第一篇:创建AD域及用户添加管理
AD域
域:域是一种管理边界,用于一组计算机共享共用的安全数据库,域实际上就是一组服务器和工作站的集合。
其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
AD:活动目录(Active Directory)主要提供以下功能:
①基础网络服务:包括DNS、WINS、DHCP、证书服务等。②服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。
③用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。④资源管理:管理打印机、文件共享服务等网络资源。
⑤桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
⑥应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
【AD域控制器在Windows Server 2003安装及简单应用实验指导书】
实验日期:2011年8月2日 处别:Commercial DT 组别:DT103 撰写人:王敦培 【实验名称】:AD域控制器在Windows Server 2003安装实验指导书 【实验目的】:了解域的作用以及安装方法 【实验任务】:搭建一个新域、配置额外域控制器、设置漫游用户配置文件 【需要设备】:Windows Server 2003安装版本光盘一张、正常运行台式机一台
一、将Windows Server 2003安装至PC上
二、将服务器安装AD控制器 先设置AD域:
1.依次打开:开始-设置-控制面板-管理工具-管理您的服务器(不是向导)-打开后如图一所示
2.下一步,选择自定义
3.选中域控制器(Active Directory)下一步
4.然后会让你安装dns和配置网络,5.把网卡的网线接好,处于已经连接状态,下一步
6.安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:
在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”:
既然是第一台域控,那么当然也是选择“在新林中的域”:
在这里我们要指定一个域名,我在这里指定的是demo.com,这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但是我建议还是采用默认的好,省得以后麻烦。
在这里要指定AD数据库和日志的存放位置,如果不是C盘的空间有问题的话,建议采用默认。
这里是指定SYSVOL文件夹的位置,还是那句话,没有特殊情况,不建议修改:
第一次部署时总会出现上面那个DNS注册诊断出错的画面,主要是因为虽然安装了DNS,但由于并没有配置它,网络上还没有可用的DNS服务器,所以才会出现响应超时的现像,所以在这里要选择:“在这台计算机上安装并配置DNS,并将这台DNS服务器设为这台计算机的首选DNS服务器”。
“这是一个权限的选择项,在这里,我选择第二项:“只与Windows 2000或Window 2003操作系统兼容的权限”,因为在我做实验的整个环境里,并没有Windows 2000以前的操作系统存在”
这里是一个重点,还原密码,希望大家设置好以后一定要记住这个密码,千万别忘记了,因为在后面的关于活动目录恢复上要用到这个密码的。
这是确认画面,请仔细检查刚刚输入的信息是否有误,尤其是域名书写是否正确,因为改域名可不是闹着玩的,如果有的话可以点上一步进入重输,如果确认无误的话,那么点“下一步”就正式开安装了:
几分钟后,安装完成:
点“立即重新启动”。到此,服务器的安装和配置就告一段落了,接下来我们看下服务器发生了那些改变.然后来看一下安装了AD后和没有安装的时候有些什么区别,首先第一感觉就是关机和开机的速
度明显变慢了,再看一下登陆界面:
多出了一个“登陆到”的选择框:
进入系统后,右键点击“我的电脑”选“属性”,点“计算机”
怎么样?和安装AD以前不一样吧,其它的比如没有本地用户了,在管理工具里多出么多图标什么的,这些将在以后里讲述,这里就不再详谈了。我们现在来看一下
如何把下面的工作站加入到域。由于从网络安全性考虑,尽量少的使用域管理员帐号,所以先在域控制器上建立一个委派帐号,登陆到域控制器,运行“dsa.msc”,出现“AD用户和计算机”管理控制台:
先来新建一个用户,展开“demo.com”,在“Users”上击右键,点“新建”-“用户”:
然后出现一个新建用户的向导,在这里,我新建了一个名为“swg”的用户,并且把密码设为“永不过期”。
这样点“下一步”,直到完成,就可以完成用户的创建。然后在“demo.com”上点击右键,先择“委派控制”:
就会出现一个“委派控制向导”:
点击“下一步”:
点击中间的“添加”按钮,并输入刚刚创建的“swg”帐号:
然后点“确定”,再点“下一步”:
在上面的画面中,暂时不需要让该用户去“管理组策略链接”,所以在这里,仅仅选择“将计算机加入到域”,然后点“下一步”:
最后是一个信息核对画面,要是没有什么问题的话,直接点“完成”就可以了。
接下来转到客户端,看看怎么把XP进来,在实验中采用的客户端操作系统是Windows XP专业版,需要大家注意的是Windows XP 的Home版由于针对的是家庭用户,所以不能加入域,大家别弄错了,我们先来设置一下这台XP的网络: 计算机名:TestXP IP:192.168.5.5 子网掩码:255.255.225.0 DNS服务器:192.168.5.1,设置完网络以后,在“我的电脑”上击右键,选“属性”,点“计算机名”。
