网络服务器配置与管理Windows Server 2012 R2篇—第3章.pptx

《网络服务器配置与管理Windows Server 2012 R2篇—第3章.pptx》由会员分享，可在线阅读，更多相关《网络服务器配置与管理Windows Server 2012 R2篇—第3章.pptx（81页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 第 3 章 活动目录与域网络服务器配置与管理Windows Server 2012 R2篇工业和信息化精品系列教材网络技术第3章 活动目录与域人民邮电出版社2 第 3 章 活动目录与域能力CAPACITY要求熟悉Active Directory基础知识。了解Active Directory规划，掌握域控制器的安装和管理方法。掌握Active Directory域成员计算机的配置和管理方法。熟悉Active Directory对象和资源的管理和使用方法。理解组策略，熟练掌握通过组策略配置管理网络用户和计算机的方法。3 第 3 章 活动目录与域内容CONTENTS导航部署和管理Active D

2、irectory域管理与使用Active Directory对象和资源活动目录基础通过组策略配置管理网络用户和计算机4 第 3 章 活动目录与域3.1 活动目录基础目录服务什么是目录服务目录服务是一种存储、管理和查询信息的基本网络服务。目录是一个具有特殊用途的数据库。与关系型数据库相比，目录数据库特点如下。数据读取和查询效率高，比关系型数据库能够快一个数量级。数据写入效率较低，适用于数据不需要经常改动，但需要频繁读出的情况。以树状层次结构来描述数据信息。能够维持目录对象名称的唯一性。5 第 3 章 活动目录与域3.1 活动目录基础目录服务什么是目录服务目录结构示例组织机构层次6 第 3 章 活

3、动目录与域3.1 活动目录基础目录服务目录服务的应用适合基于目录和层次结构的信息管理，尤其是基础性、关键性信息管理。通讯簿客户信息组织机构信息计算机网络资源数字证书和公共密钥7 第 3 章 活动目录与域3.1 活动目录基础目录服务目录服务标准LDAPX.500包括从X.501到X.509等一系列目录数据服务，用于提供全球范围的目录服务。LDAP目录服务的工业标准LDAP v2LDAP v38 第 3 章 活动目录与域3.1 活动目录基础Active Directory的功能数据存储，存储与Active Directory对象有关的信息。包含目录中每个对象信息的全局编录，允许用户和管理员查找目录

4、信息。建立查询和索引机制。通过网络分发目录数据的复制服务。与网络安全登录过程的安全子系统的集成。提供安全策略的存储和应用范围，支持通过组策略来实现网络用户和计算机的集中配置和管理。9 第 3 章 活动目录与域3.1 活动目录基础Active Directory的对象Active Directory对象的特性每个对象具有GUID（全域唯一标识符。每个对象有一份访问控制列表（Access Control List，ACL。对象具有多种名称格式供用户或应用程序以不同方式访问。对象名称说明示例SID（安全标识符）标识用户、组和计算机账户的唯一号码S-1-5-21-1292428093-72534554

5、3LDAP RDNLDAP相对识别名称。RDN必须唯一，不能在组织单位中重名cn=zhongLDAP DNLDAP唯一识别名称。DN是全局唯一的，反映对象在Active Directory层次中的位置cn=zhong,ou=sales,dc=abc,dc=comAD规范名称AD管理工具使用的名称 第 3 章 活动目录与域3.1 活动目录基础Active Directory的对象Active Directory对象的主要类别用户（User）计算机（Computer）联系人（Contact）组（Group）组织单位（Organization Unit）打印机（Printer）共享文件夹（Share

6、d Folder）11 第 3 章 活动目录与域3.1 活动目录基础 Active Directory的架构Active Directory架构包含目录中所有对象的定义。架构实际上就是对象类。在LDAP目录服务中，架构一般以文本方式存储，而在Active Directory中，架构被作为一种特殊的对象。架构对象由对象类和属性组成，是用来定义对象的对象。对象类代表共享一组共同特征的目录对象的类别。每个林只能包含一个架构，存储在架构目录分区中。12 第 3 章 活动目录与域3.1 活动目录基础Active Directory的结构域域是Active Directory的基本单位和核心单元。域包括3

7、种类型的计算机。域控制器成员服务器工作站13 第 3 章 活动目录与域3.1 活动目录基础Active Directory的结构组织单位将域再进一步划分成多个组织单位。组织单位是可将用户、组、计算机和其他组织单位放入其中的Active Directory容器。组织单位相当于域的子域，可以像域一样包含各种对象。组织单位本身也具有层次结构。14 第 3 章 活动目录与域3.1 活动目录基础Active Directory的结构域树可将多个域组合成为一个域树。域树中的第一个域称作根域，同一域树中的其他域为子域，位于上层的域称为子域的父域。15 第 3 章 活动目录与域3.1 活动目录基础Active

