Windows Server 2012R2 域與活動目錄介紹

2018年8月20日

14:11

1. 域與活動目錄

什麽是域

域（Domain）是Windows網絡中獨立運行的單位，域之間相互訪問則需要建立信任關系（Trust Relation）。信任關系是連接在域與域之間的橋梁。當一個域與其他域建立了信任關系後，兩個域之間不但可以按需要相互進行管理，還可以跨網分配文件和打印機等設備資源，使不同的域之間實現網絡資源的共享與管理。

為什麽需要域

如果資源分布在N臺服務器上，那麽用戶需要資源時就要分別登陸這N臺服務器，也就需要N個賬號。一個用戶如此，那M個呢，管理員也就需要給他們創建N*M個賬戶，這樣不僅負責而且難管理。

有了域，管理員只需要給每個用戶創建一個域用戶，用戶只需在域中登陸一次就可以訪問域中的資源，實現了單一登陸。

用戶信息是存放在域中的域控制器（DC，Domain Controller）上，上圖中，可以在服務器中選定一臺或者幾臺服務器作為域控制器。有多臺域控制器時，各個域控制器是平等的，每個域控制器上都有所在域的全部用戶的信息，域控制器之間需要同步這些信息。而其它不適域控制器的服務器僅僅是提供資源。

什麽是活動目錄

活動目錄（Active Directory）是Windows 2003Server平臺提供的目錄服務。在中央數據庫中存放信息，使用戶在網絡上只擁有一個用戶賬號。目錄是存儲各種對象的一個物理上的容器，目錄服務是使目錄中所有信息和資源發揮作用的服務。

信息的安全性大大增強，引入基於策略的管理，使系統的管理更加明朗，具有很強的可擴展性、可伸縮性、智能的信息復制能力，與DNS集成緊密、與其他目錄服務具有互操作性、具有靈活的查詢。

活動目錄邏輯結構：域、組織單元、樹、林。

域控制器（DC,Domain Controller）上存放著域中所有用戶、組、計算機等信息（實際上域控制器存放的信息還不止這些），域控制器把這些信息存放在活動目錄中。

活動目錄和DNS 的關系

在TCP/IP網絡中，DNS（Domain Name System）是用來解決計算機名字和IP地址的映射關系的，活動目錄和DNS是緊密不可分的，活動目錄使用DNS服務器來登記域控制器的IP、各種資源的定位等，在一個域林中至少要有一個DNS服務器存在，所以安裝活動目錄時需要同時安裝DNS。此外，域的命名也是采用DNS的格式來命名的。

1. 活動目錄與組織單元

? 對象：用戶、計算機、打印機、組等等。每個對象都有自己的屬性以及屬性值。

? 組織單元（OU,Organization Unit）:組織單元是用來把對象按邏輯進行分組，便於管理、查找、授權和訪問。組織單元只表示單個域中的對象集合（可包括組對象）組織單元具有繼承性，子單元能夠繼承父單元的acl。同時域管理員可授予用戶對域中所有組織單位或單個組織單位的管理權限。就像一個公司的各個部門的主管，權力平均化能更有效的管理。

Windows Server 2012R2 域與活動目錄項目搭建

2018年8月25日

9:14

• 安裝並配置域

? 活動目錄設計

} 域名與控制器的安裝位置

n 中小企業，為簡單起見，在網絡中只安裝一個域控制器

n 域的名字應該和DNS域名一樣，為：DCServer.network.com

n 其它所有計算機加入到域中

} 組織單元的設計

n 我們這裏根據公司的行政架構來設計OU

n 各部門的用戶、組、計算機、打印機等均放到對應的組織單元上

實驗拓撲圖

實驗用VMware Workstation Pro虛擬機來模擬服務器和客戶機，虛擬機之間采用內部網絡的網絡連接方式，其中SUBDCServer充當域成員服務器服務器，DCServer和RODCSever（系統Windows Server 2012r2）為域控制器。

