Active Directory

1.Active Directory和域管理

（1）公司网络管理模式

本公司共拥有PC近50台，采用域管理模式。每台新增PC进入公司网络都必须首先加入域，使用分配的账户登入系统，接受公司网络的管理。

按照微软的说法，一般网络中的PC数目低于10台，则建议采用对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处。

（2）域管理的优点

a.权限管理比较集中，管理成本大大下降。

域环境，所有网络资源，包括用户，均是在域控制器上维护，便于集中管理。所有用户只要登入到域，在域内均能进行身份验证，管理人员可以较好的管理计算机资源，管理网络的成本大大降低。防止公司员工在客户端乱装软件, 能够增强客户端安全性、减少客户端故障，降低维护成本。

b.安全性加强。                                                                        

有利于企业的一些保密资料的管理,比如说某个盘某个人可以进，但另一个人就不可以进；哪一个文件只让哪个人看；或者让某些人可以看,但不可以删/改/移等。

c.使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。当客户机故障时，只需使用其他客户机安装相应软件以用户帐号登录即可，用户会发现自己的文件仍然在“原来的位置”（比如，我的文档），没有丢失，从而可以更快地进行故障修复。

d.方便用户使用各种资源。可由管理员指派登录脚本映射分布式文件系统根目录，统一管理。用户登录后就可以像使用本地盘符一样，使用网络上的资源，且不需再次输入密码，用户也只需记住一对用户名/密码即可。

并且各种资源的访问、读取、修改权限均可设置，不同的账户可以有不同的访问权限。即使资源位置改变，用户也不需任何操作，只需管理员修改链接指向并设置相关权限即可，用户甚至不会意识到资源位置的改变，不用像从前那样，必须记住哪些资源在哪台服务器上。

e.SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。

(3) Active Directory 

活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。只有通过安装Active Directory才能实现公司网络的域管理，配置各种必需的网络服务。

（4）流程图

配置软件环境

安装域控制器

域服务器设置

客户端添加设置

域管理维护

2.配置软件环境

本公司所有服务器采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在服务器上安装上Windows Server 2003，安装成功后进入系统，要做的第一件事就是给这台服务器指定一个固定的IP，在这里指定情况如下:

　　机器名:Server

    IP:192.168.0.32X0 

    子网掩码:255.255.255.0

    DNS:192.168.0.32(因为我要把这台机器配置成DNS服务器)

由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:

向下搬运右边的滚动条，找到“网络服务”，选中:

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:

3.域控制器安装

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”，在这里直接点击“下一步”:

      既然是第一台域控，那么当然也是选择“在新林中的域”:

    在这里我们要指定一个域名，我在这里指定的是demo.com

    这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但还是采用默认的好，避免以后麻烦。

    在这里要指定AD数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。

      这里是指定SYSVOL文件夹的位置，没有特殊情况，不建议修改:

    第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器

    这是一个权限的选择项，在这里，选择第二项:“只与Windows 2000或Window 2003操作系统兼容的权限”，因为在本公司的整个环境里，并没有Windows 2000以前的操作系统存在”。 

还原密码，设置好以后一定要记住这个密码，因为在后面的关于活动目录恢复要用到这个密码的。

    这是确认画面，仔细检查刚刚输入的信息是否有误，尤其是域名书写是否正确，如果有的话可以点上一步进入重输，如果确认无误的话，那么点“下一步”就正式开安装了:

    安装完成 重新启动就可以了。

4.域服务器配置

看一下安装了AD后和没有安装的时候有些什么区别，首先第一感觉就是关机和开机的速度明显变慢了，再看一下登陆界面:

多出了一个“登陆到”的选择框:

进入系统后，右键点击“我的电脑”选“属性”，点“计算机”

到这里就已经把一台名为Server的成员服务器提升为了域控制器，那接下把下面的工作站加入到域。

　　由于从网络安全性考虑，尽量少的使用域管理员帐号，所以先在域控制器上建立一个委派帐号，登陆到域控制器，运行“dsa.msc”，出现“AD用户和计算机”管理控制台:

先来新建一个用户，展开“demo.com”，在“Users”上击右键，点“新建”-“用户”:

然后出现一个新建用户的向导，在这里，我新建了一个名为“swg”的用户，并且把密码设为“永不过期”。

    这样点“下一步”，直到完成，就可以完成用户的创建。然后在“demo.com”上点击右键，先择“委派控制”:

就会出现一个“委派控制向导”:

最后是一个信息核对画面，要是没有什么问题的话，直接点“完成”就可以了。

5.客户端添加

转到客户端，看把XP系统的客户机添加到公司的管理域之中，本公司采用的客户端操作系统是Windows XP专业版，先设置一下这台XP的网络:

    计算机名:TestXP

    IP:192.168.5.5

    子网掩码:255.255.225.0★黑基空间★ p(_ ~ c y:f0b;W&G

    DNS服务器:192.168.5.1，

    设置完网络以后，在“我的电脑”上击右键，选“属性”，点“计算机名”。

在这里把“隶属于”改成域，并输入:“demo.com”，并点确定，这是会出现如下画面:

输入刚刚在域控上建的那个“swg”的帐号，点确定:

出现上述画面就表示成功加入了，然后点确定，点重启就算完成了。

看到那个“登陆到”，可以选择域登陆还是本机登陆了，在这里选择域“DEMO”，这样就可以用域用户进行登陆了。

6.域管理维护

（1）创建用户账户

　　在域中创建用户账户的具体步骤如下所述：

　　第1步 以Administrator（系统管理员）身份登录基于Windows Server 2003的域控制器，然后在“运行”编辑框中键入“DSA.MSC”命令并回车，打开“Active Directory用户和计算机”窗口。

