域的管理域的管理2安装活安装活动动目目录录活动目录简介活动目录简介活动目录的逻辑结构活动目录的逻辑结构活动目录的安装活动目录的安装 3456789森林与域森林与域树树abc.com(root)account.abc.comuser.abc.com域树域树双向可传递信任双向可传递信任双向可传递信任双向可传递信任manger.ncie.comsales.ncie.comncie.com森林森林域树域树双向可传递信任双向可传递信任双向可传递信任双向可传递信任10全局目全局目录录（GC）全局目录服务器全局目录服务器全局目录（全局目录（全局目录（全局目录（GCGCGCGC）目录目录对象对象属性属性的子的子集集DomainDomainDomainDomainDomainDomain查询查询查询查询11域控制器域控制器域控制器域控制器域控制器域控制器域域复制复制复制复制 User1User2User1User2= 具有可写属性的活动目录数据库具有可写属性的活动目录数据库域控制器运行在域控制器运行在win2000serverwin2000server的计算机上，用来的计算机上，用来存储目录的副本，管理目录信息的变化，并把这该存储目录的副本，管理目录信息的变化，并把这该变化复制给该域其它的域控制器。域控制器存储目变化复制给该域其它的域控制器。域控制器存储目录数据，管理用户登录、验证和目录搜索录数据，管理用户登录、验证和目录搜索12利用活利用活动动目目录录来来实实行集中式管理行集中式管理OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2DomainOU2OU1User1 Computer1Printer1User2搜索搜索搜索搜索活动目录活动目录: :可以使一个管理员集中管理网络资源可以使一个管理员集中管理网络资源可以使管理员容易的确定对象的信息可以使管理员容易的确定对象的信息可以使管理员把相似的对象组织到可以使管理员把相似的对象组织到 OU 中中可以使管理员给站点、域或可以使管理员给站点、域或 OU 指定具体的组策略设指定具体的组策略设置置13委派管理控制委派管理控制权权分配权限分配权限: :把不同的 OU 指派给不同 的管理员控制指定在一个 OU 中修改对 象具体属性的权限指定在所有 OU 中执行同 样任务的权限通过定制管理工具通过定制管理工具: :指派具体的管理任务可以简化界面设计 DomainAdmin1Admin2Admin3OU2OU3OU114DNS概述概述DNSDNS在活动目录中的作用在活动目录中的作用DNSDNS与活动目录与活动目录活动目录中的活动目录中的DNSDNS名字解析名字解析活动目录集成的区域活动目录集成的区域安装和配置安装和配置DNSDNS以支持活动目录以支持活动目录15DNS（域名服务）作用（域名服务）作用16DNS与活与活动动目目录录的命名空的命名空间间microsoft.comsales. microsoft.comtraining. microsoft.comtrainingmicrosoftDNS命名空间命名空间活动目录命名空间活动目录命名空间= DNS节点节点(域或计算机域或计算机)= 活动目录的域活动目录的域salescomputer1(DNS 根域根域)“.”“.”com.com.Internet17DNS主机名与主机名与 Windows2000的计算机名的计算机名nDNS主机记录与活动目录的组件可表主机记录与活动目录的组件可表示同一台计算机示同一台计算机 n计算机可以依靠计算机可以依靠DNSDNS在活动目录内定在活动目录内定位域控制器位域控制器活动目录活动目录training.microsoft.comBuiltinComputersNcie-1Ncie-2DNS“.”“.”com.com.salestrainingtrainingNcie-1Ncie-1microsoftmicrosoft全称域名（全称域名（FQDN） = ncie-1.training.microsoft.comWindows2000 计算机名计算机名 = ncie-118计计算机如何用算机如何用DNS来定位域控制器来定位域控制器DNS 服务器服务器区域数据库区域数据库区域数据库区域数据库SRV记录记录客户机联系域控制器客户机联系域控制器客户机联系域控制器客户机联系域控制器6 6域控制器作出反应域控制器作出反应域控制器作出反应域控制器作出反应7 7运行轻型目录访运行轻型目录访问协议问协议（LDAP）的域控）的域控制器制器8 8客户机给域控制器客户机给域控制器发送一个请求发送一个请求登陆或查找活动目录登陆或查找活动目录登陆或查找活动目录登陆或查找活动目录1 1发送包含客户机信息的发送包含客户机信息的发送包含客户机信息的发送包含客户机信息的DNSDNS查询查询查询查询3 3网络登陆服务收集客户机信息网络登陆服务收集客户机信息网络登陆服务收集客户机信息网络登陆服务收集客户机信息2 2返回返回返回返回IPIP地址列表地址列表地址列表地址列表 5 5DNSDNS查询匹配的查询匹配的查询匹配的查询匹配的SRVSRV记录记录记录记录4 4客户机客户机19AD与与DNS作用和区作用和区别别20活活动动目目录录与与DNS的区的区别别 DNS和和活活动动目目录录的的结结合合是是Windows2000服服务务器器的的最最主主要要特特点点，DNS域域和和活活动动目目录录域域对对不不同同的的名名字字空空间间使使用用同同一一样样的的域域名名。