用户名：数列求和
文章数：20
评论数：20
访问量：19077
注册日期：
阅读量：1297
阅读量：3317
阅读量：585331
阅读量：471047
51CTO推荐博文
Windows Server 2008活动目录实施方案1.用户需求要求一：活动目录高可用，实现容灾&&& 二：客户机成功加入域，限制财务的用户只能登陆到财务的客户机，每周一到周五实现财务部的用户能够成功登陆，其他时间不允许登陆。三：组策略限制如下：1. 限制所有员工桌面背景为1.jpg，为所有用户设置账户锁定策略，输错　　　　　　两次密码锁定。&&&&&& 2. 限制行政部员工桌面背景为2.jpg&& &3. 限制销售部员工的开始菜单中删除运行图标，删除桌面的计算机图标&&&&&& &4.为所有客户端自动安装MSI软件主策略设置5. 以上设置针对销售BOSS无效四：活动目录数据库要求定期备份2.活动目录拓扑结构3.系统的安装3.1.windows services 2008的安装& &&3.1.1windows2008的特点& & & 一、为保证系统的稳定性，易用性，选用安装两台WindowsR2 2008，& & & & &WindowsR22008相对于以前的服务系统的新特点：& & & &1.服务器核心（Server Core）& & & &2.WindowsPowerShell& & & &3.IIS7.0& & & &4.虚拟化（WSv）& & & &5.只读域控制器（RODC）& & & &6.Windows防火墙高级安全功能& & & &7.服务器管理器& &&3.1.2系统安装准备& & &安装Windows Server 2008的计算机必须符合一定的硬件要求，如最低配置CPU为Pentium 32位系统&1GHz，内存512MB，硬盘空间10GB。但为了使Windows Server 2008能达到合理的性能要求，建议使用如下配置要求以上的计算机：&&& CPU：Pentium 32位系统 2GHz&&& 内存：2GHz&&& 硬盘：40GB剩余磁盘空间3.1.3安装截图&图一、进入安装界面进入安装界面选择自定义安装安装进程登陆界面3.2.1windows services 2008的安装注意事项安装要求：组件要求处理器最低: 1Ghz推荐: 2Ghz最佳: 3Ghz或更快&内存最低: 512MB RAM推荐: 1GB RAM最佳: 2GB RAM (Full) or 1GB RAM (Server Core)或更多最大(32-bit): 4GB (标准版) or 64GB (企业和Datacenter版) &&最大 (64-bit): 32GB (标准版) or 2TB (企业、Datacenter和Itanium版本&磁盘可用空间最低: 8GB推荐: 40GB (Full); 10GB (Core) &最佳: 80GB (Full); 40GB (Core)光驱& DVD-ROM显示和外部设备超级VGA (800 x 600)或更高分辨率的显示器键盘 & Microsoft鼠标或兼容的点设备&4.系统的配置4.1.防火墙的设置& &&4.1.1查看防火墙状态图五、为保证windows2008服务器的安全，一定要保证防火墙存于开启状态。查看防火墙状态& &&4.1.2添加防火墙的应用安全规则图六、为一些可信的端口或程序添加入站规则图6、添加防火墙规则4.2网路的配置为保障服务器的稳定，PDC和BDC必须是静态IP，且要在一个网段，（另外BDC的首选DNS为PDC的IP）图7、配置服务器IP图8、配置服务器IP4.3服务角色的安装4.3.1.windows service R2 2008的角色WindowsServer 2008作为一种网络操作系统，能提供各种网络服务，其中的一些服务器角色包括：（1）文件和打印服务器；（2）Web服务器和Web应用程序服务器；（3）邮件服务器；（4）流媒体服务器（5）远程访问/虚拟专用网络（VPN）服务器；（6）目录服务器；（7）域名系统（DNS）；（8）动态主机配置协议（DHCP）服务器；（9）证书服务；图9、windows 2008的一些角色服务5.活动目录的介绍5.1.活动目录的优点活动目录的优点 1.集中管理 2.便捷的网络资源访问 3.可扩展性&&5.2.域中活动目录特点介绍域中活动目录的特点1.集中管理 2.便捷的网络资源访问用户一次登录就可访问整个网络资源网络资源主要包含用户账户、组、共享文件夹、打印机等 3.