DCServer：

更改主機名：

• 安裝AD域控和DNS服務器。

• 下一步直至安裝。

• 提升為域控制器。

• 選擇添加林。（因要求來定域名）

• 輸入密碼，域控密碼，用於域控降級，刪除使用。

• 下一步，直到安裝。

• 安裝好重啟計算機，由於活動目錄的存在。啟動時間會變長，發現建立好的域NETWORK。

• 在域控控制器上登錄時，只能以域中的用戶登錄。雖然用戶名仍然為Administrator，但Administrator是域用戶。（該圖在工具內Active Director用戶和計算機）。

• 把客戶機（服務器）加入域中

  a. 三種角色： 域控制器，成員服務器和獨立服務器。

  b. 服務器的這個三個角色可以發生改變。

  

SUBDCServer：

• 打開電腦右鍵屬性。

• 更改設置，

• 點擊更改。

• 設置主機名和域名加入域控，輸入賬號密碼。賬號默認Administrator。

• 加入成功，重啟電腦。

• 重啟之後，打開計算機屬性。

• 在DCServer域控制上可以查看到。

• 把服務器（計算機）從域中脫離

• 安裝活動目錄後的變化

  使用"Active Drirectory用戶和計算機"工具來管理用戶和組。

  a.創建一個網絡部組織單元，內有用戶一，用戶登錄名為[email protected]，密碼為network.com，登錄目標client。

  b. 創建一個業務部組織單元，內有用戶二，用戶登錄名為[email protected]，密碼為network.net登錄段早上八點到晚上六點。

• 打開DCServer上Active Drirectory用戶計算機。

• 右鍵創建組織單位。

• 右鍵創建用戶。

• 用戶登錄名。

• 選擇用戶不能更改密碼和密碼永不過期。密碼為network.com

• 點擊查看，選擇高級功能。

• 打開網絡部，右鍵選擇用戶選擇屬性。

• 點開賬戶，點擊登錄到，添加登錄目標client。

• 點擊添加，選擇client，確定。

b. 創建一個業務部組織單元，內有用戶二，用戶登錄名為[email protected]，密碼為network.net登錄段早上八點到晚上六點。

• 同上創建組織單位，名稱為業務部。

• 點開賬號，點擊登錄時間。

• 點擊星期一到星期日早上八點到之前拒絕登錄，晚上六點之後拒絕登錄

• 創建子域。

創建子域通常用於以下幾種情況：

• 一個已經從公司中分離出來的獨立經營的子公司。
• 有些公司的部門或小組基於對特殊技術的需要，而與其他部門相對獨立的運行。
• 基於安全的考慮。

創建子域的好處主要用以下幾個方面。

• 便於管理自身的用戶和計算機，並允許采用不同於父域的管理策略。
• 有利於子域資源的安全管理。

在父子域環境中，由於父子域間會建立雙向可傳遞的父子信任關系，因此父域用戶默認可以使用子域的計算機；同理，子域用戶也可以使用父域的計算機。

• 將RODCServer加入到域裏面。

• 安裝Active Drirectory域服務和DNS服務。

• 選擇下一步，直到安裝。

• 點擊提升為域控制器。

• 選擇第二個輸入新域名RODCServer，並點擊更改輸入域用戶和密碼，默認administrator。

• 設置域管理密碼，點擊下一步到安裝為止。

• 點擊安裝。

• 打開ActiveDirectory域信任關系，點擊network.com右鍵屬性。

• 點擊信任查看。

• 在RODCServer上創建目錄。

• 右鍵屬性，點擊安全。

• 選擇第一個，點擊編輯，點擊確定。

• 選擇高級。

• 選擇位置。

• 權限不僅僅可以給域中的用也可以給林中的用戶。

• 只讀域控，輔助域控。

  只讀域控制器（Read-only Domian Controller，RODC）的AD DS數據庫只可以被讀取，不可以被修改，也就是說用戶或應用程序無法直接修改RODC的AD DS數據庫。RODC的AD DS數據庫內容只能夠從其他可讀寫的域控制器復制過來。 RODC主要設計給遠程分公司網絡來使用的，因為一般來說遠程分公司的網絡規模比較小，用戶人數較少，此網絡的安全措施或許並不如總公司完備，也可能缺乏IT技術人員，因此采用RODC可避免因其AD DS數據庫被破壞影響整個AD DS環境。

