第 5 章 建立網域.

Slides:



Advertisements
Similar presentations
全国教师资格认定管理信息系统 USBKey 使用 联系单位:省教育厅师范教育处 联系电话:
Advertisements

学年度工作总结 —— 上海建桥学院 —— 上海建桥学院 实验室与资产管理处 实验室与资产管理处.
县级数字图书馆推广计划 使用培训 杨路 中文在线 产品工程师
财务管理 利 润 分 配 利 润 分 配 嘉善中专 杨晓燕. 二、利润分配的项目及顺序 第三节 利润分配 一、利润分配的原则 财务管理 >> 第六章 >> 第三节 三、利润分配政策及影响因素.
公务员制度若干问题分析. 一、职业选择?身份选择? 2 。职业选择?身份选择? 公共职位世袭现象普遍存在的原因,除了 缺乏政治权力约束机制外,还包括政治道 德和官僚伦理的全面崩溃。 据中国大陆媒体披露,河南省固始县在 2008 年全县选拔正科级和县局级干部过程 中,最后任命的 12 名乡长,基本都是当地.
第五章 网络服务组件.
                                                 伊朗 的今生 与前世 (2)
客家文化的內涵與傳播 潘朝陽 臺灣師大國際與僑教學院院長 臺灣師大東亞系、地理系教授 臺灣師大全球客家文化研究中心主任
第一节 两者之间的差异分析 第二节 总体内部的差异分析 第三节 计算器的使用
计算机网络高级工 梁绍宇.
105/06/02 高中職學校 公文線上簽核系統 教育訓練 維運廠商:帝緯系統整合股份有限公司.
─視覺藝術的元素.
第四章 從分裂到統一 第一節 漢唐之際的大變動
第四章 從分裂到統一 第一節 漢唐之際的大變動
湖南省怀化市中小学信息技术 学科考试系统培训交流
北京教育资源服务平台培训 2008年3月13日.
T3汽修通总体介绍及软件应用 姓名:刘静静 2010年4月21日.
你,是扼殺 孩子競爭力的幫兇嗎?.
湖北省,简称“鄂”,为中华人民共和国省级行政区。湖北在中国中部、长江中游、洞庭湖以北,介于北纬29°05′至33°20′,东经108°21′至116°07′;北接河南省,东连安徽省,东南和南邻江西、湖南两省,西靠重庆市,西北与陕西省为邻。东西长约740公里,南北宽约470公里,面积18.59万平方公里,占全国总面积的1.95%,居全国第13位。省会是中部地区唯一的副省级城市--武汉市。
现代社会生活中的压力症,是人们身心疾患 发生的根源。在学习企业管理培训课程的时候, 明白了当人们遇上"压力"时,最初的反应便是"
「但圣灵降临在你们身上,你们就必得着能力,
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
《Windows 网络操作系统配置与管理》
拟动力试验 伪动力试验,计算机加载器联机试验 地震发生和传播的随机性 周期性加载的加载历程是假定的,与实际地震的非周期反应有很大差别
会计技能综合实训 ——会计分工.
新时代的劳动者 杜蒙绮.
簡易送審動態案件網 路報送作業操作訓練 資料來源 銓敘部製作 報告人 饒瑞恭 日 期: 101 年 6 月 15 日.
活动目录的规划、实现和维护—以 Windows Server 2003 为例
遠距圖書服務系統 國家圖書館 遠距圖書服務系統 文獻傳遞服務 2002/09
网络地址转换(NAT) 及其实现.
新約概論 台中生命之道靈糧堂 2007年3月4日.
游子心 中华情 美国大华府地区华人华侨 庆祝中国六十周年华诞.
早期的阿拉伯半島 地理環境: 生活情形 (一)三面環海,大多為荒涼貧瘠的沙漠,不利農耕
Microsoft WLAN tech. 中正通訊 卓瑩鎗.
Windows 2000 Professional系統管理系列
第 19 章 遠端管理.
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
Windows 2003 Server IIS網站的架設
IPV6 DHCP Server 建置 陳家祿 楊世偉.
本 章 重 點 18-1 Internet的由來與對生活的影響 18-2 Internet的服務與相關名詞簡介 18-3 IP位址表示法
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
第 8 章 規劃與建立群組.
学位授权审核材料填报及提交 系 统 操 作 介 绍
计算机网络管理技术 第1章 网络管理技术概述 第2章 SNMP网络管理架构 第3章 网络流量监控技术与方法 第4章 磁盘管理
组长:吴蔚 项目组成员:吴蔚,邱丁兰,汪琳莺
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
欢迎各位领导莅临胜利科技检查指导工作 安徽省公共电子阅览室 免费软件安装培训 全国公共文化发展中心安徽省级分中心 2014年09月.
第 29 章 架設 Samba 伺服器 著作權所有 © 旗標出版股份有限公司.
網絡形態 及 網絡拓撲學.
Windows 2003 server 進階介紹 麋鹿.
文光國小 『公文線上簽核及公文整合系統建置案』 教育訓練簡報.
第 9 章 分享檔案與資料夾.
昭阳系列 数据交换安全锁软件功能介绍 DEL (Data Exchange Lock)
東部海岸 馬蘭國小 五年己班 閔芳頤 Enter
第三章 组建Windows 2000网络基础平台.
Windows Server 2003安全管理 Windows Server 2003网络操作系统 设置本地安全策略 基于域的安全设置 审核
计算机组装、维修及 实训教程 第17章 微机软件的安装与设置 2019年4月11日星期四.
Windows XP 簡易網路檢查 edo.
電腦基礎與網際網路 資訊安全 建立防火牆.
华硕笔记本日常使用小知识.
注音輸入法教學 大華技術學院資管系 指導老師:陳信如老師 學生:王麗嵐.
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
主要内容: 活动目录的基本知识 活动目录的安装 构造域帐户 安全策略的设置 设置共享文件夹 安装网络打印机
健康推廣協會專案 行政院勞動力發展署中彰投分署103年第8期網路商務A班專題報告.
合歡山 馬蘭國小 五年己班 何宜倞 ENTER.
Print Security Audit System
此方案适用于如下车辆与车辆,车辆与人之间实现防撞,安装简单、方便快捷,可以有效的降低各种车辆碰撞事故,车辆碾压人员事故的发生。
售后培训系列之V9系统中心安装 SecManage 网安事业部 广州售后-王长绪.
Lync Windows 市集 App 快速入門
Presentation transcript:

