一、权限问题。
要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。普通用户登录进来,更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。
二、不是说“在2000/03域中,默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。”吗?这时如何在这台计算机上登录到域呀!
显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。再有就是当你加第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如joindomain。注意:域管理员不受10台的限制。
三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。
这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或
手动删除,而普通域帐户无权覆盖而产生的。解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户
将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。
四、域xxx不是AD域,或用于域的AD域控制器无法联系上。
在2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC的 IP 地址,然后开始进行网络身份
验证。DNS不可用时,也可以利用浏览服务,但会比较慢。2000以前老版本计算机,不能利用DNS来定位DC,只能
利用浏览服务、WINS、lmhosts文件来定位DC。所以加入域时,为了能找到DC,应首先将客户机TCP/IP配置中所配
的DNS服务器,指向DC所用的DNS服务器。
加入域时,如果输入的域名为FQDN格式,形如mcsecom,必须利用DNS中的SRV记录来找到DC,如果客户机的
DNS指的不对,就无法加入到域,出错提示为“域xxx不是AD域,或用于域的AD域控制器无法联系上。”2000及以
上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是2000及以上,且与DC不在同一子网时,
应该用此方法。
加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但浏览
服务不是一个完善的服务,经常会不好使。而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,
需要等待较长的时间,所以不推荐。再者,由于客户机的DNS指的不对,则它无法利用2000DNS的动态更新动能,
也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机
就无法利用DNS找到它,这本应该是可以的。
若客户机的DNS配置没问题,接下来可使用nslookup命令确认一下客户机能否通过DNS查找到DC(具体见
前)。能找到的话,再ping一下DC看是否通。
A2、用户无法登录到域?
一、用户名、口令、域
确保输入正确的用户名和口令,注意用户名不区分大小写,口令是区分大小写的。看一下欲登录的域是否还存在(比如子域被非正常删除了,域中唯一的DC未联机)。
二、DNS
客户机所配的DNS是否指向DC所用的DNS服务器,讨论同前。
三、计算机帐号
基于安全性的考虑,管理员会将暂时不用的计算机帐号禁用(如财务主管渡假去了),出错提示为“无法与域连接……,域控制器不可用……,找不到计算机帐户……”,而不是直接提示“计算机帐号已被禁用”。可到AD用户和计算机中,将计算机帐号启用即可。
对于 Windows 2000/XP/03,默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步,登录时就会出现出错提示:“计算机帐户丢失……”或“此工作站和主域间的信任关系失败”。解决办法:重设计算机帐户,或将该计算机重新加入到域。
四、默认普通域用户无权在DC上登录
见下一小节的B1。
五、跨域登录中的问题
在2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS根据SRV记录告诉它DC是谁,客户机联系DC,验证后登录。
如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。所以要保证林内有可用的GC。如果是要登录到其它有信任关系的域(不一定是本林的),要保证DNS能找到对方的域。
如何解决本地或域管理员密码丢失?
本地管理员密码丢失,可通过删除sam文件(2000SP3以前)或通过NTpassword软件来解决。但要解决域管理员密码丢失,它们就无能为力了,这时就需要用到“凤凰万能启动盘”中的ERD Commander 2002了,接下来我们将详细讨论使用此盘解决管理员密码丢失问题。
1、上网搜索“凤凰万能启动盘”或“深山红叶”或“老毛桃WINPE”,大约230M;
2、下载后解压缩,将其内容刻录成光盘;
3、用此光盘启动计算机,显示XP安装界面,Start ERD Commander 2002环境;
4、出现选择菜单,选择第一项:ERD Commander 2002;
5、出现类似XP的启动界面
6、进入选择系统安装的路径,一般会自动测出 *** 作系统、版本及是否域控制器;
7、出现类似的XP桌面:选择Start/Administrative Tools/Locksmith;
8、进入ERD Commander 2002 locksmith向导界面,下一步;
9、选择Administrator,重设其密码;(此时切不可手动重新启动计算机,否则此修改将无效)
10、选择Start/Logoff,点OK;
11、稍候片刻,点reboot后重新启动计算机
常见WINPE启动盘中的ERD Commander 2002功能强大,不仅可破解本地管理员密码,包括NT/2000/XP/03的各个版
本。还可以破解NT/2000/03域管理员密码,均已实验证明。 由于可自动识别 *** 作系统和版本,及是否DC,所以用户在 *** 作时,重设密码的方法都是一样的。对于03,重设密码时要注意符合密码策略中要求的符合复杂性要求,且密码最小长度为7,否则重设的密码会无效。
无法使用域内的共享打印机?
