山東神達化工windows_ad域配置方案和操作手冊山東神達化工windows_ad域配置方案和操作手冊2015年01月14日1 ,山東神達化工windows_ad域配置方

山東神達化工windows_ad域配置方案和操作手冊

山東神達化工windows_ad域

配置方案和操作手冊

2015年01月14日

1

山東神達化工windows_ad域配置方案和操作手冊

目錄

1. 背景................................................................................................................................................................. 3

2. 為什么要用域 . ................................................................................................................................................ 4

2.1. 一個演示實例說明 . ..................................................................................................................... 4

2.2域的概念 . ...................................................................................................................................... 7

3. 如何部署一個域 . ............................................................................................................................................ 7

3.1. DNS 前期準備 .............................................................................................................................. 8

3.1.1. 創(chuàng)建區(qū)域并允許動態(tài)更新 ............................................................................................................ 9

3.1.2. 檢查NS 和SOA 記錄 .................................................................................................................... 12

3.2. 創(chuàng)建域控制器 ........................................................................................................................... 14

3.3. 創(chuàng)建計算機賬號 ....................................................................................................................... 23

3.4. 創(chuàng)建用戶賬號 ........................................................................................................................... 26

4. 用備份進行域的災難重建 . .......................................................................................................................... 30

4.1. 如何備份 ................................................................................................................................... 30

4.2. 如何還原 ................................................................................................................................... 34

5. 部署額外域控制器 . ...................................................................................................................................... 39

6. ACTIVE DIRECTORY的授權還原 . ................................................................................................................. 48

7. ACTIVE DIRECTORY的脫機碎片整理 . ......................................................................................................... 57

8. 針對神達化工的具體方案 . .......................................................................................................................... 62

8.1. 用戶管理 . ................................................................................................................................... 62

8.2. 災備和重建 . ............................................................................................................................... 63

8.3. 桌面恢復 . ................................................................................................................................... 63

8.4. 域用戶集成本地管理員 . ........................................................................................................... 63

8.5如何限制域用戶脫離域后登陸 . ................................................................................................ 68

2

山東神達化工windows_ad域配置方案和操作手冊

1. 背景

山東神達化工有限公司（以下簡稱：神達化工）目前實施的HONEYWELL PHD 實時數(shù)據(jù)庫需要且必須運行在windows 的ad 域中，目前項目進展順利。

神達化工實施HONEYWELL PHD 實時數(shù)據(jù)庫的網(wǎng)絡拓撲如圖1所示：

圖1

?

?

? 一臺域控制器：負責域用戶的維護 一臺數(shù)據(jù)庫服務器：運行HONEYWELL 所依賴的數(shù)據(jù)庫 一臺web 服務器：對外訪問，所有終端通過這臺機器獲取瀏覽信息。

神達化工在以往的信息化建設中并未使用過windows 的ad 域，借助HONEYWELL PHD 實時數(shù)據(jù)庫項目，希望將域引入并通過域?qū)緝?nèi)部的計算機進行管控。在項目建設過程中，針對windows 的ad 域，神達化工還有如下疑慮：

1、什么是域，為什么要實施域。

3

山東神達化工windows_ad域配置方案和操作手冊

2、如何創(chuàng)建、管理、維護域。

3、如何處理災備和恢復。

針對以上幾個問題，下面將詳細介紹并列舉實例進行演示。

2. 為什么要用域

微軟管理計算機可以使用域和工作組兩個模型，默認情況下計算機安裝完操作系統(tǒng)后是隸屬于工作組的。我們從很多書里可以看到對工作組特點的描述，例如工作組屬于分散管理，適合小型網(wǎng)絡等等。我們這時要考慮一個問題，為什么工作組就不適合中大型網(wǎng)絡呢，難道每臺計算機分散管理不好嗎？

下面我們通過一個例子來說明這個問題。

2.1. 一個演示實例說明

假設現(xiàn)在工作組內(nèi)有兩臺計算機，一臺是服務器Florence ，一臺是客戶機Perth 。服務器的職能大家都知道，無非是提供資源和分配資源。服務器提供的資源也有多種形式，可以是共享文件夾，可以是共享打印機，可以是電子郵箱，也可以是數(shù)據(jù)庫等等。

現(xiàn)在服務器Florence 提供一個簡單的共享文件夾作為服務資源，我們的任務是要把這個共享文件夾的訪問權限授予公司內(nèi)的員工張建國。（注意，這個文件夾只有張建國一個人可以訪問）

那我們就要考慮一下如何才能實現(xiàn)這個任務，一般情況下管理員的思路都是在服務器上為張建國這個用戶創(chuàng)建一個用戶賬號，如果訪問者能回答出張建國賬號的用戶名和密碼，我們就認可這個訪問者就是張建國。基于這個樸素的管理思路，我們來在服務器上進行具體的實施操作。

