AD 活动目录方案
2014-09-17 15:23
253 查看
活动目录方案
Windows Server 2008 的安装要求组件 | 要求 |
处理器 | 最低:1Ghz 推荐: 2Ghz 最佳: 2Ghz |
内存 | 最低:512MB RAM 推荐: 1GB RAM 最佳: 2GB RAM (Full) or 1GB RAM (Server Core)或更多 最大(32-bit):4GB (标准版) or 64GB (企业和Datacenter版) 最大(64-bit):32GB (标准版) or 2TB (企业、Datacenter和Itanium版本 |
可用磁盘 | 最低:8GB 推荐:40GB (Full); 10GB (Core) 推荐: 80GB (Full); 40GB (Core) |
光驱 | DVD-ROM |
显示和外部设备 | 超级VGA(800*600)或更高分辨率的显示器 键盘 Microsoft鼠标或兼容的点设备 |
一、活动目录介绍
(一)目录服务
目录,是一个数据库,存贮了网络资源相关的信息,包括了资源的位置、管理等信息。 目录服务 是一种网络服务,目录服务标记管理网络中的所有实体资源(比如计算机、用户、打印机、文件、应用等),并且提供了命名、描述、查找、访问以及保护这些实体信息的一致的方法,使网络中的所有用户和应用都能访问到这些资源。(二)活动目录(Active Directory)
活动目录 是Windows server 2008完全实现的目录服务,也是Windows server 2008网络体系的基本结构模型,是Windows 2008网络操作系统的核心支柱,也是中心管理机构。Microsoft在Windows server 2008中提供的活动目录是一个全面的目录服务管理方案,也是一个企业级的目录服务,具有很好的可伸缩性。活动目录采用了Internet的标准协议,它与操作系统紧密地集成在一起。活动目录不仅可以管理基本的网络资源,比如计算机对象、用户账户、打印机等,它也充分考虑了现代应用的业务需求,为这些应用提供了基本的管理对象模型,比如用户账户对象具有办公电话、手机、呼机、住址、上司、下属、电子邮件等属性。几乎所有的应用可以直接利用系统提供的目录服务结构,而且活动目录也具有很好的扩充能力,允许应用程序定制目录中对象的属性或者添加新的对象类型。
(三)活动目录的优点
1、集中管理 2、便捷的网络资源访问 3、可扩展性。(四)活动目录的逻辑结构 活动目录的逻辑结构非常灵活,它为活动目录提供了完全的树状层次结构视图,逻辑结构与前面我们讨论过的名字空间有直接的关系。逻辑结构为用户和管理员查找、定位对象提供了极大的方便。活动目录中的逻辑单元包括:域、组织单元(Organizational Unit,简称OU)、域树、域森林。域既是Windows网络系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows server 2008系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域。每个域都有自己的安全策略,以及它与其他域的安全信任关系。1、域(Domain)2、OU(OrganizationalUnit) OU是一个容器对象,我们可以把域中的对象组织成逻辑组,所以OU纯粹是一个逻辑概念,它可以帮助我们简化管理工作。OU可以包含各种对象,比如用户账户、用户组、计算机、打印机,甚至可以包括其他的OU。所以我们可以利用OU把域中的对象形成一个完全逻辑上的层次结构,对于一个企业来讲,我们可以按部门把所有的用户和设备组成一个OU层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个OU层次结构。由于OU层次结构局限于域的内部,所以一个域中的OU层次结构与另一个域中的OU层次结构完全独立。
DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用户对象James Smith在contoso.com域中的Users组织单元中的Teacher单元中. (2) User Principal Name : 由用户登录名和域名组成,如 JamesS@contoso.com 4、 域运行模式 (1)混合模式 混合模式的域既可以有Windows server2008的域控制器,也可以有Windows NT 4的域控制器。这是一个过渡模式,利用这种模式,我们可以对现有的系统逐步升级。但是,在混合模式下,活动目录中有些功能不能很好地发挥出来。
