主要从管理的角度来看工作组和域模式的区别
工作组模型的特点决定了只能适合小型网络,如果企业中的计算机和用户数量过多时,就要进行统一、高效的管理,创建Windows域,采用C/S模式
1、活动目录:提供了存储在网络上对象信息并使网络用户使用该数据的方法(具体见前面活动目录)
域是组织与存储资源的活动目录的核心管理单元,是将网络中的计算机逻辑的组织到一起,进行集中管理的一种环境,是活动目录的组成部分
活动目录特点:
集中管理:便捷的网络资源访问;可扩展性
安装域控的条件(在VMware安装需要提前把2003系统安装盘放好)
A
安装者必须具有本地管理员权限
B
OS版本满足要求
C
至少有一个分区是NTFS
D
有TCP/IP设置(使用静态地址)
E
有相应的DNS支持(建议把DNS指向自己)
F
有足够的硬盘空间
安装AD的方法:通过命令行和管理您的服务器两种
域的命名采用DNS标准(方便与因特网集成);域的netbios名(与早期Windows系统兼容,如NT 4.0);AD数据库存放在%systemroot%\ntds\ntds.dat,由本地的SAM数据库升级而来;SYSVOL存放了组策略的内容和脚本等
客户机定位DC的步骤:
客户机先发送DNS查询请求给DNS服务器-DNS服务器查询匹配的SRV记录-DNS服务器返回相关DC的IP地址列表给客户机-客户机联系DC-DC响应客户机请求
如果DNS的SRV记录为空或者不全,可使用命令net stop netlogon和net start netlogon来强制DC注册DNS,来补全SRV记录
客户机加入到域的步骤:
A
现保持物理上的连通
B
配置地址参数,能够保证在同一网段并且拼通
C
使用命令ping 域名,测试DNS的工作情况
D
加入到域
我的电脑-属性-计算机名-更改-隶属于-输入域名,然后输入DC上的普通或者管理员帐户和密码,重启生效(普通用户也可批准加入到域,最多10台计算机,也可在用户权利指派中指定)。客户机重启登录时,出现登录域还是登录到本机的选项
2、域用户帐户
与本地用户帐户区别:
本地帐户:本地存储,存放在SAM中;本地登录,用于工作组环境
域帐户:集中存储在AD数据库中ntds.dat,可以在所有域成员机上登录,只能用在域环境
建立规则:
使用工具“AD用户和计算机”,使用命令打开是:dsa.msc
域中的登录名必须唯一,显示名在OU中必须唯一
最长20字符,不区分大小写,不能出现非法字符
密码:最长127位,必须复杂,大小写,数字,符号三者组合,7位以上
域帐户属性:
帐户选项卡:登录时间,用来限制用户登录到域的时间,但是到时间后不会强制用户注销,还可以继续使用域中的资源。注销或关机后再登录域,就登录不了
登录到:默认域帐户可以在域内所有成员机上登录,可以限制某个帐户只在哪几台机器上登录
帐户过期:设置帐户的过期时间
用户配置文件:
与用户的工作环境相关的文件,包括桌面、开始菜单、我的文档等信息
默认每一个用户登录到计算机,都会在本地生成Document and Settings\username的文件夹,其中存放着此用户的配置文件
配置文件类型:
A
本地用户配置文件:存放的本地计算机硬盘中
B
漫游用户配置文件:桌面跟我走,无论在域中哪台机器登录都得到同样的工作环境,配置文件存放在一个网络路径中,每次登录都下载到本地,注销时上传
C
强制(漫游)用户配置文件:不保存用户对环境做的修改(能修改但是不保存),将配置文件中的ntuser.dat改成ntuser.man
D
临时用户配置文件:使用户可以临时的登录系统,但不会保存其配置文件
实现漫游用户配置文件的步骤:
A
在DC(或成员机)上建立一个共享文件夹,权限Everyone完全控制,NTFS权限everyone完全控制
B
使用工具“AD用户和计算机”找到要建立漫游配置文件的用户,双击-属性-配置文件,在配置文件路径输入UNC路径:
\\IP\
共享文件夹\用户名,或者
\\IP\
共享文件夹\%username%,点击确定
C
使用此帐户在一台成员机上登录,修改桌面,然后注销
D
在另一台域成员计算机上登录,验证漫游配置的生效
注:在步骤c修改桌面背景需要使用图片格式为.bmp而不是.jpg,否则需要刷新才会生效
用户主文件夹的步骤:(和映射网络驱动器差不多)实现用户的重要文件放到服务器上
A
在域成员计算机上建立共享文件夹,共享权限Everyone完全控制,NTFS权限Everyone完全控制
B
使用工具“AD用户和计算机”找到要建立主文件夹的用户,双击-属性-配置文件-主文件夹,选连接,选择盘符,到
\\IP\共享文件夹\
用户名(%username%)
C
用此用户在域成员机器上登录,打开资源管理器,查看是否有网络驱动器,验证生效
3、组的管理
组的类型:安全组:分配权限
通信组:用户邮件通信
组的作用域分:本地域组,作用范围本地域,是一个安全边界,使用“AD用户和计算机”创建,通常按照本地资源的权限建立
全局组:作用范围是整个林和信任域,使用“AD用户和计算机”创建,通常按照逻辑结构建立
通用组:作用范围是整个林和信任域,使用“AD用户和计算机”创建。全局编录的作用:登录或者查询的速度快(用户多域环境)
4、组织单位(OU)
采用一种层次性的逻辑结构来管理域中的资源,简化管理
分类:基于部分的OU;基于地理位置的OU;基于对象类型的OU;混合的OU
帐户在OU之间移动,可以拖拽和右键点击进行移动
OU委派,首先需要安装管理工具%systemroot%\system32\adminpak.msi或者i386\admanpak.msi
再进行委派