Windows Server網(wǎng)絡管理項目教程（Windows Server 2022）（微課版）課件項目2 活動目錄的配置與管理

Windows網(wǎng)絡管理主講人：王華兵知識引入王繼才守島人視頻來源于網(wǎng)絡管理員應在授予用戶任何新權限之前查看用戶和組的權限管理員應該采用最小特權原則僅授予每個用戶完成工作所需的最小權限目

錄

服

務解決網(wǎng)絡資源的命名和定位問題

只要安全地連接到這個數(shù)據(jù)庫，用戶和應用程序就可以輕松地查找、讀取、添加、刪除和修改信息，隨后，此信息便可以自動分布到網(wǎng)絡中的其他目錄服務器。身份驗證和授權命名和定位網(wǎng)絡資源的支配和管理這些啟用了目錄的應用程序依靠成熟的目錄服務來執(zhí)行其他3種關鍵角色：用戶和資源管理基于目錄的網(wǎng)絡服務基于網(wǎng)絡的應用管理......主講人：王華兵THANKSWindows網(wǎng)絡管理主講人：王華兵活動目錄的基本概念在WindowsServer2022平臺下的ActiveDirectory服務包括ActiveDirectory證書服務（ADCS）ActiveDirectory域服務（ADDS）ActiveDirectory聯(lián)合身份驗證服務（ADFS）ActiveDirectory輕型目錄服務（ADLDS）ActiveDirectory權限管理服務（ADRMS）活動目錄服務能提供的功能服務器及客戶端計算機管理用戶服務管理資源管理基礎網(wǎng)絡服務支撐策略配置典型的AD結構圖對象

ActiveDirectory以對象為基本單位，采用層次結構來組織管理對象。域（Domain）域是ActiveDirectory的基本單位和核心單元，是ActiveDirectory的分區(qū)單位。組織單元（OrganizationUnit，OU）將域再進一步劃分成多個組織單元以便于管理。域樹（Tree）可將多個域組合成為一個域樹。域林（Forest）一個域林或多個域樹的集合。主講人：王華兵THANKSWindows網(wǎng)絡管理主講人：王華兵工作組與域模式工作組與域模式Windows中的“工作組”（WorkGroup）是將不同的計算機按功能分別列入不同的組中，以便于管理。工作組與域模式如一個公司，會分為財務部、銷售部等，然后財務部的計算機全部列入財務部的工作組中，銷售部的計算機全部都列入銷售部的工作組中等。

如果需要訪問財務部的資源，就在“網(wǎng)上鄰居”里找到財務部的工作組，雙擊即可看到那個財務部的計算機。計算機加入工作組以Windows10操作系統(tǒng)為例在“此電腦”上單擊鼠標右鍵，在彈出的菜單中選擇“屬性”，單擊“更改設置”按鈕（需要有高級管理員權限），單擊“計算機名”按鈕，單擊“更改”按鈕，在“計算機名”一欄中輸入計算機的名字，在“工作組”一欄中輸入想加入的工作組名稱即可（默認名稱為WORKGROUP）計算機加入工作組如果你輸入的工作組名稱是一個不存在的工作組單擊“確定”按鈕，按要求重新啟動之后再進入“網(wǎng)上鄰居”指服務器控制網(wǎng)絡上的計算機能否加入的計算機組織?！坝颉痹谟蚰Ｊ较?，至少有一臺服務器負責每一臺連入網(wǎng)絡的計算機和用戶的驗證工作。域控制器當計算機連入網(wǎng)絡時，域控制器首先要鑒別這臺計算機是否屬于這個域、用戶使用的登錄賬號是否存在、密碼是否匹配。如果以上信息有一樣不正確，域控制器就會拒絕這個用戶從這臺計算機登錄。不能登錄，用戶就不能訪問服務器上有權限保護的資源。如果用戶能夠成功登錄域，域控制器就會將配置好的權限分發(fā)給用戶，用戶可以在合法權限范圍內(nèi)訪問域內(nèi)的資源。主講人：王華兵THANKSWindows網(wǎng)絡管理主講人：王華兵安裝活動目錄的必要條件安裝活動目錄的必要條件1.必須具有一個靜態(tài)的IP地址，如00；要把一臺計算機加入域，必須要由網(wǎng)絡管理員盡行相應的設置，在WindowsServer2022上創(chuàng)建域需要滿足以下條件：2.必須有一個磁盤分區(qū)是NTFS格式的，用于放置存儲域公共文件服務器副本的共享文件夾（SYSVOL文件夾），且有足夠多的空閑磁盤空間（至少250MB）；安裝活動目錄的必要條件3.安裝活動目錄時的登錄用戶必須有管理員組（Administrators）權限；要把一臺計算機加入域，必須要由網(wǎng)絡管理員盡行相應的設置，在WindowsServer2022上創(chuàng)建域需要滿足以下條件：4.符合DNS規(guī)格的域名，如；5.有相應DNS服務器的支持，用于解析域名而且當前服務器的TCP/IP設置里的DNS地址需要配置成該DNS服務器地址。主講人：王華兵THANKSWindows網(wǎng)絡管理主講人：王華兵任務1：創(chuàng)建網(wǎng)絡中第一臺域控制器任務1：創(chuàng)建網(wǎng)絡中第一臺域控制器

