Active Directory域服务

概念：

工做组：workgroup

  适合网络资源少,10台左右计算机。

  分散管理(对等网，每一个员工维护本身的电脑，身份平等)

  适合于小型网络

  不便之处：为了达到互相访问的目的，可能须要在每台电脑上为其余同事创建不少用户账号（不肯意透露管理员密码的状况下）

            每台电脑本身维护管理员密码，若是忘记密码，可能由it管理员强行破解密码

            每台计算机自由安装各类软件，容易引发系统崩溃

Windows域 Domain

  将网络中的资源逻辑上组织到一块儿，将其视为一个总体。资源：计算机、用户、组、打印机、共享文件夹等。

                逻辑上组织到一块儿：物理计算机和网络无需作任何更改，★★搜索

  集中管理（Client/Server架构）

                发起管理的计算机：域控制器 Domain Controller=DC 被管理的计算机：成员机或成员服务器

  适合于大中型网络

  对于工做组的改进：只需在域控上创建一套账号，能够通行整个活动目录

                    遗忘密码后，简单的由域管理员在域控制器上重置便可

                    可使用组策略进行软件分发：全自动为成员机安装配置所需软件。

                    利用配置文件位置实现对用户文件的自动备份。

概念：

  目录服务：能够方便的在网络中搜索用户帐号、组、计算机、共享文件夹等对象。

  活动目录：微软公司实现的目录服务。Active Directory，是目录服务的一种，开放tcp389端口，ldap轻型目录访问协议。

  活动目录又是一个数据库：Database，轻松存储海量对象，能够在极短期内返回查询结果。

活动目录优势：

  集中管理：有力工具=组策略

  便捷的网络资源访问(一次登陆，处处访问)

  可扩展性

域Domain：目录服务的一种通俗实现，把后台复杂的查询语句，包装成图形化的容易管理的形式。

域控制器Domain Controller：安装了活动目录服务的计算机。

容器Container：能够容纳其余对象的对象称为容器。

逻辑结构：

单域Domain：只有一个域。

域树Domain Tree：父域和子域造成域树，★使用连续的域名后缀

域林Domain Forest：多棵域名后缀不一样的域树构成一个森林。

组织单位：OU、子OU

★★★整个森林中的多个域存在“信任”关系，能够互访。

物理结构：

站点：用于优化多个域控制器之间的复制流量（知识的同步，主要是通用组的同步）

      能够把同一个高速网络中的多个域控制器放到一个站点中，★★站点内部优先复制。

域控制器。

域控制器的实现：

1 必须是windows server操做系统（web版除外）

2 有本地管理员权限

3 有ntfs文件系统，有足够空间

4 ★★有静态ip地址

5 ★★有dns服务的支持（工做组中靠计算机名标识一台电脑，域中靠相似于 www.benet.com 的域名标识一台电脑，能够在提高域控制器的过程当中自动安装、配置）

配置过程：

1 2008r2原始状态，用管理员登陆

2 设置静态ip地址，★★dns指向127.0.0.1（域控制器上将要安装dns服务，能够用本身来解析域名）

3 执行 dcpromo.exe 提高域控制器。

  domain controller promotion，域控制器的实现

  在新林中建立域（无中生有产生一个林，并成为这个林中第一个域，也称为“林根域”）

  ★★★新林的域名：至少两段，用英文的句点隔开，例如qq.com，不推荐无心义的字符串或特殊符号。

  后续默认，忽略dns警告，选中“安装dns服务器”

  定义还原模式密码：仅在还原域控制器备份时使用，能够而且推荐和活动目录管理员密码不一样。

  ★★选择“完成后从新启动”选项。

4 重启后，原来工做组管理员自动升级为域管理员，密码不变。

管理工具实验：Active Directory 用户和计算机，简称ADUC

1 打开活动目录用户和计算机控制台，展开域名后缀

  Builtin 目录：无需自建，windows自带的组，称为“内置组”

  Computers 目录：加入域的成员机会列在此处

  Domain Controllers 目录：列出域中全部的域控制器

  Users 目录：域用户和组的默认位置

        Domain Admins：域管理员所在的组

        Domain Users：普通与用户所在的组

        Enterprise Admins：企业管理员所在的组，权限范围比域管理员更大

2 组织单位OU的建立：

  ★★根据地区或部门，把规模较大的域分割成容易管理的几块。

  右键单击域名后缀、新建、组织单位：

  模拟公司的架构，为每一个部门创建组织单位

3 用户的建立：

  在每一个部门的组织单位中创建员工账号便可。

  新建、用户

  姓名可使用中文

  ★★★登陆名：纯粹中国公司每每使用员工姓名全拼zhangsan，外企中习惯使用：名的全拼.姓的全拼san.zhang

  ★★★密码：必须符合复杂性要求

  ————————————————————————————————————————————————————

  显示名：在所在OU中惟一

  登陆名：在所在的域中惟一

  当显示名和登陆名不一样时，登陆域必须使用登陆名。

4 把计算机加入域：

  启动原始状态windows，设置和域控制器同一网段ip

  ★★★dns必须指向域控制器的ip

  在正式加域以前，应该能够ping通活动目录的域名后缀，例如 ping qq.com，若是不能解析，不要急于加域，先排查网络问题

  

  计算机属性、更改计算机名位置、隶属于：填写域名后缀，输入有权限把计算机加入域的账号、密码

  ★★★重启计算机

  

  登陆域：★★成员计算机有两套账号可用，一套是原来的本地账号，一套是域账号

  若是要登陆域，必须点击“切换用户”、使用“其余用户”登陆域，用户名的写法：

  域名简写\登陆名，例如qq.com的zhangsan用户，能够写 qq\zhangsan

  登陆名@域名后缀, 例如qq.com的zhangsan用户，能够写 zhangsan@qq.com

  

  

  ————————————————————————————————————————————————————

  额外域控制器的实现：防止“单点故障”（重要服务只有惟一的一台服务器，出现故障后引发业务混乱），一个域至少两台域控制器

  1 启动现有域控制器

  2 启动一台工做组状态2008r2，和域控制器在同一vm交换机（若是不在同一交换机须要设置网关）

    设置和域控制器同一网段ip，首选dns指向127.0.0.1，辅助dns指向第一台域控制器ip

  3 运行dcpromo.exe提高域控制器

    现有林

    向现有域添加域控制器

    输入林中任何一个域的域名后缀（通常填写本域的域名后缀）

    选择要成为哪个域控制器的额外域控制器

    后续默认

    填写还原模式密码，完成重启。

  4 额外域控制器刚刚提高完毕，须要在第一台域控制器上执行 ipconfig /flushdns （推荐执行，不然可能短期内第一台域控不能识别第二台）

    分别在两台域控制器创建ou、组、用户等对象，查看另外一台是否能学习到。