现象:计算机重启或注销,再登录进来,无法使用以前安装的域内的共享网络打印机, 为用户重新安装打印机,当时可以打印,但不久问题又会出现。用户反映说有时能打印,有时就是不能打印。
其原因在于用户没有登录到域(很多用户即使计算机加入到了域,也经常习惯性地选择登录到本地机),
没有域用户身份,当然无权访问域内的资源。而且关键是Windows系统在这里有个小毛病,它并不象你访问共享文
件夹那样,由于没有身份而提示你输入用户名和密码来进行验证,而是直接提示你“拒绝访问,无法连接”、
“当前打印机安装有问题”,“RPC服务不可用”等等(在不同的 *** 作系统或应用程序中提示会所不同)。
解决办法有3种,最好还是用方法1。:
1、要求用户将其域用户帐号加入到本地管理员组,以后每次都以域用户帐号登录。
说明:这本身就是微软推荐的一种办法。因为如果不这样,普通用户以本地管理员身份登录时,控制本机没问
题,但访问域资源时需要输入域用户名和口令;而用户若以域用户身份登录,又没有本机管理特权。比如说:无法关机,无法修改网络等配置,无法安装软件、驱动等。这样做了以后,用户以域用户身份登录,同时他又是本地管理员。
2、在打印服务器上启用Guest用户,保证everyone有打印权限。但这样做不安全,所以不推荐。
3、在客户机上每次要使用打印机前,在开始—运行:\\PrintServer,这时会提示你输入用户名和密码。通过验证后,再去使用打印机。很显然这样方法比较麻烦。
无法访问域内的共享资源?
上例中我们提到过客户机如果加入到了域,但用户选择登录到本地机。当访问域内共享资源时,会提示输入用户名和口令。若不出现提示,直接出现拒绝访问。一般是由于目标计算机上启用了guest,而guest用户没有权限造成的。
接下来的讨论实质和域的关系不太,但确实是我们访问网络共享资源中经常会碰到的问题:基于UNC路径的I形式来访问时的故障,如在开始/运行:\\10632431。 前提:在网卡、协议、连接没问题的情况下。即在可ping通的前提下,若\\10632431不通,排错可从下面几个方面来考虑。
1、目标机的“Microsoft网络的文件和打印机共享”服务的问题。
提示:“\\10632431 文件名、目录名或卷标语法不正确”。
检查:服务是否安装、是否选中,或重装一下。
*** 作:网上邻居/右键/属性/本地连接/右键/属性
2、由于访问相关的net logon、server、workstation服务务未正常启动的影响。
提示:
(1)若目标机(为域成员)上的net logon服务停了:“试图登录,但网络登录服务未启动”。
(2)若目标机上的server服务停了:“\\10632431 文件名、目录名或卷标语法不正确。”
(3)若本机的worstation服务停了:“\\10632431 网络未连接或启动”。连其它计算机,也是一样的提示。
检查:相应服务是否已经正常启动。
*** 作:我的电脑/右键/管理/服务和应用程序/服务下
3、由于本机与其它计算机重名(指NetBIOS名称)的影响
提示:访问任何计算机均提示:“找不到网络路径”。
检查:重启一下,看是否有“网络中存在重名”的提示。可能上次开机时没注意给忽略了。
*** 作:我的电脑/属性/网络标识/属性/计算机名下,修改计算机名。
4、XP/03由于默认安全策略:“帐户:使用空白密码的本地帐户只允许进行控制台登录”的影响 提示:\\10632431无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。登录失败:用户帐户限制。可能的原因包括不允许空密码,登录时间限制,或强制的策略限制。
检查:改用非空密码的帐户试试,或查看XP/03目标机上的本地策略。
*** 作:开始/运行:gpeditmsc。计算机配置/Winodws设置/安全设置/本地策略/安全选项下,由默认值“
启用”改为“禁用”。
注意:域帐号访问不受此策略限制。
5、网络共享访问被筛选器的设置所阻止
提示:找不到网络路径
检查: TCP/IP筛选、IPSEC、RRAS筛选器是否被启用,且TCP端口139和445被禁用。
*** 作:
(1)网上邻居/属性/本地连接/属性:TCP/IP—高级—选项—TCP/IP筛选
(2)网上邻居/属性/本地连接/属性:TCP/IP—高级—选项—IP安全机制
