1、第一课,活动目录概述(一),本课概述,简介 理解什么是活动目录? 什么是目录 什么是活动目录 了解活动目录的优点 掌握活动目录的对象、属性、类 掌握活动目录架构的作用,简介,教师简介 课程简介,什么是活动目录,什么是目录 什么是活动目录,什么是目录?,在一个组织中关于人和资源的信息的 一个存储仓库 特点:用一致的方式命名、描述、定位、管理和保证这些信息的安全,大家可以以书的目录为例来进行思考,什么是活动目录?,活动目录基于LDAP (Light Directory Access Protocol,轻型目录访问协议) ,有效集中地组织查找和管理网络中的资源(包括用户、计算机、共享文件夹和共享打印
2、机等),活动目录的优点,集中存储用户和密码列表 提供一组服务器作为身份验证服务器 对域中的资源维护一个可供搜索的索引便于查找 允许创建带有不同权限的用户 能更好的做分层管理 为多厂商提供身份验证平台,活动目录对象,活动目录对象代表域中的网络资源 活动目录对象是通过其“属性”来描述的,什么是架构( Schema)?,架构是活动目录的基本结构,是组成活动目录的规则。 活动目录架构包括两个方面内容:对象类和对象属性。 当在活动目录中创建对象时,就必须遵守这个架构规则,只有在活动目录架构中定义了一个对象的属性才可以在活动目录中使用该属性。,总 结,理解什么是活动目录 了解活动目录的优点 掌握活动目录的
3、对象、属性、类 掌握活动目录架构的作用,第二课,活动目录概述(二),本课概述,活动目录的逻辑结构 林、树、域、OU 活动目录的物理结构 站点、DC、WAN链路,AD的逻辑结构,AD的逻辑结构,域 域树和森林 组织单元OU,域活动目录的核心逻辑单元,域是出于管理而定义的对象集合 域是管理边界 域管理员仅仅能管理自己的域,除非在其它域被特别指派管理权利,有其自己的安全策略(独立唯一) 域是复制单元 域中的DC参与复制,并且包含自己域的目录信息的一个完整拷贝,域树和森林,域树具有连续的名称空间,而森林没有 林是活动目录实例的信息安全边界,组织单位OU,OU是活动目录中一个特殊容器,它可把用户、组、计
4、算机和打印机等对象组织起来。 OU是活动目录中最小的管理单元,它不仅可以包括对象,而且可进行组策略设置和委派管理,这是其他普通容器做不到的。,AD的物理结构,站点 域控制器 WAN连接,AD的物理结构,域控制器DC 站点(Site),域控制器,具有存储活动目录数据功能 参与AD复制 在域中执行单主控操作角色,站点,站点目的: 优化复制流量 使用户登录到DC,使用一个可靠的、高速的链接,总 结,活动目录的逻辑结构 林、树、域、OU 活动目录的物理结构 站点、DC、WAN链路,第三课,活动目录的概述(三),本课概述,活动目录的复制模式 LDAP协议 全局编录服务器 活动目录数据库的目录分区,单操作
5、主机和多操作主机,单操作主机: NT4环境 PDCBDC(单向) 无复制冲突 容错性差 多操作主机: 2000/2003 AD DCDC 有复制冲突 容错性好,LDAP 轻型目录访问协议,活动目录访问使用LDAP协议(端口:TCP 389) LDAP协议中制定了严格的命名规范,可唯一定位一个活动目录中的对象。 下表是LADP中关于DC、OU和CN的定义,可辨别名(DN)和相对辨别名(RDN),辨别名DN标识对象所在的域,及找到它的路径,CN=Suzan Fine,OU=Sales,OU=Finance,DC=contoso,DC=msft,相对可辨识名,相对辨别名标识是指辨别名中唯一能标识这个
6、对象的部分,通常为辨别名中最前面的一个。,什么是全局编录GC?,包含有:AD中所有对象属性子集的仓库(包括安全权限)作用:跨域访问、通用组信息、访问令牌(UPN)确定GC位置:AD站点和服务确定GC复制提升完成:注册表(延迟:5分钟),HKLMsystemCurrentControlsetservicesntdsparameters DWORD: Global Catalog Promotion Complete = 1,目录分区,总 结,活动目录的复制模式 LDAP协议 全局编录服务器 活动目录数据库的目录分区,第四课,创建Win server 2003的域,新建域简介 安装 Active
