第五章 建立 Active Directory域
1.工作组和域的理解
a.工作组是一种平等身份环境,各个计算机之间各个为一个独立体,不方便管理和资源共享。
b.域环境一般情况下满足两类需求,一类是应用需求,比如微软的系列产品Exchange 群集技术都需要域环境;
第二类是管理需求,比如组策略的控制、集中控制用户和组身份、共享计算机资源,都可以在域环境中发挥极致的性能。
2.AD(活动目录)概述
a.AD域内的Directory Database(目录数据库)被用来存储用户账户、计算机账户、打印机、共享文件夹等对象,而提供目录服务的组件就是AD域服务(AD DS)
3.名称的理解
4.对象和属性的理解
5.容器与组织单位的理解
a.容器内可包含:容器=对象(用户、计算机等)+其他容器
b.组织单位可包含:组织单位=对象+组织单位+策略
c.AD DS是以层次式架构将对象、容器与组织单位等组合在一起,并将其存储到AD DS数据库内
d.组织单位可以理解为一种特殊的容器
6.域、树、林之间的关系
a.数据时分散存储在各个域内,每一个域内只存储隶属于该域的数据。
7.信任的理解
a.当你在建立林时,每一个域树的根域与根林域之间是双向的可传递的信任关系,这种关系是自动建立的。因此每个域树种的每一个域内的用户只要拥有权限就可以访问其他域内的资源,也可以到其他任何一个域树内登陆。
8.架构的理解
a.在同一个林内的所有域树共享相同的架构
9.域控制器的理解
a.AD域服务的目录数据时存储在域控制器内的
b.一个域内可以有多台域控制器,其身份几乎平等,它们各自存储着一份相同的AD DS数据库,其数据同步可以自动同步,也可以手动同步。
c.两台或多台域控制器可以提供容错功能。
10.Lightweight Directory Access Protocol(LDAP)的理解
a.首先强调的是LDAP是一种通信协议,用来查询与更新AD DS数据的目录服务通信协议。
b.AD DS利用LDAP名称路径来表示对象在AD DS数据内的位置,以便访问AD DS数据库内的对象
c.LDAP名称路径包含:
1、DN:Distinguished Name (专有名称),其表示对象在AD DS数据库内的
完整路径:CN=zhangsan,OU=Users,DC=birtop,DC=com
2、RDN:Relative Distinguished Name
3、GUID:Global Unique Identifier
4、UPN:User Principal Name:
11.全局编录概念理解
a、虽然在域树内的所有域能够共享一个AD DS数据库,但是其详细数据是分布在各个域内,而每个域只存储该域本身的数据,为了让用户以及应用程序能够快速找到位于其他域内的资源,在AD DS内便设计了全局编录。
b、一个林之内所有域树共享相同的全局编录
c、全局编录的数据是存储在域控制器之内的,这台域控制器被称为全局编录服务器,它存储着所有域的AD DS数据库内的每一个对象,不过只存储对象的部分关键属性。
12.站点的理解
a、站点是由一个或多个子网IP组成,这些子网之间通过调整稳定的链路连接起来,如果两个网络之间的链路不够高速和稳定,可以规划为不同站点。
b、根据上述描述,一般情况下LAN可规划为一个站点,而WAN之中的各个LAN应该规划为不同的站点。
c、域是逻辑的分组,而站点是物理的分组
d、若一个域的域控制器分布在不同的站点内,而站点之间是低俗链接的话,由于不同站点的域控制器会互相复制AD DS数据库,因此需要谨慎规划执行复制的时间段。
e、不同站点之间在复制时所传递的数据会被压缩,以减少站点之间连接的带宽负载;但同一个站点内的域控制器复制并不会进行压缩数据。
13.目录分区
a、架构目录分区(Schema Directory Partition)
它存储着整个林中所有对象与属性的关键数据,也存储着如何创建新的对象与属性的规则,整个林所有的域共享一份相同的架构目录分区,它会被复制到林中域内的所有域控制器。
b、配置目录分区(Configuration Directory Partition)
它存储着整个AD DS的结构,比如林中有哪些域、有哪些站点、有哪些域服务器控制器等数据,整个林所有的域共享一份相同的架构目录分区,它会被复制到林中域内的所有域控制器。
c、域目录分区(Domain Directory Partition)
每一个域各有一个域目录分区,其内存储着与该域有关的对象,比如用户,组,计算机,组织单位等。每一个域各自有一份域目录分区,它只会被复制到该域的所有域控制器中,并不会被复制到其他域控制器中。
d、应用程序目录分区(Application Directory Partition)
一般来说,应用程序的目录分区主要是由程序创建的,其内存储着与该应用有关的数据。应用程序目录分区会被复制到林中特定的域控制器。
14.试验环境及建立AD域的必要条件
1、建立AD域的必要条件
a、DNS
b、NTFS CONVERT D: /FS:NTFS
2、建立网络中的第一台域控制器
安装拓补图
(1)关闭防火墙
(2)配置网络(这里需要配置好自己VMware网卡)
最好禁用WINS上的Netbios
安装AD域服务
然后点击
添加新林
后面的默认就行,只要没做特别说明
这里我需要更改密码强度
更改过后,点击安装
重启即可
3.确定域控制器是否安装成功
确定是否是工作组还是域,如果是域则表示安装成功。
安装成功后,用户和组位置在这里
包含这项功能
4.建立更多的域控制器
另外一台主机名dc1
根上面的内容一样
确定网路通畅
接下来就是安装域控(主要是作为备份),大体内容和上面内容一样。
这里由于SID的问题,我需要重新安装一台windows 2012 R2
查看server01 这台主域控
在dc上新建一个用户
发现dc1上已经同步过来
建立两台域控的好处:1.容错 2.提高效率
15.将Windows7计算机加入域或者退出域
计算机配置
1.加入域
输入身份验证后,成功加入域
切换用户(administrator),登录域
加入域控过后,这里域服务器和Windows7会默认打开域防火墙,这里为了方便做实验,把它关掉。
访问域内容的共享测试
2.以普通用户登录(zhangsan)
注:而域控制器不能以普通用户来登录,这里被策略所限制。
位置:控制面板->系统和安全->管理工具->组策略管理->如图所示点击编辑->计算机配置->windows设置->安全设置->本地策略->用户权限分配->允许本地登录->添加用户和组
编辑组策略,增加本地登录
3.退出域
这里要有域控制器的权限,才能退出域。
4.子域的创建
网络的配置
关闭防火墙
同理安装域服务
将域添加到现有林
使用BJ\administrator登录这个域控
查看DC这一台
5.树域的创建
计算机配置
域控配置