在这里把“隶属于”改成域,并输入:“demo.com”,并点确定,这是会出现如下画面:
输入刚刚在域控上建的那个“swg”的帐号,点确定:
出现上述画面就表示成功加入了,然后点确定,点重启就算OK了。
来看一下登陆画面有没有什么不一样,看到那个“登陆到”了吧,可以选择域登陆还是本机登陆了,在这里选择域“DEMO”,这样就可以用域用户进行登陆了。
使用域用户登陆后,在“我的电脑”上击右键,选“属性”,点“计算机名”: 就可以看到加入到域:DEMO
三、建立额外的域控制器
当客户端加入到域后,如果域控制器处于关闭状态或者死机的话,那么,会发现下面的 客户机无法登陆到域,所以再建立一台域控制器,用来防止其中一台出现意外损坏的情况是很有必要的。
后来建立的那台域控制器叫额外域控制器。来看看额外域控制器的建立过程吧: 当然网络设置永远是在第一步的: 计算机名:Bserver IP:192.168.5.2 子网掩码:255.255.255.0 DNS:192.168.5.1
既然是提升为域控制器,那么DNS组件也是要添加的,添加方法和之前所提到的一样,这里就不再重复了。添加完成后,同样是点击“开始”-“运行”-“dcpromo”,出现的向导和操作系统兼容性同安装第一台域控时是一样的,唯一要注意的是下面的那个画面:
安装第一台时选择的是“新域的域控制器”,这里要选择的是“现有域的额外域控制器”,然后点“下一步”:
在这里,输入域的管理员帐号的密码,在“域”里填入相应域的DNS全名或NetBios名,点“下一步”:
在这里一定要填入现有域的DNS全名,然后再点“下一步”。然后就完成了额外的域控制器配置
四、活动目录之用户配置文件
关于域用户的开设在前面已经涉及过了,所以在这里开设用户的方法就不再重复了,这里主要向大家介绍一下用户配置文件。
首先,什么是用户配置文件?根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和集合,它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位置呢?那么用户配置文件包括哪些内容呢?来给大家看一副截图:
用户配置文件的保存位置在:系统盘(一般是C盘)下的“Documents and Settings”文件夹下,有一个和你的登陆用户名相同的文件夹,该用户配置文件就保存在这里,顺便提示一下,如果本机和域上有一个同名用户,并且都登陆过的话,那么就会出现在同名文件夹后面拖后缀的情况,举个例子:比如在一个域(demo.com)里面有一台计算机(testxp),本地有一个swg的帐号,域上也有一个swg的帐号,并且都登陆过这台计算机,那么会发生如下情况: 本地帐号先登陆:那么本地的swg的用户配置文件夹为swg,而域用户的用户配置文件夹为swg.demo。域帐号先登陆:那么域用户的用户配置文件夹为swg,本地用户的配置文件夹为swg.testxp。通过上面的截图,我们可看出,用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为“All Users”的文件夹,如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话,你会发现所有用户在登陆时的桌面上都有这个文件,所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。当网络变成域构架后,所有的域用户可以在任意一台域内的计算机登陆,当你在一台计算机上的用户配置文件修改后,你会发现到另一台计算机上登陆时,所有的设置还是原来的,并没有发生修改,这是因为用户的配置文件是保存在本地的,不管是域用户还是本地用户,都是保存在那台登陆的计算机上。我们可以在“我的电脑”上击“右键”,选“属性”,点“高级”,然后在“用户配置文件”里点“设置”:
请注意“类型”里用红框标出的部分,全部是“本地”,这就说明用户配置文件保存在本地,那么如何才能让用户的配置文件随着帐号走,也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢?为了解决这个问题,就要用到漫游用户配置文件,原理就是把用户配置文件保存在一个网络的公共位置,当用户在计算机上登陆里,会从网络公共位置把用户配置文件下载到本地并加以应用,然后当用户注销时,会把本地的用户配置文件同步到网络公共位置,以保证公共位置用户配置文件的有效性,以便下一次使用。那么如何来实现这个功能呢?现在就来实践一下:
首先,要在一个网络的公共位置开设一个共享文件夹,用来存放用户配置文件,在个实验里,就在域控制器上开设一个为share的共享文件夹,并开放权限:
然后,点击“开始-设置-控制面板-管理工具”,双击“AD用户和计算机”,并选中相应的用户,这里以“swg”帐号为例:
在“swg”帐号上双击,然后选“配置文件”,在“用户配置文件-配置文件路径”里输 入:192.168.5.1share%username%,“192.168.5.1”是域控制器的IP地址,如下图所示:
然后点确定,接下去就到客户端去,用“swg”帐号登陆一下,看看会发生什么变化。
如上图所示,DEMOswg的状态由刚刚的“本地”变成了“漫游”,此时注销一下用户,那么就会自 动的将该用户的本地用户配置文件同步到网络公共位置,如果再用“swg”到另外的域内计算机上去登陆的话,会发现所有的用户配置文件和这台计算机上是一样的。那么服务器上发生了些什么变化呢?