(3)开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规:输入/输出筛选器。
说明:
(1)RRAS筛选器只在2000/03 Server版中才有,IPSEC只有在2000的上述位置才有。
(2)若你就想设置筛选器,基于端口控制,不让别人访问你的网络共享资源,需要同时禁止TCP:139和445口。
(3)由于此种原因产生的访问故障,一般是由于实验后忘了复原,或别人故意和你开玩笑。
在AD域中,如何批量添加域用户帐号?
作为网管,有时我们需要批量地向AD域中添加用户帐户,这些用户帐户既有一些相同的属性,又有一些不同属性。如果逐个添加、设置的话,十分地麻烦。一般来说,如果不超 过10个,我们可利用AD用户帐户复制来实现。如果再多的话,我们就应该考虑使用csvdeexe或ldifdeexe来减轻我们的工作量了。最后简单介绍一下利用脚本(可利用循环功能)批量创建用户帐号
一、AD用户帐户复制
1、在“AD域和计算机”中建一个作为样板的用户,如S1。
2、设置相关需要的选项,如所属的用户组、登录时间、用户下次登录时需更改密码等。
3、在S1上/右键/复制,输入名字和口令。
说明:
1、 只有AD域用户帐户才可以复制,对于本地用户帐户无此功能。
2、 帐户复制可将在样板用户帐户设置的大多数属性带过来。具体如下:
二、比较csvde与ldifde
三、以csvdeexe为例说明:域用户帐户的导出/导入
*** 作步骤如下:
1、 在“AD域和计算机”中建一个用户,如S1。
2、 设置相关需要的选项,如所属的用户组、登录时间、用户下次登录时需更改密码等。
3、 在DC上,开始/运行:cmd
4、 键入:csvde –f democsv
说明:
(1)不要试图将这个文件导回,来验证是否好使。因为这个文件中的好多字段在导入时是不允许用的,如:
ObjectGUID、objectSID、pwdLastSet 和 samAccountType 等属性。我们导出这个文件目的只是为了查看相应的字段名是什么,其值应该怎么写,出错信息如下:
(2)可通过-d –r参数指定导出范围和对象类型。例如:
-d “ou=test,dc=mcse,dc=com” 或 -d “cn=users,dc=mcse,dc=com”
-r “< Objectclass=user>”
1、 以上面的文件为参考基础,创建自己的mycsv,并利用复制、粘贴、修改得到多条记录。例如:
dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName
"CN=s1,OU=test,DC=mcse,DC=com",user,S1,512,S1@mcsecom
"CN=s2,OU=test,DC=mcse,DC=com",user,S2,512,S2@mcsecom
………………,其它可用字段,我试了一下,见下表(不全):
6、导入到AD,键入 csvde –i –f mycsv –j c:\
说明:-j用于设置日志文件位置,默认为当前路径。此选项可帮助用户在导入不成功时排错。
有一点大家必须明确的是:我们在这里做AD域用户帐户复制、做AD域用户帐户的导出/导入,并不能代替“AD备份和恢复”。我们只是在批量创建用户帐号,帐号的SID都是重新生成的,权利权限都得重新设才行。(当然我们可以把导入的用户,通过memberof字段设到一些用户组中去,使它有权利权限。但这与利用“AD备份和恢复”到原
状,完全是两回事)。
四、利用脚本创建批量用户帐户
1、利用脚本创建用户帐号(用户可参考下例)。
Set objDomain = GetObject("LDAP://dc=fabrikam,dc=com")
Set objOU = objDomainCreate("organizationalUnit", "ou=Management")
objOUSetInfo
说明:在fabrikamcom域创建一个名叫Management的OU。
Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")
Set objUser = objOUCreate("User", "cn= AckermanPila")
objUserPut "sAMAccountName", "AckermanPila"
objUserSetInfo
objUserSetPassword "i5A2sj!"