第 5 章 建立網域

本章重點 5 - 1 建立第 1 個網域 5 - 2 電腦在網域內和網域外的角色 5 - 3 將獨立伺服器加入網域 5 - 4 將 Windows XP 加入網域 5 - 5 退出網域和 DC 降級 5 - 6 樹系與網域功能等級

建立網域 在微軟的企業網路架構裡, 『網域』佔有舉足輕重的地位, 可以說 Windows Server 2008 的重要功能都建立在網域上。

5 - 1 建立第 1 個網域 具體來說, 建立第 1 個網域就是要建立第 1 部網域控制站(Domain Controller, 以下簡稱為 DC)。 而建立 DC 的第 1 個動作就是執行 Dcpromo.exe--但是必須具有系統管理員權限才能執行此程式, 因此務必先以具有系統管理員權限的使用者帳戶登入。

建立第一部 DC 以下的示範步驟, 係假設目前的網路無任何網域, 所要建立的是整個網路的第一個網域--又稱為根網域(Root Domain)。

『新增角色』並未建立 DC 安裝 Windows Server 2008 後, 啟動時預設會自動開啟初始化設定工作視窗, 雖然可以在此視窗中點選新增角色, 接著選取安裝 Active Directory 網域服務, 以使該電腦扮演 DC 角色。 然而, 這種作法並未真正建立 DC, 到了最後一個畫面還是要求必須執行 Dcpromo.exe, 如下圖。

『新增角色』並未建立 DC 所以我們建議毋須使用新增角色功能, 乾脆直接執行 Dcpromo.exe 吧!

執行 Dcpromo.exe 請按開始鈕, 輸入 "dcpromo"、按 Enter 鍵:

執行 Dcpromo.exe

執行 Dcpromo.exe

執行 Dcpromo.exe

執行 Dcpromo.exe

執行 Dcpromo.exe

執行 Dcpromo.exe

執行 Dcpromo.exe

執行 Dcpromo.exe

執行 Dcpromo.exe

執行 Dcpromo.exe

執行 Dcpromo.exe

執行 Dcpromo.exe

執行 Dcpromo.exe 之後按完成鈕, 再按立即重新啟動鈕。 重新啟動後若要確認此電腦是否已經是 DC, 從『開始 / 系統管理工具』功能表是否出現關於 Active Directory 的命令即可得知:

