AD域服务简介和使⽤——其实都是配置dns和域控服务器,各pc 加⼊域,然后设置账号,⽤AD。。。
CN:为可辨别名。OU:为组织单元。DC:为从属于哪个域
默认端⼝是TCP、UDP为389
OU\DC为图1,adtest分解为 dc=adtest,dc=com
OU为组织名称 ou=测试部
CN是你⾃⼰设为管理员的⼀个⽤户名称如:lihb
密码为lihb的密码如a123456
⼀、前⾔
1.1 AD 域服务
什么是⽬录(directory)呢?
⽇常⽣活中使⽤的电话薄内记录着亲朋好友的姓名、电话与地址等数据,它就是 telephone directory(
电话⽬录);计算机中的⽂件系统(file system)内记录着⽂件的⽂件名、⼤⼩与⽇期等数据,它就是 file directory(⽂件⽬录)。
如果这些⽬录内的数据能够由系统加以整理,⽤户就能够容易且迅速地查到所需的数据,⽽ directory service(⽬录服务)提供的服务,就是要达到此⽬的。在现实⽣活中,查号台也是⼀种⽬录;在 Internet 上,百度和⾕歌提供的搜索功能也是⼀种⽬录服务。
Active Directory 域内的 directory database(⽬录数据库)被⽤来存储⽤户账户、计算机账户、打印机和共享⽂件夹等对象,⽽提供⽬录服务的组件就是 Active Directory (活动⽬录)域服务(Active Directory Domain Service,AD DS),它负责⽬录数据库的存储、添加、删除、修改与查询等操作。⼀般适⽤于⼀个局域⽹内。
在 AD 域服务(AD DS)内,AD 就是⼀个命名空间(Namespace)。利⽤ AD,我们可以通过对象名称来到与这个对象有关的所有信息。
在 TCP/IP ⽹络环境内利⽤ Domain Name System(DNS)来解析主机名与 IP 地址的对应关系,也就是利⽤ DNS 来解析来得到主机的 IP 地址。除此之外,AD 域服务也与 DNS 紧密结合在⼀起,它的域命名空间也是采⽤ DNS 架构,因此域名采⽤ DNS 格式来命名,例如可以将 AD 域的域名命名为 moonxy。
1.2 AD域对象与属性
AD 域内的资源以对象(Object)的形式存在,例如⽤户、计算机与打印机等都是对象,⽽对象则通过属性(Attriburte)来描述其特征,也就是说对象本⾝是⼀些属性的集合。例如,创建⼀个账户张三,则必须添加⼀个对象类型(object class)为⽤户的对象(也就是⽤户账户),然后在这个⽤户账户内输⼊张三的姓名、登录账户、电话号码和电⼦邮件等信息,这其中的⽤户账户就是对象,⽽姓名、登录账户等数据就是该对象的属性,张三就是对象类型为⽤户(user)的对象。
1.3 AD 域控制器 DC
AD 域服务(AD DS)的⽬录数据存储在域控制器(Domain Controller,DC)内。⼀个域内可以有多台域控制器,每台域控制器的地位⼏乎是平等的,它们各⾃存储着⼀份⼏乎完全相同的 Active Directory。当在任何⼀台域控制器内添加了⼀个⽤户账户后,此账户默认被创建在此域控制器的 Active Directory,之后会⾃动被复制(replicate)到其他域控制器的 Active Directory,以便让所有域控制器内的 Active Directory 数据都能够同步(synchronize)。
当⽤户在域内某台计算机登录时,会由其中⼀台域控制器根据其 Active Directory 内的账户数据,来审核⽤户输⼊的账户与密码是否正
确。如果是正确的,⽤户就可以登录成功;反之,会被拒绝登录。域控制器是由服务器级别的额计算机来扮演的,例如 Windows Server 2012 和 Windows Server 2008 R2 等。
通常,域控制器的 Active Directory 数据库是可以被读写的,除此之外,还有 Active Directory 数据库是只可以读取、不可以被修改的只读域控制器(Read-Only Domain Controller,RODC)。例如,某⼦公司位于远程⽹络,如果安全措施并不像总公司⼀样完备,则可以使⽤RODC。
1.4 LDAP
LDAP(Lightweight Directory Access Protocol),轻量⽬录访问协议,是⼀种⽤来查询与更新 Active Directory 的⽬录服务通信协议。AD
