AD域管理员手册v12Word文档格式.docx
《AD域管理员手册v12Word文档格式.docx》由会员分享,可在线阅读,更多相关《AD域管理员手册v12Word文档格式.docx(53页珍藏版)》请在冰豆网上搜索。
在ActiveDirectory中,域也可以称为“分区”。
因为域是ActiveDirectory数据库的物理分区,所以您既可以按照业务功能(人力资源、销售或财务),也可以按照位置(地理或相对)建立其结构。
当将相关域分成一组以便共享全局资源时,您就创建了“目录树”。
尽管目录树可以只包含一个域,但是您可以将层次结构中相同名称空间的多个域合并在一起。
可以使用基于Kerberos的安全功能,通过双向信任关系将目录树中的域透明地连接在一起。
这些信任关系可以是永久性的,也可以是暂时的。
目录树中的所有域共享所有对象类型的正式定义(称为“架构”)。
此外,任何给定目录树中的所有域还共享全局编录。
GC是目录树中对象的中央储存库。
在最高一级,可以将单独的目录树分成一组形成“目录林”。
可使用目录林,将组织中的不同部门,甚至不同组织组合到一起。
这些部门不必共享相同的命名架构并且独立运作,但彼此之间可以进行通信。
目录林中的所有目录树共享相同的架构、全局编录和配置容器。
再者,基于Kerberos的安全功能在目录树之间提供了信任关系。
1.2AD的物理结构
AD域的物理结构主要由两大部分组成:
域控制器以及站点
域控制器就是存储活动目录的地方,一个域可以有一个或几个域控制器。
在域中,各域控制器相互复制活动目录的改变,在目录林中,各域控制器相互之间也把信息自动复制给对方。
站点(Site)是由一个或多个IP子网中的一组计算机,确保目录信息的有效交换,站点中的计算机需要很好地连接,尤其是子网内的计算机。
站点和域名称空间之间没有必要的连接。
站点反映网络的物理结构,而域通常反映用户单位的逻辑结构。
逻辑结构和物理结构相互独立,所以网络的物理结构及其域结构之间没有必要的相关性,活动目录允许单个站点中有多个域,单个域中有多个站点。
如果配置方案未组织成站点,则域和客户之间的信息交换可能非常混乱。
站点能提高网络使用的效率。
1.3WIN2003AD新特性
WindowsServer2003对于活动目录进行了许多的改善,使得它功能更强大,更可靠也更经济。
WindowsServer2003中的活动目录提供了如下特性:
更易于部署和管理
WindowsServer2003增强了管理员的能力以使其即使在包含多个森林、域及站点的大企业中也能有效的配置和管理活动目录。
改进的迁移和管理工具连同重命名域的功能,使得部署活动目录任务明显简化。
工具也提供了更加人性化的拖曳、多对象的选择以及保存和重用查询的功能。
另外对组策略进行了改进以使其能够被更加简单和有效地在活动目录环境中对大量用户和计算机进行管理。
●ADMT2.0版本
●重命名域
●架构(Schema)重定义
●活动目录应用模式(AD/AM)
●组策略的改进
●增强的用户界面
更加安全
额外的安全特性使得管理多森林和跨域信任关系更加容易。
跨森林的信任关系是有别于现有Windows信任关系的新类型,它可以管理两个森林间的安全关系——大大简化了跨森林的安全管理以及验证。
用户可以在不用牺牲单一登录功能的情况下,访问其他森林的资源,并且由于只需在用户所在的森林中维护它的用户ID和口令,因此管理也被大大的简化了。
这对于一些需要在某些分公司或区域拥有自己森林的场景提供了更好的灵活性,同时也有利于对活动目录的维护。
此外,WindowsServer2003提供了一个新的凭证管理器来放置用户的凭证以及X.509证书。
