域控制器(活动目录)

1. 启动Windows Server 2003系统自动打开“Server 2003配置服务器” 窗口，或者选择“开始”/“程序”/“管理工具”/“配置服务器”，打 开如图10-1所示配置服务器向导窗口。 2. 单击“下一步”，出现一个配置服务器向导的预备步骤窗口，以确认 所提到的步骤已完成。单击“下一步”，出现检测网络设置窗口，如 图10-2所示。 3. 接下来出现配置选项窗口，我们选择“自定义配置”选项，单击“下 一步”，出现服务器角色窗口，也就是你想让你的服务器担任的角色， 我们从列表中选择“域控制器”。如图10-3所示。单击“下一步”按 钮，出现确认窗口，以确认选择了正确角色。单击“下一步”，出现 “Active Directory安装向导窗口”,如图10-4所示。 也可省去前面步骤，直接通过“开始”/“运行”，打开“运行”对话框， 输入dcpromo命令，单击“确定”按钮，打开如图10-4所示的对话框。
活动目录的基本概念 活动目录的规划与安装 域控制器的管理 用户账户和计算机账户的管理 组和组织单位的管理 资源发布和域的管理
4.1 活动目录的基本概念
4.1.1 Windows Server 2003活动目录功能 简介 4.1.2 Active Directory的组织实现 4.1.3 Windows 网络的实现
图10-4 Active Directory安装向导窗口 5.单击“下一步”，“Active Directory安装向导”会询问新建的 域控制器的性质，如图10-5，我们选择“新域的域控制器”。
安装活动目录（5）
6.单击“下一步”，打开如图5-6所示的“创建一个新域”对话框，如果所创建 的域为单位的第一个域，或者希望所创建的新域独立于现有目录林，可选择“新 林中的域”。如果希望新的域成为现有域的子域，则选择“现有域中的子域”。 如想创建一个与现有域树分开的、新的域树，则选择“在现有林中的域树”。这 里我们选择“新林中的域”。
安装活动目录（2）
图10-1 “Server 2003配置服务器”窗口
图10-2 显示活动目录内容
安装活动目录（3）
4.单击“下一步”，打开“操作系统兼容性”对话框。其大意是早 期的Windows版本无法登录Windows Server 2003创建的域。
图10-3 服务器角色配置窗口
安装活动目录（4）
第4章 活动目录
教学要求: 通过本章学习，对Active Directory有一 个初步的了解，并且还可以动手对 Active Directory的安装管理进行配置。 教学提示 活动目录可以将网络中各种对象组织起 来进行管理。这样，既有利于用户对网 络的管理，又加强了网络的安全性。

学习目标

域控制器


域控制器是存储活动目录数据库的计算机 一个域最少一台域控制器 多台域控制器需要同步数据库
复制
域控制器
域控制器
域
站点


每个地理位置中的若 干台域控制器可以划 分为一个站点 站点内部优先同步活 动目录数据库，同步 后再和其他站点中的 域控制器同步
站点1
远程线路
站点2
域控制器
4.2 活动目录安装与卸载
图10-7 指定新域名
图10-8 指定NetBIOS
安装活动目录（7）
9.单击“下一步”，打开如图10-9所示的“数据库和日志文件文件夹” 对话框，在“数据库文件夹”文本框中输入保存数据库的位置，或者单 击“浏览”按钮选择路径，在“日志文件夹”文本框中输入保存日志的 位置或单击“浏览”按钮选择路径。 注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志 保存在不同的硬盘上。 10. 单击“下一步”，打开如图10-10所示的“共享的系统卷”对话框， 在Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它 的内容将被复制到域中的所有域控制器上。在“文件夹位置”文本框中 输入Sysvol文件夹位置，如本例中对应文件夹为c:\WINNT\SYSVOL，或 单击“浏览”按钮选择路径。 4. 单击“下一步”，会出现“Active Directory安装向导”的DNS注册诊 断程序对话框，如图10-4。我们选择“在这台计算机上安装并配置DNS 服务器，并将这台DNS服务器设为计算机的首选DNS服务器”。
图10-15 配置活动目录
图10-16 完成活动目录的安装
安装活动目录（12）
活动目录安装完成之后，必须重新启动计算机，活动目录才会生效。 注意：在活动目录安装之后，不但服务器的开机和关机时间变长，而且系统 的执行速度变慢。所以，如果用户对某个服务器没有特别要求或不把它作为域 控制器来使用，可将该服务器上的活动目录删除，使其降级为成员服务器或独 立服务器。 成员服务器是指安装到现有域中的附加域控制器；独立服务器是指在名称空 间目录树中直接位于另一个域名之下的服务器。删除活动目录使服务器成为成 员服务器还是独立服务器，取决于该服务器的域控制器的类型。如果要删除活 动目录的服务器不是域中的唯一的域控制器，则删除活动目录将使该服务器成 为成员服务器；如果要删除活动目录的服务器是域中最后一个域控制器，则删 除活动目录将使该服务器成为独立服务器。 要删除活动目录，打开“开始”菜单，选择“运行”命令，打开“运行”对 话框，输入dcpromo命令，然后单击“确定”按钮，打开“Active Directory 安装向导”对话框，并沿着向导进行删除，这里不再细述其过程。
组织单位（Organizational Unit，OU）是域中包含的一类目录对象， 它包括域中一些用户、计算机和组、文件与打印机等资源。不过，组织单 位不能包含其他域中的对象。由于活动目录服务把域又详细的划分成组织 单位，且组织单位中还可以再划分下级组织单位，因此组织单位的分层结 构可用来建立域的分层结构模型，进而可使用户把网络所需的域的数量减 至最小。 注意：组和组织单位有很大的不同。组主要用于权限设置，而组织单位 则主要用于网络构建；另外，组织单位只表示单个域中的对象集合（可包 括组对象），而组可以包含用户、计算机、本地服务器上的共享资源、单
4.3.2 管理Active Directory对象




