工程師認證)
MCSE全是EN考試。
對應的考試課程:
1、Exam 70–270: 安裝、配置和管理Windows XP Professional
2、Exam 70–290:管理和維護一個Windows Server 2003 環境
3、Exam 70–291: 實現、管理和維護 Windows Server 2003 網路架構
4、Exam 70-293: 計劃和維護Windows Server 2003 網路架構
5、Exam 70-294: 計劃、實現和維護 Windows Server 2003 活動目錄架構
6、Exam 70-227: 安裝、配置和管理 Microsoft Internet Security and Acceleration (ISA) Server 2000企業版
7、Exam 70-298: 為Windows Server 2003網路設計安全
通過以上八門課程的考試後可獲得以下三個認證:
· 微軟認證系統工程師MCSE
· 微軟認證產品開發專家MCP
微軟認證系統管理員MCSA
❻ windows活動目錄active directery 有什麼優點
1、安裝域控制器會添加哪兩個文件夾?分別存放什麼數據?
SYSVOL文件夾:C:\Windows\SYSVOL用來存儲域共享文件如與組策略有關的設置。
NTDS文件夾:C:\Windows\NTDS用來存儲AD資料庫和資料庫的變動日誌,此日誌可用來恢復AD數據
2、安裝完AD後,主機名沒有注冊到DNS伺服器中,如何解決?SRV記錄沒有注冊到DNS,應該如何解決?
主機名沒有注冊到DNS伺服器中
到此計算機上使用命令:ipconfig /registerdns來解決
SRV記錄沒有注冊到DNS
「重新啟動」netlogon服務
到此台域控制器上選擇「服務」,右擊netlogon服務,選擇「重新啟動」的方式來注冊。
3、如何提升林功能級別?如何提升域功能級別?功能級別提升的特點是什麼?(單向一次)
提升林功能級別
Active Director域和信任關系
請選擇「開始」,「管理工具」,「Active Director域和信任關系」,右擊「Active Director域和信任關系」,選擇「提升林功能級別」。
提升域功能級別
Active Director用戶和計算機
Active Director域和信任關系
請選擇「開始」,「管理工具」,「Active Director用戶和計算機」,右擊域名sayms.com,選擇「提升域功能級別」。
特點:單向一次
4、在目錄林中增加新的域樹時,為了保證每個域的主機都能解析整個目錄林中的所有主機名,有哪些名稱解析方法?
使用同一台DNS伺服器。
各自使用不同的DNS伺服器,並通過區域傳送來復制日誌。
使用DNS伺服器的條件轉發器。
5、什麼是單點登錄?
當用戶用域用戶登錄到域後,便可以直接連接域內的所有計算機,訪問有許可權的資源。
換句話說,域用戶在域內的一台計算機上登錄成功後,當要連接域內的其他計算機時,並不需要手動登錄到其他計算機,這個只需登錄一次的功能,被稱為單點登錄。
6、用戶登錄名(又叫UPN名)、顯示名、UPN名分別在什麼范圍內唯一?
用戶主名由用戶主名前綴和用戶主名後綴組成
用戶登錄名:用戶在登陸時必須選擇域
用戶登陸名唯一性原則:
全名在創建用戶賬號的容器內必須唯一
用戶登陸名在域中必須唯一
用戶主名在目錄林中必須唯一
7、理解SID,RID
SID是全局唯一安全標識符,對象SID和域SID
對象SID=域SID+RID
8、添加、修改用戶的工具有哪些?
csvde.exe--------添加用戶賬戶
ldifde.exe--------添加、刪除、修改用戶賬戶
dsadd.exe--------添加用戶賬戶
dsmod.exe--------修改用戶賬戶
dsrm.exe---------刪除用戶賬戶
9、域中有哪些安全組?分別包含哪些對象?分別可以在什麼范圍內授權?
