windows_learn 001 域(AD)

windows_learn 001 域(AD)

內容總覽

活動目錄的邏輯結構

域

容器 Container 與組織單元

全局編錄GC(global cataloge)

活動目錄的物理結構

目錄分區

活動目錄管理插件和工具

創建AD DS域前的準備工作

如何創建Windows 2008域

安裝活動目錄過程

個人學習感悟

活動目錄的邏輯結構

域

組織單元

域目錄樹與目錄林

全局目錄

域

安全邊界

安全邊界的作用是保證域的管理者只能在該域內有必要的管理權限，除非管理者得到其它域

的明確授權

復制單元

在域中，作為域控制器的計算機包含活動目錄的副本。在一個特定的域中，所有域控制都能

夠得到活動目錄的變化信息，并把變化信息復制給該域中的其它域控制器。

容器 Container 與組織單元

利用OU可以把對象組織到一個邏輯結構中使其最適應你的組織需求。

可以把管理控制權委派給OU中的對象。要委派的管理控制權，必須把OU及OU包含的對象的具體的

權限指給一個或幾個用戶和組。

目錄樹和目錄林

雙向可傳遞的信任，樹與樹之間可建立信任關系，使其之間的資源共享等

全局編錄GC(global cataloge)

所有對象的部分屬性（索引）

全局目錄的功能

查找目錄林中任意位置的信息，不管數據在什么位置

當用戶登錄到網絡時，確定用戶的通用組的成員資格

當用戶使用登錄組主登錄到網絡時，將使用全局目錄服務器確定用戶所在的域

活動目錄的物理結構

域控制器 (Domain Controllers) 物理設備

參與活動目錄的復制

單主機復制模式

多主機復制模式

站點 Sites

優化復制流量

使用戶能夠使用可靠、高速的連接登錄到域控制器上

目錄分區

架構目錄分區

它存儲著整個林中所有對象與屬性的定義數據，也存儲著如何創建新對象與屬性的規則。

配置目錄分區

存儲著整個AD DS（Active Directory Domain Server) 的結構

域目錄分區

存儲著與該域有關的對象

應用程序目錄分區

是由應用程序創建的，其內存儲著與該應用程序有關的數據

活動目錄管理插件和工具

管理插件

Active Directory 用戶和計算機

Active Directory 域和信任關系

Active Directory 站點和服務

Active Directory 架構

管理Windows2008網絡的方法

利用活動目錄來實行集中式管理

集中式管理域用戶的訪問資源和權限管理

管理用戶環境

管理域用戶的權限，限制其作用范圍和可訪問的域資源

委派管理控制權

將權限下發到某個用戶，使其來管理域中的特定用戶組或用戶

Windows 2008 域控制器的新功能

只讀域控制器(RODC)

可重啟的活動目錄域服務(ADDS)

域如何刪除

在開始運行里輸入dcpromo

創建AD DS域前的準備工作

計算機是運行Windows 2008 standerd Server

Windows 2008 Enterprise Server, or Windows 2008 Datacenter Server

活動目錄的分區要求磁盤200MB， 日志文件要求50MB

用NTFS格式化分區或卷，這是(SYSVOL)文件夾必須的

配置DNS和TCP/IP

如果在已存在的網絡上創建域，必須有相應的權限

如何創建Windows 2008域

添加ADDS角色

運行dcpromo

安裝活動目錄過程

啟用kerberos v5.0 身份驗證協議

設置本地安全策略：用默認的域控制器安全模板

配置本地安全

創建目錄分區

創建活動目錄數據庫文件和日志文件

創建目錄林的根域

創建共享的系統卷文件夾

共享的sysvol 文件夾

網絡登錄共享文件夾

在適當的站點配置域控制器的成員資格

使用應用文件安裝DC

此文件是在安裝第一臺DC時所導出的配置文件，即當需要再安裝其它DC時，修改此配置文件

即可實現自動化安裝DC，而不需要再進行人機交互式安裝DC。簡化了安裝過程。

活動目錄的默認結構（Active Directory Users and computers)

Builtin (windows 2008默認的安全組)

computers (默認的計算機賬戶的位置)

Domain Controllers (默認的域控制器計算機賬號)

ForeignSecurityPrincipals (外部有信任關系的域的安全標識符)

LostAndFound (保存孤立對象的位置)

System (保存系統設置)

Users (用戶和組賬戶的默認位置)

驗證活動目錄的安裝(Verifying the Active Directory Installation)

驗證SRV資源記錄 (DNS里查詢)

驗證SYSVOL已成功創建并已正常共享

驗證活動目錄數據庫和日志文件已成功創建

檢查日志文件看安裝過程中有沒有出現錯誤

提升目錄林和域的功能級別

提升林功能級別

Active Directory 域和信任關系

提升域功能級別（注意要先提升林才可提升域）

Active Directory 用戶和計算機

添加輔助DC與RODC

方法1

在輔助DC上運行dcpromo升級

方法2

在一臺可寫DC上制作安裝媒體

在輔助DC上運行dcpromo /adv 也可以使用應答文件，實現無人值守安裝

個人學習感悟

各位對不住呵呵，，由于現在工作需要，所以需要暫時學習一下Windows server的知識，等工作完全

hold住的時候，繼續再進行Linux的研究，個人感覺Linux的開源實在是非常強大，哈哈。學完我之后

感覺我個人都“開源”了哈哈，，你懂得