软件控制策略使得管理员可以阻止用户在网络中安装不被允许的程序。
●跨森林验证
●跨森林授权
●交叉认证的增强(Cross-Certification)
●IAS和跨森林验证
●凭证管理器(CredentialManager)
●软件限制策略
改进的性能与可靠性
WindowsServer2003能够更加有效的管理活动目录的复制与同步。
不管是在域内还是在域间管理员都可以更好地控制需要在域控制器间进行同步的信息类型。
此外,活动目录提供了许多技术可以智能地选择只将那些发生了更改的信息进行复制,而不是机械地复制整个目录数据库。
◆在远程办公室更容易登录
◆组成员列表复制的增强
◆应用程序目录分区
◆利用媒介安装副本
◆可靠性的改善
第二章AD域的安装和卸载
2.1安装WIN2003AD
所有的新安装都是安装成为MemberServer,如果您在新安装WIN2003SERVER时选择安装了“活动目录”选项,则系统就会出现类似于“如果您此时安装活动目录则系统中的所有域名就不能再次改变……”之类的提示。
一般情况下我们在新安装系统时不选择安装活动目录,以便我们有时间来具体规划与活动目录有关的协议和系统结构。
目录服务都需要事后用Dcpromo的命令特别安装。
Dcpromo是一个图形化的向导程序,引导用户一步一步地建立域控制器,可以新建一个域森林,一棵域树,或者仅仅是域控制器的另一个备份,非常方便。
很多其他的网络服务,比如DNSServer、DHCPServer和CertificateServer等,都可以在以后与活动目录集成安装,便于实施策略管理等。
这个图形化界面向导程序也没有什么特别之处,只要我们在前面理解好了活动目录的含义,并进行了安装前的一系列规划,则可以很容易完成所有的安装任务。
活动目录还充分地考虑到了备份和恢复目录服务的需要,WIN2K备份工具中有专门备份活动目录的选项,在出现意外事故的时候,可以在机器启动时按F8进入安全恢复模式,保证减少灾难的恶性影响。
1、在“运行”菜单内键入“Dcpromo”,系统自动出现如下菜单:
2、单击“下一步”按钮,打开“域控制器类型”对话框,选择“新域的域控制器”单选按钮,使服务器成为新域中的第一个域控制器。
如果网上已有域控制器,可选择“现有域的额外域控制器”单选按钮。
3、单击“下一步”按钮,打开“创建目录树或子域”对话框,如果用户不想让新域成为现有域的子域,可选择“创建一个新的域目录树”单选按钮。
如果用户希望新域成为现有域的子域,可选择“在现有域目录树中创建一个新的子域”单选按钮。
这里,选择“创建一个新的域目录树”单选按钮。
4、单击“下一步”按钮,打开“创建或加入目录林”对话框,如果所创建的域为单位的第一个域,或者希望所创建的新域独立于现有目录林,可选择“创建新的域或目录树”单选按钮。
如果希望新的域目录树中的用户可访问现有域目录树中的资源,或希望现有域目录树中的用户访问新域目录树中的资源,可选择“将这个新的域目录树放入现有的目录林中”单选按钮。
这里,选择“创建新的域目录树”单选按钮。
5、单击“下一步”按钮,打开“新的域名”对话框,在“新域的DNS全名”文本框中输入新建域的DNS全名,例如。
6、单击“下一步”按钮,打开所示的“NetBIOS域名”对话框,在“域NetBIOS名”文本框中输入NetBIOS域名,或者接受显示的名称。
NetBIOS域名是供早期的Windows用户用来识别新域的。
7、单击“下一步”按钮,打开“数据库和日志文件位置”对话框,在“数据库位置”文本框中输入保存数据库的位置,或者单击“浏览”按钮选择路径,在“日志位置”文本框中输入保存日志的位置或单击“浏览”按钮选择路径。
注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上。
