山東神達(dá)化工windows_ad域配置方案和操作手冊(cè)山東神達(dá)化工windows_ad域配置方案和操作手冊(cè)2015年01月14日1 ,山東神達(dá)化工windows_ad域配置方

山東神達(dá)化工windows_ad域配置方案和操作手冊(cè)

山東神達(dá)化工windows_ad域

配置方案和操作手冊(cè)

2015年01月14日

1

山東神達(dá)化工windows_ad域配置方案和操作手冊(cè)

目錄

1. 背景................................................................................................................................................................. 3

2. 為什么要用域 . ................................................................................................................................................ 4

2.1. 一個(gè)演示實(shí)例說(shuō)明 . ..................................................................................................................... 4

2.2域的概念 . ...................................................................................................................................... 7

3. 如何部署一個(gè)域 . ............................................................................................................................................ 7

3.1. DNS 前期準(zhǔn)備 .............................................................................................................................. 8

3.1.1. 創(chuàng)建區(qū)域并允許動(dòng)態(tài)更新 ............................................................................................................ 9

3.1.2. 檢查NS 和SOA 記錄 .................................................................................................................... 12

3.2. 創(chuàng)建域控制器 ........................................................................................................................... 14

3.3. 創(chuàng)建計(jì)算機(jī)賬號(hào) ....................................................................................................................... 23

3.4. 創(chuàng)建用戶賬號(hào) ........................................................................................................................... 26

4. 用備份進(jìn)行域的災(zāi)難重建 . .......................................................................................................................... 30

4.1. 如何備份 ................................................................................................................................... 30

4.2. 如何還原 ................................................................................................................................... 34

5. 部署額外域控制器 . ...................................................................................................................................... 39

6. ACTIVE DIRECTORY的授權(quán)還原 . ................................................................................................................. 48

7. ACTIVE DIRECTORY的脫機(jī)碎片整理 . ......................................................................................................... 57

8. 針對(duì)神達(dá)化工的具體方案 . .......................................................................................................................... 62

8.1. 用戶管理 . ................................................................................................................................... 62

8.2. 災(zāi)備和重建 . ............................................................................................................................... 63

8.3. 桌面恢復(fù) . ................................................................................................................................... 63

8.4. 域用戶集成本地管理員 . ........................................................................................................... 63

8.5如何限制域用戶脫離域后登陸 . ................................................................................................ 68

2

山東神達(dá)化工windows_ad域配置方案和操作手冊(cè)

1. 背景

山東神達(dá)化工有限公司（以下簡(jiǎn)稱：神達(dá)化工）目前實(shí)施的HONEYWELL PHD 實(shí)時(shí)數(shù)據(jù)庫(kù)需要且必須運(yùn)行在windows 的ad 域中，目前項(xiàng)目進(jìn)展順利。

神達(dá)化工實(shí)施HONEYWELL PHD 實(shí)時(shí)數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)拓?fù)淙鐖D1所示：

圖1

?

?

? 一臺(tái)域控制器：負(fù)責(zé)域用戶的維護(hù) 一臺(tái)數(shù)據(jù)庫(kù)服務(wù)器：運(yùn)行HONEYWELL 所依賴的數(shù)據(jù)庫(kù) 一臺(tái)web 服務(wù)器：對(duì)外訪問(wèn)，所有終端通過(guò)這臺(tái)機(jī)器獲取瀏覽信息。

神達(dá)化工在以往的信息化建設(shè)中并未使用過(guò)windows 的ad 域，借助HONEYWELL PHD 實(shí)時(shí)數(shù)據(jù)庫(kù)項(xiàng)目，希望將域引入并通過(guò)域?qū)緝?nèi)部的計(jì)算機(jī)進(jìn)行管控。在項(xiàng)目建設(shè)過(guò)程中，針對(duì)windows 的ad 域，神達(dá)化工還有如下疑慮：

1、什么是域，為什么要實(shí)施域。

3

山東神達(dá)化工windows_ad域配置方案和操作手冊(cè)

2、如何創(chuàng)建、管理、維護(hù)域。

3、如何處理災(zāi)備和恢復(fù)。

針對(duì)以上幾個(gè)問(wèn)題，下面將詳細(xì)介紹并列舉實(shí)例進(jìn)行演示。

2. 為什么要用域

微軟管理計(jì)算機(jī)可以使用域和工作組兩個(gè)模型，默認(rèn)情況下計(jì)算機(jī)安裝完操作系統(tǒng)后是隸屬于工作組的。我們從很多書里可以看到對(duì)工作組特點(diǎn)的描述，例如工作組屬于分散管理，適合小型網(wǎng)絡(luò)等等。我們這時(shí)要考慮一個(gè)問(wèn)題，為什么工作組就不適合中大型網(wǎng)絡(luò)呢，難道每臺(tái)計(jì)算機(jī)分散管理不好嗎？

