Windows网络服务与配置管理之活动目录学习

活动目录

活动目录英文全称为“Active Directory”，简称为AD。在windows系统组成的网络中，有服务器、客户机、用户账户、打印机、各种文件，这些资源都在各台计算机上，没有使用活动目录之前需要在各台计算机上单独管理这些资源。使用活动目录可以集中管理windows网络各类资源，"活动目录"就像一个数据库，存储着windows网络中的所有资源。

• 普通用户可以通过活动目录很容易的找到并且使用网络上的各种资源。
• 管理员可以通过活动目录对网络上的所有资源进行集中管理，可以控制用户在不同计算机上对不同资源的访问。

活动目录是按区域进行资源管理的，各区域的命名规则与DNS的命名规则相同，因此活动目录必须要有DNS服务的支持，借助DNS服务的域名解析，达到使用域名访问该域中计算机资源的目的。

活动目录使用域名主要是用于在进行网络管理时，使用名称来访问计算机资源，这些用于网络管理的计算机名称，只能在活动目录中使用，而不能够被Internet上的用户使用。活动目录和Internet都是用DNS域名服务，但是使用的目的不一样，活动目录使用域名仅在其管理区域有效。而Internet使用的域名在Internet上有效

活动目录负责集中式管理及身份验证，AD域服务器是每个windows域网络的基石，它负责存储域成员，包括设备和用户等的信息。验证其凭据并定义其访问权限。运行此服务的服务器称之为域控制器。活动目录构建常用对象包括：

• 组织单位（OU）：它可以指派组策略设置或委派管理权限的最小单位
• 域（domain）：它是网络对象用户、组、计算机等分组。域中的多有对象都存储在AD中。AD由一个或多个域构成。域是windows操作系统中的一个安全边界，安装策略和访问控制都不能跨越不同的域，每个域管理员有权限设置所属的域的策略
• 域树（domain tree）：它由多个域构成，这些域共享公共的架构、配置和全局编录能力，形成一个连续的名称空间，域之间的通信通过信任关系进行（若域间没有信任关系，则域间无法传递信息）。域树中的任何两个域之间都是双向可传递信任关系。
• 林（forest）：林有一个或多个域树组成，同一林中的域可以共享同类的构架、站点、复制及全局编录能力。在新林中创建的第一个域是该林的根域，林范围的管理组都位于该域中。在两个不同的林间建立信任关系（信任只能创建于根域），可以使得这两个林内内的所有域都具有信任关系。信任关系具有传递性，例如林A与林B有信任关系，林B与林C有信任关系，通过传递信任，林A与林C也有信任关系。 在一个区域中，用于安装活动目录的服务器叫做域控制器，负责该区域的资源管理和控制。子域负责子域内资源的管理与控制。子域下面还可以有很多子域，域树为最高一级域的名称，下面中域树分别为jenin.local和eve.local。

实验环境

计算机：dns1
域名：dns1.jenin.local
IP:192.168.1.201
dns服务器：192.168.1.201
最高一级的域。

计算机：dns2
域名：dns2.jenin.local
IP地址：192.168.1.202
dns服务器：192.168.1.201
与dns1共同管理该区的域内资源

计算机：dns3
域名：dns3.info.jenin.local
IP地址：192.168.1.203
dns服务器：192.168.1.203
负责该子域内所有资源的集中管理，子域和父域之间默认是双向信任关系

安装Active Directory域服务

安装之前配置好IP地址DNS等，进入服务器管理器点击添加角色，下一步直到服务器角色，勾选Active Directory域服务器。直到安装。

安装完成之后，需要将此服务器提升为域控制器，返回服务器管理器，在上面有小旗子这里点击找到将此服务器提升为域控制器

由于是配置第一台域控制器，在部署操作中选择添加新林，并且填入根域名

接下来填写好密码，注意密码要符合要求，设置完成之后直接默认下一步直到安装。安装完成之后它默认会安装好DNS服务器

接下来安装额外的域控制器，配合主域控制器工作，首先配置好IP信息等。接着搭建服务器管理器添加角色功能，选择好了Active Directory域服务器之后默认下一步直到安装

接着将这台服务器升级为域控制器，和刚刚一样点击升级域控制器，然后添加到刚刚创建的域中，并且点击更改输入凭据，这里选择将域控制器添加到现有域，选择刚刚主域控创建好的域，并且输入域管理员的账号密码

接着进入域控制器选项，界面中输入目录服务还原模式和密码。输入完成之后下一步全部默认，直到安装，然后会重启服务器

备份域控制器也安装好了之后，就可以在主域控制器中点击右上角的工具Active Directory管理中心，点击区域中的Domain Controllers可以看到已经有两台域控制器了，一个主域控一个备份域控