objUserAccountDisabled = FALSE
objUserSetInfo
说明:在Management OU下创建一个名叫AckermanPila的用户,口令为i5A2sj!,启用。
Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")
Set objGroup = objOUCreate("Group", "cn=atl-users")
objGroupPut "sAMAccountName", "atl-users"
objGroupSetInfo
objGroupAdd objUserADSPath
objGroupSetInfo
说明:在Management OU下创建一个名叫atl-users的用户组,将用户AckermanPila加入到这个组中。
Wscriptecho "Script ended successfully"
说明:显示“脚本成功结束”信息
2、利用脚本中的循环功能实现批量创建用户帐号
Set objRootDSE = GetObject("LDAP://rootDSE")
Set objContainer = GetObject("LDAP://cn=Users," & _
objRootDSEGet("defaultNamingContext"))
For i = 1 To 1000
Set objUser = objContainerCreate("User", "cn=UserNo" & i)
objUserPut "sAMAccountName", "UserNo" & i
objUserSetInfo
objUserSetPassword "i5A2sj!"
objUserAccountDisabled = FALSE
objUserSetInfo
Next
WScriptEcho "1000 Users created"
说明:在当前域的Users容器中创建UserNo1到UserNo1000,共1000个用户帐户
我的计算机不知道怎么回事,系统时间总是被改快1小时?
加入域的计算机,没有自己的时间。这是因为时间参数,在AD复制中是一个极为重要的因素。如:决定多主控复制时,谁的修改最终生效。所以整个域的时间,都由域的PDC仿真主控来控制,整个林的时间都由林根域上的PDC仿真主控来控制。
说明:如果整个林的时间都快1小时,对你AD的正常工作没有任何影响。
解决:修改林根域的PDC仿真主控计算机的时间。实际工作中,要先查看域内计算机的时区设置是否正确。
建立AD域,需要有什么样的权限才行?
1、若是创建林内的第一个域,即林根域,只要有目标计算机上的本地管理员权限即可。
2、作为已有域的附加DC,需要该域的域管理员(Domain Admins)权限。
3、安装子域的DC,或新树的DC,都涉及到林结构的改变,需要林管理员(Enterprise Admins)权限才行。
如何在2000域中添加一台03的DC?
03和2000比,功能更强大了,在域和AD的体系结构上也有了一些变化(参见前面:域、林功能级别)。但微软的产品十分讲究向前兼容,我们可以实现在一个2000域中加入03DC、加入03DNS,并且DC间的AD复制,DNS间的区域传输,都好像没有版本差异一样。
但要注意:直接就在03计算机上安装AD是不行的,会收到出错提示“Active Directory版本不同”。我们需要做一些准备工作,在2000DC(SP2及更高)上运行03光盘/I386/adprep, 具体第一步:adprep /forestprep进行林准备,第二步adprep /domainprep进行域准备。
顺便说一下:03可以作为2000域的附加DC,2000也可以作为03域的附加DC,而直接在2000上安装AD即可,不需要准备。
创建AD域时,由于没有NTFS分区,导致AD安装失败?