8、 Directory的结构林林是一个或多个域树通过信任关系形成的集合。林中的域树不形成邻接的名称空间，各自使用不同的DNS名称。16 第 3 章 活动目录与域3.1 活动目录基础Active Directory的结构域信任关系域信任关系是建立在两个域之间的关系。所有域信任关系都只能有两个域：信任域和受信任域。创建域时，相邻域之间自动创建信任关系。除默认的信任关系外，用户还可手动建立其他信任关系。17 第 3 章 活动目录与域3.1 活动目录基础Active Directory的结构Active Directory站点站点可看成一个或多个IP子网中的一组计算机定义。站点反映网络物理结构，而域通常

9、反映整个组织的逻辑结构。逻辑结构和物理结构相互独立，也有可能相互交叉。允许单个站点中有多个域，单个域中有多个站点。站点的主要作用是使Active Directory适应复杂的网络连接环境。18 第 3 章 活动目录与域3.1 活动目录基础Active Directory的结构Active Directory目录复制目录复制提供了信息可用性、容错、负载平衡和性能优势。通过复制，目录服务在多个域控制器上保留了目录数据的副本，从而确保所有用户的目录可用性和性能。Active Directory使用一种多主机复制模型。Active Directory依靠站点来保持复制的效率。19 第 3 章 活动目录

10、与域3.1 活动目录基础Active Directory的结构全局编录全局编录是林中Active Directory对象的一个目录数据库。全局编录服务器不仅记录本域所有对象的完全副本，还记录林中所有其他域中部分域对象的副本。全局编录主要用于查找对象、提供UPN（用户主体名称）验证、在多域环境中提供通用组的成员身份信息等。默认情况下，林中第一个域的第一个域控制器将自动创建全局编录。20 第 3 章 活动目录与域3.1 活动目录基础域功能级别与林功能级别4个功能级别Windows Server 2008Windows Server 2008 R2Windows Server 2012Windows

11、 Server 2012 R2用户可根据需要提升域功能级别以限制所支持的域控制器。域功能级别设置仅影响到该域，而林功能级别设置会影响到该林内的所有域。21 第 3 章 活动目录与域3.1 活动目录基础Active Directory与DNS集成Active Directory和DNS有相同的层次结构。DNS区域可存储在Active Directory中。Active Directory将DNS作为定位服务使用。Active Directory需要DNS才能正常运行。22 第 3 章 活动目录与域3.1 活动目录基础Windows域网络工作组对等式网络23 第 3 章 活动目录与域3.1 活动目

12、录基础Windows域网络域集中管理式网络24 第 3 章 活动目录与域内容CONTENTS导航部署和管理Active Directory域管理与使用Active Directory对象和资源活动目录基础通过组策略配置管理网络用户和计算机25 第 3 章 活动目录与域3.2 部署和管理Active Directory域Active Directory的规划尽可能减少域的数量。组织单位的规划很重要。林是驻留在该林内的所有对象的安全和管理边界，Active Directory中必须有一个林。将DNS名称用于Active Directory域时通常使用现有域名。内部名称空间与外部名称空间尽可能保持一

13、致。多数情况下只需一个Active Directory站点。26 第 3 章 活动目录与域3.2 部署和管理Active Directory域域控制器的安装安装准备考虑DNS配置。默认情况下，Active Directory安装向导从已配置的DNS服务器列表中定位新域的授权DNS服务器，如果没有，安装向导将DNS服务器安装在域控制器上，并根据Active Directory域名自动配置一个DNS区域。准备服务器。设置服务器的基本属性，主要是配置网络连接和更改计算机名称。27 第 3 章 活动目录与域3.2 部署和管理Active Directory域域控制器的安装安装过程确认安装所选内容安装A

14、D域服务角色结束28 第 3 章 活动目录与域3.2 部署和管理Active Directory域域控制器的安装安装过程设置域控制器选项设置部署配置29 第 3 章 活动目录与域3.2 部署和管理Active Directory域域控制器的安装安装过程设置其他选项设置DNS选项30 第 3 章 活动目录与域3.2 部署和管理Active Directory域域控制器的安装安装过程查看选项设置路径31 第 3 章 活动目录与域3.2 部署和管理Active Directory域域控制器的安装安装过程安装完成检查先决条件32 第 3 章 活动目录与域3.2 部署和管理Active Director

