① ad域管理,求高手
這個專用詞可就很多了,域,活動目錄,
域控制器
,
操作主機
,授權還原,非授權還原,組織單位(ou),全局組,本地域組,通用組,站點,
組策略
(站點策略,域策略,OU策略)應用,AGDPL策略,總之有好多,推薦戴有煒的《WINDOWS
SERVER
2003
ACTIVE
DIRECTORY
配置指南》,還有一本是2008的。
② AD域管理、熟練配置AD站點和域策略是啥意思涉及到那方面
AD:Active Directory =>
Active Directory® 目錄服務可安裝在運行 Microsoft® Windows Server™ 2003 Standard Edition、Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 的伺服器上。Active Directory 存儲有關網路上的對象的信息,並使管理員和用戶更方便地查找和使用這種信息。Active Directory 使用結構化的數據存儲作為目錄信息的邏輯化、分層結構的基礎。
AD架構:Active Directory 架構包含目錄中所有對象的定義。每個新創建的目錄對象都會在寫入該目錄之前針對架構中的相應對象定義進行驗證。架構由對象類和屬性組成。基礎(或默認)架構包含一組豐富的對象類別和屬性以滿足大多數單位的需要,並遵循目錄服務的國際標准化組織 (ISO) X.500 標准進行建模。由於這是可擴展的,因此可以在基礎架構中修改和添加類別和屬性。但是,應仔細考慮所做的每個更改,因為擴展架構會影響整個網路。
AD域名:域是復制的單位。特定域中的所有域控制器可接收更改內容並將這些內容復制到域中的所有其他域控制器中。Active Directory 中的每個域用域名系統 (DNS) 域名標識,並且需要一個或多個域控制器。如果您的網路需要一個以上的域,那麼您可以輕松創建多個域。
共享公用架構和全局編錄的一個或多個域稱為林。林中的第一個域稱作林的根域。有關林的詳細信息,請參閱新建林。如果林中多個域有連續的 DNS 域名,那麼該結構稱為域樹。
單個域可跨越多個物理位置或站點,並可包含眾多對象。站點結構和域結構互相獨立而且非常靈活。單個域可跨越多個地理站點,並且單個站點可包含屬於多個域的用戶和計算機。
詳情清參考微軟線上說明:
另外,團IDC網上有許多產品團購,便宜有口碑
③ AD域控管理的問題
如果只是文件共享的許可權分配等問題建議用本地用戶即可,如果一定要細致一點你可以採用server-u搭建ftp伺服器實現共享許可權分配及空間配額等,沒必要採用ad的,如果你搭建了一個ad,只是用來建立用戶和共享用,那你得多浪費啊,ad的功能很多橫強大,這里不做過多描述,總之,殺雞焉用牛刀。沒錯ad是時候一定要進行管理和維護的。
④ 我在AD伺服器能管理已經加入到域的電腦硬碟資料么比如D盤E盤等,
不能管理,加入域的意義是統一對系統進行一些設置,比如組策略里的配置、牆紙……,並不起一款遠程監控或者遠程管理的軟體。 當然如果你知道對方的用戶和密碼可以使用系統自帶的工具就可以管理。
⑤ AD域控主要作用是什麼,好處有哪些
一.域的作用:如果企業網路中計算機和用戶數量較多時,要實現高效管理,就需要windows域。 創建域 。
二.域控安裝:要建立域進行管理,首先需安裝域控制器(dc),dc上存儲著域中的信息資源,如名稱、位置和特性描述等信息。通過在一台伺服器上安裝活動目錄(AD),就會將這台計算機安裝成dc。
安裝條件:
1.安裝者必須具有本地管理員的許可權。
2.操作系統版本必須滿足條件(Windows server2003除web以外的所有都滿足)。 3.本地磁碟必須有一個NTFS文件系統
4.有TCP/IP設置
5.有相應的DNS伺服器支持
6.有足夠的可用空間
三.安裝活動目錄(AD)
1.打開ad開始--運行輸入dcpromo