在2000/03成员或独立服务上上运行dcpromo命令,安装AD,将其提升为DC,其上必须有一个NTFS 50分区,用来保存AD的sysvol文件夹。
注意:2000的NTFS分区是NTFS 50,NT4的是NTFS 40,NT4必须安装SP4后,才可访问2000的NTFS分区。 如果C是引导分区,即系统夹winnt或windows所在分区,采用FAT32分区,系统会自动查找下一个可用的NTFS分区来存放系统卷,如d:\sysvol。如果找不到NTFS分区,就会出错,导致AD安装失败。这时可利用convert命令将某个FAT32分
区转成NTFS分区,这个转换会保持数据的完好。但要注意这个转换是单向不可逆,想回复到FAT分区,除非重新格式化该分区。 以转换D盘为例,具体 *** 作如下:
1、开始/运行:convert d: /fs:ntfs
2、提示是否转换,键入y确认转换。
说明:这时并没有真正开始转换,如果后悔,可以到注册表HLM\当前控制\控制\会话管理\BootExecute下,删除其值Convert d: /fs:ntfs 。
3、重新启动计算机,将在登录界面出现前,真正实施FAT到NTFS的转换。
安装AD域时,出现NetBIOS名称冲突?
在安装AD时,安装选项会要求输入:新域的DNS全名,在这里应该输入新域的完全有效域名FQDN,形如:mcsecom。系统会打算以mcse作为此域的NetBIOS名称,并在网络中检查是否存在重名,需要等一会儿。
如果不重名则设为mcse(建议用户不要修改此名),重名系统则自动设为mcse0,建议用户最好换个名字,因为你的网络可能还会有2000以前版本的老系统,考虑到NetBIOS名称解析和DNS名称解析的互助,保持一致性比较好。
说明:NetBIOS名称,只是为95/98/NT等老版本用户通过“浏览服务”或WINS来识别这个域用的,如果确信域内计算机都是2000及以上系统(它们通过DNS定位域),其实NetBIOS名称冲不冲突,都无所谓。 这种冲突可能源自于网络中如果已有一个域,名字叫做mcseorg,DNS名虽然不冲突,但是NetBIOS名称冲突。也可能是你安装了一个mcsecom域未能完全成功,又再次安装导致的,这样情况倒可以强行将NetBIOS名称将为mcse,而不是mcse0。
安装AD完成后,重启登录非常慢,甚至长达20分钟之久。
这一般是由于用一台运行了一段时间的2000/03 Server来安装AD造成的,故障较难定位。若重启几次后就正常了,则不必理会。如果多次重启后还是非常慢,那就要重装系统及AD了。建议:最好在新装的系统上来安装AD,这样不容易出问题。
安装AD时,选择了在本机安装DNS,但安装结束后,在DNS中未生成SRV记录?
如果决定在安装AD过程中在本机安装DNS,应在安装前,将本机TCP/IP配置中的DNS服务器指向自己,这样在安装AD完成后重启时,SRV记录将被自动注册到DNS服务器的区域当中去的,生成四个以下划线开头的文件夹,如_msdcs。 03DNS在这里夹的层次结构有所变化,将_msdcs域名夹提升了一级,直接放到了查找区域下,但本质没变。 如果安装前忘了将DNS指向自己,也可以后补上。然后到计算机管理/服务下,重启Net Logon服务即可。这样可以把启动时未能注册到DNS服务器的SRV记录(缓存在windows\system32\cache中)写入DNS。如果仍然不行的话,那只好重启DC了。
安装子域失败。
在保证权限(需要林管理员权限,不要误以为是父域管理员权限)、DNS没问题的情况下,最常见的安装子域失败的原因就是域命名主控失效,出错提示为:“由于以下原因, *** 作失败:AD无法与域命名主机xxx联系。指定的服务器无法运行指定的 *** 作。”
说明:域命名主控要正常工作,它本身要求GC必须可用。这是由于:为了保证域的名字在林中唯一,域命名主机需要查询GC。若是2000林,GC必须和域命名主机在同一台计算机上才行。若是2003林,不要求GC必须和域命名主机非得在同一台计算机上。