7、Directory 检查Active Directory 默认结构 删除Active Directory,本课概述,Windows 2003 活动目录,在一台WIN2003 SERVER上安装AD,则可创建域,Active Directory的安装准备 安装Active Directory 验证Active Directory的安装 验证”Active Directory用户和计算机”的完整性 将客户机或成员服务器加入现有的域,安装 Active Directory,计算机运行 Windows 2000 Server / Advanced Server / Datacenter Server
8、,Windows Server 2003 Standard / Enterprise / Datacenter NTFS分区,磁盘空间不少于250MB TCP/IP 协议(静态的IP地址)及 DNS(指向自己的IP地址) 适当的权限(管理员的身份) 确认计算机名称 原安装光盘,要求,Active Directory安装准备,启动AD安装向导( DCPROMO),安装Active Directory的过程,验证SRV 记录 验证SYSVOL 验证AD日志 验证事件日志,验证 Active Directory 安装,验证 Active Directory 安装,检查 Active Director
9、y默认结构,客户机加入域,前提条件 步骤 设置DNS地址 将计算机加入域,Lab A: 建立 Windows server 2003 域,先安装DNS再安装活动目录,安装DNS服务 建立DNS辅助区域,实现区域复制 安装活动目录 验证DNS中的区域类型及动态更新,Lab b:先安装DNS再安装域,Active Directory 安装向导 要求有适当权限,删除 Active Directory,总 结,新建域简介 安装 Active Directory 检查Active Directory 默认结构 删除Active Directory,第五课,安装额外域控制器,安装额外域控制器的简介 安装额
10、外域控制器-与主DC共用同一台DNS服务器 安装额外域控制器-与主DC使用不同的DNS服务器,本课概述,容错 责载均衡 多个DC之间是平等的 多个DC之间要实现复制,额外域控制器简介,安装额外域控制器,与主DC共用同一台DNS服务器 在欲安装的额外的域控制器上设置DNS地址(指向DNS服务器) 运行安装向导(Dcpromo)安装额外DC 选择“现有域的额外域控制器”,Lab A: 额外域控制器,安装额外域控制器,与主DC使用不同的DNS服务器 在欲安装的额外DC上安装DNS服务 建立DNS辅助区域 设置DNS地址(指向自己的IP) 运行安装向导(Dcpromo)安装额外DC 验证AD集成区域,
11、验证DNS的区域是否为AD集成区域 只有域内名称才会被注册,验证AD集成区域,Lab b: 安装额外域控制器,总 结,安装额外域控制器的简介 安装额外域控制器-与主DC共用同一台DNS服务器 安装额外域控制器-与主DC使用不同的DNS服务器,第六课,安装额外域控制器(二),安装额外域控制器的简介 实现异地跨广域网安装额外DC,本课概述,容错 责载均衡 多个DC之间是平等的 多个DC之间要实现复制,安装附加DC,安装额外域控制器,实现异地跨广域网安装额外DC 备份主DC的数据 将备份文件传递到异地欲安装的DC上 在异地DC上把备份文件还原到“备用位置” 在异地DC上安装DNS服务,并设置辅助区域
