活动目录方案

 Windows  Server 2008 的安装要求

下面我介绍一下活动目录

一、活动目录介绍

（一）目录服务

目录，是一个数据库，存贮了网络资源相关的信息，包括了资源的位置、管理等信息。

目录服务 是一种网络服务，目录服务标记管理网络中的所有实体资源（比如计算机、用户、打印机、文件、应用等），并且提供了命名、描述、查找、访问以及保护这些实体信息的一致的方法，使网络中的所有用户和应用都能访问到这些资源。

（二）活动目录（Active Directory）

活动目录 是Windows  server 2008完全实现的目录服务，也是Windows server 2008网络体系的基本结构模型，是Windows 2008网络操作系统的核心支柱，也是中心管理机构。
Microsoft在Windows server 2008中提供的活动目录是一个全面的目录服务管理方案，也是一个企业级的目录服务，具有很好的可伸缩性。活动目录采用了Internet的标准协议，它与操作系统紧密地集成在一起。活动目录不仅可以管理基本的网络资源，比如计算机对象、用户账户、打印机等，它也充分考虑了现代应用的业务需求，为这些应用提供了基本的管理对象模型，比如用户账户对象具有办公电话、手机、呼机、住址、上司、下属、电子邮件等属性。几乎所有的应用可以直接利用系统提供的目录服务结构，而且活动目录也具有很好的扩充能力，允许应用程序定制目录中对象的属性或者添加新的对象类型。

（三）活动目录的优点

1、集中管理 2、便捷的网络资源访问 3、可扩展性。

（四）活动目录的逻辑结构

活动目录的逻辑结构非常灵活，它为活动目录提供了完全的树状层次结构视图，逻辑结构与前面我们讨论过的名字空间有直接的关系。逻辑结构为用户和管理员查找、定位对象提供了极大的方便。活动目录中的逻辑单元包括：域、组织单元（Organizational Unit，简称OU）、域树、域森林。

域 既是Windows网络系统的逻辑组织单元，也是Internet的逻辑组织单元，在Windows server 2008系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域。每个域都有自己的安全策略，以及它与其他域的安全信任关系。1、域（Domain）

2、OU(OrganizationalUnit)

OU 是一个容器对象，我们可以把域中的对象组织成逻辑组，所以OU纯粹是一个逻辑概念，它可以帮助我们简化管理工作。OU可以包含各种对象，比如用户账户、用户组、计算机、打印机，甚至可以包括其他的OU。所以我们可以利用OU把域中的对象形成一个完全逻辑上的层次结构，对于一个企业来讲，我们可以按部门把所有的用户和设备组成一个OU层次结构，也可以按地理位置形成层次结构，还可以按功能和权限分成多个OU层次结构。由于OU层次结构局限于域的内部，所以一个域中的OU层次结构与另一个域中的OU层次结构完全独立。

3、树

当多个域通过信任关系连接起来之后，所有的域共享公共的表结构(schema) 、配置和全局目录(global catalog)，从而形成 域树 。域树由多个域组成，这些域共享同一个表结构和配置，形成一个连续的名字空间。树中的域通过信任关系连接起来。活动目录包含一个或多个域树。

4、森林

域森林 是指一个或多个没有形成连续名字空间的域树。域林中的所有域树共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos信任关系建立起来，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。

（五）其它

1、域控制器(DomainController)

域控制器是指运行Windows server 2008 Server版本的服务器，它保存了活动目录信息的副本。域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其他域控制器上。域控制器也负责用户的登录过程，以及其他与域有关的操作，比如身份认证、目录信息查找等。

一个域可以有多个域控制器。规模较小的域可以只需要两个域控制器，一个实际使用，另一个用于容错性检查；规模较大的域可以使用多个域控制器。

Windows server 2008的域结构与Windows NT 4的域结构不同的是，活动目录中的域控制器没有主次之分，活动目录采用了多主机复制方案，每一个域控制器都有一个可写入的目录副本。在某一个时刻，不同的域控制器中的目录信息可能有所不同，一旦活动目录中的所有域控制器执行同步操作之后，最新的变化信息就会一致。

