网络中活动目录实际工作中最有价值的参考文档

 

       我在上海工作过几家公司,基本上都用活动目录,之前在运用活动目录管理公司过程中,也遇到很多的问题,很少遇到一篇具体而实用的活动目录参考文章。于是乎我自己花了我的业余时间写了这篇活动目录参考手册,希望对想学习活动目录的人有所帮助,如果您看了觉得还行,希望能给个好评,也算是对我自己的鼓励。
在Windows 2003中,各种网络服务以服务器角色出现,方便了用户对网络资源进行分配与管理。应用服务器角色对网络进行管理,均需要有 活动目录服务、域名系统服务、动态主机配置协议服务、Windows Internet命名服务的配合与支持。
 
(一)什么是活动目录
 
活动目录(Active Directory)是用于Windows 2003的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
 
活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。
 
理解活动目录,还必须把握如下基础概念:
 
1、 名字空间
 
从本质上讲,活动目录就是一个名字空间,我们可以把名字空间理解为任何给定名字的解析边界,这个边界就是指这个名字所能提供或关联、映射的所有信息范围。通俗地说就是我们在服务器上通过查找一个对象可以查到的所有关联信息总和,如一个用户,如果我们在服务器已给这个用户定义了如:用户名、用户密码、工作单位、联系电话、家庭住址等,那上面所说的总和广义上理解就是“用户”这个名字的名字空间,因为我们只输入一个用户名即可找到上面我所列的一切信息。名字解析是把一个名字翻译成该名字所代表的对象或者信息的处理过程。举例来说,在一个电话目录形成一个名字空间中,我们可以从每一个电话户头的名字可以被解析到相应的电话号码,而不是象现在一样名字是名字,号码归号码,根本不能横向联系。Windows 操作系统的文件系统也形成了一个名字空间,每一个文件名都可以被解析到文件本身(包含它应有的所有信息)。
 
2、 对象
 
对象是活动目录中的信息实体,也即我们通常所见的“属性”,但它是一组属性的集合,往往代表了有形的实体,比如用户账户、 文件名等。对象通过属性描述它的基本特征,比如,一个用户账号的属性中可能包括用户姓名、 电话号码、 电子邮件地址和家庭住址等。
 
3、 容器
 
容器是活动目录名字空间的一部分,与目录对象一样,它也有属性,但与目录对象不同的是,它不代表有形的实体,而是代表存放对象的空间,因为它仅代表存放一个对象的空间,所以它比名字空间小。比如一个用户,它是一个对象,但这个对象的容器就仅限于从这个对象本身所能提供的信息空间,如它仅能提供用户名、用户密码。其它的如:工作单位、联系电话、家庭住址等就不属于这个对象的容器范围了。
 
4、目录树
 
在任何一个名字空间中,目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象,树的非叶子节点是容器。目录树表达了对象的连接方式,也显示了从一个对象到另一个对象的路径。在活动目录中,目录树是基本的结构,从每一个容器作为起点,层层深入, 都可以构成一棵子树。一个简单的目录可以构成一棵树,一个计算机网络或者一个域也可以构成一棵树。
 
5、域
 
域是WIN2K网络系统的安全性边界。我们知道一个计算机网最基本的单元就是“域”,这一点不是WIN2K所独有的,但活动目录可以贯穿一个或多个域。在独立的计算机上,域即指计算机本身,一个域可以分布在多个物理位置上,同时一个物理位置又可以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后,活动目录可以被多个信任域域共享。
 
6、组织单元
 
包含在域中特别有用的目录对象类型就是组织单元。组织单元是可将用户、组、计算机和其他单元放入活动目录的容器中,组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单元,您可在组织单元中代表逻辑层次结构的域中创建容器,这样您就可以根据您的组织模型管理帐户、资源的配置和使用,可使用组织单元创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单元或对单个组织单元的管理权限,组织单元的管理员不需要具有域中任何其他组织单元的管理权。
 