可扩展性4.域中账户密码保存在域控制器上的活动目录中，&域需要dns的支持，dns的作用将域名转换成ip地址DC通过活动目录来提供目录服务，如负责维护AD数据库，审核用户的账户和密码是否正确等。DC是物理上的一台计算机，而活动目录是运行在DC上的一种服务。活动目录不是一个普通的文件目录，而是一个目录数据库，它存储着整个windows网络中的用户账号、组、计算机、共享文件夹等活动目录对象的相关数据。目录数据库使整个Windows网络中的配置信息集中存储，使管理员在管理网络时可以集中管理而不是分散管理。 活动目录是一种服务，是指目录数据库所存储的信息都是经过事先整理的有组织、结构化的数据信息，这使得用户可以非常方便、快速的找到所需数据，也可以方便的对活动目录中的数据执行添加、删除、修改、查询等操作，所以说，活动目录也是一种服务。6.活动目录安装在windows services R2 2008中安装活动目录的条件：DNS、管理员身份，静态Ip。同时在安装ＢＤＣ的活动目录时DNS的IP为PDC的IP。以管理员的身份运行：dcpromo.exe图10、安装活动目录注意：BDC再创建时选“现有林中的向现有域中添加控制器”图11、命名根域图12、检查DNS配置图13、活动目录数据库的位置，日志与sysvol文件夹（保持默认）图14、设置目录还原密码（牢记）注意：目录服务还原模式的密码，使用于当AD数据库毁损时,可在开机启动Windows Server 2008之前按F8键,进入目录服务还原模式,重建AD数据库。图15、安装域控制器图16、以管理员登陆域6.活动目录的安装注意事项注意事项：1.具体来说,建立第1个域就是要建立第1部域控制器（Domain Controller,以下简称为DC）在网络中也是根域。2.目录服务还原模式的密码，使用于当AD数据库毁损时,可在开机启动Windows Server 2008之前按F8键,进入目录服务还原模式,重建AD数据库。3.由于此重建动作会改变既有的AD资料,为防止滥用,因此必须以密码保护,而且此密码不必和域系统管理员的密码相同。 &7.活动目录的配置7.1.用户属性设置根据客户要求，域的组策略设置可以参照拓扑图（客户要求：客户机成功加入域，限制财务的用户只能登陆到财务的客户机，每周一到周五实现财务部的用户能够成功登陆，其他时间不允许登陆） &图17、设置用户登录时间图18、设置用户登录到指定电脑1.1.主组策略和ＯＵ的组策略设置由于在域创建时系统会默认一个策略，为了明确管理员对域的组策略的设置最好新建一个域控制器（GPO），【客户需求：组策略限制如下：1. 限制所有员工桌面背景为1.jpg，为所有用户设置账户锁定策略，输错　　　　　　两次密码锁定。&&&&&& 2. 限制行政部员工桌面背景为2.jpg&& &3. 限制销售部员工的开始菜单中删除运行图标，删除桌面的计算机图标&&&&&& &4.为所有客户端自动安装MSI软件主策略设置5. 以上设置针对销售BOSS无效】解决方案：主策略对所有员工，对销售和行政创建个ＯＵ，对ＯＵ创建一个子策略　　　　　另外对销售boss做两次筛选，使其不受子策略和主策略的影响图19、主策略设置桌面背景图20、设置用户密码登录阈值图21、对销售禁用运行图21、设置行政桌面背景图22、对xsboss进行第一次子域筛选图23、第二次对xsboss进行筛选8.数据的备份&&8.1.对ＤＣ数据备份为PDC和BDC的正常工作，数据对PDC和BDC至关重要，因此，在做额外控制域的同时，要把数据备份到数据库中，DC的功能总共分为两个部分：一、数据库：存放用户信息。二、服务：数据校队，数据访问。项目总结这个项目是适用于企业OA系统下的微机管理，有利于节省管理资源，便于企业提高微机利用率。本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：未分类┆阅读(0)┆评论(0)用户名：angerfire
文章数：145
评论数：1885
访问量：1282723
注册日期：
阅读量：1297
阅读量：3317
阅读量：585331
阅读量：471047
51CTO推荐博文
&&&& 在企业IT基础架构环境部署工作中，因为网络应用的普及，为了更加全面提早的洞悉市场、把控市场，很多企业选择了分布式管理的灵活运作模式。把控市场、抢占市场先机着实有利了，但是在企业资源管理这方面却出现了难以把控的状态，导致企业资源浪费的状况。