2.是否創建新域。dc有兩種新域的域控和現有域的額外域控制器。一般選擇新域的域控。
3.新域的DNS全名。如ruirui.com.cn
4.新域的NetBIOS名。下一步
5.資料庫和日誌文件夾。為了優化性能,可以將資料庫和日誌放在不同的硬碟上。該文件夾不一定在NTFS分區。如果本計算機是域的第一台域控,則sam資料庫就會升級到C:\windows\ntds\ntds.dit,本地用戶賬戶變成域用戶賬戶。
6.共享的系統卷。共享系統卷SYSVOL文件夾存放的位置必須是NTFS文件系統。 7.DNS注冊診斷。AD需要DNFS服務支持。
8.域兼容性。如果網路中不存在Windows server 2003 以前版本的域控制器,就選第二項。如果存在選第一項。
9.還原模式密碼。目錄服務還原模式的管理員密碼,是在目錄服務還原模式下登錄系統時使用。由於目錄服務還原模式下,所有的域賬戶用戶都不能使用,只有使用這個還原模式管理員賬戶登錄。
10.安裝完成後需重啟計算機。
前面講解了怎樣創建windows域,現在完善一下,講解怎樣將計算機加入域。 在安裝完AD後,需要將其它的伺服器和客戶計算機加入到域中。一般情況下,在從客戶計算機加入域時,會在域中自動創建計算機賬號。不過,用戶必須在本地客戶計算機上擁有管理許可權才能將其加入到域中。
在加入域之前,首先檢查客戶機的網路配置:
1.確保網路上物理連通
2.設置IP地址
3.檢查客戶機到伺服器是否連通 4.配置客戶機的首選DNS伺服器(通常為第一台DC的IP) 在客戶端計算機系統屬性中的「計算機名」選項卡里,單擊更改按鈕可以打開計算機加入域的對話框,選中域後,輸入正確的域名,然後再根據提示輸入具有加入域許可權的用戶名和密碼即可。 這樣就OK了!將客戶機加入域,就可以在客戶機上,使用域賬戶加入到域,也可以使用客戶機的本地用戶賬戶登錄到域。 前面一直提到DNS,下面講解DNS在域中的作用。
DNS在域中有兩個作用: 域名的命名採用DNS的標准、定位DC。
1、域名的命名採用DNS標准。公司要創建第一個域,域名為ruirui.com.cn。上海分公司要成為子域,域名為sh.ruirui.com.cn。這些都遵循DNS分布式、等級結構的標准。這體現了辦公網路與Internet集成的理念。
2、客戶機如何定位DC。當域用戶賬戶登陸時或者查找活動目錄時,首先要定位DC,這需要DNS伺服器支持,
主要步驟: 1)客戶機發送DNS查詢請求給DNS伺服器。
2)DNS伺服器查詢匹配的SRV資源記錄。
3)DNS伺服器返回相關DC的ip地址列表給客戶機。
4)客戶機聯繫到DC
5)DC響應客戶機的請求 DNS在活動目錄中為什麼能起到定位DC的作用
。 主要靠域的DNS區域中的SPV資源記錄。開始--程序--管理工具--DNS,打開DNS管理器,就是SRV資源記錄。
⑥ AD域管理員如何控制域內其他計算機
ad域的管理,主要是用組策略來控制管理域內的pc機和伺服器,域中還可以有組織單元,也就是ou,ou也可以設置組策略,但域組策略和ou組策略,有時候是有沖突的,也有時候是疊加的……要看情況。至於詳細的文檔教程,你去網上搜一下多的是……推薦你去51cto網站吧……
⑦ 關於AD域的概念性問題
參見至維基網路:
Active Directory(AD)的結構是一種由對象構成的分級框架結構。其中的對象分為三大類——資源(如印表機)、服務(如電子郵件)、和人物(即帳戶或用戶,以及組)。 AD 提供這些對象的信息,組織這些對象,控制訪問,並且設置安全等級。
每個對象代表一個單個實體——無論是一個用戶、一台電腦、一台印表機、或者一個共享數據源——及該實體的各種屬性。對象也可以是其它對象的容器。每個對象都由其名字唯一地標識,並擁有一個屬性集(即該對象可包含的特徵和信息),它由該對象的類型定義並依賴於該類型。這些屬性,即對象自身的基本結構,由一個對象模型(schema)來定義,該對象模型也確定了可存儲於 AD 中的該對象的種類。