　　执行上述命令跟依次单击“开始/管理工具/Active Directory用户和计算机”功能相同。

　　第2步 在“Active Directory用户和计算机”窗口的左窗格中展开域名“taidin.com.cn”并双击“Users”容器，然后依次执行“操作/新建/用户”菜单命令，打开“新建对象-用户”对话框。在“用户登录名”编辑框中键入准备创建的用户账户名称（如“taidin”），然后根据用户的实际信息在“姓”、“名”编辑框中键入适当内容。单击“下一步”按钮。

　　第3步 打开设置密码对话框，在“密码”编辑框中键入用户账户的密码。根据Windows Server 2003中规定的密码策略，如果键入的密码少于六位且不够复杂该密码将不被接受。建议键入一个包含字母、下划线和阿拉伯数字在内的比较复杂的密码，并重复输入密码。依次单击“下一步/完成”按钮完成创建。

　　该对话框的下方提供了设置密码高级属性的复选框。选取“用户下次登录时需更改密码”复选框可以强制用户在第一次登录域时修改密码；选取“用户不能更改密码”复选框则用户没有更改自己的账户密码的权限；选取“密码永不过期”复选框则该密码不受密码策略的时间；选取“账户已停用”复选框则可以禁用该用户账户。

　　第4步 重复上述步骤在“Users”容器中创建用户账户“tao”和“xiao”，并且完成创建以后马上能够在“Active Directory用户和计算机”窗口中看到新创建的用户账户。

（2）用户基本权限设置

　　所谓基本权限包括用户被允许登录域的时间以及可以从哪一台工作站登录，这些设置对于有着严格上下班制度和工位使用制度的公司尤其有用。以设置用户“taidin”的基本权限为例，设置步骤如下：

a.设置允许登录时段

　　第1步 以Administrator身份登录域控制器，并打开“Active Directory用户和计算机”窗口。展开“Users”容器，并在右窗格中的用户列表中双击“taidin”，打开“taidin 属性”对话框。然后单击“账户”标签，切换至“账户”选项卡。

　　第2步 在“账户”选项卡中单击“登录时间”按钮，打开“taidin的登录时间”对话框。对话框中横轴方向每个方块代表一小时，纵轴方向每个方块代表一天。蓝色方块表示允许用户登录的时间，空白方块则表示禁止用户登录的时间，默认情况下任何时间都允许用户登录。

　　假设准备让“taidin”只能在“星期一～星期五”的“8∶00～17∶00”登录到域，则先用鼠标左键单击左上方的“全部”按钮，然后点选“拒绝登录”单选框。用鼠标拖选相应范围的时间块，并点选“允许登录”单选框。单击“确定”按钮完成设置。

b.设置登录工作站

　　在未作设置以前，所有的用户可以从任何工作站登录到域中。不过如果需要，完全可以使某用户只能从一台或某几台工作站登录。

　　在“账户”选项卡中单击“登录到”按钮，打开“登录工作站”对话框。然后点选“下列计算机”单选框，在“计算机名”编辑框中键入相应工作站的NetBIOS名称，并单击“添加”按钮。添加完毕单击“确定”按钮。

(3)删除用户

　　对于已经失去作用的用户账户（如已离职员工的用户账户）需要及时将其删除，删除的方法比较简单，只需在“Active Directory用户和计算机”窗口的用户列表中右击准备删除的用户账户，在弹出的快捷菜单中执行“删除”命令。确认删除操作不会引发任何问题并单击“确定”按钮即可。

     在AD域中，用户账户包含了用户的名称、密码、所属组、个人信息等内容。添加到域中的用户账户会自动得到一个SID（Security Identifier，安全标识符），这个SID 在域中是惟一存在的，即使该用户账户被删除，其SID依然被保留着。如果某个用户账户被删除后，又在域中重新添加了一个相同名称的账户，则该账户会被分配一个新的SID。在域中，用户权限由SID惟一决定。

（4）创建和管理组

　　组是为了方便管理具有相同属性的用户账户而设计的，创建组的步骤如下所述：

　　第1步 以Administrator身份登录域控制器，打开“Active Directory用户和计算机”窗口，并展开域目录树“taidin.com.cn”。

　　第2步 依次执行“操作/新建/组”菜单命令，打开“新建对象-组”对话框。在“组名”编辑框中键入准备创建的组的名称，并单击“确定”按钮。

　　在“新建对象－组”对话框中可以看到组分为“安全组”和“通讯组”两种类型，而针对每一种组又可赋予“本地域”、“全局”和“通用”三种作用范围。

　　第3步 单击“Users”容器，在右窗格中的用户和组列表中双击新创建的组“taidinUsers”，打开“CceUsers 属性”对话框。然后单击“成员”标签，在“成员”选项卡中单击“添加”按钮，通过高级查找功能将用户“taidin”、“tao”和“xiao”添加进来。

　　也可以直接右击用户账户，在弹出的快捷菜单中执行“添加到组”命令。如果需要一次添加多个用户账户到同一个组，可以在按住Ctrl键的同时选取多个用户进行添加。

　　第4步 单击“隶属于”标签，在“隶属于”选项卡中单击“添加”按钮。通过高级查找功能选择该组的上一级组（如“DnsAdmins”，DNS管理员组）。这样做可以使组中的成员获得相应的权限。

　　第5步 单击“管理者”标签，在“管理者”选项卡中单击“更改”按钮，然后通过高级查找功能选择作为该组管理员的用户账户。建议勾选“管理员可以更新成员列表”复选框，最后单击“确定”按钮。