但但它它们们各各自自存存储储不不同同的的数数据据，因因此此管管理理不不同同的的对对象象。DNS存存储储它它的的区区域域和和资资源源记记录录，活活动动目目录录存存储储域域和和域域中中的的对对象象。对对DNS来来说说，域域名名是是以以DNS的的命命名名结结构构为为基基础础的的，是是一一种种倒倒树树型型结结构构：一一个个根根域域，下下面面的的域域既既是是父父域域又又是是子子域域。每每一一个个DNS域域中中的的计计算算机机可可以以通通过过完完全全合合格格域域名名（FQDN）进进行行识识别别。每每一一个个与与因因特特网网连连接接的的WIN2K域域都都有有一一个个DNS名名字字，并并且且每每一一个个WIN2K域域中中的的计计算算机机也也都都有有一一个个DNS名名字字。因因此此，域域和和计计算算机机即即代代表表活活动动目目录录对对象象，又代表域节点。又代表域节点。21 活动目录的安装实验物理环境活动目录的安装实验物理环境计算机计算机A A域控制器域控制器DCDC或与或与DNSDNS集成集成DNSDNS服务器服务器计算机计算机B B：域名域名 ncie.comIP：192.168.1.1/24dns:192.168.1.1或或dns:192.168.1.2IP:192.168.1. 2/24IP：192.168.1.4 /24dns:192.168.1.1或或dns:192.168.1.2IP：192.168.1.3 /24dns:192.168.1.1或或dns:192.168.1.222 活活动动目目录录的安装的安装23 将将计计算机加入到域算机加入到域24创建和管理域用户帐户创建和管理域用户帐户域用户帐户的管理域用户帐户的管理域模式中的组的管理域模式中的组的管理创建域用户帐户创建域用户帐户使用域用户帐户登录计算机使用域用户帐户登录计算机设置域用户帐户的属性设置域用户帐户的属性25 域用户账号域用户账号域用户账号是在域用户账号是在DCDC上建立的，域用户账号是访上建立的，域用户账号是访问域的唯一凭证，作为问域的唯一凭证，作为ADAD的一个对象保存在域的一个对象保存在域的的ADAD数据库中。用户从域中的任何一台计算机数据库中。用户从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的账号，该账号将被域的DCDC所验证。所验证。单用户帐户单用户帐户Active Directory26创建域用户帐户创建域用户帐户27使用域用户帐户登录计算机使用域用户帐户登录计算机28设置域用户帐户属性设置域用户帐户属性(1)29设置域用户帐户属性设置域用户帐户属性(2)30创建和管理域中的组创建和管理域中的组介绍域中的组介绍域中的组组的类型组的类型组的范围组的范围创建域中的组创建域中的组AGDLP规则规则31介介绍绍用用户户和和组组为每个用户账号创建一个唯一登陆名为每个用户账号创建一个唯一登陆名将用户账号分组以高效管理域资源的访问将用户账号分组以高效管理域资源的访问将组嵌套到别的组中以减少管理任务将组嵌套到别的组中以减少管理任务 用户用户用户用户共享资源共享资源共享资源共享资源Permissions组组组组32介介绍绍活活动动目目录录中的中的组组n组可以被嵌套到其它的组中组可以被嵌套到其它的组中n一个用户可以是许多组的成员一个用户可以是许多组的成员GroupGroupn使用组来简化资源权限的分配使用组来简化资源权限的分配GroupGroupGroupGroupGroupGroup33全局全局组组全局组的规则全局组的规则可加入的组可加入的组可加入的组可加入的组成员成员成员成员作用范围作用范围作用范围作用范围权限范围权限范围权限范围权限范围l混合模式混合模式: : 本域的用户账号l本机模式本机模式: : 本域的用户账号l混合模式混合模式: 域本地组l本机模式本机模式: 任何域中的通用和域本地组, 还有本域中的全局组l目录林中所有的域l目录林中所有的域目录林中所有的域 添加添加添加添加 全局组全局组34域本地组的规则域本地组的规则可加入的组可加入的组可加入的组可加入的组成员成员成员成员作用范围作用范围作用范围作用范围权限范围权限范围权限范围权限范围l混合模式混合模式: 任何域中的用户账号和全局组任何域中的用户账号和全局组l本机模式本机模式: 目录林中任何域中的用户账号，全局组和目录林中任何域中的用户账号，全局组和 通用组以及本域中的域本地组通用组以及本域中的域本地组l混合模式混合模式: 不能是任何组的成员不能是任何组的成员l本机模式本机模式: 本域中的域本地组本域中的域本地组 l混合模式混合模式: 域控制器域控制器l本机模式本机模式: 域控制器所在的域域控制器所在的域l混合模式混合模式: 域控制器域控制器l本机模式本机模式: 域控制器所在的域域控制器所在的域 