對象模型本身由兩類對象構成:模型的類對象和模型的屬性對象。一個單個的模型類對象定義了一個可被 AD 創建的對象類型(例如使一個用戶對象被創建);一個模型的屬性對象則定義了模型所定義的對象所具有的一種屬性。
每個屬性對象都可用於多個不同的模型類對象中。這些對象一般被稱作模型對象,或者元數據,它們的存在是為了在需要時對模型進行擴展或修改。然而,由於每個模型對象都是集成於 AD 對象的定義內部的,停用或改變這些對象會導致嚴重的後果,因為這會從根基上改變 AD 自身的結構。一個模型對象在被改變後會自動通過 AD 來傳播,且一旦被創建,就只能被停用——而不是刪除。除非是有一定的計劃,一般情況下不會對對象模型進行修改。
[編輯] 林、樹和域
可以從不同的層次上來「看」這個包含了各個對象的框架。在機構的最頂端是林,它是AD中所有對象及其屬性、以及規則(即屬性的構造方式)的全集。林中含有一或多個相互聯系並可傳遞信任關系的樹。一個樹又含有一或多個域和域樹,它們也以一種可傳遞的信任等級相互聯系。每個域由其在 DNS 中的域名結構(即命名空間)來標識。一個域具有單一的 DNS 域名。
域中包含的對象可以被編組到成為「組織單位」(Organizational Unit,OU)的容器中。 OU 給域提供了一個便於管理的層次,也提供了一個對 AD 中的公司的邏輯組織結構和實際地理結構的較直觀一些的表示。 OU 還可以再包含子 OU (其實從這個角度說域就是一些容器),進而可以包含多層級嵌套的 OU。微軟推薦在 AD 中盡量少建立域,而通過OU來建立結構關系及完善策略和管理的實施。 OU 是應用組策略(也稱為組策略對象,GPO,本身也是 AD 對象)時常用的層次,盡管組策略也可應用在域或站點(見下)中。OU是可進行管理許可權委派的最低的層次。
進一步細化, AD 支持站點的創建,站點是由一或多個IP子網定義的一個更傾向於物理的(而非邏輯的)分組。站點可以分屬於通過低速連接(如WAN、VPN[1])和高速連接(如 LAN)相連的不同地點間。
各個站點可包括一或多個域,各個域也可包括一或多個站點。這對於控制因復制產生的網路流量來說是個重要的概念。
如何將公司的信息基礎結構劃實際地劃分為一個有著一或多個域和頂級 OU 的層次結構是一項非常關鍵的決定,通常可根據業務、地理位置、在信息管理結構中的角色等因素來建立不同的管理結構模型,很多情況下也會將這些模型組合起來應用。
^ 譯註:這里,原文作者中將虛擬專用網路(VPN)和廣域網(WAN)作為同層次的概念來說明低速連接,其實是不妥當的。作者似乎將VPN當作了基於公眾電話網路的遠程撥號連接(remote access via dial-up connection over PSTN),雖然VPN本身也是一種遠程訪問服務(remote access service, RAS)所提供的訪問方式,並且在實際中為了應用和管理的方便、以及安全方面的原因,確實有相當多的用戶在通過PSTN遠程訪問公司的內部網路時,需要在撥號連接後進一步再建立一個VPN連接,但其實上VPN是和網路的物理連接方式無關的概念。喜歡的話在區域網連接也可用來能建立VPN連接,只不過這樣做通常並沒有實際意義,除非需要使用為VPN用戶特別提供的管理性的功能,例如將某些VPN用戶單獨劃分到一個安全組內以控制對某些資源的訪問。renda 14:01 2006年2月23日 (UTC)
[編輯] 物理結構與復制
從物理角度來說 AD 的信息是存儲於一或多個相互對等的域控制器(DC)中的,使用這種對等 DC 的結構取代了以前在 NT 主域控制器/備份域控制器(PDC/BDC)的方式(盡管有一種用於某些操作的「更具平等性」的FSMO伺服器可模仿一個 PDC)。每個 DC 上都有一個單獨的域分區和一個 AD 的可讀寫復本,通過多主機復制機制將在一台 DC 上發生的變更(以匯聚方式)同步到所有的 DC 上。沒有存儲 AD 的伺服器稱為成員伺服器。