2、活动目录与DNS

活动目录使用域名服务DNS作为它的定位服务，同时也对标准的DNS作了扩充。在活动目录中使用DNS的最大好处在于，我们可以使Windows server 2008域与Internet上的域统一起来，即Windows域名也是DNS域名。

3、ActiveDirectory命名规范

（１）辨别名( distinguished name (DN))

活动目录中的每一个对象都会有一个唯一的辨别名DN。DN由域名、对象名组成：
DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用户对象James Smith在contoso.com域中的Users组织单元中的Teacher单元中．

（２） User Principal Name : 由用户登录名和域名组成，如 JamesS@contoso.com

4、 域运行模式

（1）混合模式 混合模式的域既可以有Windows server2008的域控制器，也可以有Windows NT 4的域控制器。这是一个过渡模式，利用这种模式，我们可以对现有的系统逐步升级。但是，在混合模式下，活动目录中有些功能不能很好地发挥出来。
（2）准模式 活动目录的标准模式要求所有的域控制器都必须运行Windows server 2008。只有在这个时候，活动目录的所有功能和特性才能充分体现出来。

域控制器的安装

安装域控制器的的条件

       1.静态ip地址

       2.管理员权限

       3.DNS

步骤：管理员登录运行Dcpromo

直接点击“下一步”不要点击“使用高级模式安装”

选择“在新林中新建域”，然后点击下一步

DNS名称，域名称点下一步

林功能级别与域功能级别

检查DNS，安装DNS服务

设置活动目录数据库的位置，日志与sysvol文件夹

目录服务还原模式密码

重启后以域管理员登陆DC

运行dsa.msc 打开用户与计算机

【域控制器DC安装成功】

下面实现容灾

首先在异地准备一台计服务器加入域成为额外域控制器，再实现与容灾

为这台服务器搭建额外域控制器命名为暂时命名为BDC

搭建步骤：

首先将这台服务器加入到配置成域控制器的那台服务

加入的域名为zz.com 

需要登录到域控制器： administrator@zz.com  密码：********

加入域完成之后必须重新启动才能生效

然后让这台服务器成为额外域控制器

重启完成之后切换用户使用管理员身份登陆到域

之后再命令行输入dcpromo进入加入额外域控制器向导     直接点击下一步，不选择高级模式

这里选择现有林，选择向现有与添加域控制器

凭据以域管理员身份

在BDC上安装DNS

等待安装成功

安装完成重启登录。然后再主DC上面新用户如果能同步到BDC上面就说明安装成功，这样就能实现容灾。

操作到这里就能达到活动目录的高可用，和实现容灾了。下面我们要对您的下一要求进行操作。希望您对我们的操作满意如有不理解之处请与我们联系，我们将耐心的给您做详细的解答。如有不满之处也请您向我们提出，我们将进一步的改善，纠正。直到您满意为止！！！

限制财务的用户对加入域的客户机的登录时间,和只允许财务的用户登录财务的客户机

在域控制器上设置用户配置桌面背景,背景图片全是1。 

此处先打开组策略管理工具，然后编辑Default Domain Policy。然后在桌面可以更改所有用户的桌面壁纸。

此时在加入域的的客户机上重启，员工使用自己的用户登录自己的部门。

为所有用户设置账户锁定策略，输错2次密码锁定

然后使用客户机登录

限制行政部员工桌面背景为2.jpg

使用行政用户登录客户机

限制销售部员工的开始菜单中删除运行图标，删除桌面的计算机图标

为所有客户端自动安装MSI软件

以上设置针对销售BOSS无效

第一次设置xs的gpo对销售boss无效

第二次设置Default Domain Policy的gpo对销售boss无效

经过以上两次的筛选就能实现以上的设置对销售boss无效

做到这里您的要求就算是基本做完了。不过这样还不够安全所以要实现备份，这样就安全了。

在这了我推荐您使用计划任务配置自动备份，利用命令实现备份。备份到磁盘柜上，好处就是操作也简单，不用手动操作，自动备份，可以在深夜无人工作的时候进行备份。

AD 活动目录方案