域和活动目录
域(DC):
将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域
域是组织与存储资源的核心管理单元
域控制器:
在域中,[至少]有一台域控制器
域控制器中保存着整个域的用户账号和安全数据库
活动目录(AD):
是windows网络中的目录服务
提供了存储网络对象信息并让网络用户使用这些数据的方法
活动目录的特点
集中管理
便捷的网络资源访问
用户一次登录可以访问整个网络资源
网络资源主要包括用户账户、组、共享文件夹、打印机
可扩展性
域和活动目录的关系
在一台计算机上安装活动目录使其成为域控制器
域控制器通过活动目录来提供目录服务
域控制器是计算机上的应用程序,活动目录是一种服务
域树:
具有连续的域名空间的多个域
林:
多个域树组成一个林
域和工作组的区别
创建方式不同:组,由任何一个计算机的主人创建;域,由服务器创建
安全机制不同:组,只能登陆本机上的账号;域:一个账号可在多台计算机上登陆
登录方式不同:组:计算机启动后自动在工作组中;域,需要提供域账号和密码
安装域控制器的条件
管理员权限
操作系统是服务器,web版除外
本地磁盘有一个是NTFS格式的文件系统
有TCP/IP设置(必须是静态IP地址)
有相应的DNS服务器支持
空间足够
安装活动目录的命令
命令行:-dcpromo
删除:命令行:-dcpromo,然后去角色管理删除活动目录
DNS在域中的作用
域的命名采用DNS标准
客户机定位DC
客户机向DNS服务器发送查询请求
服务器查询SRV资源(服务定位资源)
返回相关DC的IP地址列表给客户
客户联系DC
DC相应客户的请求
域的DNS区域维护
SRV资源记录可以定位DC
创建域用户和组
注:在域控制器创建后,本地的用户升级为域用户
与用户账户存储在活动目录数据库中
创建域用户的方法
-“Active Directory用户和计算机”工具
显示名:组织单位(OU)中唯一
用户登录名:域中唯一,最长20字符
密码设置
域账户的属性:
登录时间(限制用户登录的时间)
登录到(限定账户使用的范围)
账户过期(限定账户使用的时间)
组的类型:
安全组:可以设置权限,还可以邮件通讯
通讯组:只能电子邮件通讯
全局组:使用范围是整个林及信任域,按逻辑关系创建全局域(具有相同管理任务或者访问权限的用户),
可以按AGDLP规则来使用全局域
本地域组:使用范围是本域,针对本域的资源创建本地域(成员:用户账户,本地域组,全局组,通用组)
通用组:使用范围是整个林和信任域
全局组和通用组的去别:
全局组:成员的身份在每个域中
通用组:成员身份在全局编录中(多个域时,登录和查询速度快)
创建组的基本步骤:
账户-全局组-本地域-给本地域赋予权限
组和组织单位(OU)、容器的区别
组:用于赋予权限
OU:用于管理员对用户和计算机进行管理
对象:一些属性的集合,有自己的名称
容器:可以包含其他对象,还可以包含其他容器
组织单位:可以包含其他对象和组织单位,还有组策略的功能(但是不能有来至其他域的对象)
OU定义:将用户、组、计算机和其他组织单位放入AD的容器,是可以指派组策略或者
委派管理的最小作用域或者单元
作用:
可以分类组织对象,使所有对象结构清晰
可以对某些对象配置组策略,实现这些对象的管理和控制
可以委派管理控制权限(实现:“OU”-“委派控制”-“添加要委派任务的账户和组”-“选择要委派的任务”)
取消委派:“OU”-“属性”-“安全”-“高级”-“权限”,删除相应的权限即可
创建组织单位
设计方式:
按部门的OU
基于地理位置的OU
基于对象类型的OU
混合型OU
在新建组织单位的时候有个选项是:防止容器被意外删除
在后面需要删除的时候:“查看”-“高级功能”-“组织单位”-“属性”-勾选掉“防止容器被意外删除”
发布共享文件夹
作用:同意管理,方便查找
实现:创建共享文件夹-创建OU-在OU上新建-共享文件夹-设置共享文件夹的属性