與早先使用NetBIOS通信的 Windows 版本不同,Active Directory是與 DNS 及 TCP/IP 完全整合在一起的,實際上 DNS 是「必須的」。為使所有的功能都能正確工作,這個 DNS 伺服器必須支持SRV資源記錄或服務記錄。
AD 復制更多地來說是以「拉」(pull)而不是「推」(push)的方式工作。 AD 會創建一個使用已定義的「站點」來管理通信的復制拓撲。站點內的復制頻繁且自動地通過一種「知識一致性檢測器」(Knowledge Consistency Checker,KCC)來完成的;而站點間的復制是可根據每個站點連接的質量(通過給每個連接定義不同的「成本」值,如 DS3、T1、ISDN 等)來進行配置的,並據此限制、安排及路由站點間復制的通信活動。雖然 AD 會自動將直接相連的站點到站點的連接的成本計算為低於中轉方式的連接,但只要涉及的站點間連接的「成本」被認為足夠低,復制的數據也可通過中轉方式來傳遞給處在相同協議的「站點連接橋」(site link bridges)上的其它多個站點。站點到站點的復制是在每個站點中的「橋頭伺服器」(bridgehead server)之間進行的,該橋頭伺服器將內容的變更復制給站點中的其它 DC。
在多於一個域時是不跨林復制 AD 的;而是創建一個全局編目(global catalog,GC),其中包含林中所有對象及它們的(部分)屬性,即一個 AD 的部分副本。這個編目存儲於定義好的全局編目伺服器中,用於處理域間查詢或傳遞跨域的請求。域內的匯集是通過使用 IP 進行的 RPC 機制來完成,而林范圍內的 AD 匯集則通過 SMTP 完成。
FSMO(flexible single master operation,靈活單主機操作)處理完整的多主機復制不能充分實現的情況。FSMO 有五個任務,包括:a)前面提到的進行 PDC 模擬、b)提供相對標識主機(RID master,Relative ID master)服務、c)作為在域范圍內行使職能的結構內主機、以及作為在林范圍內行使職能的 d)模型主機和 e)域命名主機。域中的 DC 中只有一台伺服器負責處理某個特定的 FSMO 任務。
AD 被分儲在三個不同的存儲空間或稱「分區」中: a) 「模型」空間,包含整個 AD 的模版,定義了所有對象的類型、類、屬性、和屬性語法,林中的所有樹是一起的,因為它們使用同一個模型; b) 配置空間,存儲著 AD 中的林和樹的結構; c) 「域」空間,存儲了在該域中創建的對象的所有信息。前兩者的內容會復制到所有的域控制器,而域空間的內容只是以全局編目的形式部分地和其它域控制器共享,這是因為對完整域對象的復制是限制在域邊界之內進行的。
被稱為「目錄存儲」的 AD 資料庫在 Windows 2000 中是用基於JET Blue的可擴充存儲引擎(ESE98)完成的,每個域控制器的資料庫的容量限制為 16 TB、對象數量限制為 109 個(理論數值,實際只測試過約 108 個),而 NT4 的SAM (Security Account Manager,安全帳戶管理程序)只支持不超過 40000 個對象。該目錄存儲也叫 NTDS.DIT,它包含兩個重要的表:「數據表」和「連接表」。在 Windows 2003 中又加入了第三個主要表,用來存放安全描述符的單個實例。
[編輯] 命名