12、 运行安装向导(DCpromo /adv)安装额外DC,备份活动目录数据库,运行NTbackup命令,根据备份向导进行备份。备份时选择:system state,传递备份文件至欲安装额外DC的服务器上,将主DC的备份文件夹共享 在欲安装额外DC的服务器上进行下载备份文件,还原备份文件至备用位置,安装额外DC,运行DCPROMO /ADV根据安装向导安装额外DC,Lab A: 额外域控制器,总 结,安装额外域控制器的简介 实现异地跨广域网安装额外DC,第七课,创建域树,本课概述,多域的特征 什么是目录树 创建一个新的子域,简述:多域的特征,减少复制通信,保持不同域之间独立清晰的安全策略,保护Wi
13、ndows NT早期版本的域结构,分散管理控制,什么是目录树?,父域,子域,连续的名称空间 N,父,子,新域,树的根域,B,N,创建一个新的子域,活动目录安装向导: 创建一个新的域控制器 选择安装现有目录树的子域 和父域形成相互的双向信任关系,例:安装的子域,在一台Windows Server 2003 Standard/Enterprise上安装一个域, 完毕后验证其是否正确(例)。 在另一台Windows Server 2003 Standard/Enterprise上设置静态IP地址,并设置DNS地址为主DC的IP地址。 在该server上运行dcpromo命令,在安装过程中选择”现有域
14、树中的子域”,输入林中根域管理员的名称与密码并选择父域,然后输入子域的名称,其它步骤根据向导操作。,安装的子域 (续),实验:安装域目录树,总 结,多域的特征 什么是目录树 创建一个新的子域,第八课,实现活动目录森林,本课概述,什么是目录林 什么是目录林的根域 创建新目录林 创建新的目录树,什么是目录林?,有一棵或多棵树组成一个域目录林 目录林中的目录树不共享连续的名称空间,所有目录林中的域共享一个公共的配置,架构和全局编录,什么是目录林的根域,目录林的根域是该目录林中创建的第一个域,创建新目录林的根域,创建新目录林的根域 能够使计算机成为新域的域控制器 配置成为全局编录服务器 使用默认的架构
15、和配置目录分区,创建新的目录树,创建新树的根域 能够使计算机成为新域的域控制器 和目录林的根域形成相互的双向信任关系 复制架构和配置目录分区,例:安装的另一棵树,总 结,什么是目录林 什么是目录林的根域 创建新目录林 创建新的目录树,第九课,信任关系,本章概述,何为信任关系 信任关系的类型 什么是TDO? 在森林内的信任关系如何工作 在森林间的信任关系如何工作 如何创建信任关系,信任关系简介,创建信任关系是为了实现不同域之间的资源互访问 被信任对象(TDO)可以访问信任对象的资源 信任关系可以是双向的,也可以是单向的。 信任关系有些是自动建立的,有些需要手工建立 信任关系有些是可传递的,有些是
16、不可传递的,信任关系的类型(一),Trusted domain objects(被信任对象),用来代表域之间信任关系的目录对象 TDO维护了信任关系本身及其属性,TDO(Trusted Domain Objects),TDO 中表示了诸如信任传递性、类型以及互换的域名等属性。 林信任 TDO 存储其他属性,以便从其伙伴林中识别所有受信任的名称空间。 这些属性包括域树名称、用户主体名称 (UPN) 后缀、服务主体名称 (SPN) 后缀,以及安全 ID (SID) 名称空间。,在森林内的信任关系如何工作,树一,树二,Domain 1,树的根域,森林根域,Domain 2,Domain C,Doma
17、in A,Domain B,森林间的信任关系如何工作,如何建立信任关系,利用 Active Directory 域和信任关系建立信任关系,实验:建立快捷信任,创建快捷信任 创建信任之前两个域必须能够相互解析对方的名称 创建快捷信任,总 结,何为信任关系 信任关系的类型 什么是TDO? 在森林内的信任关系如何工作 在森林间的信任关系如何工作 如何创建信任关系,第十课,创建用户和组,本课概述,帐户的类型 创建和管理多个帐户 实现和理解UPN的后缀 创建和管理组 组的嵌套,帐户的类型,创建和管理用户帐户,创建单用户帐户 用户帐户的属性 用户帐户模板 哪些模板中属性会被继承? 创建和管理多个帐户 批量
