構(gòu)建與環(huán)境、域用戶和組

構(gòu)建與環(huán)境、域用戶和組
一、構(gòu)建域環(huán)境
1、域和域控制器
（1）域：將網(wǎng)絡(luò)中的計算機邏輯上組織到一起，進行集中管理，這種集中管理的環(huán)境稱為域。
（2）域控制器（DC）:在域中，至少有一臺域控制器，域控制器中保存著整個域的用戶帳號和安全數(shù)據(jù)庫，安裝了活動目錄的一臺計算機稱為域控制器，域管理員可以控制每個/域用戶的行為。
2、活動目錄（AD --- Active Directory）
（1）活動目錄：是一個目錄數(shù)據(jù)庫，存儲整個Windows網(wǎng)絡(luò)中對象的相關(guān)信息，也是一種服務(wù)，可對活動目錄中數(shù)據(jù)執(zhí)行各種操作
（2）活動目錄的特點
① 集中管理、便捷的網(wǎng)絡(luò)資源（用戶/組賬號、共享文件夾打印機等）訪問
② 用戶只需一次登錄就可訪問整個域網(wǎng)絡(luò)
③ 可擴展性
3、域樹和林
（1）域樹：具有連續(xù)的名稱空間的多個域
（2）林:由一個或多個域樹組成，林中每個域樹都有唯一的名稱空間，之間不連續(xù)。
（3）林的根域：第一個域樹狀目錄的根域。
二、創(chuàng)建AD域
1、設(shè)置網(wǎng)絡(luò)參數(shù)
IPconfig /all
2、安裝Active Directory
添加角色和功能 -- 基于角色或基于功能的安裝 -- 從服務(wù)器池中選擇服務(wù)器 --勾選Active Directory-- 域服務(wù)及DNS服務(wù)器 -- 安裝
3、Active Directory配置向?qū)?br/>AD DS -- 點擊“更多”-- 將此服務(wù)器提升為域控制器 -- 添加新林（根域名）-- 選擇林功能級別和域功能級別（級別只能升不能降，所以選最低級）-- 配置還原密碼 -- 執(zhí)行安裝
4、將客戶機加入域
（1）客戶機加入域的條件：
① 計算機IP地址和DNS配置正確
② 確保該計算機和域控制器互相連通
Ping DC的ip nslookup域名（測試能否解析）
（2）將客戶機加入域
客戶機 -- 右擊此電腦 -- 屬性 -- 計算機名右側(cè)更改設(shè)置 -- 計算機名 -- 更改 -- 確認域成員身份 -- 確定 -- 輸入計算機名和域名 -- 確定
三、域用戶和組
1、創(chuàng)建域用戶賬戶
（1）域用戶賬戶存儲在活動目錄數(shù)據(jù)庫中
（2）創(chuàng)建域用戶的工具 -- Active Directory用戶和計算機
（3）創(chuàng)建組織單元（OU）
右擊域名 -- 新建組織單位XXX（如業(yè)務(wù)部等）
（4）創(chuàng)建域賬戶
鼠標(biāo)右擊組織單位 -- 新建 -- 用戶
（5）顯示名
在同一組織單位（OU）內(nèi)應(yīng)唯一
（6）用戶登錄名
在整個域內(nèi)唯一且最長20個字符
2、配置域用戶屬性
登陸時間 、 登錄到 、 賬戶過期
四、組與OU的管理
1、域內(nèi)組賬號的類型
（1）安全組
用來設(shè)置用戶權(quán)限，也可用于電子郵件通訊
（2）通訊組
只用于電子郵件通訊
2、組的作用域
（1）本地域組
針對本域的資源創(chuàng)建本地域組
可包括的成員有：① 用戶賬戶；② 本地域組；③全局組；④ 通用組。
（2）全局組
作用范圍是整個林及信任域
按邏輯關(guān)系創(chuàng)建全局組
可以按Agdlp規(guī)則來使用全局組
（3）通用組
作用范圍是整個林及信任域
全局組和通用組的區(qū)別
① 通用組的成員身份在全局編錄中 ； ② 多域環(huán)境下通用組成員登錄或者查詢速度較快；
③ 全局組的成員身份在每個域中。
3、組織單位（OU）
（1）概念
-- 容器：有效地組織活動目錄對象 -- 組策略
（2）設(shè)計方式
基于部門的OU、基于地理位置的OU、基于對象類型的OU、OU的設(shè)計類型也可以是混合的。
（3）創(chuàng)建方法
-- 新建 -- 組織單位
（4）刪除OU
查看—選擇高級功能—右擊將OU屬性—對象—取消防止意外刪除即可直接刪除OU。
（5）OU的委派
① 為什么需要委派
管理員為適當(dāng)?shù)挠脩艉徒M指派一定范圍的管理任務(wù)，從而減輕管理員的工作負擔(dān)
② 實現(xiàn)方法
打開【Active Directory用戶和計算機】，右擊OU→委派控制，添加要委派任務(wù)的賬戶或組
（6）刪除委派
查看——高級功能
右擊被委派的OU—屬性—安全—高級—刪除被委派的用戶
五、安裝DC
1、安裝DC的必備條件
（1）本地管理員權(quán)限 （2）操作系統(tǒng)版本必須滿足條件 Windows Server版。
（3）有TCP/IP設(shè)置 （4）有足夠的可用磁盤空間
（5）NTFS分區(qū)（至少有一個NTFS分區(qū)） （6）需DNS的支持
選擇在新林中新建域
數(shù)據(jù)庫和日志文件夾默認保存位置c:\windows\ NTDS
Sysvol文件夾的位置必須為NTFS分區(qū)
輸入目錄服務(wù)還原模式的Administrator密碼
域功能級別 支持的域控制器
Windows 2000純模式 Windows 2000 Server Windows Server 2003
Windows Server 2008
Windows Server 2003 Windows Server 2003 Windows Server 2008
Windows Server 2008 Windows Server 2008 Windows Server 2012
Windows Server 2012 Windows Server 2012