域服务利⽤ LDAP 命名路径(LDAP naming path)来表⽰对象在 AD 内的位置,以便⽤它来访问 AD 内的对象。
LDAP 数据的组织⽅式:
LDAP 名称路径如下:
标识名称(distinguished Name,DN):它是对象在 Active Directory 内的完整路径,DN 有三个属性,分别是 CN,OU,DC。
DC (Domain Component):域名组件;
CN (Common Name):通⽤名称,⼀般为⽤户名或计算机名;
OU (Organizational Unit):组织单位;
例如,如上⽤户账户,其 DN 为:
CN=张三,OU=Web前端组,OU=软件开发部,DC=moonxy,DC=com
其中 DC(Domain Component)表⽰ DNS 域名中的组件,例如 moonxy 中的 moonxy 与 com;OU为组织单位(Organization Unit);CN为通⽤名称(Common Name),⼀般为⽤户名或服务器名。除了DC与OU之外,其他都利⽤CN来表⽰,例如⽤户与计算机对象都属于CN。上述DN表⽰法中的 moonxy 为域名,软件研发部、Web前端组都是组织单位。此 DN 表⽰账户张三存储
在 moonxy\软件研发部\Web前端组路径中。
相对标识名称(Relative Distinguished Name,RDN):RDN⽤来代表DN完整路径中的部分路径,例如上⾯路径中的 CN=张三与
OU=Web前端组等都是 RDN。
Base DN:LDAP ⽬录树的最顶部就是根,也就是所谓的 "Base DN",如 "DC=moonxy,DC=com"。
除了 DN 与 RDN 这两个对象名称外,另外还有如下两个名称:
全局唯⼀标识符(Global Unique Identifier,GUID):GUID 是⼀个128位的数值,系统会⾃动为每个对象指定⼀个唯⼀的GUID。虽然可以改变对象的名称,但是其GUID永远不会改变。
⽤户主体名称(User Principal Name,UPN):每个⽤户还可以有⼀个⽐DN更短、更容易记忆的 UPN,例如上⾯的张三⾪属于moonxy,则其 UPN 可以为 zhangsan@moonxy。⽤户登录时所输⼊的账户名最好是 UPN,因为⽆论此⽤户的账户被移动到哪⼀个域,其 UPN 都不会改变,因此⽤户可以⼀直使⽤同⼀个名称来登录。
AD 与 LDAP 的关系:LDAP 是⼀种⽤来访问 AD 数据库的⽬录服务协议,AD DS 会通过 LDAP 名称路径来表⽰对象在 AD 数据库中的位置,以便⽤它来访问 AD 数据库内的对象。LDAP 的名称路径包括有 DN、RDN。
openLDAP(Linux),Active Directory(Microsoft)等是对 LDAP ⽬录访问协议的具体实现,除了实现协议的功能,还对它进⾏了扩展。
1.5 全局编录
虽然在域树内的所有域共享⼀个 Active Directory,但是 Active Directory 数据却分散在各个域内,⽽每个域仅存储该域本⾝的数据。因此,为了让⽤户、应⽤程序能够快速到位于其他域内的资源,在 AD 域服务器内设计了全局编录(Global Catalog,GC)。
全局编录的数据存储在域控制器内,这台域控制器被称为全局编录服务器,它存储着林内所有域的 AD 内的每个对象。不过只存储对象的部分属性,这些属性都是常⽤来搜索的属性,例如⽤户的电话号码、登录账户名等。全局编录让⽤户即使不知道对象位于哪⼀个域内,仍然可以快速的到所需的对象。
⽤户登录时,全局编录服务器还负责提供该⽤户所属的通⽤组的信息;⽤户利⽤ UPN 登录时,它会负责提供该⽤户⾪属于哪⼀个域的信息。
⼀个林内的所有域树共享相同的全局编录,⽽林内的第⼀台域控制器默认就是全局编录服务器。必要时,也可以另外指派其他域控制器来当做全局编录服务器。
⼆、安装 DNS 和 AD 域服务
Windows 版本:Windows Server 2008 Enterprise Service Pack 1
系统类型: 64 位操作系统
2.1 安装 DNS 服务器
这⼀步不是必须的,在安装 Active Directory 域服务时可以同时装上 DNS 服务器:Active Directory 域服务安装向导 -> 其它域控制服务器,勾上 DNS 服务器也有同样效果。但是鉴于服务器配置容易出现⼀些未知错误,所以还是推荐提前安装 DNS 服务⽐较好。