8、单击“下一步”按钮,打开“共享的系统卷”对话框,在Windows2000中,Sys.vol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。
在“文件夹位置”文本框中输入Sys.vol文件夹位置,或单击“浏览”按钮选择路径。
9、单击“下一步”按钮,如果用户没有配置名称为的DNS服务器,则系统会提示用户配置DNS服务器,单击“确定”按钮,即可打开“配置DNS”对话框。
10、如果通过向导为新域安装和配置DNS服务器,选择“是,在这台计算机上安装和配置DNS(推荐)”单选按钮。
如果要在安装活动目录之后再安装和配置DNS,可选择“否,我将自己安装并配置”单选按钮。
11、单击“下一步”按钮,打开“WindowsNT4.0RAS服务器”对话框,如果希望减弱WindowsNT4.0RAS的访问权限选择“是,减弱权限”单选按钮。
如果不更改访问权限,选择“否,不要更改权限”单选按钮。
12、单击“下一步”按钮,打开“摘要”对话框。
通过该对话框,用户可检查并确认选定的选项。
13、经过几分钟之后,配置完成。
同时,打开“完成”ActiveDirectory安装向导”对话框,单击“完成”按钮,即完成活动目录的安装,重新启动计算机,活动目录即会生效。
2.2确认AD的安装
ActiveDirectory的成功安装是非常重要的。
当执行升级后,通常可以通过验证以下各项来验证是否将服务器提升为域控制器。
2.2.1默认容器
默认容器:
它们在创建第一个域时自动创建。
打开ActiveDirectory用户和计算机,然后验证存在以下容器:
计算机、用户和ForeignSecurityPrincipals。
默认的组织:
该单元包含第一个域控制器,另外还用作新Windows2000域控制器的默认容器。
打开ActiveDirectory用户和计算机,然后验证该组织单位。
默认站点:
在将服务器提升为域控制器的过程中,Dcpromo.exe程序会确定该域控制器可以成为哪个站点的成员。
如果所创建的域控制器是新域控制器林中的第一个域控制器,则会创建一个名为“Default-First-Site-Name”的默认站点,而域控制器将成为该站点的成员,直至配置相应的子网和站点。
您可以使用“ActiveDirectory站点和服务”来验证此项。
2.2.2ActiveDirectory数据库
ActiveDirectory数据库:
ActiveDirectory数据库就是Ntds.dit文件。
验证它是否存在于%Systemroot%\Ntds文件夹中。
全局编录服务器:
默认情况下,第一个域控制器会成为全局编录服务器。
若要验证此项,请执行以下操作:
单击开始,指向程序,单击管理工具,然后单击ActiveDirectory站点和服务。
双击站点以将其展开,展开服务器,然后选择您的域控制器。
双击域控制器以展开服务器内容。
该服务器下会显示NTDS设置对象。
右键单击该对象,然后单击属性。
默认情况下,常规选项卡上会显示已选中的全局编录复选框。
2.2.3根域验证
根域:
安装第一个域控制器时会创建目录林的根。
在我的电脑中验证计算机的网络标识。
计算机的域名系统(DNS)前缀应该与域控制器所属的域名相匹配。
另外,确保计算机已注册正确的计算机角色。
若要验证此角色,请使用netaccounts命令。
根据计算机是否为域中的第一个域控制器,计算机角色应显示“主”(primary)或“备份”(backup)。
共享系统卷:
Windows2000域控制器应该含有位于%Systemroot%\Sysvol\Sysvol文件夹中的共享系统卷。
