Active Directory域服務

概念：

工做組：workgroup

  適合網絡資源少,10臺左右計算機。

  分散管理(對等網，每一個員工維護本身的電腦，身份平等)

  適合於小型網絡

  不便之處：爲了達到互相訪問的目的，可能須要在每臺電腦上爲其餘同事創建不少用戶賬號（不肯意透露管理員密碼的狀況下）

            每臺電腦本身維護管理員密碼，若是忘記密碼，可能由it管理員強行破解密碼

            每臺計算機自由安裝各類軟件，容易引發系統崩潰

Windows域 Domain

  將網絡中的資源邏輯上組織到一塊兒，將其視爲一個總體。資源：計算機、用戶、組、打印機、共享文件夾等。

                邏輯上組織到一塊兒：物理計算機和網絡無需作任何更改，★★搜索

  集中管理（Client/Server架構）

                發起管理的計算機：域控制器 Domain Controller=DC 被管理的計算機：成員機或成員服務器

  適合於大中型網絡

  對於工做組的改進：只需在域控上創建一套賬號，能夠通行整個活動目錄

                    遺忘密碼後，簡單的由域管理員在域控制器上重置便可

                    可使用組策略進行軟件分發：全自動爲成員機安裝配置所需軟件。

                    利用配置文件位置實現對用戶文件的自動備份。

概念：

  目錄服務：能夠方便的在網絡中搜索用戶帳號、組、計算機、共享文件夾等對象。

  活動目錄：微軟公司實現的目錄服務。Active Directory，是目錄服務的一種，開放tcp389端口，ldap輕型目錄訪問協議。

  活動目錄又是一個數據庫：Database，輕鬆存儲海量對象，能夠在極短期內返回查詢結果。

活動目錄優勢：

  集中管理：有力工具=組策略

  便捷的網絡資源訪問(一次登陸，處處訪問)

  可擴展性

域Domain：目錄服務的一種通俗實現，把後臺複雜的查詢語句，包裝成圖形化的容易管理的形式。

域控制器Domain Controller：安裝了活動目錄服務的計算機。

容器Container：能夠容納其餘對象的對象稱爲容器。

邏輯結構：

單域Domain：只有一個域。

域樹Domain Tree：父域和子域造成域樹，★使用連續的域名後綴

域林Domain Forest：多棵域名後綴不一樣的域樹構成一個森林。

組織單位：OU、子OU

★★★整個森林中的多個域存在「信任」關係，能夠互訪。

物理結構：

站點：用於優化多個域控制器之間的複製流量（知識的同步，主要是通用組的同步）

      能夠把同一個高速網絡中的多個域控制器放到一個站點中，★★站點內部優先複製。

域控制器。

域控制器的實現：

1 必須是windows server操做系統（web版除外）

2 有本地管理員權限

3 有ntfs文件系統，有足夠空間

4 ★★有靜態ip地址

5 ★★有dns服務的支持（工做組中靠計算機名標識一臺電腦，域中靠相似於 www.benet.com 的域名標識一臺電腦，能夠在提高域控制器的過程當中自動安裝、配置）

配置過程：

1 2008r2原始狀態，用管理員登陸

2 設置靜態ip地址，★★dns指向127.0.0.1（域控制器上將要安裝dns服務，能夠用本身來解析域名）

3 執行 dcpromo.exe 提高域控制器。

  domain controller promotion，域控制器的實現

  在新林中建立域（無中生有產生一個林，併成爲這個林中第一個域，也稱爲「林根域」）

  ★★★新林的域名：至少兩段，用英文的句點隔開，例如qq.com，不推薦無心義的字符串或特殊符號。

  後續默認，忽略dns警告，選中「安裝dns服務器」

  定義還原模式密碼：僅在還原域控制器備份時使用，能夠而且推薦和活動目錄管理員密碼不一樣。

  ★★選擇「完成後從新啓動」選項。

4 重啓後，原來工做組管理員自動升級爲域管理員，密碼不變。

管理工具實驗：Active Directory 用戶和計算機，簡稱ADUC

1 打開活動目錄用戶和計算機控制檯，展開域名後綴

  Builtin 目錄：無需自建，windows自帶的組，稱爲「內置組」

  Computers 目錄：加入域的成員機會列在此處

  Domain Controllers 目錄：列出域中全部的域控制器

  Users 目錄：域用戶和組的默認位置

        Domain Admins：域管理員所在的組

        Domain Users：普通與用戶所在的組

        Enterprise Admins：企業管理員所在的組，權限範圍比域管理員更大

2 組織單位OU的建立：

  ★★根據地區或部門，把規模較大的域分割成容易管理的幾塊。

  右鍵單擊域名後綴、新建、組織單位：

  模擬公司的架構，爲每一個部門創建組織單位

3 用戶的建立：

  在每一個部門的組織單位中創建員工賬號便可。

  新建、用戶

  姓名可使用中文

  ★★★登陸名：純粹中國公司每每使用員工姓名全拼zhangsan，外企中習慣使用：名的全拼.姓的全拼san.zhang

  ★★★密碼：必須符合複雜性要求

  ————————————————————————————————————————————————————

  顯示名：在所在OU中惟一

  登陸名：在所在的域中惟一

  當顯示名和登陸名不一樣時，登陸域必須使用登陸名。

4 把計算機加入域：

  啓動原始狀態windows，設置和域控制器同一網段ip

  ★★★dns必須指向域控制器的ip

  在正式加域以前，應該能夠ping通活動目錄的域名後綴，例如 ping qq.com，若是不能解析，不要急於加域，先排查網絡問題

  

  計算機屬性、更改計算機名位置、隸屬於：填寫域名後綴，輸入有權限把計算機加入域的賬號、密碼

  ★★★重啓計算機

  

  登陸域：★★成員計算機有兩套賬號可用，一套是原來的本地賬號，一套是域賬號

  若是要登陸域，必須點擊「切換用戶」、使用「其餘用戶」登陸域，用戶名的寫法：

  域名簡寫\登陸名，例如qq.com的zhangsan用戶，能夠寫 qq\zhangsan

  登陸名@域名後綴, 例如qq.com的zhangsan用戶，能夠寫 zhangsan@qq.com

  

  

  ————————————————————————————————————————————————————

  額外域控制器的實現：防止「單點故障」（重要服務只有惟一的一臺服務器，出現故障後引發業務混亂），一個域至少兩臺域控制器

  1 啓動現有域控制器

  2 啓動一臺工做組狀態2008r2，和域控制器在同一vm交換機（若是不在同一交換機須要設置網關）

    設置和域控制器同一網段ip，首選dns指向127.0.0.1，輔助dns指向第一臺域控制器ip

  3 運行dcpromo.exe提高域控制器

    現有林

    向現有域添加域控制器

    輸入林中任何一個域的域名後綴（通常填寫本域的域名後綴）

    選擇要成爲哪個域控制器的額外域控制器

    後續默認

    填寫還原模式密碼，完成重啓。

  4 額外域控制器剛剛提高完畢，須要在第一臺域控制器上執行 ipconfig /flushdns （推薦執行，不然可能短期內第一臺域控不能識別第二臺）

    分別在兩臺域控制器創建ou、組、用戶等對象，查看另外一臺是否能學習到。