18、创建用户帐户,用户帐号,用户帐号可分为:域用户帐户和本地用户 举例说明:(域帐号和本地帐号的区别) 创建域用户帐号,安全标识符,SID是标识帐户的唯一数字,系统实际不是通过用户的名字而是通过用户的SID来识别用户的。 SID表示方法: S-1-5-21-1659004503-19356597-854245398-1002 SID可以分为几段,如下所示: S-1-5-21-d1-d2-d3-rid S-1-5只是标准的前缀,21是一个NT的前缀,d1,d2 ,d3只是专用与域的32位数字。RID代表相对标识。,用户帐户的属性,何为用户帐户模板?,网络中如果有很多相同属性的用户帐户需要建立 你如何
19、做呢?,用户帐户模板,哪些模板中属性会被继承?,创建和管理多个帐户,创建和管理组,何为组? 组的类型 什么是域本地组? 什么是全局组? 什么是通用组? 组的嵌套,介绍活动目录中的组,何为组?,组用来简化网络管理和加快访问速度,组的区域:,本地组,域本地组,全局组,通用组,Group,组的类型,全局组,全局组规则,可加入,组成员,权限范围,混合模式: 同一个域的用户帐号 本机模式: 同一个域的用户帐号和全局组,混合模式: 域本地组 本机模式: 任何域的通用组和域本地组,同域全局组,目录林中所有的域,域本地组,域本地组规则,什么是通用组?,Group,Group,Group,Group,Group
20、,组的嵌套,一个组作为一个成员可以被添加到其他的组,AGDLP AGGDLP AGGUDLP AGUDLP,总 结,帐户的类型 创建和管理多个帐户 实现和理解UPN的后缀 创建和管理组 组的嵌套,第十一课,组织单元,本课概述,组织单元概述 容器(Container)与组织单元(OU) 创建组织单元 委派管理控制 在组织单元中发布资源 组织单元与组的区别,组织单元概述,属于活动目录最小的管理容器 活动目录最小的逻辑管理单元 对应了现实企业模型中的部门,容器(Container)与组织单元(OU),使用OU对对象进行逻辑分组 委派专人单独管理一个OU内的对象 可实现AD分散式管理,创建组织单元,委
21、派管理控制,指派权限: 为OU委派其他管理员 可以修改单个OU内对象的特定属性 能够完成所有OU内相同的任务 自定义管理工具: 映射到委派的管理任务 简化接口设计,Lab A:组织单元的委派,在组织单元中发布资源,发布共享文件夹 发布打印机,组织单元与组的区别,组织单元(OU),组(Group),总 结,组织单元概述 容器(Container)与组织单元(OU) 创建组织单元 委派管理控制 在组织单元中发布资源 组织单元与组的区别,第十二课,组策略 (一),本课内容,组策略的介绍 组策略的组成 组策略对象的创建与编辑 组策略对象的处理详解,一、组策略的介绍,什么是组策略? 企业中网络管理的瓶颈
22、 组策略能实现的功能 组策略的实现方式,什么是组策略,组策略是对域中一组用户账号和计算机账号的各种设置的组合。这些设置可以包括以下类型:桌面设置、软件设置、安全设置。 桌面设置:我们可以对域中所有用户的桌面环境进行定制,比如隐藏桌面上的某些图标。 软件设置:可以通过网络来实现应用程序的自动安装或升级,还可以限制用户对某些应用程序的访问。 安装设置:可以实现用户账号、计算机账号以及网络的安装设置。,企业中网络管理的瓶劲,大规模的分布式网络 个人用户薄弱的安全意识 软件部署的难度 软件管理的难度 复杂的系统设置,组策略能实现的功能,一种One to many管理模式的实现 强制性安全配置;灵活的软
23、件部署方式 强化企业中的软件管理;将复杂的系统设置简单化.,使用组策略可以做到: 站点/域级别的集中管理,OU级别分散的管理 控制用户的系统软件环境 通过控制用户和计算机环境,降低管理成本,组策略的实现方式,操作系统中注册表控制着用户与计算机的工作 如果注册表项的值写在策略文件中,通过网络将策略文件中的注册表项值下载给客户机,那么客户机本地的操作系统会强制其执行策略中的值。 组策略源于注册表,高于注册表,它比注册表更为形象 个别策略值与注册表无关,二、组策略对象的组成,组策略对象的组成部分 组策略对象的应用与节点 组策略节点的策略生效原则 策略刷新命令,组策略对象的组成部分(GPC+GPT),