執行 Dcpromo.exe 先前在第 6 步驟所設的密碼, 係使用於當 AD 資料庫毀損時, 可在開機啟動 Windows Server 2008 之前按 F8 鍵, 進入目錄服務還原模式, 重建 AD 資料庫。 由於此重建動作會改變既有的 AD 資料, 為防止濫用, 因此必須以密碼保護, 而且此密碼不必和網域系統管理員的密碼相同。

5 - 2 電腦在網域內和網域外的角色 同一部電腦會因為加入網域或退出網域, 而扮演不同的角色(別誤會, 這裡的角色不是指第 1 章提到的『伺服器角色』)。 在大多數的技術文件中, 對這些角色都有固定的稱呼, 因此本節將介紹它們的名稱與功能。

網域中的電腦 除了網域控制站之外, 網域中的電腦還可區分成以下兩類: 成員伺服器(Member Server) 工作站(Workstation)

成員伺服器 安裝 Windows Server 2008、Windows Server 2003 / 2003 R2、Windows 2000 Server 等系統, 加入了網域、但不是 DC 的電腦。 或是安裝 Windows NT Server 系統, 且加入網域的電腦, 都算是成員伺服器。 依據提供不同的服務, 成員伺服器通常還有不同的稱呼, 例如:檔案伺服器、應用程式伺服器或資料庫伺服器等等。

成員伺服器 由於這些伺服器都是網域的成員, 所以審核使用者身份的工作, 都交由 DC 執行, 使用者只要通過 DC 的身分驗證, 即可依據設定的權限來使用伺服器所提供的服務。 換言之, 成員伺服器都信任 DC 的身分驗證。

最好停用成員伺服器的本機帳戶 雖然加入了網域, 但是成員伺服器上仍保留本機的帳戶資料庫, 因此使用者仍可利用這些本機帳戶, 登入該伺服器。 對網域的安全管理而言, 這些本機帳戶可能會是漏洞, 所以我們建議停用成員伺服器的本機帳戶, 強迫使用者一律以網域帳戶登入。

工作站 所有安裝以下作業系統, 而且加入網域的電腦都算是工作站: Windows NT Workstation Windows 2000 Professional Windows XP Professional Windows Vista 商用入門版、商用進階版和旗艦版

工作站 使用者可利用這些工作站登入網域, 存取網域中的資源、執行應用程式等等, 但是 Windows Server 2008 的某些新功能, 必須搭配 Windows Vista 的工作站才能發揮效果。 而工作站本身仍然保留了本機帳戶的資料庫, 使用者利用本機帳戶登入工作站時, 只能使用本機(該工作站)的資源, 但無法存取網域上的資源。

網域外的電腦 首先, 應該要知道哪些電腦不能加入 AD 網域? 執行 Linux、Unix 等等非 Windows 系統的電腦, 理所當然地不能加入 AD 網域。 此外, Windows 95 / 98 / Me、Windows XP 家用版、Windows Vista 家用入門版、Windows Vista 家用進階版, 也都沒有加入網域的功能。

網域外的電腦 話說回來, 即使具有加入網域功能, 也未必要加入網域。 因此, 無論該電腦是不能或不想加入網域, 統統歸類為網域外的電腦。 從功能面來看, 網域外的電腦也可概分為兩類: 獨立伺服器(Stand-alone Server) 用戶端電腦(Client)

網域外的電腦 雖然在網域之外, 但使用者只要擁有合法的網域帳戶, 仍可利用這些電腦存取網域中的資源。 不過每次存取不同電腦上的資源時, 皆須輸入網域的帳戶名稱與密碼, 而且由於這些電腦並未受到網域的管制, 也容易變成資訊安全的漏洞。

獨立伺服器 簡單地說, 未加入網域的伺服器就是『獨立伺服器』--無論安裝的是 Windows 或非 Windows 的伺服器作業系統。 它一旦加入網域後, 角色即轉換為『成員伺服器』。 相反地, 『成員伺服器』如果退出網域, 則又成為『獨立伺服器』。如果在『獨立伺服器』上執行 Dcpromo.exe, 則可升級為 DC。

XP如何得知網域控制站在那裏 DNS名稱解析流程 SRV記錄 SRV記錄 AD成員-XP netlogon 服務 DC網域控制站-2008

獨立伺服器

用戶端電腦 無論是執行何種作業系統, 只要未加入網域, 而且不是獨立伺服器的電腦, 都可以歸為此類。 使用者雖然不能用它們登入網域, 但仍可利用網域帳戶, 透過這些電腦存取網域資源。