7、域树
 
域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。树中的域通过信任关系连接起来,活动目录包含一个或多个域树。域树中的域层次越深级别越低,一个“.”代表一个层次,如域child.Microsoft.com 就比 Microsoft.com这个域级别低,因为它有两个层次关系,而Microsoft.com只有一个层次。而域Grandchild.Child.Microsoft.com双比 Child.Microsoft.com级别低,道理一样。
 
域树中的域是通过双向可传递信任关系连接在一起。由于这些信任关系是双向的而且是可传递的,因此在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。这些信任关系允许单一登录过程,在域树或树林中的所有域上对用户进行身份验证,但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限,所以必须在每个域的基础上为用户指派相应的权利和权限。
 
8、域林
 
域林是指由一个或多个没有形成连续名字空间的域树组成,它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间,而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同域树可以交叉引用其他域树中的对象。域林都有根域,域林的根域是域林中创建的第一个域,域林中所有域树的根域与域林的根域建立可传递的信任关系。
 
 
 
(二)DNS与活动目录
 
由于活动目录与DNS(Domain Name System,域名系统)集成,共享相同的名称空间结构,因此注意两者之间的差异非常重要:
 
1.DNS是一种名称解析服务
 
DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收名称查询,然后通过本地存储的文件解析名称查询,或者查询其他DNS服务器进行名称解析。DNS不需要活动目录就能运行。
 
2.活动目录是一种目录服务
 
活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)”向活动目录服务器发送查询。要定位活动目录服务器,活动目录客户机将查询DNS。活动目录需要DNS才能工作。
 
即活动目录用于组织资源,而DNS用于查找资源;只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。DNS是活动目录的关键组件,如果没有DNS,活动目录就无法将用户的请求解析成资源的IP地址,因此在安装和配置活动目录之前,我们必须对DNS有深入的理解。
 
(三)规划活动目录
 
在安装活动目录之前,我们首先要对活动目录的结构进行细致的规划设计,让用户和管理员在使用时更为方便。
 
1.规划DNS
 
如果用户准备使用活动目录,则需要首先规划名称空间。当DNS域名称空间可在Windows 2003中正确执行之前,需要有可用的活动目录结构。所以,从活动目录设计着手并用适当的DNS名称空间支持它。
 
在Windows 2003中,用DNS名称命名活动目录域。选择DNS名称用于活动目录域时,以保留在Internet上使用的已注册DNS域名后缀开始(如microsoft.com),并将该名称和单位中使用的地理(部门)名称结合起来,组成活动目录域的全名。例如,microsoft的sales组可能称他们的域为“sales.microsoft.com”。这种命名方法确保每个活动目录域名是全球唯一的。而且,这种命名方法一旦被采用,使用现有名称作为创建其他子域的父名称以及进一步增大名称空间以供单位中的新部门使用的过程将变得非常简单。
本实验的DNS地址为:192.168.1.180。DNS已经建立好了,不再做演示。
 

 

 

 
2. 规划用户的域结构
 
最容易管理的域结构就是单域。规划时,用户应从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域。单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。在一个域中,可以使用组织单元(OU,Organizational Units)来实现这个目标。然后,可以指定组策略设置并将用户、组和计算机放在组织单元中。
 
3. 规划用户的委派模式
 
用户可以将权限下派给单位中最底层部门,方法是在每个域中创建组织单元树,并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限,用户不再需要那些定期登录到特定账户的人员,这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组,可以仍保留这些账户以备少数管理员偶尔使用。
 
(四) 安装活动目录服务
 
运行活动目录安装向导将Windows 2003计算机升级为域控制器会创建一个新域或者向现有的域添加其他域控制器。
 
1. 安装前的准备工作
 
首先,也是最重要的一点,就是你必须有安装活动目录的管理员权限,否则无法安装。在安装活动目录之前,要确保系统盘为NTFS分区。同时,已做好了DNS服务器的解析,如cpipec.com。  
2.安装域控制器
 