添加添加添加添加全局组全局组 域域DLG域本地组域本地组域本地域本地组组35通用通用组组可加入的组可加入的组可加入的组可加入的组通用组的规则通用组的规则成员成员成员成员l混合模式混合模式: 不能创建通用组不能创建通用组l本机模式本机模式: 目录林中任何域中的目录林中任何域中的用户账号，全局组，和其它的用户账号，全局组，和其它的通用组通用组l混合模式混合模式:不能创建通用组不能创建通用组l本机模式本机模式: 任何域中的域本地组任何域中的域本地组和通用组和通用组作用范围作用范围作用范围作用范围l在目录林中的所有域中都是可在目录林中的所有域中都是可见的见的权限范围权限范围权限范围权限范围l目录林中的所有域目录林中的所有域 全局组全局组 通用组通用组36AGDLP用户账号用户账号多个全局组多个全局组全局组全局组域本地组域本地组授权授权A AGGDLDLP PGGDLG把域用户账号添加到全局组把域用户账号添加到全局组(可选可选) 把多个全局组添加到另一个全局组中把多个全局组添加到另一个全局组中把全局组添加到域本地组把全局组添加到域本地组把资源的访问权限分配给域本地组把资源的访问权限分配给域本地组37创建域中的组创建域中的组38 用用户户配置文件的配置文件的类类型型默认的用户配置文件默认的用户配置文件本地用户配置文件本地用户配置文件漫游用户配置文件漫游用户配置文件强制性漫游用户配置文件强制性漫游用户配置文件39 默认的用户配置文件默认的用户配置文件 默默认认的的用用户户配配置置文文件件用用于于生生成成一一个个新新用用户户的的工工作作环环境境，所所有有对对用用户户配配置置文文件件的的修修改改都都是是在在默默认认用用户户配配置置文文件件上上开开始始的的。当当用用户户第第一一次次登登录录到到计计算算机机时时其其用用户户配配置置文文件件的的内内容容就就是是由由DefaultUserDefaultUser文文件件夹夹中中的的内内容容和和AllUserAllUser文件夹的内容组成的文件夹的内容组成的40 本地用户配置文件本地用户配置文件 当一个用户登录到一台计算机时创建的用户配置当一个用户登录到一台计算机时创建的用户配置文件就是本地用户配置文件。一台计算机上可以文件就是本地用户配置文件。一台计算机上可以有多个本地配置文件，分别对应于每个曾经登录有多个本地配置文件，分别对应于每个曾经登录过该计算机的用户。用户配置文件不能直接被编过该计算机的用户。用户配置文件不能直接被编辑，要想修改配置文件的内容需要以该用户登录，辑，要想修改配置文件的内容需要以该用户登录，然后修改用户的工作环境如桌面、然后修改用户的工作环境如桌面、“开始开始”菜单、菜单、鼠标等，在用户退出登录时，系统会自动的将修鼠标等，在用户退出登录时，系统会自动的将修改的配置保存到用户配置文件中去。改的配置保存到用户配置文件中去。41漫游用户配置文件漫游用户配置文件保存对该文件保存对该文件保存对该文件保存对该文件的更改的更改的更改的更改42强制性用户配置文件强制性用户配置文件服务器服务器用户用户用户用户漫游配置文件漫游配置文件ABCD不保存用户对不保存用户对此文件的更改此文件的更改强制性用户配置文件不保存用户对工作环境的修改强制性用户配置文件不保存用户对工作环境的修改当用户更改当用户更改了工作环境参数后退出登录再重新登录时工作环境又恢复到强制了工作环境参数后退出登录再重新登录时工作环境又恢复到强制用户配置文件中设定的当需要一个统一的工作环境时该文件就十用户配置文件中设定的当需要一个统一的工作环境时该文件就十分有用该文件由管理员控制分有用该文件由管理员控制通常将强制性用户配置文件保存在通常将强制性用户配置文件保存在某台服务器上这样无论用户从哪一台计算机上登录都将得到一个某台服务器上这样无论用户从哪一台计算机上登录都将得到一个相同且不能更改的工作环境。相同且不能更改的工作环境。ntuser.datntuser.man43 设置漫游用户配置文件设置漫游用户配置文件servernameProfile%username%用于存放用户漫游配用于存放用户漫游配置文件共享文件夹服置文件共享文件夹服务器的务器的UNC路径路径%username%是是取取当当前前用用户户登登录录名名的的变变量量, ,在在用用户户登登录录成成功功后后, ,系系统统会会以以用用户户名名登登录录名名为为名名称称在在Profile文文件件夹夹中中创创建建一一个个子子文文件件夹夹, ,来来存存放放该该用用户户的的用用户户配配置置文件文件44漫游、漫游、强制性强制性用户配置文件实验用户配置文件实验ncie.com在服务器上创建一个共享文件夹在服务器上创建一个共享文件夹(比如比如:share)在服务器配置文件路径中配置为在服务器配置文件路径中配置为servername或或IP地址地址Shard_floder_name%Username%本例中路径为本例中路径为:192.168.0.101share%Username%强制漫游用户配置文件强制漫游用户配置文件,只要把只要把ntuser.dat改名为改名为ntuser.man即可即可结束语结束语谢谢大家聆听！谢谢大家聆听！45