首先，管理員需要在企業(yè)內(nèi)網(wǎng)的某臺服務器上安裝部署第一臺活動目錄控制器（根域控），這臺域控將成為整個活動目錄的核心控制設備，所有的權限分配、資源共享、身份驗證等都由它完成。

根據(jù)案例場景中的需求，ABC公司需要將舊的工作組網(wǎng)絡模型升級成便于集中控制、資源共享、方便靈活的活動目錄網(wǎng)絡模型。任務1：創(chuàng)建網(wǎng)絡中第一臺域控制器以下是選擇一臺空閑的WindowsServer2022服務器（00/8）來進行安裝部署的實施過程。主講人：王華兵THANKS使用字體:配色方案:思源宋體CNHeavy思源宋體CNMediumTimesNewRoman一級標題二級標題單擊此處添加標題單擊此處添加標題雙擊安裝字體:Windows網(wǎng)絡管理主講人：王華兵任務2：客戶端加入活動目錄任務2：客戶端加入活動目錄讓客戶端加入活動目錄可以通過在客戶端計算機上手動配置或者使用VBS編寫腳本文件來完成，感興趣的讀者可以在網(wǎng)絡上檢索編寫腳本的方法。當網(wǎng)絡中的第一臺域控制器創(chuàng)建完成后，該服務器將扮演域控的角色，而其他主機就需要加入活動目錄內(nèi)作為域內(nèi)成員機接受域控制器的集中管理。任務2：客戶端加入活動目錄接下來的實施過程是在客戶端計算機（0/8）上使用手動的方法加入活動目錄。主講人：王華兵THANKSWindows網(wǎng)絡管理主講人：王華兵知識能力拓展使用域模式使得資源管理更加集中、統(tǒng)一知識能力拓展使得在組模式下實現(xiàn)起來煩瑣甚至難以實現(xiàn)的管理難題得到了解決：禁止域內(nèi)計算機上運行某種特定程序統(tǒng)一域內(nèi)所有計算機的桌面IE（InternetExplorer）瀏覽器主頁將某軟件集中分發(fā)給域內(nèi)計算機等

就是基于組的策略。

它以Windows操作系統(tǒng)中的一個MMC管理單元的形式存在，可以幫助系統(tǒng)管理員針對整個計算機或是特定用戶組來設置多種配置，包括桌面配置和安全配置。組策略（GPO）組策略（GPO）組策略是Windows操作系統(tǒng)中的一套更改系統(tǒng)和配置管理工具的集合。是Windows操作系統(tǒng)中保存系統(tǒng)軟件和應用軟件配置的數(shù)據(jù)庫。注冊表實際上，組策略設置就是修