在安装活动目录前首先确定DNS服务正常工作,下面我们来安装根域为cpipec.com的域控制器。
 
 
(1)依次单击“开始→设置→控制面板”菜单项,在“控制面板”对话框中双击“管理工具”项,然后在出现的对话框中双击“管理你的服务器向导”选项,启动配置向导。单击“添加或删除角色”选项,单击“下一步”按钮。
 
(2)在“配置选项”对话框中,选择“自定义配置”选项。单击“下一步”按钮。
 
(3)在“服务器角色”对话框中,选择“域控制器(Active Directory)”选项,单击“下一步”按钮,将启动活动目录安装向导。单击“下一步”按钮。
 
注意:最方便的是在运行里输入dcpromo 命令,启动活动目录安装向导。
 
 

 
(4)由于用户所建立的是域中的第一台域控制器所以在“域控制器类型”对话框中选择“新域的域控制器”选项。单击“下一步”按钮。
 

(5)在“创建一个新域”对话框中选择“在新林中的域”选项。单击“下一步”按钮。
 

(6)在“新的域名”对话框中的“新域的DNS全名”框中输入需要创建的域名,这里是lanyi.com。单击“下一步”按钮。
 

(7)在“NetBIOS名”对话框中,更改NetBIOS名称。运行非Windows操作系统客户端将使用NetBIOS域名。可保持默认设置,单击“下一步”按钮。
 

(8)在“数据库和日志文件文件夹”对话框中,将显示数据库、日志文件的保存位置,一般不作修改。单击“下一步”按钮。
 

(9)在“共享的系统卷”对话框中,指定作为系统卷共享的文件夹。Sysvol文件夹存放域的公用文件的服务器副本。Sysvol广播的内容被复制到域中的所有域控制器,其文件夹位置一般不作修改。单击“下一步”按钮。
(10)在“配置DNS”对话框中,单击“下一步”按钮。(如果在安装活动目录之前未配置DNS服务器,可在此让安装向导配置DNS,推荐使用这种方法。)
 

 

(11)在“权限”对话框中为用户和组选择默认权限,考虑到现在大多数网络环境中仍然需要使用Windows 2003以前的操作系统,所以选择“与Windows 2000之前的服务器操作系统兼容的权限”选项,单击“下一步”按钮。
 
(12)在“目录服务恢复模式的管理员密码”对话框中输入以目录恢复模式下的管理员密码。单击“下一步”按钮。
 
此时,安装向导将显示安装摘要信息。单击“下一步”按钮即可开始安装,安装完成之后,重新启动计算机即可。
 
验证DC的安装是否成功
 
A.检查安装后的相关文件是否产生
C:\WINDOWS\NTDS\ntds.dit
C:\WINDOWS\SYSVOL
C:\WINDOWS\SYSVOL\sysvol 必须要共享,否则域成员计算机将无法远程读取DC的组策略包含组策略配置文件、模板信息,造成组策略应用失败
 
 
根据自己单位的实际情况新建“组织单位”,如下图
 

(1) 讲关于域用户的“文件夹重定向”。
文件重定向功能,就是把用户本机上的文件夹存储位置转移到域控制器上或者网络上的其他主机,从而实现对数据尽心统一备份与管理;就算是客户端的系统盘坏了,也照样可以在其他加入域的机器上把其桌面和我的文档上的资料找到;只要你的资料在“我的文档”和“桌面”上,你在域客户端的任意一台电脑上登录你的账号,都可以找到你的资料。
(2) 步骤
2.1第一步:在文件服务器上新建一个文件夹。当然,这个文件服务器必须属于这个域中。文件夹建立好只好,要确认一下这个文件夹的权限,如需要 SYSTEM与CREATOROWNER帐户对这个文件夹拥有完全控制的权限。而且,这个文件夹最好能够建立在NTFS格式上,如此的话,可以实现更好的安全性。然后,把这个文件夹设置为共享文件夹,共享的权限是每个人都有完全控制的共享权限。
 

