資源描述:
《ad域配置詳解》由會員上傳分享,免費在線閱讀�����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�。
1、ActiveDirectory配置詳解一為什么需要域��?對很多剛開始鉆研微軟技術(shù)的朋友來說����,域是一個讓他們感到很頭疼的對象����。域的重要性毋庸置疑�����,微軟的重量級服務(wù)產(chǎn)品基本上都需要域的支持���,很多公司招聘工程師的要求中也都明確要求應(yīng)聘者熟悉或精通ActiveDirectory����。但域?qū)Τ鯇W(xué)者來說顯得復(fù)雜了一些�,眾多的技術(shù)術(shù)語,例如ActiveDirectory�����,站點�,組策略����,復(fù)制拓撲����,操作主機角色����,全局編錄…,很多初學(xué)者容易陷入這些技術(shù)細節(jié)而缺少了對全局的把握����。從今天開始,我們將推出ActiveDirectory系列博文����,希望對廣大學(xué)習(xí)AD的朋友有所幫助。今
2�����、天我們談?wù)摰牡谝粋€問題就是為什么需要域這個管理模型����?眾所周知,微軟管理計算機可以使用域和工作組兩個模型�����,默認情況下計算機安裝完操作系統(tǒng)后是隸屬于工作組的。我們從很多書里可以看到對工作組特點的描述��,例如工作組屬于分散管理��,適合小型網(wǎng)絡(luò)等等���。我們這時要考慮一個問題�,為什么工作組就不適合中大型網(wǎng)絡(luò)呢�����,難道每臺計算機分散管理不好嗎����?下面我們通過一個例子來討論這個問題。假設(shè)現(xiàn)在工作組內(nèi)有兩臺計算機���,一臺是服務(wù)器Florence����,一臺是客戶機Perth���。服務(wù)器的職能大家都知道����,無非是提供資源和分配資源���。服務(wù)器提供的資源有多種形式�,可以是共享文件夾�,可以是共享打
3、印機�����,可以是電子郵箱���,也可以是數(shù)據(jù)庫等等?����,F(xiàn)在服務(wù)器Florence提供一個簡單的共享文件夾作為服務(wù)資源���,我們的任務(wù)是要把這個共享文件夾的訪問權(quán)限授予公司內(nèi)的員工張建國,注意�,這個文件夾只有張建國一個人可以訪問!那我們就要考慮一下如何才能實現(xiàn)這個任務(wù),一般情況下管理員的思路都是在服務(wù)器上為張建國這個用戶創(chuàng)建一個用戶賬號�����,如果訪問者能回答出張建國賬號的用戶名和密碼�,我們就認可這個訪問者就是張建國?��;谶@個樸素的管理思路����,我們來在服務(wù)器上進行具體的實施操作�����。首先����,如下圖所示,我們在服務(wù)器上為張建國創(chuàng)建了用戶賬號��。然后在共享文件夾中進行權(quán)限分配�,如下圖所
4、示����,我們只把共享文件夾的讀權(quán)限授予了用戶張建國�。好���,接下來張建國就在客戶機Perth上準備訪問服務(wù)器上的共享文件夾了,張建國準備訪問資源\Florence人事檔案�,服務(wù)器對訪問者提出了身份驗證請求,如下圖所示����,張建國輸入了自己的用戶名和口令。如下圖所示���,張建國成功地通過了身份驗證����,訪問到了目標資源�����?��?赐炅诉@個實例之后�,很多朋友可能會想,在工作組模式下這個問題解決得很好啊���,我們不是成功地實現(xiàn)了預(yù)期目標嘛���!沒錯,在這個小型網(wǎng)絡(luò)中����,確實工作組模型沒有暴露出什么問題。但是我們要把問題擴展一下���!現(xiàn)在假設(shè)公司不是一臺服務(wù)器���,而是500臺服務(wù)器,這大致是一個
5�����、中型公司的規(guī)模���,那么我們的麻煩就來了��。如果這500臺服務(wù)器上都有資源要分配給張建國��,那會有什么樣的后果呢�����?由于工作組的特點是分散管理����,那么意味著每臺服務(wù)器都要給張建國創(chuàng)建一個用戶賬號��!張建國這個用戶就必須痛不欲生地記住自己在每個服務(wù)器上的用戶名和密碼���。而服務(wù)器管理員也好不到哪兒去����,每個用戶賬號都重新創(chuàng)建500次����!如果公司內(nèi)有1000人呢?我們難以想象這么管理網(wǎng)絡(luò)資源的后果�����,這一切的根源都是由于工作組的分散管理��!現(xiàn)在大家明白為什么工作組不適合在大型的網(wǎng)絡(luò)環(huán)境下工作了吧,工作組這種散漫的管理方式和大型網(wǎng)絡(luò)所要求的高效率是背道而馳的�����。既然工作組不適合大型
6�、網(wǎng)絡(luò)的管理要求,那我們就要重新審視一下其他的管理模型了�。域模型就是針對大型網(wǎng)絡(luò)的管理需求而設(shè)計的,域就是共享用戶賬號�����,計算機賬號和安全策略的計算機集合���。從域的基本定義中我們可以看到���,域模型的設(shè)計中考慮到了用戶賬號等資源的共享問題,這樣域中只要有一臺計算機為公司員工創(chuàng)建了用戶賬號�,其他計算機就可以共享賬號了。這樣就很好地解決剛才我們提到的賬號重復(fù)創(chuàng)建的問題���。域中的這臺集中存儲用戶賬號的計算機就是域控制器���,用戶賬號�����,計算機賬號和安全策略被存儲在域控制器上一個名為ActiveDirectory的數(shù)據(jù)庫中�。上述這個簡單的例子說明的只是域強大功能的冰山一角��,
7�����、其實域的功能遠遠不止這些����。從下篇博文我們將開始介紹域的部署以及管理��,希望大家在使用過程中逐步增加感性認識���,對域有更加深入及全面的了解��,能夠掌握好ActiveDirectory這個微軟工程師必備的重要知識點��。二部署第一個域?在上篇博文中我們介紹了部署域的意義���,今天我們來部署第一個域�。一般情況下��,域中有三種計算機�����,一種是域控制器����,域控制器上存儲著ActiveDirectory;一種是成員服務(wù)器��,負責(zé)提供郵件�����,數(shù)據(jù)庫�����,DHCP等服務(wù)��;還有一種是工作站����,是用戶使用的客戶機�。我們準備搭建一個基本的域環(huán)境����,拓撲如下圖所示,F(xiàn)lorence是域控制器�,Berli
8、n是成員服務(wù)器���,Perth是工作站��。部署一個域大致要做下列工作:1?DNS前期準備2?創(chuàng)建域控制器3?創(chuàng)建計算機賬號4?創(chuàng)