24、在相应的目录容器上链接组策略对象 每个组策略对象分为两个节点:计算机节点用来控制计算机帐户,用户节点用来控制用户帐户 用户组策略设置: 桌面环境设置 软件设置 Windows 设置 安全设置 计算机策略设置: 桌面环境设置 软件设置 Windows 设置 安全设置,组策略对象的应用与节点,组策略节点的策略生效原则,策略刷新命令,语法: gpupdate /target:computer | user /force /target:computer | user 只处理 Computer 设置或当前的 User 设置。默认情况下,将同时处理计算机设置和用户设置。 /force 忽略所有处理优化并
25、重新应用所有设置。 示例 下面的示例说明了如何使用 gpupdate 命令: gpupdate gpupdate /target:computer,三、组策略对象的创建与编辑,创建连接的组策略对象 创建无连接的组策略对象 连接一个现有的组策略对象 编辑组策略对象,创建连接的组策略对象,当创建GPO时,他被连接到所创建的容器上 通过使用活动目录用户和计算机来为域和OU创建GPO 通过使用活动目录站点和服务来为站点创建GPO,创建一个 GPO,GPO的连接名,创建无连接的组策略对象,连接一个现有的组策略对象,编辑组策略对象,用户配置windows 设置Internet Explorer”与“用户配
26、置管理模板windows 组件,实验:创建与配置 GPOs,本实验,您将: 创建与配置 GPOs,四、组策略对象的处理详解,组策略的处理详解 慢速连接,组策略是在谁那儿存储的:域控制器 组策略是在谁那儿处理的:客户端 由谁来处理:七个DLL文件 怎么处理:下载到客户端处理 何时处理:开机及登录时,每当刷新周期到时进行处理 (DC每五分钟刷新一次,普通机9030) 处理机制是如何的:大多数同步处理,少数异步处理 是不是一刷新所有的都处理:不是,采用增量处理机制,最新的才处理 何时会关闭处理:客户端与DC间为慢速连接,组策略的处理详解,慢速连接,发出PING 测试是否慢速连接500K,如果链路低于
27、与500K就有些策略不会执行,总 结,组策略的介绍 组策略的组成 组策略对象的创建与编辑 组策略对象的处理详解,第十三课,组策略(二),本课重点,组策略对象的基本设置 组策略脚本 文件夹的重定向 软件限制,组策略对象的基本设置,用户配置管理模板 windows 组件 开始菜单与任务栏 桌面 控制面板 网络 系统,用组策略分配脚本,什么是组策略脚本设置? 用组策略实现脚本设置 脚本的处理顺序,什么是组策略脚本设置?,组策略脚本设置可以: 集中配置脚本,在计算机启动、关闭、用户登录、退出的时候自动运行。 管理和配置用户环境,用组策略实现脚本设置,脚本的处理顺序,实验: 设置脚本,用户登录sales
28、 logon.vbs 用户退出 sales logoff.vbs,利用组策略重定向文件夹,什么是文件夹重定向? 选择需要重定向的文件夹 如何实现文件夹重定向,什么是文件夹重定向?,重定向文件夹的优点: 不管用户从什么客户机上登录,都可以访问文件夹中的数据 文件夹中的数据集中存储,更便于管理和备份 减少网络通信。网络通信只在用户访问文件的时候出现 文件不在用户登录的计算机上拷贝和保存,选择需要重定向的文件夹,如何实现文件夹重定向,When Redirecting User Folders:,实验: 重定向文件夹,重定向我的文档 重定向桌面 重定向开始菜单,软件限制,哈希规则 证书规则 路径规则