解决:保证域命名主控联机,如果确信其已无法正常工作,可强制传给(查封seize)林内的任意一台DC,子域的DC也可以。原来的主控必须被重做系统后,才可连入网络,以保证域命名主控的林唯一性。
修改用户密码需要几分钟,甚至更长的时间。
前面我们介绍过:PDC仿真主控负责最小化密码变化的复制等待时间,若一台DC接受到密码变化的请求,它必须通知PDC仿真主控。若是PDC仿真主机失效,收到该请求的DC必须经过一段时间的查找后,确认真的找不到PDC仿真主控了,才会自己修改用户密码。所以在此情况下,应首先检查PDC仿真主控。 如果确信其已无法正常工作,可强制传给(查封seize)域内的任意一台DC。原来的主控必须被重做系统后,才可连入网络,以保证PDC仿真主控的域唯一性。
正常卸载AD时的常见问题
在实际工作中有时我们需要改变服务器角色,或者将实验中安装的DC回复到普通成员/独立服务器身份,这就要进行AD的卸载。
1、卸载时会提示给新的本地管理员设置密码
2、附加DC卸载后,仍在域中。
3、如果AD不能卸载,应从以下几方面考虑:
(1)网卡是否正常工作
即使你整个林中只有一台计算机,也要保证网卡正常工作,才能将AD卸载。网卡不工作或禁用网卡都会导致AD无法卸载,提示“卸载SYSVOL文件夹出错”
(2)权限
权限要求与安装AD时类似,若一个林中只有一个域,那么你要卸载的就是林根域,需要林管理员(Enterprise Admins)权限;卸载附加DC需要该域的域管理员(Domain Admins)权限;卸载子域或树,涉及到林结构的改变,也需要林管理员权限。
(3)DNS
一般应保证与安装时所用DNS一致。如果做了DNS规划,必须保证1中权限所要求的管理员身份能通过DNS找到相应DC,进行验证。
(4)域命名主控
卸载时只要涉及到林结构的改变,就需要保证域命名主控有效;卸载附加DC时不要求域命名主控有效。
但要注意的是:卸载时,域命名主控失效的出错信息与安装时的“AD无法与域命名主机xxx联系”提示不同,具体是:由于以下原因, *** 作失败。以提供的凭据绑定到服务器xxx失败。“RPC服务器不可用”。Windows2000一个最大的创新之处就是引入了Active Directory(活动目录),活动目录在网络的组织和管理方面起到了巨大的作用,如果你想最大限度的发挥Windows2000的作用的话,必需理解什么是活动目录。下面我就简要介绍一下活动目录,希望对大家学习Windows2000有所帮助。
在计算机网络术语中,目录代表存储网络上对象信息的一种层次结构。网络上的对象包括共享资源(例如服务器、打印机、网络用户以及计算机帐号等)、域、应用程序、服务、安全方针等等的你的网络中的一切事物。一个最典型的例子就是一个网络目录存储一个用户帐号时,它存储了用户的姓名、密码、电子邮件地址、电话号码等等。
目录服务区别于目录的地方在于,目录服务能够把目录中存储的信息提供给管理员,用户,网络服务或应用程序。理想情况下,目录服务使网络的物理拓扑结构和协议对用户来说是透明的,用户可以进入任何资源而不用知道它们之间是怎样以及在哪里连接的。如上面提到的那个例子,正是目录服务才使得同一网络中的其它授权用户能够了解到该用户目录中存储的信息(如电子邮件地址)。
目录服务具有广泛的接受力,可以与 *** 作系统结合,也可以与应用程序结合。Windows2000成功的把目录服务与 *** 作系统结合在一起,生成了活动目录,它提供了对用户,计算机和共享资源的管理。就象Microsoft Exchange的email目录服务,它使用户能够查找其它用户的电子邮件地址以便于发送电子邮件。
活动目录,Windows2000服务器版 *** 作系统的一种新的目录服务,只能运在域控制器上,它除了能够提供存储信息的场所,提供服务以使信息可用外,还可以保护网络对象不被非授权用户进入,通过网络复制对象以便在域控制器崩溃时数据不会丢失。
Windows2000中的活动目录具有如下特点:
与DNS(域名服务器)紧密结合:Windows2000中的活动目录和DNS紧密结合在一起,这利于在TCP/IP网络中计算机之间的相互识别和通讯。
灵活的查询功能:管 或用户可以使用开始菜单中的查找命令,桌面上的我的网络位置图标,或活动目录用户和计算机插件查找网络上任何一个对象以及其属性。例如,你可以用姓,名,电子邮件,办公地点,或其它用户帐号的属性来查找一个用户。
可扩展性:Windows2000的活动目录具有很强的可扩展性,管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如,你可以给每一个用户对象增加一个购物授权属性,然后存储每一个用户购买权限作为用户帐号的一部分。
以策略为基础的管理:组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录,域,或组织单元的组策略对象(GPOs)中。GPOs设置决定目录对象和域资源的进入权,什么样的域资源可以被用户使用,以及这些域资源怎样使用等。
可升级性:活动目录中含有一个或多个域,每一个域又有多个域控制器,使你能够升级目录来满足任何网络要求。多个域可以合并为一个域树,多个域树可以合并为一个森林。在最简单的结构中,一个单域网络既是一个域树,同时又是一个森林。
信息的可复制性:活动目录采用多控制复制,这样可以使你在任何域控制器上更新目录。在一个域中使用多域控制器可以提供错误容差和负载平衡。如果单域中的一个域控制器变慢、停止,或出现错误时,同一个域中的其它域控制器可以提供必要的目录进入,因为它们含有同样的目录数据。
信息的安全性:用户授权管理和目录进入控制已经整合在活动目录当中了,而它们都是Windows2000 *** 作系统的关键安全措施。活动目录集中控制用户授权,柯冀�肟刂撇恢荒茉诿恳桓瞿柯贾械亩韵笊隙ㄒ澹��一鼓茉诿恳桓龆韵蟮拿扛鍪粜陨隙ㄒ濉3�酥�猓�疃�柯蓟箍梢蕴峁┐娲⒑陀τ贸绦蜃饔糜虻陌踩�呗浴/p>
可互用性:因为活动目录是以标准目录进入协议为基础的,因此它可以与使用这些协议的的其它目录服务相互 *** 作。许多应用程序界面(API)都允许开发者进入这些协议,例如活动目录服务界面(ADSI)。
好了,活动目录的简要介绍就到此为止。需要告诉大家的是,如果大家想深入的了解Windows2000服务器版 *** 作系统的话,一定要先从活动目录开始,这样你才会领略到Windows2000的精髓。
微软在Windows NT Server 40中就已经贯彻了目录服务的思想。NT的"域(domain )"的概念是目录服务的一个基本单元。"一次登录,Single Logon"在Windows NT Server 的环境下有了具体的应用,比如Internet Information Server、Exchange Serv er、SQL Server等都可以与Windows NT Server的账号验证集成起来,用户一次登录就可以获得Web、Email和数据库等多种多样的网络服务。 Windows 2000 Server在Windows NT Server 40的基础上,进一步发展了"活动目录(Active Directory)"。活动目录充分体现了微软产品的"ICE",即集成性(Inte gration),深入性(Comprehensive),和易用性(Ease of Use)等优点。活动目录是一个完全可扩展,可伸缩的目录服务,既能满足商业ISP的需要,又能满足企业内部网和外联网的需要。
AD域认证是指TSM系统终端代理使用第三方库执行主要认证业务,TSM系统的AD域认证过程主要涉及到三个角色,分别是:TSM服务器、AD域控、终端代理。 AD是原Protel软件开发商Altium公司推出的一体化的电子产品开发系统,运行在WindowsXP、Windows7 *** 作系统。
TSM的核心功能是提供集中的数据备份管理,能够为大型的企事业单位提供可靠的集中数据备份管理,是业界最主要的备份软件之一。TSM能够提供稳定先进的架构,强大的备份功能支持,和更好的可扩展性。
