Windows Server網(wǎng)絡(luò)管理項(xiàng)目教程（Windows Server 2022）（微課版）課件項(xiàng)目2 活動(dòng)目錄的配置與管理

Windows網(wǎng)絡(luò)管理主講人：王華兵知識(shí)引入王繼才守島人視頻來源于網(wǎng)絡(luò)管理員應(yīng)在授予用戶任何新權(quán)限之前查看用戶和組的權(quán)限管理員應(yīng)該采用最小特權(quán)原則僅授予每個(gè)用戶完成工作所需的最小權(quán)限目

錄

服

務(wù)解決網(wǎng)絡(luò)資源的命名和定位問題

只要安全地連接到這個(gè)數(shù)據(jù)庫，用戶和應(yīng)用程序就可以輕松地查找、讀取、添加、刪除和修改信息，隨后，此信息便可以自動(dòng)分布到網(wǎng)絡(luò)中的其他目錄服務(wù)器。身份驗(yàn)證和授權(quán)命名和定位網(wǎng)絡(luò)資源的支配和管理這些啟用了目錄的應(yīng)用程序依靠成熟的目錄服務(wù)來執(zhí)行其他3種關(guān)鍵角色：用戶和資源管理基于目錄的網(wǎng)絡(luò)服務(wù)基于網(wǎng)絡(luò)的應(yīng)用管理......主講人：王華兵THANKSWindows網(wǎng)絡(luò)管理主講人：王華兵活動(dòng)目錄的基本概念在WindowsServer2022平臺(tái)下的ActiveDirectory服務(wù)包括ActiveDirectory證書服務(wù)（ADCS）ActiveDirectory域服務(wù)（ADDS）ActiveDirectory聯(lián)合身份驗(yàn)證服務(wù)（ADFS）ActiveDirectory輕型目錄服務(wù)（ADLDS）ActiveDirectory權(quán)限管理服務(wù)（ADRMS）活動(dòng)目錄服務(wù)能提供的功能服務(wù)器及客戶端計(jì)算機(jī)管理用戶服務(wù)管理資源管理基礎(chǔ)網(wǎng)絡(luò)服務(wù)支撐策略配置典型的AD結(jié)構(gòu)圖對(duì)象

ActiveDirectory以對(duì)象為基本單位，采用層次結(jié)構(gòu)來組織管理對(duì)象。域（Domain）域是ActiveDirectory的基本單位和核心單元，是ActiveDirectory的分區(qū)單位。組織單元（OrganizationUnit，OU）將域再進(jìn)一步劃分成多個(gè)組織單元以便于管理。域樹（Tree）可將多個(gè)域組合成為一個(gè)域樹。域林（Forest）一個(gè)域林或多個(gè)域樹的集合。主講人：王華兵THANKSWindows網(wǎng)絡(luò)管理主講人：王華兵工作組與域模式工作組與域模式Windows中的“工作組”（WorkGroup）是將不同的計(jì)算機(jī)按功能分別列入不同的組中，以便于管理。工作組與域模式如一個(gè)公司，會(huì)分為財(cái)務(wù)部、銷售部等，然后財(cái)務(wù)部的計(jì)算機(jī)全部列入財(cái)務(wù)部的工作組中，銷售部的計(jì)算機(jī)全部都列入銷售部的工作組中等。

如果需要訪問財(cái)務(wù)部的資源，就在“網(wǎng)上鄰居”里找到財(cái)務(wù)部的工作組，雙擊即可看到那個(gè)財(cái)務(wù)部的計(jì)算機(jī)。計(jì)算機(jī)加入工作組以Windows10操作系統(tǒng)為例在“此電腦”上單擊鼠標(biāo)右鍵，在彈出的菜單中選擇“屬性”，單擊“更改設(shè)置”按鈕（需要有高級(jí)管理員權(quán)限），單擊“計(jì)算機(jī)名”按鈕，單擊“更改”按鈕，在“計(jì)算機(jī)名”一欄中輸入計(jì)算機(jī)的名字，在“工作組”一欄中輸入想加入的工作組名稱即可（默認(rèn)名稱為WORKGROUP）計(jì)算機(jī)加入工作組如果你輸入的工作組名稱是一個(gè)不存在的工作組單擊“確定”按鈕，按要求重新啟動(dòng)之后再進(jìn)入“網(wǎng)上鄰居”指服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組織。“域”在域模式下，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)連入網(wǎng)絡(luò)的計(jì)算機(jī)和用戶的驗(yàn)證工作。域控制器當(dāng)計(jì)算機(jī)連入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)計(jì)算機(jī)是否屬于這個(gè)域、用戶使用的登錄賬號(hào)是否存在、密碼是否匹配。如果以上信息有一樣不正確，域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)計(jì)算機(jī)登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源。如果用戶能夠成功登錄域，域控制器就會(huì)將配置好的權(quán)限分發(fā)給用戶，用戶可以在合法權(quán)限范圍內(nèi)訪問域內(nèi)的資源。主講人：王華兵THANKSWindows網(wǎng)絡(luò)管理主講人：王華兵安裝活動(dòng)目錄的必要條件安裝活動(dòng)目錄的必要條件1.必須具有一個(gè)靜態(tài)的IP地址，如00；要把一臺(tái)計(jì)算機(jī)加入域，必須要由網(wǎng)絡(luò)管理員盡行相應(yīng)的設(shè)置，在WindowsServer2022上創(chuàng)建域需要滿足以下條件：2.必須有一個(gè)磁盤分區(qū)是NTFS格式的，用于放置存儲(chǔ)域公共文件服務(wù)器副本的共享文件夾（SYSVOL文件夾），且有足夠多的空閑磁盤空間（至少250MB）；安裝活動(dòng)目錄的必要條件3.安裝活動(dòng)目錄時(shí)的登錄用戶必須有管理員組（Administrators）權(quán)限；要把一臺(tái)計(jì)算機(jī)加入域，必須要由網(wǎng)絡(luò)管理員盡行相應(yīng)的設(shè)置，在WindowsServer2022上創(chuàng)建域需要滿足以下條件：4.符合DNS規(guī)格的域名，如；5.有相應(yīng)DNS服務(wù)器的支持，用于解析域名而且當(dāng)前服務(wù)器的TCP/IP設(shè)置里的DNS地址需要配置成該DNS服務(wù)器地址。主講人：王華兵THANKSWindows網(wǎng)絡(luò)管理主講人：王華兵任務(wù)1：創(chuàng)建網(wǎng)絡(luò)中第一臺(tái)域控制器任務(wù)1：創(chuàng)建網(wǎng)絡(luò)中第一臺(tái)域控制器