AD 支持使用反斜線(\)的UNC(Universal Naming Conversion)名稱、使用斜線(/)的URL(Uniform Resource Locator)名稱、以及LDAP URL名稱來訪問對象。在 AD 內部使用LDAP版本的X.500命名結構來工作。每個對象具有一個識別名(Distinguished name,DN), 例如一個在域名foo.org、組織單位名為Marketing的OU中的、名為HPLaser3的印表機對象的DN是: CN=HPLaser3,OU=Marketing,DC=foo,DC=org,這其中的 CN 表示一般名,DC 表示域對象的類。DN可以包含不止四個部分。對象還可擁有一個別名(Canonical Name,台灣譯法為直接字面翻譯的「正式名稱」),基本是把DN的各部分倒過來、去掉表示符再加上斜線分開重新寫一遍就是,對本例來說就是:foo.org/Marketing/HPLaser3。為在所屬的容器內部辨識對象還使用相關識別名(Relative distinguished name,RDN):CN=HPLaser3。每個對象還有一個全局唯一標識碼(Globally unique identifier,GUID),一個AD用來進行搜索和復制的唯一不變的128位字元串。某些對象還有個如objectname@domain name形式的用戶主體名(User principal name,UPN)。
[編輯] 信任
AD 使用信任機制來允許一個域中的用戶訪問另一個域中的資源。在創建域時會自動創建信任關系。林一級的對象模型會為信任關系設置默認的邊界,這並非是在域這個級別上進行的,隱含的信任是自動建立的。和雙向可傳遞的信任一樣,AD的信任可以是「捷徑方式」(shortcut trust,連接不同的樹種的兩個域,可傳遞、可為單向或雙向)、「林方式」(forest trust,可傳遞、單或雙向)、「領域方式」(realm trust,可傳遞或不可傳遞、單或雙向)、或者「外部方式」(external trust,不可傳遞、單或雙向)這些種模式,用來連接到其它林或非 AD 架構的域。盡管也能支持NTLM鑒權,AD 使用的是版本5的Kerberos協議進行鑒權,而對瀏覽器客戶是用 SSL/TLS 協議幫助鑒權的。
[編輯] Windows 2000中的信任機制
此條目或章節需要被修正為維基格式以符合質量標准。(2006年10月21日)
請協助添加相關的內部連結來改善這篇條目。
簡單地說,AD 使用信任機制(原生模式下[2])來允許一個域中的用戶訪問另一個域中的文件。AD 的信任關系是這樣一種機制,一個域中的用戶可以由另一個域來驗證身份並據此而允許(或拒絕)訪問那個域中的資源。每個 Windows 域都與其它域有著隱含的、雙向的、並且可傳遞信任關系。這種信任關系是在域之間自動維護的。例如,如果 A 域信任 B 域,且 B 域信任 C 域,則:
由於信任關系的可傳遞性,A 域也信任 C 域,因此 A 域的用戶也能訪問 C 域中的文件;
由於信任關系的雙向性,C 域也信任 A 域,因此 C 域的用戶也能訪問 A 域中的文件。
域之間也可存在明確指定、人工創建的信任關系。這種明確指定的信任關系可以是:
捷徑方式的信任:連接的是同一個林中的任何兩個域,以減少訪問資源時所需的等待時間。這種捷徑方式的信任關系是可傳遞的、但單向的;
外部信任:連接的是不同的林中的兩個域,以允許一個林中的用戶訪問另一個林中的文件。這種外部信任關系是不可傳遞的、不能用Kerberos鑒權方式驗證、並且是單向的。
^ 譯註:在創建AD時,可以將 AD 創建為原生模式(native mode)或混合模式(mixed mode),這兩種模式是該 AD 的運行方式。原生模式是指 AD 完全基於 AD 架構運行,它要求 AD 中所有的域控制器(不含成員伺服器)都是採用了 AD 架構的 Windows 2000 以上的作業系統,而混合模式則允許使用老的 NT Domain 架構的 NT Server 作為域控制器。當然,除非網路是從原有 NT 域上升級而來,否則應該使用原生模式,它會比混合模式提供更好的安全性。
[編輯] 相關資料庫檔案