⾸先应该配置 DNS 服务器的静态 IP(推荐),否则安装时会出现如下提⽰:
并且 DNS 服务器的地址设置为⾃⼰的地址 127.0.0.1:
开始菜单 -> 管理⼯具 -> 服务器管理器,或者直接点击开始菜单旁边的快捷图标:
选择左侧树形菜单 "⾓⾊" 节点,右键 "添加⾓⾊",此处的 "⾓⾊" 表⽰此服务器要被配置为什么功能的服务器,即提供什么样的服务:
进⼊ "添加⾓⾊向导",点击 "下⼀步" 按钮:
进⼊选择 "⾓⾊" 页⾯:
勾选 "DNS 服务器" ⾓⾊,并点击 "下⼀步" 按钮:
进⼊ DNS 服务器简介页⾯,点击 "下⼀步" 按钮:
进⼊确认安装页⾯,点击 "安装" 按钮:
出现如下进度条:
点击 "关闭" 按钮,并重启服务器:
此时,DNS 服务已经安装完成。
2.2 安装 Active Directory 域服务
进⼊ "服务器管理器" 中添加 AD 域服务⾓⾊:
或者点击开始菜单 -> 运⾏ -> 输⼊命令 "dcpromo" ,然后回车:
备注:
dcpromo 命令是⼀个 "开关" 命令。如果 Windows Server 2008 计算机是成员服务器,则运⾏ dcpromo 命令会安装 AD 活动⽬录,将其升级为域控制器;如果Windows Server 2008 计算机已经是域控制器,则运⾏ dcpromo 命令会卸载 AD 活动⽬录,将其降级为成员服务器。进⼊安装界⾯界⾯:
弹出 Active Direcotry 域服务安装向导,点击 "下⼀步" 按钮:
进⼊兼容性提醒页⾯,不⽤理会,点击 "下⼀步" 按钮:
注意:如果是第⼀次搭建也是你整个内⽹中的第⼀台域控制器,那么需要选择第⼆项 "在新林中新建域",第⼀项是内⽹中已经存在 AD 环境再想搭建额外域控制器的时候使⽤的。
选择 "在新林中新建域”并点击",点击 "下⼀步" 按钮:
输⼊域名,这个要慎重,因为这个配置完毕之后要修改很⿇烦且有风险,并点击 "下⼀步" 按钮:
进⼊林功能级别设置界⾯,选择 "Windows Server 2008",然后点击 "下⼀步":
注意:
这⾥需要强调的是,如果你的 AD 中以后可能会出现 Windows Server 2003 系统的域控制器,请务必选择 Windows Server 2003 的域功能级别,要不以后那些 Windows Server 2003 的服务器就做不了域控制器了,所以安装第⼀台 DC 的时候,都选择的低级别的林功能,以后要升到 Windows Server 2008 的域功能级别是没问题的,若是选了 Windows Server 2008 的功能级别,以后要降级就难了。
点击 "下⼀步" 按钮:
如果最初没有安装 DNS 服务器,此处可以勾选并安装:
如果已经安装,此处即为灰⾊:
弹出 DNS 提⽰框,不⽤理会,点击 "是" 按钮,继续安装:
进⼊AD 域的数据库⽂件、⽇志⽂件和共享⽂件位置设置页⾯,此处保持默认设置,点击 "下⼀步" 按钮:
进⼊ "域还原密码" 设置界⾯,此密码相当的重要,后续做数据库迁移、备份、整理、恢复的时候都可能⽤到,务必要牢记:
填⼊密码之后,点击 "下⼀步" 按钮:
进⼊ "摘要" 界⾯,显⽰之前设置的摘要信息,点击 "下⼀步" 按钮:
此处可以点击 "导出设置" 到⼀个位置保持起来,以便后续排错时查阅,也可以作为 DC 安装时的⽆⼈值守安装的脚本。
安装向导进⼊配置过程
点击 "完成" 按钮,重启服务器:
此时,AD 域服务已经安装完成。ADDS域控制器已经安装完成,在完成域控制器的安装后,系统会⾃动的将该服务器的⽤户账号转移到AD 数据库中。
2.3 检查 DC 是否已经注册到 DNS
域控制器 DC 会将⾃⼰扮演的⾓⾊注册到 DNS 服务器内,以便让其他计算机能够通过 DNS 服务器来到这台域控制器,因此先检查 DNS 服务器内是否已经存在这些记录。利⽤与系统管理员(MOONXY/Administrator)登录。
检查主机记录
⾸先检查域控制器是否已经将其主机名与 IP 地址注册到 DNS 服务器内。请到扮演 DNS 服务器⾓⾊的计算机 WIN-
< 上点击 "DNS" 菜单:
此处应该会有⼀个名称为 moonxy 的区域,图中的主机(A)记录表⽰域控制器 已经正确地将其主机名与 IP 地址注册到 DNS 服务器内。DNS 客户端所