15、y域域控制器的安装安装过程新添加的两个服务器角色以域管理员身份登录33 第 3 章 活动目录与域3.2 部署和管理Active Directory域域控制器的安装查看DNS服务器设置进一步展开“_tcp”节点域控制器已注册到DNS服务器34 第 3 章 活动目录与域3.2 部署和管理Active Directory域 Active Directory管理工具内置的图形界面Active Directory管理工具Active Directory管理中心控制台 Active Directory用户和计算机控制台 Active Directory域和信任控制台Active Directory站点和服

16、务控制台35 第 3 章 活动目录与域3.2 部署和管理Active Directory域 Active Directory管理工具Active Directory 用户和计算机控制台Active Directory管理中心控制台36 第 3 章 活动目录与域3.2 部署和管理Active Directory域 Active Directory管理工具要在域成员计算机上使用Active Directory管理工具，必须先进行安装。域成员服务器上可以通过服务器管理器的添加角色和功能向导来安装Active Directory管理工具。37 第 3 章 活动目录与域3.2 部署和管理Active D

17、irectory域 域成员计算机的配置与管理将计算机添加到域这里以Windows 10计算机为例。其他Windows版本的计算机加入到域的操作步骤与此基本相同，只是界面略有差别。（1）以本地账户登录到该计算机。（2）修改网络连接设置，确认该计算机能够连通域控制器。在TCP/IP属性设置中将首选DNS服务器项设置为能够解析域控制器域名的DNS服务器IP地址，如图3-29所示。在单域网络中，DNS服务器通常就是域控制器本身。（3）右键单击任务栏左侧的窗口图标，选择“系统”命令，单击“相关设置”下面的“系统信息”按钮，单击“计算机名称、域与工作组设置”区域的“更改设置”按钮，弹出图3-30所示的“系

18、统属性”对话框。在“计算机名”选项卡中设置当前的计算机名称。38 第 3 章 活动目录与域3.2 部署和管理Active Directory域 域成员计算机的配置与管理将计算机添加到域设置当前的计算机名称设置定位域控制器的DNS服务器39 第 3 章 活动目录与域3.2 部署和管理Active Directory域 域成员计算机的配置与管理将计算机添加到域输入有权限将计算机加入域的域用户账户的名称和密码设置域的名称40 第 3 章 活动目录与域3.2 部署和管理Active Directory域 域成员计算机的配置与管理域成员计算机登录到域SAM账户名登录UPN账户名登录41 第 3 章 活动

19、目录与域3.2 部署和管理Active Directory域 域成员计算机的配置与管理让域成员计算机退出域将域成员计算机重新加入工作组即可。（1）在域成员计算机上以域管理员身份登录到域，或者以本地系统管理员身份登录到本机。（2）参考加入域的操作步骤打开“系统属性”对话框，在“计算机名”选项卡中单击“更改”按钮。（3）在“隶属于”区域选中“工作组”单选按钮，在下面的文本框中输入要加入的工作组名，单击“确定”按钮。（4）根据提示输入具有将计算机从域中删除的权限的用户的名称和密码，单击“确定”按钮。（5）出现欢迎加入工作组的提示，单击“确定”按钮，根据提示完成其他步骤，重新启动计算机，使上述更改生效

20、。42 第 3 章 活动目录与域3.2 部署和管理Active Directory域域控制器的管理提升域和林功能级别一旦提升域功能级别之后，就不能再将运行旧版操作系统的域控制器引入该域中。43 第 3 章 活动目录与域3.2 部署和管理Active Directory域域控制器的管理删除（降级）域控制器独立服务器或成员服务器可升级为域控制器，域控制器也可降级为成员服务器。可根据需要删除域控制器，或者对其进行降级。如果某个域有子域，则不能将它删除。域中的最后一个域控制器，则降级它将使该域从树林中删除。林中最后一个域，降级其域控制器也将删除林。44 第 3 章 活动目录与域内容CONTENTS导航

21、部署和管理Active Directory域管理与使用Active Directory对象和资源活动目录基础通过组策略配置管理网络用户和计算机45 第 3 章 活动目录与域3.3 管理与使用Active Directory对象和资源 管理组织单位组织单位是可指派组策略设置或委派管理权限的最小作用域或单位。组与组织单位不能混淆。一个用户可隶属于多个组，但只能隶属于一个组织单位；组织单位可包含组，但是组不能将组织单位作为成员.组可作为安全主体被授予权限，而组织单位不行。使用组织单位可将网络所需的域的数量降到最少。组织单位可以看成一种特殊目录容器对象。对于组织单位本身也可执行重命名、移动或删除等操作