5 - 3 將獨立伺服器加入網域 建立網域之後, 通常會優先將網路上的獨立伺服器加入網域, 以便集中管理。 以下示範將 Windows Server 2008 獨立伺服器加入網域的步驟(此步驟亦適用於 Windows Vista)。

1. 修改『慣用 DNS 伺服器』的設定 加入網域的先決條件是要能夠連結到該網域的 DC, 而要連到 DC 就必須先設定正確的 DNS 伺服器位址。 先前建立 DC 的時候, 其實已經將該網域的 DNS 伺服器和 DC 安裝在一起了。 換言之, 網域裡的 DC 和 DNS 伺服器實為同一部電腦, 所以應該將獨立伺服器上的慣用 DNS 伺服器, 設為 DC 的 IP 位址。

修改『慣用 DNS 伺服器』的設定 首先以該獨立伺服器的本機系統管理員身分登入本機, 按開始鈕, 輸入 "CONTROLNCPA .CPL"、按 Enter 鍵, 開啟網路連線視窗, 再如下操作:

修改『慣用 DNS 伺服器』的設定

修改『慣用 DNS 伺服器』的設定 接著按兩次確定鈕即可。

2. 修改『成員隸屬』的設定 請按開始鈕, 在電腦項目上按右鈕、執行『內容』命令:

修改『成員隸屬』的設定

修改『成員隸屬』的設定

修改『成員隸屬』的設定

修改『成員隸屬』的設定 接著連續按兩次確定鈕, 再按關閉鈕, 最後按立刻重新開機鈕重新啟動, 啟動後此電腦便成為 xdom.com 網域的成員伺服器。

修改『成員隸屬』的設定 加入網域後的電腦, 其名稱預設會出現在 DC 的 Active Directory 使用者和電腦視窗的 Computers 容器中:

5 - 4 將 Windows XP 加入網域 首先以該電腦的本機系統管理員身分登入本機, 並在慣用 DNS 伺服器欄輸入網域 DNS 伺服器的 IP 位址, 如下圖:

將 Windows XP 加入網域 接著執行『開始 / 控制台 / 系統』命令, 開啟系統內容交談窗後, 如下操作(請注意:執行 Windows XP 家用版的電腦無法加入網域):

將 Windows XP 加入網域

將 Windows XP 加入網域

將 Windows XP 加入網域 接著按 3 次確定鈕、再按是鈕, 重新啟動電腦。重新啟動後, 該電腦即成為 xdom.com 網域的工作站。 其電腦名稱同樣會出現在 Active Directory 使用者和電腦視窗的 Computers 容器中。

5 - 5 退出網域和 DC 降級 先前已經介紹了升級為 DC 和加入網域的方法, 這一節將繼續說明退出網域和 DC 降級的方法。 退出網域

退出網域 將成員伺服器退出網域, 也就是讓該伺服器轉變為獨立伺服器, 以下示範將 Windows Server 2008 成員伺服器退出網域的步驟。 請先以網域或本機系統管理員的身分登入網域或本機, 參考前文開啟系統內容交談窗, 按電腦名稱頁次的變更鈕:

退出網域 接著連續按兩次確定鈕, 再按關閉鈕, 最後按立刻重新開機鈕重新啟動, 啟動後此電腦便成為工作群組的成員, 使用者必須用伺服器上的本機帳戶才能登入。

DC 降級 要將 DC 降級, 首先以網域系統管理員的使用者帳戶登入, 然後按開始鈕, 輸入 "dcpromo"、按 Enter 鍵, 接著按下一步鈕:

DC 降級

DC 降級

DC 降級

DC 降級

DC 降級

DC 降級

DC 降級

DC 降級 若網域中仍有其它 DC 存在, 則重新啟動後的電腦便擔任『成員伺服器』, 仍可用網域帳戶登入網域或本機。

何謂『應用程式目錄分割』? 應用程式目錄分割 (Application Directory Partition) 是指存在於 AD 資料庫的某一類資料, 由應用程式或服務所產生, 可以由人工或應用程式指定僅複寫到特定的 DC, 而非所有的 DC。 由於此一特性, 我們會將比較常變動的資料設為此類, 以避免稍一變動就使所有 DC 都忙於複寫。