  輔助域控制器，在主域控不工作的事情下，輔助可以頂替他繼續工作。

• 先將SUBDCServer加入，network域中。

• 安裝Active Drirectory域，並提升為域控制器。

• 選擇將域控添加到現有的域。

• 點擊更改輸入域控用戶和密碼。

• 選擇只讀域控做只讀域控制器，不勾選只讀，做輔助域控。輸入密碼還原模式密碼。

• 默認選擇下一步，選擇DCServer.network.com

• 選擇下一步到安裝。

Windows Server 2012R2 域與活動目錄知識點總結

2018年8月25日

9:30

• 活動目錄概述

  目錄：存儲以某種方式相關聯的對象的信息集

  目錄服務：用戶通過其提供的服務來使用目錄中的信息

  目錄服務功能：組織網絡中的資源，提供對資源的管理，對資源的控制

  功能：組織，管理，控制

  適用範圍：便於用戶查找、管理和使用這些資源

  • 小型網絡：UNC路徑(一般不使用AD)
  • 大型網絡：難以確定資源位置、名稱
  • 所以需要目錄服務快速定位資源
    • 對用戶透明、高效
    • 不需要知道資源的物理位置，如何連接、

    目錄服務的邏輯結構： 域（domain）

    域樹(domain tree)

    森林(forest)

    組織單元(OU)

  目錄服務的物理結構： 站點(site)

  域控制器(domain controller)

  操作主機(operation master)

  域：

  域是活動目錄中邏輯結構的核心單元，是一個有安全邊界的計算機集合。一個域包含許多計算機，它們由管理員設定，共用一個目錄數據庫，一個域有一個唯一的名字。

  容器與OU:

• 容器與對象相似，有自己的名稱，也是一些屬性的集合。容器可以包含其它的對象，也可以包含其它的容器。OU是AD中的一個特殊的容器，他可以包含對象、OU和組策略。
• OU 可以把對象組織到一個邏輯結構中，使其能最佳適應組織的需要。
• 委派 OU 的管理控制權，必須把 OU 及 OU 包含對象的具體的權限指定給一個或幾個用戶和組。

  看圖寫DN

  [email protected] UPN的認識。

• 快照準備（無內容）
• 管理域賬戶和組

  賬戶類型：計算機賬戶，用戶賬戶，組賬戶

  用戶賬戶UPN理解

  建立UPN好處：

• 由於UPN的格式與電子郵件帳戶相同，所以可以讓用戶不論是登錄域或收發電子郵件，都可以使用一致的名稱。
• 如果域內有很多子域，則域名很長，如sales.north.abc.com,所以當用戶登錄域的時候名字就會太長，所以可以通過創建UPN後綴來減少長度，便於記憶

  管理域賬戶的幾種方式：ad管理中心，ad用戶和組，目錄服務工具，csvde，ldifde

  域組的類型：通訊組（僅作電子郵件組，麽有啟用安全特性），安全組

  域組作用域的分類：域本地組，全局組，通用組（三個域組的理解）

  域組的嵌套：A,G,DL,P為主理解各種嵌套

• 管理信任關系

  訪問令牌:

  當用戶登錄到某臺計算機，在驗證用戶帳號和密碼無誤外系統會為該用戶建立一個"訪問令牌"(access token)，其包含該用戶的SID和用戶所屬組的SID。用戶拿到"訪問令牌"後系統會根據令牌中的SID去決定用戶對特定資源擁有哪些訪問權限。

  信任關系理解：

  信任種類：

  安全設置

• 組策略之桌面管理

  組策略作用：

  方便地管理AD中的計算機和用戶

  賬戶策略的設定

  本地策略的設定

  腳本的設定

  用戶桌面環境

  計算機啟動/關機與用戶登錄/註銷時所執行的腳本文件

  文件夾重定向

  軟件分發

  應用組策略的前提條件

• 組策略只能管理AD中的計算機和用戶
• 只能針對整個站點、域或組織單位來設置組策略
• 要使用組策略，必須有相應的管理權限
• 組策略只適用於Windows 2000以上操作系統的計算機

  組策略結構:

• 組策略的設置數據皆保存在GPO中
• GPO鏈接至SDOU（Site、Domain、Organized Unit）
• GPO管理SDOU中的計算機和用戶

  GPO與SDOU間的鏈接關系

Windows Server 2012R2 AD域控 輔助域 只讀域 子域