网络组建 安装活动目录服务

网络组建安装活动目录服务

活动目录(Active Directory)是用于Windows 2003的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。

活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。

1．DNS与活动目录

由于活动目录与DNS是集成的，并且共享相同的名称空间结构，因此注意两者之间的差异非常重要：

●DNS是一种名称解析服务

DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收名称查询，并且解析名称查询，或者进行名称解析。DNS不需要活动目录可以独立运行。

●活动目录是一种目录服务

活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol，LDAP)”向活动目录服务器发送查询。然后要定位活动目录服务器，活动目录客户机将查询DNS。即活动目录用于组织资源，而DNS用于查找资源；只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。2．规划活动目录

为了让用户和管理员操作更为方便，在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计。

●规划DNS

如果用户准备使用活动目录，则需要首先规划名称空间。在Windows 2003中，用DNS 名称命名活动目录域。选择DNS名称用于活动目录域时，以保留在Internet上使用的已注册DNS域名后缀开始(如)，并将该名称和单位中使用的地理(部门)名称结合起来，组成活动目录域的全名。

●规划用户的域结构

最容易管理的域结构就是单域。规划时，用户应从单域开始，并且只有在单域模式不能满足用户的要求时，才增加其他的域。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。在一个域中，可以使用组织单元(OU，Organizational Units)来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。

●规划用户的委派模式

用户可以将权限下派给单位中最底层，方法是在每个域中创建组织单元树，并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限，用户不再需要那些定期登录到特定账户的人员，这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组，可以仍保留这些账户以备少数管理员使用。

3．安装活动目录服务

首先，用户必须有安装活动目录的管理员权限，否则无法安装。在安装活动目录之前，要确保系统盘为NTFS分区。同时，已做好了DNS服务器的解析，如。

在安装活动目录前首先确定DNS服务正常工作，下面我们来安装根域为的域控制器。其操作步骤如下：

（1）执行【开始】|【控制面板】|【管理工具】|【配置您的服务器向导】命令，打开【配置您的服务器向导】对话框，如图6-13所示。

在打开的【配置您的服务器向导】对话框中，用户也可以添加或者删除以前添加到此服务器的角色。

图6-13 欢迎使用配置向导对话框

（2）在【欢迎使用“配置您的服务器向导”】对话框中，单击【下一步】按钮，打开【预备步骤】对话框。在该对话框中，用户可以查看要完成此向导需要预先完成所列出来的步骤。单击【下一步】按钮。

（3）此时，将弹出一个对话框，并开始检测用户的网络设置，如图6-14所示。检测完毕后，将自动弹出的【配置选项】对话框。

图6-14 检测网络设置

（4）在【配置选项】对话框中，用户可以选择“第一台服务器的典型配置”或者“自定义配置”单选按钮。例如，我们选择“自定义配置”选项，单击【下一步】按钮如图6-15所示。

在“第一台服务器的典型配置”选项中，将通过添加第一台服务器的一组常用角色来简化网络的设置。此选项通过安装Active Directory目录服务以及IP地址管理安装DNS服务器和DHCP服务器。

图6-15 【配置选项】对话框

（5）在【服务器角色】对话框中，选择“域控制器(Active Directory)”选项，单击【下一步】按钮，将启动活动目录安装向导。单击【下一步】按钮，如图6-16所示。

用户也可以运行位于C:\Windows\system32目录下的dcpromo.exe文件，启动活动目录安装向导。

图6-16 选择服务器角色

（6）在弹出的【选择总结】对话框中，将显示用户所选择的内容，并提示如果确认单击【下一步】按钮，要更改单击【上一步】按钮。例如，我们单击【下一步】按钮，确认我们所选择内容。

（7）此时，将应用用户所选择的内容，并且弹出【Active Directory安装向导】对话框。在【Active Directory安装向导】对话框中，单击【下一步】按钮。

（8）在弹出的【操作系统兼容性】对话框，将提示在Windows 95和Windows NT 4.0 SP3或更早版本将无法满足这些新的要求。单击【下一步】按钮。

（9）由于用户所建立的是域中的第一台域控制器所以在【域控制器类型】对话框中选择“新域的域控制器”选项。单击“下一步”按钮。

（10）在【创建一个新域】对话框中，将显示“在新林中的域”、“在现有域树中的子域”和“在现有的林中的域树”三个选项，如图6-17所示。例如，我们选择“在新林中的域”选项。单击“下一步”按钮。

图6-17 合建一个新域

（6）在【新的域名】对话框中的“新域的DNS全名”文本框中输入需要创建的域名，这里是。单击【下一步】按钮。

（12）在【NetBIOS名】对话框中，更改NetBIOS名称。运行非Windows操作系统客户端将使用NetBIOS域名。可保持默认设置，单击【下一步】按钮。

（13）在【数据库和日志文件文件夹】对话框中，将显示数据库、日志文件的保存位置，