安全組有:全局組、通用組、域本地組
全局組:
成員資格:包含來自同一個域的用戶賬號和全局組
成員屬於:全局組可以是任何一個域中的通用組和域本地組,以及同一個域中的全局組成員
作用范圍:全局組在域和所有信任域可見
許可權范圍:目錄林中所有域
通用組:
成員資格:可以包含來自目錄林中的任何域的用戶賬號、全局組和通用組
成員屬於:可以是任何域中的域本地組合通用組成員
作用范圍:通用組在目錄林中的所有域是可見的
許可權范圍:目錄林所有域
域本地組:
成員資格:可以包含目錄林中的任何域的用戶賬號、全局組合通用組,以及同一域的域本地組
成員屬於:域本地組可以是同一域中的域本地組
作用范圍:域本地組只在它自己的域中可見
許可權范圍:域本地組位於其中的域
10、常見的組的使用准則有哪些?理解這些准則的含義
A-G-DL-P
A-G-G-DL-P
A-G-U-DL-P
A-G-G-U-DL-P
❼ 活動目錄與域控的關系
什麼是域控制器?
域」的真正含義指的是伺服器控制網路上的計算機能否加入的計算機組合。一提到組合,勢必需要嚴格的控制。所以實行嚴格的管理對網路安全是非常必要的。在對等網模式下,任何一台電腦只要接入網路,其他機器就都可以訪問共享資源,如共享上網等。盡管對等網路上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows 9x構成的對等網中,數據的傳輸是非常不安全的。
不過在「域」模式下,至少有一台伺服器負責每一台聯入網路的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱為「域控制器(Domain Controller,簡寫為DC)」。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的資料庫。當電腦聯入網路時,域控制器首先要鑒別這台電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那麼域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄,用戶就不能訪問伺服器上有許可權保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網路上的資源。
要把一台電腦加入域,僅僅使它和伺服器在網上鄰居中能夠相互「看」到是遠遠不夠的,必須要由網路管理員進行相應的設置,把這台電腦加入到域中。這樣才能實現文件的共享。
1. 伺服器端設置
以系統管理員身份在已經設置好Active Directory(活動目錄)的Windows 2000 Server上登錄,選擇「開始」菜單中「程序」選項中的「管理工具」,然後再選擇「Active Directory用戶和計算機」,之後在程序界面中右擊「Computers」,在彈出的菜單中單擊「新建」,然後選擇「計算機」,之後填入想要加入域的計算機名即可。要加入域的計算機名最好為英文,中文計算機名可能會引起一些問題。
2. 客戶端設置
首先要確認計算機名稱是否正確,然後在桌面「網上鄰居」上右擊滑鼠,點擊「屬性」出現網路屬性設置窗口,確認「主網路登錄」為「Microsoft網路用戶」。選中窗口上方的「Microsoft網路用戶」(如果沒有此項,說明沒有安裝,點擊「添加」安裝「Microsoft網路用戶」選項)。點擊「屬性」按鈕,出現「Microsoft網路用戶屬性」對話框,選中「登錄到Windows NT域」復選框,在「Windows NT域」中輸入要登錄的域名即可。這時,如果是Windows 98操作系統的話,系統會提示需要重新啟動計算機,重新啟動計算機之後,會出現一個登錄對話框。在輸入正確的域用戶賬號、密碼以及登錄域之後,就可以使用Windows 2000 Server域中的資源了。請注意,這里的域用戶賬號和密碼,必須是網路管理員為用戶建的那個賬號和密碼,而不是由本機用戶自己創建的賬號和密碼。如果沒有將計算機加入到域中,或者登錄的域名、用戶名、密碼有一項不正確,都會出現錯誤信息。
什麼是活動目錄
活動目錄是Windows 2000網路體系結構中一個基本且不可分割的部分。它在Windows NT 4.0操作系統的域結構基礎上改進而成,並提供了一套為分布式網路環境設計的目錄服務。活動目錄使得組織機構可以有效地對有關網路資源和用戶的信息進行共享和管理。另外,目錄服務在網路安全方面也扮演著中心授權機構的角色,從而使操作系統可以輕松地驗證用戶身份並控制其對網路資源的訪問。同等重要的是,活動目錄還擔當著系統集成和鞏固管理任務的集合點。
總的來說,活動目錄的這些功能使組織機構可以將標准化的商業規則貫徹於分布式應用和網路資源當中,同時,無需管理員來維護各種不同的專用目錄。
活動目錄提供了對基於Windows的用戶賬號、客戶、伺服器和應用程序進行管理的唯一點。同時,它也幫助組織機構通過使用基於Windows的應用程序和與Windows相兼容的設備對非Windows系統進行集成,從而實現鞏固目錄服務並簡化對整個網路操作系統的管理。公司也可以使用活動目錄服務安全地將網路系統擴展到Internet上。活動目錄因此使現有網路投資升值,同時,降低為使Windows網路操作系統更易於管理、更安全、更易於交互所需的全部費用。
為什麼要提供目錄服務?