 

 

2. 2第二步:在域控制器上,利用组策略实现文件家重定向,而不是给每个域帐户设置文件重定向。
 

http://alishengsheng1314.tuike.cn 

 

刷新组策略
 

第三步:进行测试。当这个组策略应用到每个用户中去后,每个帐户登陆一次,就会在这个共享文件夹下建立一个文件夹。文件夹的名字是以用户的帐户名命名的。
 
        

        2.3问题:假如每个人的桌面都放很多东西,那么当他关机的时候会很慢的,因为用户关机过程中,电脑会把其“桌面”和“我的文档”里的东西都上传到域服务器的share共享文件里,会影响关机速度。所以需要做磁盘配额。
            在share共享文件所在盘符---属性-启用磁盘配额
 

         2.3
             添加如下2个人的账户
 

          
(3) 活动目录 用户漫游配置文件设置
 
 
基于AD域的漫游用户功能可以随时随地为用户提供熟悉的工作环境。简而言之,借助该功能可以使用户在任何一台域成员 计算机中拥有相同的桌面和系统设置
3.1我先在服务器上新建一个名为“漫游用户配置文件”的文件夹,在“共享权限”对话框中设置everyone为完全控制,在“安全”选项框中只需要把”users”设置为完全控制,关键一个地方的权限设置请看图。---就是“高级”-“users”勾选“用在此显示的可以应用到子对象的项目替代所有字对象的权限项目”
漫游配置用户文件是很难做成功的,因为权限设置容易把人搞晕,我当初做的时候,也遇到很多问题,查了网络上的一些资料都按照别人的提示操作,还是做不出来效果。最后通过自己的尝试和排查找出了原因。说句实在话,那个时候很气愤,竟然没有一篇可以使用的参考文章。高手有的是,但是愿意分享的还是不多。
 
         

 
 3.2 强制漫游。(假如公司要求统一桌面的话,而且用户不能修改桌面,就可以用到我下面截图中的技术)
 
3.2.1在用户配置文件中有个“NTUSER.DAT”文件,做强制漫游必须修改其后缀为“NTUSER.man”,可以在域控制器上修改其配置文件。那里这里就得把其权限夺取过来,让
域控制器有权打开其配置文件,才能修改。“右击域控制器”上的“ceshi”文件夹---属性-所有者---“勾选替换子容器及 对象的所有者”
 
 

 
3.2.2.再设置组策略--
 

3.2.3点击“桌面墙纸”,之前要在域控制器上弄张墙纸并共享出来,给everyone读取权限。
 

(3) 利用组策略软件分发。
3.1设置共享目录
     在域控制器上的D盘下新建一个名为tool的软件,然后将Adminpak.msi程序从Windows Server 2003安装光盘的“I386目录”中复制到“Tool”目录中,接着设置该目录的共享权限,“Authenticated Users”组为可读,“Administrator”组为完全控制。
 3.2设置组策略
  以域管理员身份登录DC(域控制器),然后依次点击“开始→程序→管理工具→Active Directory用户和计算机”菜单项,在弹出的窗口中右键单击cpipec.com,并在弹出的菜单中选择“属性”。在“属性”窗口中点击“新建”按钮,并将新建的组策略对象命名为“Software”。
接着选中Software并单击下方的“编辑”按钮,在打开的“组策略编辑器”窗口中依次点击“用户配置→软件设置→软件安装”。接着右键单击“软件安装”,并在弹出的菜单中选择“属性”。在“软件安装 属性”对话框中手工输入“\计算机名\共享文件名”,然后选中“显示部署软件对话框”和“基本”两项
 