如上图所示,服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹,默认情况下这个文件夹只允许对应的用户打开。最后有一点需要注意:
当使用漫游用户配置文件时,请不要在桌面等地方存放一些大型的程序或文件,因为用户在登陆和注销过程中会下载和上传配置文件,如果文件过大,会影响登陆和注销的速度。
第二篇:AD域管理优缺点
1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。
2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。
3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。
4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。
5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。
6、方便用户使用各种资源。
7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
8、资源共享
用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。
9、管理
A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。
10、可扩展性
在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。
9、安全性
域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。
10、可冗余性
每个域控制器保存和维护目录的一个副本。在域中,你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行。
第三篇:AD域控培训心得体会
2016年AD域管理培训心得体会
本人于2016年5月至7月间,参加了广州市XXX有限公司邀约的关于AD域管理的培训,这次培训最想说的话是:受益匪浅!感触颇深!通过这次学习不但让我在AD域领域开阔了眼界,更让我对信息管理有了更深刻的理解和认识,从而提高了自己的理论水平和安全意识,进一步增强了自己抓好管理和提高自己本身技术水平的信心和决心。以下针对本次学习内容,谈几点自己对AD域管理的心得体会。
一、前车之鉴,引以为戒
在本次学习中了解到,银行行业内不乏办公计算机及网络管理松散的中小型机构。在监管部门的监管压力下,某些银行开始谋划应对之策,不考虑全局规划及系统部署,不经过功能兼容性及可行性分析,只求速成,应付监管部门。这样的实施后果,不仅管理杂乱无章,而且严重地影响用户日常操作。
我行要引以为戒,重视系统的高效性与兼容性,力求达到监管要求的同时提高工作效率。同时,我行身为中国企业500强之一,必须坚持科技兴行的发展战略,积极推进科技系统的现代化建设。
二、借鉴经验,循序渐进
金融机构日常运作离不开系统,各系统都有各自的用户、密码及权限。随着业务的发展,业务、办公、安全等系统随之增多,用户日常操作愈发繁琐,管理愈发困难。课堂上,授课老师以国内某大型金融机构的管理为例,重点介绍AD域统一管理的经验和方法,特显AD域与网管软件相比之下的优势。在功能方面,AD域比网管软件功能更为集中,用途更为广泛,效果更为显著;在品牌方面,网管软件品牌杂乱,而 AD域管理是基于Windows server操作系统搭建的管理平台,属微软公司官方产品;在成本方面,市场上多数的网管软件是按客户端数量收取授权费用的,而AD域仅收取操作系统授权费用,客户端并无要求。
因此,我行应借鉴成功的管理经验,逐步推广AD域管理,具体如下:
1、统一用户信息。利用AD域活动目录管理功能,规范地建立用户信息,通过客户端计算机加入域管理,实时地建立计算机信息,有效地实现用户与计算机的统一管理。
2、统一身份认证。进一步推广行内各系统,从AD域上同步用户信息和身份认证,并根据用户授权管理分配权限,确保各系统用户信息唯一性、合法性及高效性,简化用户日常操作,减轻运维压力。