Active Directory的所有數據都儲存在 ntds.dlt 這個檔案里,一般會儲存在%systemroot%\NTDS里。系統預設會隔每12小時為資料庫進行清除垃圾(garbage collection)的動作,包括為資料庫進行defragmentation。進行defragmentation時,系統需要預留約是資料庫檔案大小的1.5倍的可用空間。 所有交易都會儲存在 Edb*.log 里,預設的檔案名稱是 edb.log,之後的會加上數字,例如:edb0001.log。
Edb.chk是交易的checkpoint檔案。
Res1.log和Res2.log是系統保留的交易檔案。
若資料庫所在的目錄沒有足的可用空間,就要把資料庫移往其他地方去。然而,由於Win2K與Win2K3在磁碟區陰影復制服務(VSS)的機制有所不同,使這移動過程有可能失敗。對於Win2K,log files與資料庫可以分別存放在不同的磁碟上,但Win2K3則必須放在同一個磁碟上。要移動資料庫,必須重新啟動伺服器,並進入 Active Directory Restore Mode 里,利用ntdsutil工具進行移動。
[編輯] 應用方式的Active Directory
應用方式的Active Directory(Active Directory Application Mode,ADAM)是Active Directory的一個輕量級實現。ADAM是運行為單用戶服務的一個功能。由於對資源的低要求,可在同一台伺服器上運行多個ADAM的實例。它使用和AD的完整實現版本相同的API(應用程序介面),因此開發人員無須學習新知識即可使用。
⑧ ad域中文件存儲
人們經常將數據存儲作為目錄的代名詞。目錄包含了有關各種對象 [例如用戶、用戶組、計算機、域、組織單位(OU)以及安全策略的信息。這些信息可以被發布出來,以供用戶和管理員的使用。目錄存儲在被稱為域控制器的伺服器上,並且可以被網路應用程序或者服務所訪問。一個域可能擁有一台以上的域控制器。每一台域控制器都擁有它所在域的目錄的一個可寫副本。對目錄的任何修改都可以從源域控制器復制到域、域樹或者森林中的其它域控制器上。由於目錄可以被復制,而且所有的域控制器都擁有目錄的一個可寫副本,所以用戶和管理員便可以在域的任何位置方便地獲得所需的目錄信息。目錄數據存儲在域控制器上的Ntds.dit文件中。我們建議將該文件存儲在一個NTFS分區上。有些數據保存在目錄資料庫文件中,而有些數據則保存在一個被復制的文件系統上,例如登錄腳本和組策略。有三種類型的目錄數據會在各台域控制器之間進行復制。域數據,域數據包含了與域中的對象有關的信息。一般來說,這些信息可以是諸如電子郵件聯系人、用戶和計算機帳戶屬性以及已發布資源這樣的目錄信息,管理員和用戶可能都會對這些信息感興趣。例如,在向網路中添加了一個用戶帳戶的時候,用戶帳戶對象以及屬性數據便被保存在域數據中。如果您修改了組織的目錄對象,例如創建、刪除對象或者修改了某個對象的屬性,相關的數據都會被保存在域數據中。配置數據, 配置數據描述了目錄的拓撲結構。配置數據包括一個包含了所有域、域樹和森林的列表,並且指出了域控制器和全局編錄所處的位置。架構數據,架構是對目錄中存儲的所有對象和屬性數據的正式定義。Windows Server 2003提供了一個默認架構,該架構定義了眾多的對象類型,例如用戶和計算機帳戶、組、域、組織單位以及安全策略。管理員和程序開發人員可以通過定義新的對象類型和屬性,或者為現有對象添加新的屬性,從而對該架構進行擴展。架構對象受訪問控制列表(ACL)的保護,這確保了只有經過授權的用戶才能夠改變架構。
⑨ AD域管理員如何控制域內其他計算機,詳細說明越多越好。
使用ADManager Plus可以批量管理AD域,正常情況下,我們只能對單一對象進行操作,而ADManager Plus可以進行批量的管理,進行一系列的增刪改查,包括對用戶、組、組織單位、人等,也可以自定義模板去展示這些對象的信息,可極大簡化日常AD管理工作。