下面我們通過(guò)一個(gè)例子來(lái)說(shuō)明這個(gè)問(wèn)題。

2.1. 一個(gè)演示實(shí)例說(shuō)明

假設(shè)現(xiàn)在工作組內(nèi)有兩臺(tái)計(jì)算機(jī)，一臺(tái)是服務(wù)器Florence ，一臺(tái)是客戶機(jī)Perth 。服務(wù)器的職能大家都知道，無(wú)非是提供資源和分配資源。服務(wù)器提供的資源也有多種形式，可以是共享文件夾，可以是共享打印機(jī)，可以是電子郵箱，也可以是數(shù)據(jù)庫(kù)等等。

現(xiàn)在服務(wù)器Florence 提供一個(gè)簡(jiǎn)單的共享文件夾作為服務(wù)資源，我們的任務(wù)是要把這個(gè)共享文件夾的訪問(wèn)權(quán)限授予公司內(nèi)的員工張建國(guó)。（注意，這個(gè)文件夾只有張建國(guó)一個(gè)人可以訪問(wèn)）

那我們就要考慮一下如何才能實(shí)現(xiàn)這個(gè)任務(wù)，一般情況下管理員的思路都是在服務(wù)器上為張建國(guó)這個(gè)用戶創(chuàng)建一個(gè)用戶賬號(hào)，如果訪問(wèn)者能回答出張建國(guó)賬號(hào)的用戶名和密碼，我們就認(rèn)可這個(gè)訪問(wèn)者就是張建國(guó)?；谶@個(gè)樸素的管理思路，我們來(lái)在服務(wù)器上進(jìn)行具體的實(shí)施操作。

首先，如圖2所示，我們?cè)诜?wù)器上為張建國(guó)創(chuàng)建用戶賬號(hào)。

4

山東神達(dá)化工windows_ad域配置方案和操作手冊(cè)

圖2

然后，在共享文件夾中進(jìn)行權(quán)限分配，如圖3所示，我們只需把共享文件夾的讀權(quán)限授予用戶張建國(guó)。

圖

3

5

山東神達(dá)化工windows_ad域配置方案和操作手冊(cè)

接下來(lái)，張建國(guó)就可以在客戶機(jī)Perth 上準(zhǔn)備訪問(wèn)服務(wù)器上的共享文件夾。張建國(guó)準(zhǔn)備訪問(wèn)資源Florence人事檔案，服務(wù)器對(duì)訪問(wèn)者提出了身份驗(yàn)證請(qǐng)求，如圖4所示，張建國(guó)輸入了自己的用戶名和口令。

圖4

如圖5所示，張建國(guó)成功地通過(guò)了身份驗(yàn)證，訪問(wèn)到了目標(biāo)資源。

圖

5

6

山東神達(dá)化工windows_ad域配置方案和操作手冊(cè)

以上實(shí)例說(shuō)明，在這個(gè)小型網(wǎng)絡(luò)中，工作組模型沒有暴露出什么問(wèn)題。但是如果我們要把問(wèn)題擴(kuò)展一下，假設(shè)現(xiàn)在公司不是一臺(tái)服務(wù)器，而是500臺(tái)服務(wù)器，那么我們的麻煩就來(lái)了。

如果這500臺(tái)服務(wù)器上都有資源要分配給張建國(guó)，那會(huì)有什么樣的后果呢？由于工作組的特點(diǎn)是分散管理，也就意味著每臺(tái)服務(wù)器都要給張建國(guó)創(chuàng)建一個(gè)用戶賬號(hào)。那么張建國(guó)這個(gè)用戶就必須痛不欲生的記住自己在每個(gè)服務(wù)器上的用戶名和密碼，而服務(wù)器管理員也將需要為每個(gè)用戶賬號(hào)都重新創(chuàng)建500次。

如果公司內(nèi)有1000人呢？我們難以想象這樣管理網(wǎng)絡(luò)資源的后果，這一切的根源都是由于工作組的分散管理。這就說(shuō)明工作組這種散漫的管理方式和大型網(wǎng)絡(luò)所要求的高效率是背道而馳的。

