windows_learn 001 域(AD)

windows_learn 001 域(AD)

內(nèi)容總覽

活動(dòng)目錄的邏輯結(jié)構(gòu)

域

容器 Container 與組織單元

全局編錄GC(global cataloge)

活動(dòng)目錄的物理結(jié)構(gòu)

目錄分區(qū)

活動(dòng)目錄管理插件和工具

創(chuàng)建AD DS域前的準(zhǔn)備工作

如何創(chuàng)建Windows 2008域

安裝活動(dòng)目錄過(guò)程

個(gè)人學(xué)習(xí)感悟

活動(dòng)目錄的邏輯結(jié)構(gòu)

域

組織單元

域目錄樹與目錄林

全局目錄

域

安全邊界

安全邊界的作用是保證域的管理者只能在該域內(nèi)有必要的管理權(quán)限，除非管理者得到其它域

的明確授權(quán)

復(fù)制單元

在域中，作為域控制器的計(jì)算機(jī)包含活動(dòng)目錄的副本。在一個(gè)特定的域中，所有域控制都能

夠得到活動(dòng)目錄的變化信息，并把變化信息復(fù)制給該域中的其它域控制器。

容器 Container 與組織單元

利用OU可以把對(duì)象組織到一個(gè)邏輯結(jié)構(gòu)中使其最適應(yīng)你的組織需求。

可以把管理控制權(quán)委派給OU中的對(duì)象。要委派的管理控制權(quán)，必須把OU及OU包含的對(duì)象的具體的

權(quán)限指給一個(gè)或幾個(gè)用戶和組。

目錄樹和目錄林

雙向可傳遞的信任，樹與樹之間可建立信任關(guān)系，使其之間的資源共享等

全局編錄GC(global cataloge)

所有對(duì)象的部分屬性（索引）

全局目錄的功能

查找目錄林中任意位置的信息，不管數(shù)據(jù)在什么位置

當(dāng)用戶登錄到網(wǎng)絡(luò)時(shí)，確定用戶的通用組的成員資格

當(dāng)用戶使用登錄組主登錄到網(wǎng)絡(luò)時(shí)，將使用全局目錄服務(wù)器確定用戶所在的域

活動(dòng)目錄的物理結(jié)構(gòu)

域控制器 (Domain Controllers) 物理設(shè)備

參與活動(dòng)目錄的復(fù)制

單主機(jī)復(fù)制模式

多主機(jī)復(fù)制模式

站點(diǎn) Sites

優(yōu)化復(fù)制流量

使用戶能夠使用可靠、高速的連接登錄到域控制器上

目錄分區(qū)

架構(gòu)目錄分區(qū)

它存儲(chǔ)著整個(gè)林中所有對(duì)象與屬性的定義數(shù)據(jù)，也存儲(chǔ)著如何創(chuàng)建新對(duì)象與屬性的規(guī)則。

配置目錄分區(qū)

存儲(chǔ)著整個(gè)AD DS（Active Directory Domain Server) 的結(jié)構(gòu)

域目錄分區(qū)

存儲(chǔ)著與該域有關(guān)的對(duì)象

應(yīng)用程序目錄分區(qū)

是由應(yīng)用程序創(chuàng)建的，其內(nèi)存儲(chǔ)著與該應(yīng)用程序有關(guān)的數(shù)據(jù)

活動(dòng)目錄管理插件和工具

管理插件

Active Directory 用戶和計(jì)算機(jī)

Active Directory 域和信任關(guān)系

Active Directory 站點(diǎn)和服務(wù)

Active Directory 架構(gòu)

管理Windows2008網(wǎng)絡(luò)的方法

利用活動(dòng)目錄來(lái)實(shí)行集中式管理

集中式管理域用戶的訪問(wèn)資源和權(quán)限管理

管理用戶環(huán)境

管理域用戶的權(quán)限，限制其作用范圍和可訪問(wèn)的域資源

委派管理控制權(quán)

將權(quán)限下發(fā)到某個(gè)用戶，使其來(lái)管理域中的特定用戶組或用戶

Windows 2008 域控制器的新功能

只讀域控制器(RODC)