對更加強大、透明且高度集成的目錄服務的不斷需求是由爆炸性增長的網路計算所導致的。隨著區域網(LAN)、廣域網(WAN)規模與復雜性的不斷提高和這些網路不斷被連入Internet,以及應用程序對網路的依賴程度不斷增強並不斷被鏈接到協作企業網中的其它系統上,對目錄服務的需求也日漸增多。基於下列原因,目錄服務成為擴展的計算機系統中最重要的部件之一:
l 簡化管理 提供對用戶、應用程序和設備的單一、一致性的管理點。
l 加強安全性 向用戶提供單一的網路資源登錄,為管理員提供強大、一致性的工具以使他們能夠管理為內部台式機用戶、遠程撥號用戶以及外部電子商務客戶提供的安全服務。
l 擴展的互操作性 向所有活動目錄特性提供基於標準的存取方式以及對通用目錄的同步支持。
目錄服務兼任管理工具和用戶工具。隨著網路中對象數量的增加,目錄服務變得必不可少。目錄服務在一個龐大的分布式系統中發揮著網路集線器的作用。致力於這些需求,Windows 2000 伺服器版引入了活動目錄--即一套用於改進Windows網路操作系統管理、安全性和互操作性的完整的目錄服務集。
❽ 請問DNS在活動目錄中的作用
活動目錄即 Active DirectoryActive Directory為什麼會用到DNS服務? --------------------------------------------- DNS用來提供名稱解析,簡單說就是讓客戶端更方便在網上找到伺服器 如果不開啟DNS那麼域裡面的成員伺服器可不可以訪問internet? -------------------------------- 看你怎麼設置了。能不能上網關鍵看 1 ip 子網掩碼2 網關 3 dns 只要能提供正確的數值 就可以上網 域的名字可以隨便填寫嗎,(例如:abc.ttt),這個域名行不行,是不是只能被域裡面的計算機訪問--------------------------------------------------------------- 在內網裡面你可以填寫任意域名,前提是符合命名規則,在網上有統一的域名組織,你可以申請一個 就是域和DNS的關系是什麼樣的。 ms的資料: Active Directory 循序漸進系列指南 http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/default.mspx --------------------華麗的分割線,希望能幫到你-------------------------------Active Directory,即 Windows? 2000 Server 目錄服務,可分層存儲網路對象的信息,並向管理員、用戶和應用程序提供這些信息。 2)結構。使用 Active Directory,可以根據結構組織網路及其對象,這些結構包括域、目錄樹、目錄林、信任關系、部門 (OU) 和站點。 3)相互通信。Active Directory 以標准目錄訪問協議為基礎,因此能夠與其他目錄服務進行交互操作,並可接受遵守這些協議的第三方應用程序的訪問。 Activfe directory的優點在於 1)與 DNS 集成。 Active Directory 使用域名系統 (DNS)。DNS 是一種 Internet 標准服務,它將用戶能夠讀取的計算機名稱(例如 mycomputer.microsoft.com)翻譯成計算機能夠讀取的數字 Internet 協議 (IP) 地址(由英文句號分隔的四組數字)。.............................以下省略,可以參考網址 http://topic.csdn.net/t/20061221/22/5247896.html
❾ 域和活動目錄
http://www.microsoft.com/china/technet/webcasts/class/ad.mspx
❿ 活動目錄(AD)怎麼來架構以及怎麼來管理它呢
安全縱深防禦2008系列之七:通過活動目錄結構和組策略構建基礎網路安全
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032370178&Culture=zh-CN
請到微軟TECHNET網路廣播回站點下載答PDF及視頻課程了解基礎知識.