首先，管理員需要在企業(yè)內(nèi)網(wǎng)的某臺(tái)服務(wù)器上安裝部署第一臺(tái)活動(dòng)目錄控制器（根域控），這臺(tái)域控將成為整個(gè)活動(dòng)目錄的核心控制設(shè)備，所有的權(quán)限分配、資源共享、身份驗(yàn)證等都由它完成。

根據(jù)案例場景中的需求，ABC公司需要將舊的工作組網(wǎng)絡(luò)模型升級(jí)成便于集中控制、資源共享、方便靈活的活動(dòng)目錄網(wǎng)絡(luò)模型。任務(wù)1：創(chuàng)建網(wǎng)絡(luò)中第一臺(tái)域控制器以下是選擇一臺(tái)空閑的WindowsServer2022服務(wù)器（00/8）來進(jìn)行安裝部署的實(shí)施過程。主講人：王華兵THANKS使用字體:配色方案:思源宋體CNHeavy思源宋體CNMediumTimesNewRoman一級(jí)標(biāo)題二級(jí)標(biāo)題單擊此處添加標(biāo)題單擊此處添加標(biāo)題雙擊安裝字體:Windows網(wǎng)絡(luò)管理主講人：王華兵任務(wù)2：客戶端加入活動(dòng)目錄任務(wù)2：客戶端加入活動(dòng)目錄讓客戶端加入活動(dòng)目錄可以通過在客戶端計(jì)算機(jī)上手動(dòng)配置或者使用VBS編寫腳本文件來完成，感興趣的讀者可以在網(wǎng)絡(luò)上檢索編寫腳本的方法。當(dāng)網(wǎng)絡(luò)中的第一臺(tái)域控制器創(chuàng)建完成后，該服務(wù)器將扮演域控的角色，而其他主機(jī)就需要加入活動(dòng)目錄內(nèi)作為域內(nèi)成員機(jī)接受域控制器的集中管理。任務(wù)2：客戶端加入活動(dòng)目錄接下來的實(shí)施過程是在客戶端計(jì)算機(jī)（0/8）上使用手動(dòng)的方法加入活動(dòng)目錄。主講人：王華兵THANKSWindows網(wǎng)絡(luò)管理主講人：王華兵知識(shí)能力拓展使用域模式使得資源管理更加集中、統(tǒng)一知識(shí)能力拓展使得在組模式下實(shí)現(xiàn)起來煩瑣甚至難以實(shí)現(xiàn)的管理難題得到了解決：禁止域內(nèi)計(jì)算機(jī)上運(yùn)行某種特定程序統(tǒng)一域內(nèi)所有計(jì)算機(jī)的桌面IE（InternetExplorer）瀏覽器主頁將某軟件集中分發(fā)給域內(nèi)計(jì)算機(jī)等

就是基于組的策略。

它以Windows操作系統(tǒng)中的一個(gè)MMC管理單元的形式存在，可以幫助系統(tǒng)管理員針對(duì)整個(gè)計(jì)算機(jī)或是特定用戶組來設(shè)置多種配置，包括桌面配置和安全配置。組策略（GPO）組策略（GPO）組策略是Windows操作系統(tǒng)中的一套更改系統(tǒng)和配置管理工具的集合。是Windows操作系統(tǒng)中保存系統(tǒng)軟件和應(yīng)用軟件配置的數(shù)據(jù)庫。注冊表實(shí)際上，組策略設(shè)置就是修