项目4活动目录域服务安装与配置.ppt

计算机网络与配置项目化教程 计算机网络与配置项目化教程 项目4 活动目录域服务安装与配置 第一页，共二十九页。 项目说明 目前，般若科技有限公司已经迈入了发展的快车道，专门成立了网络信息管理部门。为此公司领导提出了一些网络管理方面的要求，希望网管部门完成以下项目任务：如图所示，要求建立统一的网络管理规划，要求所有员工在公司Active Directory管理之下，AD的名称为，以便于管理网络内其他主机。 第二页，共二十九页。 项目说明（续） （1）域规模与IP地址规划 本项目中IP地址采用/24网段。计算机默认网关为50～54之间的IP，服务器采用～0之间的IP，客户机占用0以上的IP。 （2）域规划 根据网络规模、集中管理与结构简单原则，公司决定先采用单域结构，域名为。与多域结构相比，它能实现网络资源集中管理并保障管理上的简单性和低成本。在域内按照部门名称划分组织单位（OU），分别是财务运行部、人力资源部、产品研发部、企业生产部、销售推广部、网络技术部，用于存储和管理各部门的用户资源。整个域结构与公司管理结构相匹配，可以实现网络资源的层次管理。域控制器作为整个域的核心服务器，完成对公司所有员工的账户管理和安全策略的实施。如图所示。 第三页，共二十九页。 项目说明（续） 第四页，共二十九页。 项目说明(续） （3）用户账户和组规划 在各部门的OU中分别为该部门员工创建唯一的域用户账户，并要求域用户账户在首次登录时更改密码。密码最小长度为8位，并且符合复杂性要求。为每个部门创建全局组，并将同部门的员工账户分别加入各部门的全局组。 第五页，共二十九页。 项目要求 （1）理解活动目录，掌握域、域树、域林、信任关系等重要概念。 （2）熟悉域控制器在网络中的作用，了解活动目录的结构、计算机角色等内容。 （3）掌握OU、用户等的创建与管理。 （4）掌握安装活动目录的过程。 （5）掌握创建子域的过程。 （6）了解创建域间信任的配置过程。 第六页，共二十九页。 项目实施 一、域（Domain）、域树、域林及其成员关系 （1）域 域是共享用户账号，计算机账号及安全策略的一组计算机，这个定义是基于逻辑因素考虑的，只要用户和计算机在同一个Active Directory内，就认为他们都在域的安全边界之内。 微软对“域”的标准定义是：“域（Domain）既是Windows网络系统的逻辑组织单元，也是Internet的逻辑组织单元，在Windows系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域。每个域都有自己的安全策略，以及它与其他域的安全信任关系。” 第七页，共二十九页。 项目实施 一、域（Domain）、域树、域林及其成员关系 （2）域控制器 在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个行政区域的主管一样，称为“域控制器（Domain Controller，简写为DC）”，它包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录，不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。 第八页，共二十九页。 项目实施 一、域（Domain）、域树、域林及其成员关系 （3）多域 然而随着网络的不断发展，有的企业的网络大的惊人，当网络有十万个用户甚至更多时，域控制器存放的用户数据量很大，更为关键的是如果用户频繁登录，域控制器可能因此不堪重负。在实际的应用中，我们在网络中划分多个域，每个域的规模控制在一定的范围内，同时也是出于管理上的要求，将大的网络划分成小的网络，每个小的网络管理员管理自己所属的账户。 第九页，共二十九页。 项目实施 一、域（Domain）、域树、域林及其成员关系 （4）域树 从Windows 2000 Server起，域树（Domain Tree）开始出现。域树中的域以树的出现，最上层的域名为，是这个域树的根域，根域下有两个子域：sh. 和和子域下又有自己的子域。 在域树中，父域和子域的信任关系是双向可传递的，因此域树中的一个域隐含地信任域树中所有的域。 第十页，共二十九页。 项目实施 一、域（Domain）、域树、域林及其成员关系 （5）域信任 当然在实际的应用中，一个域中的常常有访问另一个域中的资源的需要。为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系