若要验证此项,请使用netshare命令。
在安装过程中,ActiveDirectory还会创建两个标准的策略:
“默认域”策略和“默认域控制器”策略(位于%Systemroot%\Sysvol\Domain\Policies文件夹中)。
这些策略显示为以下全局唯一标识符(GUID):
表示“默认域”策略的{31B2F340-016D-11D2-945F-00C04FB984F9}
表示“默认域控制器”策略的{6AC1786C-016F-11D2-945F-00C04fB984F9}
2.2.4DNS
SRV资源记录:
您必须装有为ActiveDirectory安装并配置的DNS服务器和相关客户端软件,才能正常地工作。
Microsoft建议使用MicrosoftDNS服务器,它随Windows2000Server作为DNS服务器提供。
但是,MicrosoftDNS服务器并不是必需的。
您使用的DNS服务器必须支持服务资源记录(SRVRR)注释请求文件(RFC)2052以及动态更新协议(RFC2136)。
使用DNSManagerMicrosoftManagementConsole(MMC)管理单元来验证为每个DNS区域创建了适当的区域和资源记录。
ActiveDirectory在以下文件夹中创建其SRVRR:
_Msdcs/Dc/_Sites/Default-first-site-name/_Tcp
_Msdcs/Dc/_Tcp
在这些位置,将显示以下服务的SRVRR:
_kerberos
_ldap
2.3自动卸载WIN2003AD
在卸载WIN2003的活动目录前必须检查以下各项,当都满足后在执行活动目录的降级工作。
●检查待降级服务器是否有操作主控
●检查待降级服务器是否是全局编目服务器
●检查待降级服务器是否与DNS通讯正常
●检查待降级服务器是否能与其他DC通讯
●检查是否能访问操作主控以及操作主控是否正常
卸载具体操作步骤:
1.在Run文本框中,键入dcpromo,然后单击OK。
2.会出现ActiveDirectory安装向导。
在欢迎屏幕单击Next。
3.将有一个选项选择此服务器为域中最后的域控制器。
若选择此选项,向导会试图从林中删除该域。
不要选择此选项。
单击Next。
4.在管理密码屏幕,输入并确认删除ActiveDirectory后要分配给本地管理员帐户的密码。
5.在摘要屏幕,确认信息正确,然后单击Next继续删除。
6.向导继续进行删除ActiveDirectory。
完成后,向导显示完成屏幕。
单击Finish关闭向导。
7.单击Restart重新启动域控制器。
2.4手动卸载WIN2003AD
如果使用dcpromo降级失败,我们尝试可以使用dcpromo
/removal对活动目录进行强制降级。
但是强制降级是一个非常规过程,因此降级后需要对AD的信息进行清理。
ActiveDirectory安装向导(Dcpromo.exe)用于将服务器提升为域控制器,以及将域控制器降级为成员服务器(或者在该域控制器是域中的最后一个域控制器时,将其降级为工作组中的独立服务器)。
作为降级过程的一部分,此向导会将该域控制器的配置数据从ActiveDirectory中删除。
此数据的形式是“NTDS设置”对象,在“ActiveDirectory站点和服务”中作为服务器对象的一个子对象存在。
该信息位于ActiveDirectory中的以下位置:
CN=NTDSSettings,CN=<
servername>
CN=Servers,CN=<
sitename>
CN=Sites,CN=Configuration,DC=<
domain>
...