29、Internet 区域规则,总 结,基本设置 组策略脚本 文件夹的重定向 软件限制,第十四课,组策略(三),本课重点,多个组策略对象的处理规则GPMC的使用,多个组策略对象的处理规则,组策略对象的默认继承 阻止策略继承 禁止替代 同一容器上多条策略的处理 计算机配置与用户配置的处理 使用权限过滤进行过滤特殊用户,组策略的默认继承,Windows 2003采用特定的顺序应用组策略,子容器会继承父容器的组策略 如果父容器设置的策略与子容器设置的策略发生冲突,子容器的GPO优先生效。,阻止策略继承,阻止策略继承: 禁止从所有的父容器继承所有的GPO 无法选择针对哪些GPO,全部都禁止继承 针对的是某
30、一层次 不能阻挡“禁止替代”No Override,禁止替代,同一容器上多条策略的处理,容器设置多个GPO冲突时, GPO列表最高的GPO优先级最高,管理员在一个容器上设置多条组策略,优先级自上而下,计算机配置与用户配置的处理,计算机策略优于用户策略(特例) 可以禁用计算机配置或禁用用户配置来提高处理速度,同一条组策略的计算机配置与用户配置,使用权限过滤进行过滤特殊用户,利用GPMC对GPO的管理,进行组策略对象的复制 进行组策略对象的备份 进行组策略对象的恢复 进行组策略对象的导入,GPMC功能介绍,GPMC即组策略管理控制台,与Windows 2000上传统的组策略编辑器截然不同,由一个全
31、新的MMC管理单元及一整套脚本化的接口组成,提供了集中的组策略管理方案,可以大大减少不正确的组策略可能导致的网络问题并简化组策略相关的安全问题,解决组策略部署中的难点,减轻了IT管理员们在实施组策略时所承担的沉重包袱。 GPMC除了实现一般的组策略管理任务,如创建、删除、修改外,还提供了复制、导入、备份、恢复功能。更值得一提的是,GPMC中的组策略报告功能对组策略在计算机上的生效状况提供了详细的说明。,进行组策略对象的复制/备份/导入,进行组策略对象的恢复,实验: 管理 GPOs,进行组策略对象的复制 进行组策略对象的备份 进行组策略对象的恢复 进行组策略对象的导入,总 结,多个组策略对象的处
32、理规则 GPMC的使用,第十五课,用组策略部署和管理软件,本章概述,对软件部署管理的介绍 软件部署的基本配置 软件部署的额外配置 维护已部署的软件,一、对软件部署管理的介绍,软件安装与维护的过程 什么是Windows Installer?,软件安装与维护的过程,什么是Windows Installer?,Windows Installer,Windows Installer 服务 自动化软件安装与配置的进程 对当前安装的应用程序修改或修复,Windows Installer 包 有关安装与反安装的信息 包含.msi主文件与支持文件 有关应用程序的汇总信息比如版本信息等 指向安装分发点物理位置的
33、参照信息,第二节: 软件部署的基本配置,软件部署过程概述 指派 vs. 发布 指定软件安装的默认值,软件部署过程概述,软件部署,计算机配置-开机时自动(Localsystem) 用户配置-用户登陆后必须手工激活 对于计算机而言部署方法只支持指派 对于用户而言支持指派和发布 指派 VS 发布指派,添加删除激活扩展名激活快捷激活,发布不支持快捷方式激活,指派 vs. 发布,软件分发点,如何创建一个软件分发点,演示:如何创建一个软件分发点,如何用GPO部署软件,演示:如何用GPO部署软件,指定软件安装的默认值,定义是否用 缺省值或用户自定义的值,定义软件分发点MSI文件默认的保存位置,定义如何去部署
34、这个软件,实验:部署软件,在这个实验, 你将创建一个GPO去发布一个MSI包用来软件分发.,第三节: 软件部署的额外配置,何为软件分类? 何为软件关联?,何为软件分类,软件分类功能,如何创建软件分类,右击软件安装属性类别,何为软件关联?,如何去做软件关联,1:打开GPO 2:用户配置-软件设置-软件安装-属性 3:属性里找到-文件扩展名 4:应用程序优先权-上下调节优先权,第四节: 维护已部署的软件,软件升级的类型 如何进行软件的重新部署 删除已部署软件的方法,软件升级的类型,部署升级版本的应用程序,如何进行软件的重新部署,删除已部署软件的方法,实验: 维护部署的软件,在这个实验,你将: 升级