&&&& 分支机构多了，自然管理成本就增加了。那么如何打破地域、时间限制，在把控市场的同时，强化集中管理缩减管理成本呢？通过引入微软的活动目录环境确实可以集中管理企业资源，强化企业资源的管理，从而缩减管理成本。但是，在多分支机构的企业环境中，很多CIO对部署活动目录环境都会觉得很麻烦，或者说很不容易。
&&&& 导致不易的最主要原因是部署远程分支机构的DC时需要跟另外一台已经部署好的并且处于其他地理位置的DC保持高速连接的状态（因为需要复制大量的数据信息，而且大部分中小企业的分支机构内联网络都是慢速连接），能做到这样的着实不易，因为单从网络连接的角度考虑，就是一件很费成本的事情。
&&&& 今天要跟大家分享的就是打破这一物理隔阂的最佳办法，CIO们不必再考虑联机成本的问题了，因为我们可以把需要通过网络复制的数据信息通过安装媒体转移到要被升级成DC的服务器本地，这样就可以不受到网络连接速度影响而部署远程分支机构的DC了。
&&&& 讲到这，自己也有点小兴奋了。
&&&& 下面让我们一起来欣赏这样的奇迹是如何实现的：
案例环境介绍：
Contoso公司使用单域环境管理整个企业的资源，首先在上海总部部署了一台域控制器并创建里域用户账户、组账户并制定了相关的组策略。广州分公司也需要使用域环境实现集中管理，并实现统一管理的IT基础架构环境。那么为了让广州分公司的用户实现高效的的用户体验（登陆域等实用AD资源的速度快）。所以在设计整个AD的架构环境时contoso公司的CIO决定采用多站点的方式实现分布于不同子网分支机构的集中管理。
如下图所示：
现在需要在广州部署另一台应对广州用户的AD查询工作的DC，但是广州和上海之间的网络链接速度很慢，所以如果联机状态下通过复制的方式在广州添加一台DC（因为需要跟上海的DC做验证并且复制上海DC中的配置信息、Schema、域的目录分区以及SYSVOL的设置等内容）的话肯定会受到慢速连接的影响，那么效率一定会很低。
你可以使用32位的通用域控制器安装媒体文件安装64位或者32位的DC。当你选择使用安装媒体添加DC时请注意以下四点：
A 使用最近创建的安装媒体文件以减少DC间的数据复制；
B 使用相同的域并且相同操作系统的DC创建安装媒体文件；
C 将创建好的安装媒体文件拷贝到要部署成额外DC的服务器本地磁盘上进行安装，你不能使用UNC路径或者映射网络驱动器的方式安装；
D 你的安装媒体的版本不能比墓碑存活时间还旧，默认的墓碑存活时间是60天。如果你的安装媒体比还旧，就会导致你通过安装媒体安装DC失败。
如果你能遵守以上4条铁则，请跟着我下面的步骤来部署，直到成功：
就两步：先创建安装媒体，然后通过安装媒体安装额外域控制器
一、创建安装媒体：
位置：位于上海的DC
目的：创建用于安装广州DC的安装介质
说明：创建安装介质实际上是将上海这台DC配置信息、Schema、域的目录分区以及SYSVOL的设置等内容备份出来。
1、在上海的DC上以域管理员身份登陆并打开命令提示符
2、在命令提示符中输入ntdsutil
3、 在ntdsutil界面中输入 Activate Instance ntds 设置“NTDS”作为活动实例
4、 输入IFM 进入IFM媒体创建界面
5、 输入Create Full D：\adback(备份媒体文件路径) [*也可以使用Create RODC D：\adback创建只用于创建只读域控制器的备份媒体文件 也可以使用 Create Sysvol Full D：\adback创建带有sysvol的媒体文件]
6、 媒体文件创建成功后，退出ntdsutil界面，并复制创建成功的媒体文件（安装介质）
二、通过安装媒体添加域控制器：
位置：位于广州的要升级为域控制器的服务器（准DC）
目的：在广州为contoso公司添加域控制器
说明：因为前面已经创建了用于在脱机状态下部署DC用的媒体文件（安装媒体），所以只需将安装媒体复制到广州的DC上就可以用于安装了。（用U盘考过去、Email发过去、FTP、VPN方法很多，还请诸位CIO根据自己公司的IT环境想办法解决了哈。）
1、 以本地管理员的身份登陆广州的准DC，在运行中输入 dcpromo /adv 安装AD DS（活动目录域服务）并打开域控制器安装向导的高级模式（只有选择高级模式才会出现使用安装媒体的选项页）
2、 选择向现有林中添加域控制器
3、 输入要将这台DC添加到的域的域名，并输入域管理员的认证凭据（即域管理员的用户名、密码）
4、联机到上海的DC并选择额外的域控制器添加在林中的位置。
5、选择将额外域控制器添加到哪一个站点