(2)准模式活动目录的标准模式要求所有的域控制器都必须运行Windows server 2008。只有在这个时候,活动目录的所有功能和特性才能充分体现出来。
域控制器的安装
安装域控制器的的条件1.静态ip地址
2.管理员权限
3.DNS
步骤:管理员登录运行Dcpromo
直接点击“下一步”不要点击“使用高级模式安装”
选择“在新林中新建域”,然后点击下一步
DNS名称,域名称点下一步
林功能级别与域功能级别
检查DNS,安装DNS服务
设置活动目录数据库的位置,日志与sysvol文件夹
目录服务还原模式密码
重启后以域管理员登陆DC
运行dsa.msc 打开用户与计算机
【域控制器DC安装成功】
下面实现容灾
首先在异地准备一台计服务器加入域成为额外域控制器,再实现与容灾
为这台服务器搭建额外域控制器命名为暂时命名为BDC
搭建步骤:
首先将这台服务器加入到配置成域控制器的那台服务
加入的域名为zz.com
需要登录到域控制器: administrator@zz.com 密码:********
加入域完成之后必须重新启动才能生效
然后让这台服务器成为额外域控制器
重启完成之后切换用户使用管理员身份登陆到域
之后再命令行输入dcpromo进入加入额外域控制器向导 直接点击下一步,不选择高级模式
这里选择现有林,选择向现有与添加域控制器
凭据以域管理员身份
在BDC上安装DNS
等待安装成功
安装完成重启登录。然后再主DC上面新用户如果能同步到BDC上面就说明安装成功,这样就能实现容灾。
操作到这里就能达到活动目录的高可用,和实现容灾了。下面我们要对您的下一要求进行操作。希望您对我们的操作满意如有不理解之处请与我们联系,我们将耐心的给您做详细的解答。如有不满之处也请您向我们提出,我们将进一步的改善,纠正。直到您满意为止!!!
限制财务的用户对加入域的客户机的登录时间,和只允许财务的用户登录财务的客户机
在域控制器上设置用户配置桌面背景,背景图片全是1。
此处先打开组策略管理工具,然后编辑Default Domain Policy。然后在桌面可以更改所有用户的桌面壁纸。
此时在加入域的的客户机上重启,员工使用自己的用户登录自己的部门。
为所有用户设置账户锁定策略,输错2次密码锁定
然后使用客户机登录
限制行政部员工桌面背景为2.jpg
使用行政用户登录客户机
限制销售部员工的开始菜单中删除运行图标,删除桌面的计算机图标
为所有客户端自动安装MSI软件
以上设置针对销售BOSS无效
第一次设置xs的gpo对销售boss无效
第二次设置Default Domain Policy的gpo对销售boss无效
经过以上两次的筛选就能实现以上的设置对销售boss无效
做到这里您的要求就算是基本做完了。不过这样还不够安全所以要实现备份,这样就安全了。
在这了我推荐您使用计划任务配置自动备份,利用命令实现备份。备份到磁盘柜上,好处就是操作也简单,不用手动操作,自动备份,可以在深夜无人工作的时候进行备份。
相关文章推荐
- windows server 2012 AD 活动目录部署系列(一)DNS 配置
- AD ---- 活动目录的日常管理操作
- 活动目录用户属性与AD字段对照表
- AD学习笔记7——活动目录的安装准备工作
- Skype for Business Server 2015活动目录AD域要求
- 在SQL SERVER 中通过ADSI接口查询活动目录AD信息!
- 搭建AD活动目录的优势
- SharePoint 2010中重置windows 活动目录(AD)域用户密码的WebPart(免费下载)
- 当活动目录数据过大,导致当强盘存储空间不够时,如何将ad数据迁移出去
- Active Directory 活动目录(简称AD)的基础架构与使用(三)
- AD远程管理工具|活动目录域AD远程管理教程
- xxx网络实施方案随笔之活动目录授权还原与数据库转移 推荐
- 活动目录实战之八 AD 主域控宕机,额外域控如何工作?
- AD --- 活动目录的日常管理操作(2)
- AD (Active Directory)活动目录
- AD(活动目录)下实现可传递的林信任!
- 深入理解域之AD活动目录企业应用及案例分享
- 常见活动目录AD故障解决集锦(上)
- SharePoint 2010中重置windows 活动目录(AD)域用户密码的WebPart(免费下载)
- 关于活动目录AD升级问题