首先，如圖2所示，我們在服務器上為張建國創(chuàng)建用戶賬號。

4

山東神達化工windows_ad域配置方案和操作手冊

圖2

然后，在共享文件夾中進行權限分配，如圖3所示，我們只需把共享文件夾的讀權限授予用戶張建國。

圖

3

5

山東神達化工windows_ad域配置方案和操作手冊

接下來，張建國就可以在客戶機Perth 上準備訪問服務器上的共享文件夾。張建國準備訪問資源Florence人事檔案，服務器對訪問者提出了身份驗證請求，如圖4所示，張建國輸入了自己的用戶名和口令。

圖4

如圖5所示，張建國成功地通過了身份驗證，訪問到了目標資源。

圖

5

6

山東神達化工windows_ad域配置方案和操作手冊

以上實例說明，在這個小型網(wǎng)絡中，工作組模型沒有暴露出什么問題。但是如果我們要把問題擴展一下，假設現(xiàn)在公司不是一臺服務器，而是500臺服務器，那么我們的麻煩就來了。

如果這500臺服務器上都有資源要分配給張建國，那會有什么樣的后果呢？由于工作組的特點是分散管理，也就意味著每臺服務器都要給張建國創(chuàng)建一個用戶賬號。那么張建國這個用戶就必須痛不欲生的記住自己在每個服務器上的用戶名和密碼，而服務器管理員也將需要為每個用戶賬號都重新創(chuàng)建500次。

如果公司內(nèi)有1000人呢？我們難以想象這樣管理網(wǎng)絡資源的后果，這一切的根源都是由于工作組的分散管理。這就說明工作組這種散漫的管理方式和大型網(wǎng)絡所要求的高效率是背道而馳的。

2.2域的概念

既然工作組不適合大型網(wǎng)絡的管理要求，那么我們就需要重新審視一下其他的管理模型。其中域模型就是針對大型網(wǎng)絡的管理需求而設計的，域就是共享用戶賬號、計算機賬號和安全策略的計算機集合。

從域的基本定義中我們可以看到，域模型的設計考慮到了用戶賬號等資源的共享問題。這樣域中只要有一臺計算機為公司員工創(chuàng)建了用戶賬號，那么其他計算機就都可以共享賬號了。這樣就很好地解決剛才我們提到的賬號重復創(chuàng)建的問題。域中的這臺集中存儲用戶賬號的計算機就是域控制器、用戶賬號、計算機賬號和安全策略被存儲在域控制器上一個名為Active Directory的數(shù)據(jù)庫中。

3. 如何部署一個域

一般情況下，域中有三種計算機，一種是域控制器，域控制器上存儲著

Active Directory ；一種是成員服務器，負責提供郵件、數(shù)據(jù)庫、DHCP 等服務；還有一種是工作站，是用戶使用的客戶機。我們準備搭建一個基本的域環(huán)境，拓撲如圖6所示，F(xiàn)lorence 是域控制器，Berlin 是成員服務器，Perth 是工作站。

7

山東神達化工windows_ad域配置方案和操作手冊

圖6

3.1. DNS 前期準備

DNS 服務器對域來說是不可或缺的。

一方面，域中的計算機使用DNS 域名，DNS 需要為域中的計算機提供域名解析服務。

另外一種重要的原因是域中的計算機需要利用DNS 提供的SRV 記錄下來定位域控制器。

因此我們在創(chuàng)建域之前需要先做好DNS 的準備工作。那么究竟由哪臺計算機來負責做DNS 服務器呢。

一般工程師有兩種選擇，要么使用域控制器來做DNS 服務器，要么就使用一臺單獨的DNS 服務器。這臺DNS 服務器不但能為域提供解析服務，同時還能為公司其他的業(yè)務提供DNS 解析支持，大家可以根據(jù)具體的網(wǎng)絡環(huán)境來選擇DNS 服務器。

8

山東神達化工windows_ad域配置方案和操作手冊

那么在創(chuàng)建域之前，DNS 服務器需要做好哪些準備工作呢？

3.1.1. 創(chuàng)建區(qū)域并允許動態(tài)更新

首先我們需要在DNS 服務器上創(chuàng)建一個區(qū)域，區(qū)域的名稱和域名相同，域內(nèi)計算機的DNS 記錄都創(chuàng)建在這個區(qū)域中。我們在DNS 服務器上打開DNS 管理器，如圖7所示，右鍵單擊正向查找區(qū)域，選擇新建一個區(qū)域。出現(xiàn)新建區(qū)域向?qū)Ш?，點擊下一步繼續(xù)。

圖7

區(qū)域類型選擇“主要區(qū)域”，如圖8所示。

9

山東神達化工windows_ad域配置方案和操作手冊

圖8

區(qū)域名稱和域名相同，是adtest.com 。

圖9

由于區(qū)域一定要允許動態(tài)更新，因此在創(chuàng)建域的過程中需要向DNS 區(qū)域中寫入A 記錄、SRV 記錄和Cname 記錄。

10