6、选择是否安装DNS服务器、是否设置为全局编录、是否设置为只读DC
7、选择从安装媒体复制数据（关键步骤，只有dcpromo高级模式中才会有这个选项。）
8、设置这台额外域控制器的复制源。
9、选择AD数据库文件、日志文件、SYSVOL文件存放的位置
10、设置还原模式密码（要符合复杂性要求）
11、安装配置信息汇总页，通过本页再次确认配置信息。确认都选择下一步开始安装。（导出设置选项可以将刚刚的所有设置制作成应答文件，页可以通过应答文件安装DC。有兴趣的朋友可以参考我的这篇博文：）
有字真言：
在大家选择通过安装媒体添加额外域控制器的时候活动目录的配置信息、架构信息和所有的对象都会通过安装媒体从本地进行快速复制（加快安装额外域控制器的速度）。
但是，SYSVOL中的配置信息是无法从本地的安装媒体中复制的，因为在windows server 2008 的活动目录域服务中AD DS的角色开始工作前SYSVOL是不被接受的。所以，在通过安装媒体安装完额外DC后，额外DC重新启动开始工作时，还需要和其他DC联机复制SYSVOL的信息。
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 日
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 于古城西安本文出自 “” 博客，转载请与作者联系！
了这篇文章
类别：┆阅读(0)┆评论(0)
16:53:42 17:03:51 14:40:09 16:14:04 11:00:19 12:25:11 13:48:16 14:47:02 21:43:39 04:01:05 &&1&
&&页数 ( 1/2 ) &用户名：mklyg
访问量：36167
注册日期：
阅读量：1297
阅读量：3317
阅读量：585331
阅读量：471047
51CTO推荐博文
1、 活动目录介绍
2、 创建Windows server 2008 域
&&& a) 安装活动目录
&&& b) 安装后的检查
i. 更改本地连接DNS
ii. DNS上的SRV记录是否齐全（上4、下6）
&&&& 1. 让域控制器向DNS服务器注册SRV记录
&&&&&&&& a) 新建区域_
&&&&&&&& b) 新建区域
&&&&&&& c) net stop netlogon 与 net start netlogon
&&& 2. SRV注册不成功的原因
&&&&&&& a) DNS区域名字是否正确，是否允许安全更新.
&&&&&&& b) 确保域控制器全名已经包括了活动目录的名字
&&&&&&& c) 确保域控制器的TCP/IP属性已经选中“在DNS中注册连接的地址”复选框。本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)用户名：renhaotian
文章数：13
评论数：70
访问量：85703
注册日期：
阅读量：1297
阅读量：3317
阅读量：585331
阅读量：471047
[匿名]51cto游客：
51CTO推荐博文
话说在XXOO公司，有一个网管叫OOXX，做公司里几十台PC的桌面支持工作。巨大的工作量每天将自己累的那是相当滴D疼呀，为什么？ 因为公司全是工作组环境。。。 ）_（
回归正题，
&&&&&& Active Directory 包含的内容有：证书服务，域服务，联合身份验证服务，轻型活动目录服务以及权限管理服务。我们接下来就会使用强大的dcpromo命令在Windows server 2008 R2 企业版操作系统上来搭建我们企业中第一台域控制器。（使用意境不深的语言以及老少皆宜的图片来为大家阐述）
&&&&&& 为什么，为什么，为什么要使用Windows Server 2008 R2来搭建？很明显的啦，看标题，你可以发现此篇乃是连载系列啊。当然也是偶滴处男作。额，又跑题了。。。
&&&&&& 简单解释，何谓Directory？类似于你的电话本，地址薄，名片夹等等。在Active Directory域内也有Directory database（目录数据库）用来存储用户的账户，计算机账户，打印机共享，文件夹共享等对象。
&&&&&& 域控制器的搭建图解：
&&&&&&& 我使用的操作系统版本，之所以写这份文章使用windows server 2008R2的操作系统，是因为Active Directory 2008 R2有一些新的特性，方便接下来有东西可写。。
