活动目录英文全称为“Active Directory”,简称为AD。在windows系统组成的网络中,有服务器、客户机、用户账户、打印机、各种文件,这些资源都在各台计算机上,没有使用活动目录之前需要在各台计算机上单独管理这些资源。使用活动目录可以集中管理windows网络各类资源,"活动目录"就像一个数据库,存储着windows网络中的所有资源。
活动目录是按区域进行资源管理的,各区域的命名规则与DNS的命名规则相同,因此活动目录必须要有DNS服务的支持,借助DNS服务的域名解析,达到使用域名访问该域中计算机资源的目的。
活动目录使用域名主要是用于在进行网络管理时,使用名称来访问计算机资源,这些用于网络管理的计算机名称,只能在活动目录中使用,而不能够被Internet上的用户使用。活动目录和Internet都是用DNS域名服务,但是使用的目的不一样,活动目录使用域名仅在其管理区域有效。而Internet使用的域名在Internet上有效
活动目录负责集中式管理及身份验证,AD域服务器是每个windows域网络的基石,它负责存储域成员,包括设备和用户等的信息。验证其凭据并定义其访问权限。运行此服务的服务器称之为域控制器。活动目录构建常用对象包括:
计算机:dns1
域名:dns1.jenin.local
IP:192.168.1.201
dns服务器:192.168.1.201
最高一级的域。
计算机:dns2
域名:dns2.jenin.local
IP地址:192.168.1.202
dns服务器:192.168.1.201
与dns1共同管理该区的域内资源
计算机:dns3
域名:dns3.info.jenin.local
IP地址:192.168.1.203
dns服务器:192.168.1.203
负责该子域内所有资源的集中管理,子域和父域之间默认是双向信任关系
安装之前配置好IP地址DNS等,进入服务器管理器点击添加角色,下一步直到服务器角色,勾选Active Directory域服务器。直到安装。
安装完成之后,需要将此服务器提升为域控制器,返回服务器管理器,在上面有小旗子这里点击找到将此服务器提升为域控制器
由于是配置第一台域控制器,在部署操作中选择添加新林,并且填入根域名
接下来填写好密码,注意密码要符合要求,设置完成之后直接默认下一步直到安装。安装完成之后它默认会安装好DNS服务器
接下来安装额外的域控制器,配合主域控制器工作,首先配置好IP信息等。接着搭建服务器管理器添加角色功能,选择好了Active Directory域服务器之后默认下一步直到安装
接着将这台服务器升级为域控制器,和刚刚一样点击升级域控制器,然后添加到刚刚创建的域中,并且点击更改输入凭据,这里选择将域控制器添加到现有域,选择刚刚主域控创建好的域,并且输入域管理员的账号密码
接着进入域控制器选项,界面中输入目录服务还原模式和密码。输入完成之后下一步全部默认,直到安装,然后会重启服务器
备份域控制器也安装好了之后,就可以在主域控制器中点击右上角的工具Active Directory管理中心,点击区域中的Domain Controllers可以看到已经有两台域控制器了,一个主域控一个备份域控
在实际环境中如果希望自己的下级也有用域控制器,子域与父域是双向信任的关系,子域可以访问父域的资源,父域也可以访问子域的资源。配置好dns3的IP地址等信息。接着安装Active Directory服务器,打开服务器管理器点击添加角色。和之前一样的操作,安装完成之后点击将此服务器提升为域控制器。
进入界面之后,这里我们是将它部署为子域的域控制器,选择第二项将新域添加到现有林,然后选择子域,并且设置父域名,这里我们设置子域名为info.jenin.local。设置好了之后需要提供凭据
接着就是输入目录服务器还原模式的密码,这里一般都是勾选域名系统DNS服务器,安装DNS服务器
打开dns3的域名管理器,可以看到有父域的DNS记录和自己的DNS记录,回到dsn1并且打卡AD管理器,可以看到,info是受信任子域
有了域控制器之后,需要将计算机加入到域中进行管理,这里我们把PC的IP设置为192.168.1.23,DNS为192.168.1.201和192.168.1.202。如果PC要加入到域中,必须要能够域主域名服务器或者备用域名服务器通信
接着我们右键计算机==>找到更改设置==>更改==>隶属于域修改为要进入的域==>输入域管理员账户密码
一切OK之后会弹出欢迎您加入域,接着就会重启计算机,然后我们进入域控制器,进入Active Directory管理中心,这里可以看到新加入进来的计算机,并且还可以看到计算机的信息
这个时候该计算机就可以使用域用户登陆进入计算机了,如果该计算机是以域用户登陆进去的话,它的所有行为都受域控制器的控制,如果我们使用本地用户登陆的话,登陆的用户名密码就不会发送到域控制器上进行验证,也不会受到域控制器的控制
这个时候我们退出域,右击计算机选择更改设置,点击工作组填写“WORKGROUP”,然后再输入域管理员账号密码就可以退出了
回到域控制器里面打开Active Directory管理中心可以看到虽然PC的记录还在,但是状态已经是禁用得了
我们可以在活动目录中创建组织对象、用户账户对象、计算机对象。组织单位是一个容器对象,通常对应于实际网络管理中的一个组织或单位,它包含用户账户对象、计算机对象、其他组织单位对象,也可以把"组策略对象"链接到"组织单位对象"。可以把一个“组织”或“单位”内的所有用户、计算机、或者其他下级“组织单位”加入到“组织单位对象中”,实现对该“组织单位”内资源的统一控制和管理。 现在我们在jenin.local区域上创建一个计算机部的组织对象。在服务器管理器右上角工具里面选择Active Directory 管理中心,右击区域名在展开的菜单中选择新建,然后选择组织单位。
接下里输入名称,并且在防意外删除打上勾,防止以为删除
现在在计算机的组织单位里面创建用户,找到计算机部,右击弹出新建,然后选择用户
现在填写用户信息,设置名字为user,用户登陆名也设置为user,当我们登陆的时候就要输入jeninuser才是真正的登陆名,然后在其他密码选项中选择密码永不过去,这个可以按照情况设置。接着为用户创建密码,要求大写字母、小写字母、数字和符号,一般在服务器创建密码都要这样的组合
我们现在为计算机部新建计算机。
弹出框,写入名称SERVER,然后点击更改,把user用户写入进去,接着下一步
接着打开一条计算机,这条计算机时计算机部的PC,我们将它的IP修改为192.168.1.12,DNS为192.168.1.201和192.168.1.202。然后右击计算机进入管理界面,更改计算机。修改计算机名为SERVER并且加入到域jenin.local中
接着就可以使用计算机部里面的用户use登陆计算机了
接着把上次新建的Computers移动到计算机部里面,进入Computers后右击计算机,选择移动到计算机部
接着回去查看计算机部,这里已经把计算机给移动过来了
现在控制user的登陆时间,设置user只允许在星期1到星期5的早上8点到下午6点登陆系统。找到user用户,右击选择属性,然后找到登陆小时
接着返回到计算机登陆,现在时晚上时间9点了,已经超过了登陆时间,这里就提示了“您的账户有时间限制,您当前无法登陆,请稍后再试”
接着设置用户的登陆计算机,右击user点击属性,点击登陆的按钮,点击下列计算机输入computers,这样这个用户就只能登陆到computers计算机,其他都不能登陆
接着使用user用户登陆到不是computers的计算机上,计算机提示“您的账户配置为阻止您使用此计算机,请尝试其他计算机”