35、部署文件 移去部署文件,总 结,对软件部署管理的介绍 软件部署的基本配置 软件部署的额外配置 维护已部署的软件,第十六课,活动目录的综合应用,本课概述,以八维学校为例规化组织单位、规化组、规化用户账户 在活动目录中发布共享文件夹 在活动目录中发布打印机 客户端在活动目录中实现快速查找资源 组策略的综合应用,活动目录规划、设计,在活动目录中发布共享文件夹,管理员可以在域中规划OU,然后在OU中发布资源(包括:共享文件夹、打印机等),方便用户查询使用.,在活动目录中发布共享文件夹(方法),在活动目录相应的OU中发布共享文件夹,方法:打开相应的OU,右击空白处,选择“新建共享文件夹”,输入名称与网络
36、路径. 设置共享文件夹的关键字:右击相应的共享文件夹,选择“属性关键字”,输入相关的关键字即可.,在活动目录中发布打印机,在活动目录相应的OU中发布共享文件夹,方法:在打印服务器上选择“开始设置打印机和传真”,右击欲发布的打印机,选择“属性共享列入目录”即可.,客户端在活动目录中快速查找资源,客户端可以在网络邻居中快速查找域中的各种资源。,组策略的综合应用,组策略脚本设置 文件夹重定向 软件限制 软件部署,组策略脚本设置,组策略脚本设置可以: 集中配置脚本,在计算机启动、关闭、用户登录、退出的时候自动运行。 管理和配置用户环境,文件夹重定向,软件限制,哈希规则 路径规则 Internet 区域
37、规则,软件部署,总 结,以八维学校为例规化组织单位、规化组、规化用户账户 在活动目录中发布共享文件夹 在活动目录中发布打印机 客户端在活动目录中实现快速查找资源 组策略的综合应用,第十七课,管理操作主控(一),本课内容,对主控角色的介绍 查找各种主机角色,多主控和单主控的复制对比,AD域及域控制器与NT4的最大的区别在于采用了多主复制技术代替了单主复制模式. 注:只有AD域处于本机模式或2003的域功能级别时才能实现多主复制,混合模式以及WIN2003的临时模式都使用单主模式. AD在整个结构中都在努力的实现分布控制的思想,但有些工作必须被集中处理,因此我们使用FSMO(灵活性单主机操作),第
38、一节:活动目录的操作主控,架构主控的作用,复制,架构主控,域命名主控的作用,它可以在森林范围向目录林添加/删除域,若其不可用,则无法添加/删除域查询GC,防止重名。其无法查询独立DC的GC,所以必须同时还是一个GC,要想更改域命名主机必须是Enterprise admin组成员,PDC仿真主控的作用,Bj.China.ds,时间服务器同步,China.ds 林根域,PDC仿真器,PDC仿真器,RID主控的作用,在域内分配RID块给每一个DC 防止在森林产生分身,RID 主控,移动,RID 分配,RID块,基础结构主控的作用,移动,全局组被嵌套在 域本地组,基础结构 主控,该主控不要和GC放在一
39、起 除非是单域,第二节:查找各种主机角色,查找架构主机:regsvr32 schmmgmt.dllMMC添加/删除管理单元AD架构 查找域命名主机:域与信任关系 查找RID主机、PDC仿真主机、基础结构主机:Active Directory 用户和计算机 Netdom query fsmo /domain:domain_name,总 结,对主控角色的介绍 查找各种主机角色,第十八课,管理操作主机(二),本课概述,主控角色的传递 主控角色的索取 规化主机角色,进行主控角色的传递,只有当域的基础结构发生主要的变化时,才传送角色,强夺操作主控角色,仅仅在不能传送时,才强夺角色 当强夺一个角色时,数据
40、可能丢失,如何传输角色,如何去传递角色,演示:如何去传递角色,如何去夺取角色,演示:如何去夺取角色,第四节:规划主控角色的放置,放置主控的指南 捕捉主控角色的指南,放置操作主控的指导方针,捕捉主控角色的指南,确定打算夺取给哪个DC,快速的修理PDC仿真器的失败,宁可等待被修理的架构主控, 域命名主控, 或RID主控,夺取结构主控仅仅只在主控修复时间比较长时,总 结,主控角色的传递 主控角色的索取,第十九课,实现活动目录站点,本章概述,AD复制概述 复制模式 目录分区 复制拓朴结构 站点和子网 站点链接 站间复制与站内复制的特点,AD复制概述,为什么要发生复制? 网络中的多台DC为用户提供一致信