点击“确定”按钮返回“组策略编辑器”后,右键点击“软件安装”项,在弹出的快捷菜单中依次选择“新建→程序包”。在随后出现的“打开”对话框中,选中Tool目录下的“Adminpak.msi”文件后单击“打开”按钮即可。在随后弹出的“部署软件”对话框中选中“已发布”选项后,点击“确定”按钮。现在就可关闭组策略对话框了。接着打开命令提示符窗口,输入“Gpupdate”命令并回车,这样可以刷新组策略,以便使上述设置立即生效。
3.3在域客户端中安装软件
经过上述在DC(域控制器)中的设置后,软件就会被分发到cpipec.com域中的所有工作站上了。在工作站中,当用户登录域后,只要点击“添加/删除程序”窗口中的“添加新程序”按钮,就会立即在“从网络添加程序”列表中列出从DC(域控制器)中分发出来的“Adminpak.msi”程序了。点击“添加”按钮则可以立即进行程序的安装。
  

(4) 脚本的应用。
4.1在域环境中,组策略显得尤为重要,作为一个域管理员,要时刻有效的管理域中的成员,就必须对组策略熟之又熟,它是我们域中的一个十分强大的管理机制,我们要学懂它,恐怕还得多下点功夫,下面我单把脚本的应用和软件限制策略作一下简单的叙述(备注:我们知道,在组策略中分为两大模块:计算机配置和用户配置。对计算机做配置只是作用于某台计算机,对用户配置做配置只是作用于某用户,不过,计算机配置的优先级是大于用户配置的优先级的,明白了这点,我们就可以有目的的去做配置了 (备注:我们知道,在组策略中分为两大模块:计算机配置和用户配置。对计算机做配置只是作用于某台计算机,对用户配置做配置只是作用于某用户,不过,计算机配置的优先级是大于用户配置的优先级的,明白了这点,我们就可以有目的的去做配置了
4.2首先在域控制器的D盘下建立一个文件夹用于存放脚本执行文件。本例中只存放登陆和注销脚本。
4.3右键“合川二期项目”组织单位,新建一个“登陆注销脚本”,点击“编辑”按钮,找到“用户配置”—“windows设置”—“-脚本”—“登陆属性”—“显示文本”看到一条用于存放脚本的路径 \\cpipec.com\SysVol\cpipec.com\Policies\{E2A5C233-82DC-432E-B983-0DA7C5BF7DB9}\User\Scripts\Logon)这里可是非常的重要,不然做不出效果。接着把已经编写好的“登陆脚本”存放到“logon文件”下。
 

注销脚本同理,我就不演示了。
4.4让一个用户登陆下计算机,看看效果。
 

  
 
(五)备份与恢复活动目录
 
在Windows 2003中,备份与恢复活动目录是一项非常重要的工作。你不能单独备份活动目录,因为Windows 2003将活动目录作为系统状态数据的一部分进行备份。系统状态数据包括注册表、系统启动文件、类注册数据库、证书服务数据、文件复制服务、集群服务、域名服务和活动目录等8部分,通常情况下只有前3部分。这8部分都不能单独进行备份,必须作为系统状态数据的一部分进行备份。
 
1.备份活动目录
 
如果一个域内存在不止一台域控制器,当重新安装其中的一台域控制器时,备份活动目录并不是必需的,你只需要将其中的一台域控制器从域中删除,重新安装,并使之回到域中,那么另外的域控制器自然会将数据复制到这台域控制器上。如果一个域内只有一台域控制器,那就有必要对活动目录进行备份。
 
(1)单击“开始→程序→附件→系统工具→备份”菜单项,以启动备份或还原向导。单击“高级模式”选项,打开“备份工具”对话框,单击“备份向导”按钮。单击“下一步”按钮。
 

(2)在“要备份的内容”对话框中,选择“只备份系统状态数据”选项。单击“下一步”按钮。
 

(3)在“备份类型、目标和名称”对话框中,输入备份数据文件名,单击“下一步”按钮,完成备份向导。
 

我们先删除掉“上海中电投电力工程有限公司” 组织单位。
 

 
 