“NTDS设置”对象的属性包括:
代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的名称上下文、域控制器是否为全局编录服务器,以及默认查询策略。
“NTDS设置”对象也是一个容器,其中可以包含代表域控制器的直接复制伙伴的子对象。
该数据是域控制器在环境中运行所必需的,但域控制器降级后就不再使用该数据了。
如果未正确删除“NTDS设置”对象(例如,未从降级尝试中正确删除“NTDS设置”对象),管理员可以使用Ntdsutil.exe实用工具手动删除“NTDS设置”对象。
以下步骤列出了在特定域控制器的ActiveDirectory中删除“NTDS设置”对象的过程。
具体步骤
1.单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。
2.在命令提示符处,键入ntdsutil,然后按Enter键。
3.键入metadatacleanup,然后按Enter键。
根据所给出的选项,管理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数。
4.键入connections,然后按Enter键。
此菜单用于连接将发生这些更改的具体服务器。
如果当前登录的用户没有管理权限,可以在建立连接之前指定要使用的替代凭据。
为此,请键入setcredsDomainNameUserNamePassword,然后按Enter键。
如果密码为空,则键入null作为密码参数。
5.键入connecttoserverservername,然后按Enter键。
然后出现一条确认消息,说明已成功建立该连接。
如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。
注意:
如果尝试连接的服务器正是要删除的服务器,那么在尝试删除第15步提到的服务器时,将显示以下错误信息:
Error2094.TheDSAObjectcannotbedeleted0x2094
6.键入quit,然后按Enter键。
将出现清除元数据菜单。
7.键入selectoperationtarget,然后按Enter键。
8.键入listdomains,然后按Enter键。
将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号。
9.键入selectdomainnumber,然后按Enter键;
其中number是与要删除的域相关联的编号。
您选择的域用于确定要删除的服务器是否为该域的最后一个域控制器。
10.键入listsites,然后按Enter键。
将显示一个站点列表,每个站点都有一个关联的编号。
11.键入selectsitenumber,然后按Enter键;
将出现一条确认消息,其中列出了所选的站点和域。
12.键入listserversinsite,然后按Enter键。
将显示一个列出站点中所有服务器的列表,每个服务器都有一个关联的编号。
13.键入selectservernumber,其中number是与要删除的服务器关联的编号。
将出现一条确认消息,其中列出所选的服务器、该服务器的域名服务器(DNS)主机名,以及要删除的服务器的计算机帐户的位置。
14.键入quit,然后按Enter键。
15.键入removeselectedserver,然后按Enter键。
将出现一条确认消息,说明删除成功完成。
如果出现以下错误信息:
Error8419(0x20E3)
TheDSAobjectcouldnotbefound
则说明“NTDS设置”对象可能已从ActiveDirectory中删除,原因是其他管理员删除了该“NTDS设置”对象,或者在运行DCPROMO实用工具成功删除对象后再执行一次此操作。
尝试绑定到要删除的域控制器时,也可能会出现此错误。
Ntdsutil必须绑定到要用metadatacleanup删除的域控制器以外的其他域控制器。
16.在每个菜单中键入quit,退出NTDSUTIL实用工具。
将出现一条确认消息,说明连接已成功断开。
17.在DNS的_msdcs.rootdomainofforest区域中删除cname记录。
假定要重新安装并重新提升DC,因此使用新的GUID和DNS中匹配的cname记录来创建新的“NTDS设置”对象。
您不希望现有DC使用旧的cname记录。
最佳做法是删除主机名和其他DNS记录。
如果已超出为脱机服务器分配的动态主机配置协议(DHCP)地址上所剩的租用时间,另一个客户端即可获得问题DC的IP地址。
既然“NTDS设置”对象已删除,因此可以删除计算机帐户、FRS成员对象、_msdcs容器中的cname(或别名)记录、DNS中的A(或主机)记录、已删除的子域的trustDomain对象以及域控制器。
Windows2000Server和WindowsServer2003的Windows支持工具功能中都附带有Adsiedit实用工具。
要安装Windows支持工具,请按照下列步骤操作:
•Windows2000Server:
在Windows2000Server安装光盘上,打开Support\Tools文件夹,双击“Setup.exe”,然后按照屏幕上的说明操作。
•WindowsServer2003:
在WindowsServer2003安装光盘上,打开Support\Tools文件夹,双击“Suptools.msi”,单击“安装”,然后按照Windows支持工具安装向导中的步骤操作以完成安装。
1.使用ADSIEdit删除计算机帐户。
为此,请按照下列步骤操作:
a.单击“开始”,单击“运行”,在“打开”框中键入adsiedit.msc,然后单击“确定”。
b.展开“域NC”容器。
c.展开“DC=YourDomainName,DC=COM,PRI,LOCAL,NET”。
d.展开“OU=DomainControllers”。
e.
升级会员 