第14章活动目录和域分解.ppt

* * * * Windows Server 2008教程课件电子工业出版社 课件制作人声明 本课件共 18个 Powerpoint 文件（每章一个）。教师可根据教学要求自由修改此课件（增加或删减内容），但不能自行出版销售。 对于课件中出现的缺点和错误，欢迎读者提出宝贵意见，以便及时修订。 第14章 活动目录和域 14.1 活动目录介绍 14.2 搭建域环境 14.3 管理域成员 14.4 域和林功能级别 14.1 活动目录介绍 在规模较小的企业环境中，计算机可以使用工作组的形式来组织和管理。但是，如果企业的网络规模较大、地理位置分散，并且网络中的计算机和服务器数量较多，就需要使用域的形式来组织，以便进行集中的管理和集中的用户身份验证。 工作组缺点 工作组”对计算机的管理有如下缺点： 工作组中的计算机没有统一的管理机制，每台计算机的管理员只能管理本地计算机，即只能设置本地计算机的安全策略、本地连接和共享等。 工作组中的计算机也没有对用户帐户的统一的身份验证机制，用户登录计算机只能使用该计算机的本地用户帐户，由本地计算机来验证用户的身份。当访问网络上的共享资源时，则需要提供访问网络资源的凭据。用户需要记住访问各个服务器用的帐户和密码。 工作组的计算机也没有统一查找网络资源的机制，这些网络资源包括网络中的共享的打印机、企业的用户帐户信息和共享文件夹等。 域功能和特点 活动目录有以下特点 集中管理，可以集中地管理企业中成千上万分布于异地的计算机和用户。 便捷的网络资源访问，能够很容易地定位到域中的资源。 用户一次登录就可访问整个网络资源，即集中的身份验证。 可扩展性，既可以适用于几十台计算机的小规模网络，也可以适用于跨国公司。 DNS服务器在域环境中的作用 DNS服务器在域环境中所起的作用如下： 域名解析 DNS服务器通过其A记录将域名解析成IP地址。 定位活动目录服务 客户机通过DNS服务器上SRV记录定位目录服务。 14.2 搭建域环境 域是一种层次结构的组织形式，我们可以根据公司规模的大小，搭建合适的域环境。即，如果公司有分公司或子公司，我们可以在域的基础上创建该域的子域，也可以在子域的基础上创建子域的子域。 同时，我们也可以将多个域进行合并，成为一个“林”，从而可以对林中的所有计算机进行统一管理。 我们首先搭建一个单域环境，掌握活动目录的基础功能。在后续章节中，将详细介绍子域等知识。 安装活动目录和DNS服务 安装活动目录后的检查 强制域控制器注册SRV记录 SRV记录注册不成功的可能原因 14.3 管理域成员 将计算机加入域时会自动在活动目录中创建该计算机帐户。不管是运行Windows NT、Windows 2000、Windows XP或Windows Vista的计算机，还是运行Windows Server 2003、Windows Server 2008的服务器，在加入域时都会在域中创建一个计算机帐户。与用户帐户类似，计算机帐户对访问网络和域资源提供了一种身份验证和审核方式。域中的每个计算机帐户必须是唯一的。 默认计算机帐户存储在域中computers中。当然我们可以根据需要将计算机帐户移动到别的组织单元，也可以先在域中特定的组织单元中创建计算机帐户，然后再把计算机加入到域。 将计算机加入到域 禁用计算机帐号 将计算机退出域 域环境中计算机名称解析 14. 4 域和林功能级别 从Windows NT到Windows 2000 Server、Windows Server 2003、Windows Server 2008都提供活动目录功能，然而不同的操作系统运行的域提供不同功能的服务，即在域内由不同类型的操作系统组合而成的域，支持不同的功能和服务，我们称之为不同的域的功能级别。同理在林中也存在林的功能级别这个概念。 例如，在Windows Server 2003的Active Directory中提供了比Windows 2000 Server Active Directory更高的功能级别，称为Windows 2003临时模式和Windows 2003模式。只有把所有的域控制器都升级到Windows 2003模式，整个林才能被提升到Windows 2003模式。 域功能级别 域功能级别只影响该域和该域的功能。Windows Server 20008域环境支持5种功能级别： Windows 2000混合级别（默认） 该级别下，域中的DC可以是使用Windows 2000和Windows NT的任意系统，即Windows 2000域控制器和Windows NT 4.0备份域控制器可以在同一个域中无缝共存而不会出现任何问题。激活的功能包括本地与全局组并支持全局编录。 Windows 2