22、。46 第 3 章 活动目录与域3.3 管理与使用Active Directory对象和资源 管理组织单位创建组织单位组织单位包含的对象47 第 3 章 活动目录与域3.3 管理与使用Active Directory对象和资源管理计算机账户在域环境中，每个运行Windows操作系统的计算机都有一个计算机账户。计算机账户提供了一种验证和审核计算机访问网络以及域资源的方法。当将计算机加入到域时，该计算机相应的计算机账户自动添加到域的“Computers”容器中。对于计算机账户可执行禁用、重置账户、删除计算机账户等管理操作。48 第 3 章 活动目录与域3.3 管理与使用Active Directo

23、ry对象和资源 管理域用户账户创建域用户账户49 第 3 章 活动目录与域3.3 管理与使用Active Directory对象和资源 管理域用户账户管理域用户账户50 第 3 章 活动目录与域3.3 管理与使用Active Directory对象和资源 管理域用户账户配置域用户账户设置用户账户属性设置用户账户的扩展选项51 第 3 章 活动目录与域3.3 管理与使用Active Directory对象和资源管理组组的特性组可跨越组织单位或域，将不同域、不同组织单位的对象归到一个组。组可作为安全主体，与用户、计算机一样被授予访问权限。组为非容器对象，组成员与组之间没有从属关系，一个对象可属于多

24、个不同的组。组的作用域通用组全局组本地域组52 第 3 章 活动目录与域3.3 管理与使用Active Directory对象和资源管理组默认组本地组53 第 3 章 活动目录与域3.3 管理与使用Active Directory对象和资源管理组创建组54 第 3 章 活动目录与域3.3 管理与使用Active Directory对象和资源选择用户、计算机或组对象添加组成员打开组的属性设置对话框，在“成员”区域单击“添加”按钮。打开Active Directory对象（如用户账户、计算机、组）的属性对话框，在“隶属于”区域单击“添加”按钮弹出相应的对话框，选择所属的组对象。根据需要删除组成员，

25、另外删除组不会删除其成员。55 第 3 章 活动目录与域3.3 管理与使用Active Directory对象和资源选择用户、计算机或组对象选择用户、计算机或组选择用户、计算机或组（高级）56 第 3 章 活动目录与域3.3 管理与使用Active Directory对象和资源选择用户、计算机或组对象选择要查找的对象类型选择要查找的位置范围57 第 3 章 活动目录与域3.3 管理与使用Active Directory对象和资源设置Active Directory对象访问控制权限对象的访问权限对象的高级安全设置58 第 3 章 活动目录与域内容CONTENTS导航部署和管理Active Dir

26、ectory域管理与使用Active Directory对象和资源活动目录基础通过组策略配置管理网络用户和计算机59 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机组策略概述组策略的两类配置计算机配置所有与计算机有关的策略设置，应用到特定的计算机，不同的用户在这些计算机上都受该配置的控制。用户配置所有与用户有关的策略设置，应用到特定的用户，只有这些用户登录后才受该配置的控制。60 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机组策略概述组策略的两类配置61 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机组策略概述本地组策略与Activ

27、e Directory组策略本地组策略设置存储在各个计算机上，只能作用于该计算机。在非Active Directory网络环境中，或者缺少Windows域控制器的网络中，本地组策略对象的设置比较重要，因为此时本地组策略不能被其他组策略对象覆盖。Active Directory组策略存储在域控制器中，只能在Active Directory环境下使用，可作用于Active Directory站点、域或组织单位中的所有用户和所有计算机，但不能应用到组。Active Directory组策略不影响未加入域的计算机和用户，这些计算机和用户只能使用本地组策略管理。62 第 3 章 活动目录与域3.4 通过

28、组策略配置管理网络用户和计算机组策略概述组策略对象组策略设置存储在组策略对象中，即组策略是由具体的组策略对象来实现的。软件设置管理软件的安装、发布、更新、修复和卸载等。Windows设置设置脚本文件、账户策略、用户权限、用户配置文件等。管理模板基于注册表来管理用户和计算机的环境。63 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机组策略概述组策略对象可以以站点、域或组织单位为作用范围来定义不同层次的组策略对象。组策略对象的作用范围是由组策略对象链接（GPO Link）来设置的。组策略对象与组策略对象链接的关系64 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和

29、计算机组策略概述策略首选项Windows Server 2012 R2中的组策略策略设置（Policy Settings）基本上继承了早期版本组策略的主要内容。和策略首选项（Policy Preferences）为管理员提供了更多更细的设置。组策略首选项是不受管理的、非强制性的，适合进行初始配置。组策略首选项具有灵活性，可以轻松地向所管理的GPO中添加任何注册表值、文件或文件夹。域管理员可以使用组策略首选项向域内的计算机推送各种策略。同一个组策略对象中的策略和首选项发生冲突时，基于注册表的策略通常优先。65 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机组策略概述组策略应用