AD主要是原Protel软件开发商Altium公司推出的一体化的电子产品开发系统,运行在WindowsXP、Windows7 *** 作系统。这套软件通过把原理图设计、电路仿真、PCB绘制编辑、拓扑逻辑自动布线、信号完整性分析和设计输出等技术的完美融合。
扩展资料:
AD域认证TSM系统基本功能:
一、企业级的存储数据管理
TSM是一个功能非常全面的解决方案,能够提供企业级的存储数据管理功能。从信息生命周期的角度来看,TSM能够提供数据保护,数据归档,分级存储以及数据的销毁等一系列功能。因此,TSM不仅仅是一个数据备份软件,能够提供以数据备份为主的更多的数据管理功能。
二、集中的数据备份与恢复管理
TSM存储管理软件能够为用户提供专业的数据备份功能,能够提供多种级别的数据备份,如文件系统备份,应用系统备份,数据库备份,邮件系统备份, *** 作系统备份等不同的备份类别。TSM能够支持绝大多数主流 *** 作系统平台,主流的应用。
根据用户需求为不同的用户定制合适的备份解决方案。由于用户绝大多数的存储数据管理需求主要集中在集中备份方面,所以TSM更多的是被作为一个备份软件介绍给大家,因此,在本文中也主要介绍TSM的备份管理功能。
三、专业的数据归档管理功能
TSM存储管理软件提供专业的文件系统数据归档功能,TSM的数据归档功能构建于TSM基础架构之上,不需要额外安装其他软件模块,也不需要用户单独付费。TSM提供独立的归档策略,能够为不同的数据对象指定不同的归档保存时间。
四、高效的分级存储功能
TSM存储管理软件能够提供专业的文件系统分级存储功能,能够将磁带等存储设备作为文件系统的二级存储,定制策略将访问较少的文件从服务器的文件系统迁移到TSM所管理的磁带库中,并在本地保留一个存根文件,整个过程可以自动完成,也可以手动迁移。
五、流程化的灾难恢复管理
TSM存储管理软件提供流程化的灾难恢复管理功能,TSM内置一个灾难恢复管理模块(DRM),通过DRM能够对灾难恢复进行规范的流程管理,包括离线磁带的跟踪和回收,能够对磁带状态进行自动设置更新。
并能够对整个恢复流程提供所需要的配置信息,恢复脚本,可以指导管理员顺利的完成整个恢复过程。TSM还提供通过网络进行数据传输的容灾方式,能够将一套TSM系统的数据通过专业技术传输到另外一套TSM系统,从而完成基于网络的数据级容灾。
参考资料来源:百度百科-AD
参考资料来源:百度百科-TSM(全面维护系统)
从Windows 2000域升级到Windows 2003域的问题,建议您参考以下步骤:1.确认当前的Windows 2000域控制器工作正常,并且都打了Service Pack 4和最新的安全补丁。
2.确认Windows 2000活动目录中的5个FSMO角色都在第一台Windows 2000域控制器上(默认情况就是这样的),关于Windows 2000活动目录中FSMO角色的概念及查看方法,请参考下面两篇文档:
《Windows 2000 Active Directory FSMO 角色》:
>现在你想更换一台AD,
正常的步骤是这样:
1、添加一台机器。安装好windows server系统,打好补丁。
2、加入到现有域,dcpormo提升为域控。
3、将原先的DC上的功能全部转移到这台DC上,主要的有:FSMO角色,GC功能。DNS设置成AD集成,DHCP功能。
4、完成后将原因DC,dcpromo降级,成主成员服务器。新的域控服务器DNS服务器设置成本机IP,DHCP上将首先DNS服务器设置成新的。或者将这台DCIP改成将要替换的。原先的关机。
5、这个正常的步骤。
————————————————————————————
如果按照你的做法。除非人的环境,只有5台客户机,一般没那么做的。完全建立一个域,所以客户机需要重新加入域,重新设定。
通常我们的域有2台以上的DC才为合理。
参考:
>
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)