&&&&&&& 在windows server 2003R2 及以上版本的系统中，添加了“服务器管理器”，我们在安装域控制器的时候，可以使用两种方法安装，第一种方法使用服务器管理器添加服务器角色“Active Directory域服务”安装完成之后，还必须再运行一遍Active Directory 域服务安装向导（dcpromo.exe）之后这台服务器才会真正成为一台功能完整的域控制器。第二种方法也可以通过【开始→运行→输入dcpromo→确定】接下里详细演示此步骤。
&&&&&&& 接下来，在运行中输入命令“dcpromo”
&&&&&&& 命令完成之后，会弹出来活动目录的安装向导，这里我们勾选“使用高级模式安装”，（注：不采用高级模式也可以，但是有一些设置会采用默认设置，导致安装的过程中一些设置界面不会出现。） 然后点击下一步；
&&&&&&& 下一步之后，会弹出来一个windows的兼容性警告，直接下一步即可
&&&&&&& 接下来，会让此域控制器在网络中的定位。本次规划的是企业中第一台域控制器，所以我选择“在新林中新建域”；
&&&&&&& 输入实现定义好的域名，安装过程中会检查此域名是否在网络中已经被占用。此域名应该是企业中实现规划好的，另外域控制器的名也是实现定义，例如我的域控制器的计算机名是DC，那么此域搭建好之后，域控制器的完整计算机名就是：，域内的其他计算机也会以ComputerName. 来命名。
&&&&&&& 点击下一步之后，会检查是否已经使用此域名
&&&&&& 检查没有问题的话，安装向导会自动配置一个NetBIOS名，它的用户是为了让一些老的不支持DNS域名的系统能够访问域内的资源。默认是使用域名第一个“.”之前的文字。
&&&&&&& 点击下一步之后，接下来如下图所示，让选择林功能级别，理所当然的，我们选择最新的。。当然，这里如果你选择低的级别，之后也可以手动提升林功能级别。但是这个才做是不可逆的，提升完了之后无法再降低。而且此处我们选择林功能级别为 windows server 2008 R2，那么之后的域功能级别，也只能是此版本，而不能是低版本。
&&&&&&& 接下来会在此服务器上安装DNS服务，同时在其他信息中也可以看到，林中的第一台域控制器必须是全局编录服务器（Global Catalog），另外第一台域控制器不能是只读域控制器；
&&&&&&& 点击下一步之后，跳出来一个提示，如下图所示，此提示说明我的机器没有为网卡设置静态IP地址。或者是，只设置了IPv4的IP地址。接下来我们去设置
&&&&&&& 在我给机器设置了正确的IPv6地址之后（或者直接禁用IPv6）再次点击下一步：提示如下图
&&&&&&& 点击“是”继续下一步操作；
&&&&&&& 接下来的过程提示我们设置域中的一些文件存储位置，其中：
&&&&&&&&&&&&&& 数据库文件夹用于存储Active Directory数据库。
&&&&&&&&&&&&&& 日志文件夹用来存储Active Directory数据库的改动记录，也用用来恢复Active Directory数据库。
&&&&&&&&&&&&&& sysvol文件夹用来存储域共享文件，必须位于NTFS格式的磁盘内。
&&&&&&& 下一步之后，会提示设置目录服务还原模式的administrator密码，可再系统启动时按F8选择进入此模式，进行域的授权还原等操作。（默认情况下此密码必须符合复杂性要求）
&&&&&& 接下来会显示整个设置的摘要信息，点击下一步后开始安装。
&&&&&&& 650) this.width=650;" border="0" alt="" src="/attachment/715616.jpg" />
&&&&&&& 安装完成后，需要重启计算机。以上过程完成了Active Directory域服务的安装。
&&&&&&& 安装完成域控制器之后，原来本地账户会自动转移到Active Directory数据库中，在Active Directory用户和计算机中进行管理。
&&&&&&& 在计算机升级为域控制器之后，它会自动在windows防火墙中开放与AD DS相关的端口。本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)
12:48:44 14:16:52 09:59:41 15:12:30 21:00:27 21:01:18 12:43:34 17:05:25 17:52:20}