30、对象用户和计算机是接收策略的唯一Active Directory对象类型。用户策略组策略应用对象为用户。计算机策略组策略应用对象为计算机。无论用户登录到哪台计算机，组策略中的用户配置设置都将应用于相应的用户。无论哪个用户登录到计算机，组策略中的计算机配置设置都将应用于相应的计算机。66 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机组策略概述组策略应用顺序本地组策略对象Active Directory站点Active Directory域Active Directory组织单位67 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机配置管理Active Di

31、rectory组策略组策略规划要点共性策略应用于上层容器，个性策略应用于下层容器。少用或不用“阻止策略继承”“禁止替代”功能，减少各项设置冲突。尽可能减少组策略对象的数目。禁用组策略对象中不设置的节点，以加快登录速度。68 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机配置管理Active Directory组策略使用组策略管理控制台在Windows Server 2012 R2中可以使用专门的组策略管理控制台（GPMC）。69 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机配置管理Active Directory组策略新建组策略对象执行组策略对象链接创

32、建命令70 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机配置管理Active Directory组策略新建组策略对象系统预置的Starter GPO新建组策略对象71 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机配置管理Active Directory组策略新建组策略对象新建组策略对象的链接新建的组策略对象72 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机配置管理Active Directory组策略编辑组策略对象设置组策略选项组策略设置配置管理模板重定向文件夹指定启动、关机、登录和注销脚本管理安全设置集中管理软件分发（部署）7

33、3 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机配置管理Active Directory组策略编辑组策略对象设置组策略选项通过组策略可以针对Active Directory站点、域或组织单位的所有计算机和所有用户统一配置以下设置。配置管理模板。重定向文件夹。指定启动、关机、登录和注销脚本。管理安全设置。集中管理软件分发（部署）。创建组策略对象之后，需要对其进行编辑，设置相应的选项来实现上述功能。由于组策略选项非常丰富，不便一 一讲解，这里仅给出一个简单的例子进行示范。在Windows Server 2012 R2中使用组策略管理编辑器来编辑修改组策略对象。（1）在组策略管

34、理控制台中右键单击要编辑的组策略对象，选择“编辑”命令，打开组策略管理编辑器，对组策略对象进行编辑。每个组策略对象包括计算机配置和用户配置两个部分，分别对应所谓的计算机策略和用户策略。这里以禁用用户更改主页设置为例。（2）如图3-59所示，在组策略管理编辑器中依次展开“用户配置”“策略”“管理模板：从本地计算机中检索的策略”“Windows组件”“Internet Explorer”节点，双击“禁用更改主页设置”项。（3）弹出图3-60所示的窗口。选中“已启用”单选按钮，并设置主页，单击“确定”或“应用”按钮以启用该策略。每个选项都提供了详细的说明信息。（4）根据需要设置其他选项，然后关闭组策

35、略管理编辑器，完成组策略对象的编辑。74 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机配置管理Active Directory组策略编辑组策略对象设置组策略选项查看和设置选项定位要设置的选项 75 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机配置管理Active Directory组策略编辑组策略对象设置组策略首选项设置电源选项定位要设置的选项 76 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机配置管理Active Directory组策略查看和管理组策略对象组策略对象选项设置组策略对象作用域77 第 3 章 活动目录与域3.4

36、 通过组策略配置管理网络用户和计算机配置管理Active Directory组策略管理组策略对象及其链接调整组策略对象顺序修改组策略的继承设置78 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机 组策略的应用过程何时应用组策略计算机启动。用户登录。应用程序通过API接口RefreshPolicy()请求刷新。用户请求立即刷新。如果组策略的刷新间隔策略已经启用，按间隔周期请求策略。*先应用计算机设置，再应用用户设置，但是当两者有冲突时，计算机设置优先。79 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机 组策略的应用过程刷新组策略默认设置为客户端每隔901

37、20分钟便会重新应用组策略。强制立即应用组策略的命令Gpupdategpupdate/target:computer|user/force/wait:Value/logoff/boot程序/target:computer|user。选择是刷新计算机设置还是用户设置。/force。忽略所有处理优化并重新应用所有设置。/wait:Value。策略处理等待完成的秒数。/logoff。刷新完成后注销。/boot。刷新完成后重新启动计算机。80 第 3 章 活动目录与域3.4 通过组策略配置管理网络用户和计算机 组策略的应用过程刷新组策略设置组策略刷新间隔启用“关闭组策略的后台刷新”策略81 第 3 章 活动目录与域THANKS