Windows2008AD应用验证.doc

Windows Server 2008 AD应用实践 二〇一四年一月二十三日 目录 1. 添加桌面图标 1 2. DNS服务器 1 2.1. 安装DNS服务器 2 2.2. 正向解析和逆向解析 5 3. Active Directory 5 3.1. 安装DNS服务器 5 3.2. 安装域控制器 5 3.3. DNS集成设置及测试 13 3.4. 将用户主机添加到域 17 3.5. 账户管理 20 3.5.1. 计算机账户管理 20 3.5.2. 用户账户管理 21 . 新建用户 21 . 禁用账户 22 3.6. 帐户和策略作用时刻 22 3.6.1. 计算机帐户作用时刻 22 3.6.2. 域账户作用时刻 23 3.6.3. 域策略作用时刻 23 3.7. 域中计算机策略管理 23 3.7.1. 几个重要概念 23 3.7.2. 组策略实施示例 23 4. 系统备份和还原 26 4.1. 功能支持 26 4.2. 功能使用方法 26 4.2.1. 系统备份 26 4.2.2. 在线式系统恢复 30 4.2.3. 裸机恢复 31 4.3. 重要的内容 34 5. 其他需要说明的问题 34 5.1. 侧重点的问题 34 5.2. 要解决的第一个问题：禁止同网段两台主机之间的共享访问 35 5.3. 要解决的第二个问题：用户和数据漫游 35 5.4. 要解决的第三个问题：对系统管理员的限制 35 添加桌面图标 让我们做一些铺垫工作，使得windows 2008看起来更亲切一些。 安装功能：“桌面体验”，提示需要安装“墨迹支持”，一并安装即可。 安装后重启操作系统，在桌面上右键使用个性化设置，“更改桌面图标”即可。 现在看看，跟windows 2003没有多大区别了吧。 DNS服务器 DNS服务可以实现IP地址和主机名的映射关系查询服务。 使用向导添加DNS角色服务器，然后设置解析。 安装DNS服务器 效果： 正向解析和逆向解析 顾名思义，正向解析是将主机名解析成IP地址，逆向解析是将IP地址解析成主机名。实际操作一遍，即可理解了，这个太简单。 Active Directory 安装DNS服务器 在“安装DNS服务器”后，不采取任何配置，安装域控制器。 安装域控制器 使用dcpromo安装域控制器。 这一步实际上是安装域管理功能，安装的功能有AD角色服务和相关功能，如下： 这一步完成后会弹出如下界面，开始将主机提升为域控制器，并完成配置功能。 这里需要输入域名，这里填写 这里选择“是”，系统会添加相关配置。需要注意的是DNS安装完成后不能有任何配置，否则将不会添加相关配置，会导致客户端注册故障，提示找不到域服务器。 开始安装，勾选“完成后重新启动”，系统将自动安装并两次重启，最后登录即可看到安装结果。 此时，已经可以看到Active Directory域服务目录结构，以及在DNS中自动生成的目录结构。 DNS集成设置及测试 要在自动创建DNS信息的基础上，添加到域控制器的逆向解析。 在DNS的“反向查找区域”中添加反向查找区域。 以上完成反向查找区域安装。 然后，到正向查找区域中，将域控制器的信息更新到逆向控制区域。 使用DNS查询来验证配置正确，如此客户端主机才能正常注册。 将用户主机添加到域 主机加入域前，需要设置DNS服务器，否则会找不到域控制器。 然后要重启计算机。 注册完毕，计算机信息会自动同步到DNS中。 同时，还可以使用域账户登录到该加入到域中的计算机，深入研究可以发现还有策略同步等功能。 账户管理 计算机账户管理 将计算机添加到域，实际上是主机间建立一种信任关系。域控制器上的管理策略以及账户信息都会部署到添加到域的主机上。 通过对计算机账户管理，可以控制域和域中计算机的信任关系。 通过“禁用账户”和“启用账户”能够控制域账户是否能够登录到域中的计算机上，通过“重置账户”主动解除与域中计算机的信任关系；此时如果需要重新建立信任关系，则需要重新注册。 此时，可以使用域账户登录到域中的计算机上。 选择“禁用账户”，重启域中的计算机后稍等片刻，再使用域账户登录会发现不能登录。 可以得到一个结论：允许计算机账户能立马生效，但禁止计算机账户会需要一个策略下发周期。 用户账户管理 新建用户 此时，可以使用该账户登录到域中的计算机上。 禁用账户 在域控制器上禁用账户，重启加入到域中的计算机上，使用该账户登录时，会发现已经被禁止登录到计算机上。 帐户和策略作用时刻 计算机帐户作用时刻 计算机帐户禁用