提出的请求⼤多是正向解析,即通过 hostname 来解析 IP 地址对应与此处的正向查区域;通过 IP 来查 hostname 即为反向解析,对应于此处的反向查区域。
如果域控制器已经正确地将其扮演的⾓⾊注册到 DNS 服务器,则还应该有对应的 _tcp、_udp 等⽂件夹。在单击 _tcp ⽂件夹后可以看到如下所⽰的界⾯,其中数据类型为服务位置(SRV)的 _ldap 记录,表⽰ 已经正确地注册为域控制器。其中的 _gc 记录还可以看出全局编录服务器的⾓⾊也是由 扮演的。
DNS 区域内包含这些数据后,其他要加⼊域的计算机就可以通过通过此区域来得知域控制器为 。这些加⼊域的成员(域控制器、成员服务器、Windows 8、Windows 7、Windows Vista、Windows XP Professional 等)也会将其主机与 IP 地址数据注册到此区域内。
三、管理 AD 域⽤户账户
3.1 域⽤户管理⼯具
可以使⽤如下两个⼯具来管理域账户,如下:
Active Directory ⽤户和计算机:这是之前 Windows Server 2008、Windows Server 2003 等系统就已经提供的⼯具;
Active Directory 管理中⼼:这是从 Windows Server 2008 R2 开始提供的⼯具,⽤来取代 Active Directory ⽤户和计算机。
3.2 创建组织单位与域⽤户账户
通过使⽤ Active Directory ⽤户和计算机进⾏说明:
可以将⽤户账户创建到任何⼀个容器或组织单位(OU)内。以下创建⼀个名为软件研发部的组织单位。然后再建⼦组织单位,最后在此⼦组织单位内创建域⽤户账户。
创建组织单位:
输⼊软件研发部的组织单位,然后点击 "确定" 按钮:
创建之后,在该组织下⾯继续创建两个⼦组织单位:Web 前端组和 Java 开发组。
Web 前端组:
Java开发组:
创建⽤户:
进⼊创建⽤户界⾯,填⼊⽤户信息,⽐如此处创建⽤户:张三,然后点击 "下⼀步" 按钮:
注意:
⽤户 UPN 登录:⽤户可以利⽤这个与电⼦邮箱格式相同的名称(zhangsan@moonxy)来登录域,此名称被称为 User Principal Name(UPN)。在整个林内,此名称必须是唯⼀的。
⽤户 SamAccountName 登录:⽤户也可以利⽤此名称(MOONXY\zhangsan)来登录域,其中 MOONXY 为 NetBIOS 域名。同⼀个域内,此登录名称必须是唯⼀的。Windows NT、Windows 98 等旧版系统并不⽀持 UPN,因此在这些计算机上登录时,只能使⽤此处的登录名。
进⼊创建密码界⾯,域⽤户的密码默认必须⾄少7个字符,且⾄少包含⼤写字母、⼩写字母、数字、⾮字母数字等4组中的3组,点击 "下⼀步" 按钮:
进⼊完成页⾯:
点击上⾯的 "完成" 按钮,即可看到新增的⽤户:张三
同理,在 "Web 前端组" ⼦组织单位下继续创建⽤户:李四,在 "Java开发组" 组组织机构下创建两个⽤户:王五、赵六。结果如下:
Web 前端组⽤户:
Java 开发组⽤户:
创建好上⾯的域⽤户账户之后,就可以⽤来测试登录域的操作。直接到域内任何⼀台⾮域控制器的计算机上登录域,例如 Windows Server 2012 成员服务器或已加⼊域的 Windows 8 计算机。⼀般⽤户账户默认⽆法在域控制器上登录,除⾮另外开放。
备注:
以上是 Windows Server 2008 AD 域服务器搭建的过程和简介,此过程也适⽤于 Windows Server 2008 R2 版本的 AD域搭建。此外也可以参考如下博友不同版本的搭建过程:
AD域怎么新建⽤户名和密码web前端和java哪个难
现在我们的个⼈电脑已经成功加⼊了域,就需要域创建的⽤户与密码来登录电脑,才能正常的操作。
⼯具/原料
windows server 2016
⽅法/步骤
1. 1
打开服务器管理员,在⼯具菜单中选择【A D⽤户和计算机】
2. 2
为了更好的管理,我们把⽤户按部分进⾏分组,在域根⽬录下右击⿏标选择【新建】-》【组织单位】
3. 3
输⼊部门名称,点击确定创建完成。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论