2.2域的概念

既然工作組不適合大型網(wǎng)絡(luò)的管理要求，那么我們就需要重新審視一下其他的管理模型。其中域模型就是針對(duì)大型網(wǎng)絡(luò)的管理需求而設(shè)計(jì)的，域就是共享用戶賬號(hào)、計(jì)算機(jī)賬號(hào)和安全策略的計(jì)算機(jī)集合。

從域的基本定義中我們可以看到，域模型的設(shè)計(jì)考慮到了用戶賬號(hào)等資源的共享問(wèn)題。這樣域中只要有一臺(tái)計(jì)算機(jī)為公司員工創(chuàng)建了用戶賬號(hào)，那么其他計(jì)算機(jī)就都可以共享賬號(hào)了。這樣就很好地解決剛才我們提到的賬號(hào)重復(fù)創(chuàng)建的問(wèn)題。域中的這臺(tái)集中存儲(chǔ)用戶賬號(hào)的計(jì)算機(jī)就是域控制器、用戶賬號(hào)、計(jì)算機(jī)賬號(hào)和安全策略被存儲(chǔ)在域控制器上一個(gè)名為Active Directory的數(shù)據(jù)庫(kù)中。

3. 如何部署一個(gè)域

一般情況下，域中有三種計(jì)算機(jī)，一種是域控制器，域控制器上存儲(chǔ)著

Active Directory ；一種是成員服務(wù)器，負(fù)責(zé)提供郵件、數(shù)據(jù)庫(kù)、DHCP 等服務(wù)；還有一種是工作站，是用戶使用的客戶機(jī)。我們準(zhǔn)備搭建一個(gè)基本的域環(huán)境，拓?fù)淙鐖D6所示，F(xiàn)lorence 是域控制器，Berlin 是成員服務(wù)器，Perth 是工作站。

7

山東神達(dá)化工windows_ad域配置方案和操作手冊(cè)

圖6

3.1. DNS 前期準(zhǔn)備

DNS 服務(wù)器對(duì)域來(lái)說(shuō)是不可或缺的。

一方面，域中的計(jì)算機(jī)使用DNS 域名，DNS 需要為域中的計(jì)算機(jī)提供域名解析服務(wù)。

另外一種重要的原因是域中的計(jì)算機(jī)需要利用DNS 提供的SRV 記錄下來(lái)定位域控制器。

因此我們?cè)趧?chuàng)建域之前需要先做好DNS 的準(zhǔn)備工作。那么究竟由哪臺(tái)計(jì)算機(jī)來(lái)負(fù)責(zé)做DNS 服務(wù)器呢。

一般工程師有兩種選擇，要么使用域控制器來(lái)做DNS 服務(wù)器，要么就使用一臺(tái)單獨(dú)的DNS 服務(wù)器。這臺(tái)DNS 服務(wù)器不但能為域提供解析服務(wù)，同時(shí)還能為公司其他的業(yè)務(wù)提供DNS 解析支持，大家可以根據(jù)具體的網(wǎng)絡(luò)環(huán)境來(lái)選擇DNS 服務(wù)器。

8

山東神達(dá)化工windows_ad域配置方案和操作手冊(cè)

那么在創(chuàng)建域之前，DNS 服務(wù)器需要做好哪些準(zhǔn)備工作呢？

3.1.1. 創(chuàng)建區(qū)域并允許動(dòng)態(tài)更新

首先我們需要在DNS 服務(wù)器上創(chuàng)建一個(gè)區(qū)域，區(qū)域的名稱和域名相同，域內(nèi)計(jì)算機(jī)的DNS 記錄都創(chuàng)建在這個(gè)區(qū)域中。我們?cè)贒NS 服務(wù)器上打開DNS 管理器，如圖7所示，右鍵單擊正向查找區(qū)域，選擇新建一個(gè)區(qū)域。出現(xiàn)新建區(qū)域向?qū)Ш螅c(diǎn)擊下一步繼續(xù)。

圖7

區(qū)域類型選擇“主要區(qū)域”，如圖8所示。

9

山東神達(dá)化工windows_ad域配置方案和操作手冊(cè)

圖8

區(qū)域名稱和域名相同，是adtest.com 。

圖9

由于區(qū)域一定要允許動(dòng)態(tài)更新，因此在創(chuàng)建域的過(guò)程中需要向DNS 區(qū)域中寫入A 記錄、SRV 記錄和Cname 記錄。

10