41、息 复制什么? 复制是有条件的,复制的是更新(添加,删除,修改,移动) 复制何时发生? 当在某个DC发生变动的时候,这个DC就会发出一个复制请求 复制的边界是什么? 森林 复制是如何工作的?,复制模式,AD的复制模型,大多数对象的复制,只有AD运行与本机模式或win2003功能级别才是多主复制,在混合模式和WIN2003临时模式的域采用单主复制 优点:解决了单点失败 缺点:浪费资源并产生了大量的复制冲突,单主控复制,多主控复制,目录分区,Active Directory 数据库,复制配置,域,森林,包含可以在目录中建立的所有对象和属性的定义,以及建立和控制的规则,包含活动目录结构的信息,包括关
42、于活动目录中建立的所有具体域对象的信息,关于应用程序信息,包括:,自动产生的复制拓朴结构,站点和子网对象,什么是站点链接?,站点链接是:,站间复制进行时所依赖的对象 代表和映射了两个局域网之间的广域网链路,站间复制与站内复制,实验:划分站点,划分站点(将不同的DC划分到相应的站点中) 划分子网,并绑定到相应的站点,总 结,AD复制概述 复制模式 目录分区 复制拓朴结构 站点和子网 站点链接 站间复制与站内复制的特点,第二十课,维护活动目录数据库(一),本课概述,活动目录维护的介绍 活动目录数据修改流程 活动目录数据库文件及其日志 备份活动目录数据库 恢复活动目录数据库,活动目录维护的介绍,活动
43、目录数据修改流程,活动目录数据库文件及其日志,备份活动目录数据库,何时备份系统状态数据:,单独备份 按照企业制定的备份周期 DC在线时联机备份,系统状态数据,SYSVOL 共享文件夹,注册表数据,系统启动文件,COM+ 注册类库,证书服务数据库,活动目录,实验:备份活动目录数据库,恢复活动目录数据库,非授权恢复活动目录,当替代一不能工作的域控制器或者修复一被破坏的目录数据库时需要恢复活动目录 活动目录运行时,备份不能更换活动目录 不能从比墓碑默认的60天生存时间更旧的系统状态数据的备份中恢复活动目录,什么是授权恢复,授权恢复仅在活动目录中标 注特定 的对象信息 授权恢复在非授权恢复执行后发生每
44、天每个授权对象属性的版本号增长100000次 当两个域控制器对同一个对象有不同的版本号时,具有高版本号的对象覆盖低版本号的对象,授权模式还原,重启域控制器,选择目录服务恢复模式,切换到“ authoritative restore”(授权模式)提示状态,键入对象的标识名,退出Ntdsutil,正常重启域控制器,恢复活动目录(系统状态数据),但并不要重启,运行 Ntdsutil.exe,实验: 恢复活动目录数据库,总 结,活动目录维护的介绍 活动目录数据修改流程 活动目录数据库文件及其日志 备份活动目录数据库 恢复活动目录数据库,第二十一课,维护活动目录数据库(二),本课概述,活动目录数据库移动
45、 活动目录数据库的整理 重设目录还原模式的密码,活动目录数据库移动与碎片整理,碎片整理,碎片整理重新安排活动目录数据库里的数据 联机或者脱机都能进行碎片整理,联机碎片整理有效的重新安排数据库的页面,脱机碎片整理重新安排数据库的页面,并创建一新的压缩版本的数据库文件,垃圾的收集过程,如何实现碎片整理,实验:活动目录数据库的离线整理,C:ntdsutil C: ntdsutil: files C: file maintenance: Compact to d:yasuo C: file maintenance: quit C: ntdsutil:quit C:copy d:yasuontds.dit d:ntdsntds.dit,重设目录还原模式的密码,C:ntdsutil C:ntdsutil: Set dsrm password C:重置DSRM管理员密码: Reset password on server (servername),总 结,活动目录数据库移动 活动目录数据库的整理 重设目录还原模式的密码,