安装者必须具有本地管理权限 操作系统必须满足条件（Windows Server 2003 Web版除外都满足） 本地磁盘至少有一个分区是NTFS文件 系统 系统盘应该有最少300MB的剩余空间。 安装TCP/IP协议和相应的DNS服务器支 持。
安装活动目录（1）
安装活动目录具体步骤如下：
安装活动目录（8）
图10-10 指定系统卷共享文件夹
图10-9 指定活动目录的数据库和日志文件的文件夹
安装活动目录（9）
12. 单击“下一步”，打开如图10-12所示的“权限”对话框，为用户和组选择 默认权限，如果单位中还存在或将要用Windows 2000的以前版本，选择“与 Windows 2000 之 前 的 服 务 器 操 作 系 统 兼 容 的 权 限 ” 。 否 则 ， 选 择 “ 只 与 Windows 2000或Windows Server 2003操作系统兼容的权限”。
图10-5 选择域控制器的类型
图10-6 选择创建域的型
安装活动目录（6）
7. 单击“下一步”，打开如图10-7所示的指定域名对话框，在“新域的 DNS全名”文本框中输入新建域的DNS全名，例如wgzx.edu.cn。 8. 单击“下一步”，打开如图10-8所示的“NetBIOS域名”对话框，在 “域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。 NetBIOS域名是供早期的Windows用户用来识别新域的。
图10-13 输入目录服务恢复模式管理员密码
图10-14 确认选定的选项
安装活动目录（4）
15.单击“下一步”，系统开始配置活动目录，中间将需要Windows Server 2003 安装光盘，如图10-15所示。此时如果将2003光盘放入光驱，系统会自动完 成对DNS服务器得配置。 16.经过几分钟之后，配置完成。同时，打开“完成Active Directory安装向 导”对话框，如图10-16所示，单击“完成”，即完成活动目录的安装。
图10-4 DNS注册诊断
图10-12 权限设置
安装活动目录（10）
13. 单击“下一步”，打开“目录服务还原模式的管理员密码”对话框， 如图10-13所示，输入并牢记该密码，以备将来目录服务还原模式下使用。 14. 单击“下一步”，打开“摘要”对话框，如图10-14所示。通过该对 话框，用户可检查并确认设置的各个选项。
组和组织单位的管理
组是Server 2003从Windows 2000系统继承下来的安全管理形式，它是 指活动目录或本地计算机对象，包含用户、联系人、计算机和其他组等。 在Server 2003中，组可以用来管理用户和计算机对网络资源的访问，例 如活动目录对象及其属性、网络共享、文件、目录、打印机队列，还可以 筛选组策略。使用组，方便了管理访问目的和权限相同的一系列用户和计 算机账户。
域
域
Domain
Domain
对象
OU
OU
OU
域 OU-组织单位
森林
域、域树、域森林
双向信任关系
Abc.com Beijing.abc.com Tianjin.abc.com
树
Xyz.com Beijing.xyz.com Tianjin.xyz.com
双向信任关系
树



根域下面可以建立多层子域 域和子域构建成域树 多棵域树构建成森林 域之间自动建立双向信任关系
4.3 Active Directory对象和对象的管理
4.3.1 对象简介
用户账户（User Account）：记录登录域的用户的信 息。 组(Group)： Active Directory或本地计算机对象，包 含用户、联系人、计算机和其他组等。 共享文件夹(Shared Folder)：指向共享文件夹的指针对 象，指针对象中含有某些资料的地址。 打印机(Printer)：指向域中计算机上打印机的指针对象。 计算机(Computer)：域成员计算机。 域控制器(Domain Contorller)：域的管理核心。 组织单位(OU)：域中包含的一类目录对象，它包括域 中一些用户、计算机、组、文件与打印机等资源。
检验安装结果
在安装完成后，可以通过以下方法检验Active Directory安装是否 正确，在安装过程中一项最重要的工作是在DNS数据库中添加 服务记录（SRV记录），下面介绍一下如何检查安装结果。 1．检查DNS文件的SRV记录。 用 文 本 编 辑 器 打 开 %SystemRoot%/system32/config/ 中 的 Netlogon.dns 文 件 ， 察 看 LDAP 服 务 记 录 ， 在 本 例 中 为 _ldap._tcp.wgzx.edu.cn. 600 IN SRV 0 100 389 shenlan.wgzx.edu.cn 。 2．验证SRV记录在NSLOOKUP命令工具中运行是否正常。 （1）在命令提示行下，输入NSLOOKUP； （2）输入set type=srv； （3）输入_ldap._tcp.wgzx.edu.cn。 如果返回了服务器名和IP地址，说明SRV记录工作正常。
OU2 Users 域控制器 User2
Printers
域
Printer1
OU1
OU2
User1 Computer1 User2 Printer1
域及目录服务概述



活动目录是一个数据库 活动目录是一个目录服 务 可以定制活动目录 简化的管理 可扩展性 便捷的网络资源访问
域树
域
Domain
OU-组织单位


OU是活动目录中的一种对象 OU中可以建立子对象 利用OU可以模拟管理模型
对象
OU
OU
OU
Domain
Βιβλιοθήκη Baidu域概述

OU1
Computers Computer1 Users
User1


域是基本管理 单位 域中可包含大 量对象 – 计算机 – 用户 – 打印机 – 共享文件夹 域是活动目录 的组成部分