何謂『應用程式目錄分割』? 例如:若 DC 兼任 DNS 伺服器, 便會存在 DNS 的應用程式目錄分割, 而這份資料只會複寫到也是兼任 DNS 伺服器的 DC。 當 DC 降級時, 通常應刪除應用程式目錄分割, 才能恢復到升級前的狀態。

5 - 6 樹系與網域功能等級 先前在升級為 DC 的過程, 曾遇到選擇『樹系功能等級』(Forest Functional Level)和『網域功能等級』(Domain Functional Level)的交談窗, 當時都暫時採用預設值。 究竟不同的功能等級有何差異?該如何做最適當的選擇?本節都將詳細說明。

功能等級的種類與高低 Windows Server 2008 提供的樹系功能等級有『Windows 2000』、『Windows Server 2003』和『Windows Server 2008』等 3 種。 網域功能等級則有『Windows 2000 原生』、『Windows Server 2003』和『Windows Server 2008』等 3 種。

功能等級的種類與高低

功能等級的種類與高低 愈新的作業系統代表愈高的功能等級, 因此 Windows Server 2008 的等級最高;Windows Server 2003 次之;Windows 2000(原生)的等級最低。 在選擇樹系和網域功能等級時, 要注意網域功能等級不能低於樹系功能等級。 假設樹系功能等級為『Windows Server 2003』, 則網域功能等級就只有『Windows Server 2003』和『Windows Serer 2008』可選。

功能等級的種類與高低 若樹系功能等級為『Windows Server 2008』, 則網域功能等級就一定是『Windows Serer 2008』。 樹系和網域功能等級的預設值都是最低等級(Windows 2000 和 Windows 2000 原生), 這是為了有最大的相容性。 若要樹系和網域支援最多的功能, 應在符合限制條件下儘量選擇最高等級。

不同功能等級的影響 選擇不同的功能等級, 對於樹系或網域會造成以下的影響: 哪些 DC 可以加入樹系或網域:雖然都是 DC, 但是所執行的作業系統可能是 Windows 2000、Windows 2003 或 Windows 2008, 因此在不同的功能等級會限制某些 DC 不能加入樹系或網域。 樹系或網域支援哪些功能:在不同的功能等級, 樹系或網域所支援的功能也有差異。 功能等級愈高, 所支援的功能愈多。

不同功能等級所導致的功能差異 不同樹系功能等級的主要功能差異如下表:

不同功能等級所導致的功能差異 不同網域功能等級的限制條件與功能差異如下表:

變更樹系或網域功能等級 建立第一個樹系的第一部 DC 時, 因為只有自己一部 DC, 所以選擇樹系功能等級或網域功能等級時都沒有任何限制, 通常先採用預設值, 將來再視需求來變更。 以下說明變更樹系和網域功能等級時的注意事項與步驟。

變更功能等級時的注意事項 當樹系或網域內的 DC 不只一部時, 要變更樹系或網域功能等級時, 就必須注意以下事項: 若樹系功能等級是 Windows 2008, 則只有執行 Windows Server 2008 的 DC 可加入此樹系。 若樹系功能等級是 Windows 2003, 則只有執行 Windows Server 2008 或 Windows Server 2003 的 DC 可加入此樹系。 若網域功能等級是 Windows 2008, 則只有執行 Windows Server 2008 的 DC 可加入此網域。

變更功能等級時的注意事項 若網域功能等級是 Windows 2003, 則只有執行 Windows Server 2008 或 Windows Server 2003 的 DC 可加入此網域。 此外, 還要知道:無論是樹系功能等級或網域功能等級, 都只能提升、不能調降!所以一旦提升之後, 就不能降為原先的等級。 而且必須是 Enterprise Admin 群組的成員才能變更樹系功能等級;必須是 Domain Admin 群組的成員才能變更網域功能等級。

變更樹系功能等級 請以隸屬於 Enterprise Admin 群組的使用者帳戶登入, 而後執行『開始 / 系統管理工具 / Active Directory 網域及信任』命令, 並如下操作:

變更樹系功能等級 接著按兩次確定鈕即可。

變更網域功能等級 請以隸屬於 Domain Admin 群組的使用者帳戶登入, 而後執行『開始 / 系統管理工具 / Active Directory 網域及信任』命令, 並如下操作:

變更網域功能等級 接著按兩次確定鈕即可。