 
2.活动目录的恢复
 
有两种办法可以恢复活动目录。
 
第一种方法是从域的其他域控制器上恢复数据,前提是域内必须还有一台域控制器是可用的,这时当损坏的域控制器重新安装并加入到它原来的域时,域控制器之间会自动进行数据复制,活动目录也会随之恢复。 
 
另一种方法就是从备份介质进行恢复。通常情况下,整个网络环境中只有一台域控制器,因此从介质恢复活动目录是经常遇到的事情。
 
从备份介质进行活动目录恢复有两种方式可以选择:验证方式(Authoritative Restore)和非验证方式(Nonauthoritative Restore)。
 
3.非验证方式恢复
 
通常情况下,Windows 2003使用非验证方式恢复。活动目录从备份介质中恢复以后,域内其他的域控制器会在复制过程中使用新的数据覆盖旧的数据。
 
要实现非验证恢复,目录服务必须处于离线状态。同时,你必须使域服务器处于“目录服务恢复模式”。重新启动服务器,按下F8键展开系统启动高级菜单,选择其中的“目录服务恢复模式”选项。当Windows 2003出现用户登录窗口时,输入本地管理员账户和密码,登录成功后,就可以进行恢复操作了。
 

注意:这里并不是在活动目录中的管理员账号和密码。
 

(1)单击“开始→程序→附件→系统工具→备份”菜单项,以启动备份或还原向导。单击“高级模式”选项,打开“备份工具”对话框,单击“还原向导”按钮。单击“下一步”按钮。
 

(2)在“还原项目”对话框中,选择相应的备份文件,单击“下一步”按钮,完成数据恢复,重新启动机器即可。
 

注意:通常情况下,你不能恢复60天以前备份的活动目录数据。
 

 

 

 

 

还原完成后,重启AD,发现已经恢复成功。
 

 
本次试验环境中没有额外域控制器,实际工作环境中额外域控制器是少不了的,我们假设我误删除了“财务部” OU ,要还原的话。这样的话,那么按照上述的步骤还原是不够的,还有一些操作。这要涉及到一些知识,我先讲解下吧!
 

这个时候,根 DC会在15秒以后向额外DC发布一个“变化通告”,额外DC进行同步复制,额外DC上备份的对象也被删除。值得注意的是,这个时候额外DC上的用户(如张三)的版本号比原来增加了1,在用户信息被黑客删除之前,根DC和额外DC的版本号是一致的,也就是说,原根DC的版本号比现额外域的版本号少1。试想,假设我们将根DC上备份的数据还原之后,会出现什么情况呢。很显然,根DC和额外DC的版本号会发生冲突,那么在域架构中,是以版本号高的域控制器为准的,就算管理员进行了非授权还原,重启后,额外DC还是会通告根DC,删除所有对象!还原基本上是无效的!
那么要解决上述问题,根 DC必须在进行非授权还原以后同时进行授权还原!
什么是 “非授权还原”,什么又是“授权还原”呢?
a.非授权还原
    直接将备份的 AD数据还原至当前AD状态,该操作会覆盖当前AD的数据库(上述试验部分已经演示了)
b. 授权还原
     对特定的对象进行授权还原 (自动在该对象的版本号上加100000)
注意:要执行授权还原,必须先执行非授权还原,但不要重启,而直接执行授权还原。
 

cmd.exe里输入ntdsutil
 

输入: authoritation restore
 

 

重启服务器,看是否还原成功。
 

 
活动目录到这里就先结束了,上述讲的知识在中小公司已经够用了。至于站点、林等知识,大家有时间自己可以学习,我就不做演示了。如果大家觉得我写的东西还可以一定不要吝啬给个好评,也算是对制作这个教程的奖赏。
 
 
 
 
 
 
 

 

本文出自 “铁杆” 博客,转载请与作者联系!

你可能感兴趣的:(休闲,活动目录,漫游配置文件,域在win2003上的应用,域环境的搭建)