可重啟的活動(dòng)目錄域服務(wù)(ADDS)

域如何刪除

在開始運(yùn)行里輸入dcpromo

創(chuàng)建AD DS域前的準(zhǔn)備工作

計(jì)算機(jī)是運(yùn)行Windows 2008 standerd Server

Windows 2008 Enterprise Server, or Windows 2008 Datacenter Server

活動(dòng)目錄的分區(qū)要求磁盤200MB， 日志文件要求50MB

用NTFS格式化分區(qū)或卷，這是(SYSVOL)文件夾必須的

配置DNS和TCP/IP

如果在已存在的網(wǎng)絡(luò)上創(chuàng)建域，必須有相應(yīng)的權(quán)限

如何創(chuàng)建Windows 2008域

添加ADDS角色

運(yùn)行dcpromo

安裝活動(dòng)目錄過(guò)程

啟用kerberos v5.0 身份驗(yàn)證協(xié)議

設(shè)置本地安全策略：用默認(rèn)的域控制器安全模板

配置本地安全

創(chuàng)建目錄分區(qū)

創(chuàng)建活動(dòng)目錄數(shù)據(jù)庫(kù)文件和日志文件

創(chuàng)建目錄林的根域

創(chuàng)建共享的系統(tǒng)卷文件夾

共享的sysvol 文件夾

網(wǎng)絡(luò)登錄共享文件夾

在適當(dāng)?shù)恼军c(diǎn)配置域控制器的成員資格

使用應(yīng)用文件安裝DC

此文件是在安裝第一臺(tái)DC時(shí)所導(dǎo)出的配置文件，即當(dāng)需要再安裝其它DC時(shí)，修改此配置文件

即可實(shí)現(xiàn)自動(dòng)化安裝DC，而不需要再進(jìn)行人機(jī)交互式安裝DC。簡(jiǎn)化了安裝過(guò)程。

活動(dòng)目錄的默認(rèn)結(jié)構(gòu)（Active Directory Users and computers)

Builtin (windows 2008默認(rèn)的安全組)

computers (默認(rèn)的計(jì)算機(jī)賬戶的位置)

Domain Controllers (默認(rèn)的域控制器計(jì)算機(jī)賬號(hào))

ForeignSecurityPrincipals (外部有信任關(guān)系的域的安全標(biāo)識(shí)符)

LostAndFound (保存孤立對(duì)象的位置)

System (保存系統(tǒng)設(shè)置)

Users (用戶和組賬戶的默認(rèn)位置)

驗(yàn)證活動(dòng)目錄的安裝(Verifying the Active Directory Installation)

驗(yàn)證SRV資源記錄 (DNS里查詢)

驗(yàn)證SYSVOL已成功創(chuàng)建并已正常共享

驗(yàn)證活動(dòng)目錄數(shù)據(jù)庫(kù)和日志文件已成功創(chuàng)建

檢查日志文件看安裝過(guò)程中有沒(méi)有出現(xiàn)錯(cuò)誤

提升目錄林和域的功能級(jí)別

提升林功能級(jí)別

Active Directory 域和信任關(guān)系

提升域功能級(jí)別（注意要先提升林才可提升域）

Active Directory 用戶和計(jì)算機(jī)

添加輔助DC與RODC

方法1

在輔助DC上運(yùn)行dcpromo升級(jí)

方法2

在一臺(tái)可寫DC上制作安裝媒體

在輔助DC上運(yùn)行dcpromo /adv 也可以使用應(yīng)答文件，實(shí)現(xiàn)無(wú)人值守安裝

個(gè)人學(xué)習(xí)感悟

各位對(duì)不住呵呵，，由于現(xiàn)在工作需要，所以需要暫時(shí)學(xué)習(xí)一下Windows server的知識(shí)，等工作完全

hold住的時(shí)候，繼續(xù)再進(jìn)行Linux的研究，個(gè)人感覺(jué)Linux的開源實(shí)在是非常強(qiáng)大，哈哈。學(xué)完我之后

感覺(jué)我個(gè)人都“開源”了哈哈，，你懂得