3、统一权限分配。AD域权限管理集中,管理员可较好的管理计算机资源,包括文件资源、打印资源、权限资源等。同时,AD域提供单一的登录过程来访问网络资源,用户根据管理员分配的权限,方便、有效地使用所属的资源,只要用户具有对资源的合适权限,AD域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。
三、灵活高效,灾备稳定
对于银行机构,系统的高效性与稳定性缺一不可。AD域作为信息管理平台,对各系统、客户端提供信息资源,一旦出现问题,影响大、涉及广。通过本次学习,结合我行目前实际情况,必须重视域控的高可用和灾备机制,在数据中心增设域控服务器,并考虑在分支机构增设只读域控服务器。同时,通过站点划分和DNS规划,实现服务器间的负载均衡,提升域控整体运行性能和高可用,增加灾备的稳定性,为我行日常业务的持续开展保驾护航。
第四篇:设置AD域共享文件夹访问权限[模版]
在实际的企业网络中,主管人员可能并不希望所有用户都拥有对共享文件夹的访问权限,而只希望特定的人访问特定的共享文件夹。网络管理员可以通过设置对共享文件夹的访问权限来实现此目的。以设置共享文件夹“图书策划部”的访问权限为例,操作步骤如下所述:
第1步,打开“图书策划部 属性”对话框,单击【权限】按钮。
第2步,在打开的“图书策划部 的权限”对话框中将“组或用户名称”列表中的Everyone删除。然后单击【添加】按钮,在打开的“选择用户、计算机和组”对话框中依次单击【高级】→【立即查找】按钮。找到指定目标用户或组(如JinshouzhiUsers组)后将其选中并依次单击【确定】→【确定】按钮,如图1所示。
图1 “选择用户、计算机和组”对话框
第3步,返回“图书策划部 属性”对话框,在“JinshouzhiUsers 的权限”列表中选中合适的权限(如允许完全控制的权限),并单击【确定】按钮,如图2所示。
图2 设置共享权限
第4步,访问有权限限制的共享资源。在客户机中以有足够权限的用户身份登录AD域中,打开“网上邻居”窗口。在【地址】编辑框输入UNC路径或单击“整个网络”按钮查找用户有权限访问共享资源,如图3所示。
图3 访问有权限限制的共享资源
第五篇:由目录域创建目录
由目录域创建目录,操作方法如下:
(1)在文档中将标题选中。
(2)按快捷键Alt+Shift+O。打开【标记目录项】对话框。
(3)在【级别】框中,选择目录的级别,如1,2,3等级别。然后单击【标记】按钮。(4)将光标移出【标记目录项】对话框。点击鼠标右键,选择第二个文字标题。将光标移到【标记目录项】对话框内确定级别→标记。
继续标记直到完成。当标记完所有需要创建的目录文本后,在【标记目录项】对话框中单击【关闭】按钮退出。
(5)将光标移到要插入目录的位置(一般是文档的开头或结尾处)。(6)单击【插入】|【引用】|【索引和目录】命令。(7)单击【目录】选项卡。(8)单击【选项】按钮。
(9)在【目录选项】框中,选中【目录项域】复选框。清除【样式】和【大纲级别】复选框。
(10)连续单击【确定】按钮即可使用目录域创建目录,即可在指定的地方插入了由目录域创建的目录。
怎样在word文档里从任意页开始设置页码
分如下三步就来完成:
第一步:分节(将文档分为两节)
光标定位在第n页的最后,点击工具栏“插入 ”→ 分隔符 → 分节符类型:“下一页 ”→确定。
第二步:断开两节之间的页脚链接关系
点击工具栏“视图 ”→ 页眉和页脚 → 单击工具栏上的“链接到前一个”,然后关闭页眉和页脚工具栏 第三步:插入页码
点击插入 → 页码 → 格式 → 起始页码:1 → 确定
如何去掉页眉上的横线
鼠标双击页眉,选中页眉中的内容。单击工具栏“格式”→边框和底文→无→确定。
怎样去掉Word文档中的页码?
点击工具栏中 的“ 视 图” →“ 页 眉 与 页 脚”,此 时 会 出 现 一 个 工 具 条,点 击 其 中 的“ 在 页 眉 与 页 脚 间 切 换” 即 可 显 示 并 编 辑 页 脚 中 的 内 容,这 时 可 以 看 到 文 档在页脚 中 的 页 码。用鼠标选中页码,按键盘上的【Delete】删 掉 它,然 后 点 击 工 具 条 中 的“ 关 闭”。上 述 步 骤 完 成 之 后,文 档 中 的 页 码 就 成 功 地 被 去 掉 了
点击咨询 