安装子域控制器

在实际环境中如果希望自己的下级也有用域控制器，子域与父域是双向信任的关系，子域可以访问父域的资源，父域也可以访问子域的资源。配置好dns3的IP地址等信息。接着安装Active Directory服务器，打开服务器管理器点击添加角色。和之前一样的操作，安装完成之后点击将此服务器提升为域控制器。

进入界面之后，这里我们是将它部署为子域的域控制器，选择第二项将新域添加到现有林，然后选择子域，并且设置父域名，这里我们设置子域名为info.jenin.local。设置好了之后需要提供凭据

接着就是输入目录服务器还原模式的密码，这里一般都是勾选域名系统DNS服务器，安装DNS服务器

打开dns3的域名管理器，可以看到有父域的DNS记录和自己的DNS记录，回到dsn1并且打卡AD管理器，可以看到，info是受信任子域

将计算机加入/脱离域

有了域控制器之后，需要将计算机加入到域中进行管理，这里我们把PC的IP设置为192.168.1.23，DNS为192.168.1.201和192.168.1.202。如果PC要加入到域中，必须要能够域主域名服务器或者备用域名服务器通信

接着我们右键计算机==>找到更改设置==>更改==>隶属于域修改为要进入的域==>输入域管理员账户密码

一切OK之后会弹出欢迎您加入域，接着就会重启计算机，然后我们进入域控制器，进入Active Directory管理中心，这里可以看到新加入进来的计算机，并且还可以看到计算机的信息

这个时候该计算机就可以使用域用户登陆进入计算机了，如果该计算机是以域用户登陆进去的话，它的所有行为都受域控制器的控制，如果我们使用本地用户登陆的话，登陆的用户名密码就不会发送到域控制器上进行验证，也不会受到域控制器的控制

这个时候我们退出域，右击计算机选择更改设置，点击工作组填写“WORKGROUP”，然后再输入域管理员账号密码就可以退出了

回到域控制器里面打开Active Directory管理中心可以看到虽然PC的记录还在，但是状态已经是禁用得了

在活动目录中创建和管理对象

我们可以在活动目录中创建组织对象、用户账户对象、计算机对象。组织单位是一个容器对象，通常对应于实际网络管理中的一个组织或单位，它包含用户账户对象、计算机对象、其他组织单位对象，也可以把"组策略对象"链接到"组织单位对象"。可以把一个“组织”或“单位”内的所有用户、计算机、或者其他下级“组织单位”加入到“组织单位对象中”，实现对该“组织单位”内资源的统一控制和管理。 现在我们在jenin.local区域上创建一个计算机部的组织对象。在服务器管理器右上角工具里面选择Active Directory 管理中心，右击区域名在展开的菜单中选择新建，然后选择组织单位。

接下里输入名称，并且在防意外删除打上勾，防止以为删除

现在在计算机的组织单位里面创建用户，找到计算机部，右击弹出新建，然后选择用户

现在填写用户信息，设置名字为user,用户登陆名也设置为user,当我们登陆的时候就要输入jeninuser才是真正的登陆名，然后在其他密码选项中选择密码永不过去，这个可以按照情况设置。接着为用户创建密码，要求大写字母、小写字母、数字和符号，一般在服务器创建密码都要这样的组合

我们现在为计算机部新建计算机。

弹出框，写入名称SERVER，然后点击更改，把user用户写入进去，接着下一步

接着打开一条计算机，这条计算机时计算机部的PC，我们将它的IP修改为192.168.1.12，DNS为192.168.1.201和192.168.1.202。然后右击计算机进入管理界面，更改计算机。修改计算机名为SERVER并且加入到域jenin.local中

接着就可以使用计算机部里面的用户use登陆计算机了

接着把上次新建的Computers移动到计算机部里面，进入Computers后右击计算机，选择移动到计算机部

接着回去查看计算机部，这里已经把计算机给移动过来了

现在控制user的登陆时间，设置user只允许在星期1到星期5的早上8点到下午6点登陆系统。找到user用户，右击选择属性，然后找到登陆小时

接着返回到计算机登陆，现在时晚上时间9点了，已经超过了登陆时间，这里就提示了“您的账户有时间限制，您当前无法登陆，请稍后再试”

接着设置用户的登陆计算机，右击user点击属性，点击登陆的按钮，点击下列计算机输入computers，这样这个用户就只能登陆到computers计算机，其他都不能登陆

接着使用user用户登陆到不是computers的计算机上，计算机提示“您的账户配置为阻止您使用此计算机，请尝试其他计算机”