第03讲 活动目录和域

• 输入要加入的域的 名字asia.xyz.com • 输入要加入的域的 管理员账户和密码
• 重新启动计算机
52 / 80
成员服务器、独立服务器

3. 成员服务器降级为独立服务器
• 选择“工作组”，并 输入从域中脱离后要 加入的工作组的名字 • 输入要脱离的域的管 理员账户和密码 • 重新启动计算机即可
从“开始”→“管理工具”→“Active Directory 用户和计算机”菜单中，打开Active Directory 用 户和计算机窗口，确认活动目录是否已经正常
27 / 80
添加额外的域控制器


域中的不同域控制器的地位是平等的，它们都有所 属域的活动目录的复本，多个域控制器可以分担用 户登录时的验证任务，同时还能防止单一域控制器 的失败而导致网络的瘫痪。 在域中的某一域控制器上添加用户时，域控制器会 把活动目录的变化复制到域中别的域控制器上。在 域中安装额外的域控制器，需要把活动目录从原有 的域控制器复制到新的服务器上
46 / 80
成员服务器、独立服务器
服务器角色的变化
47 / 80
成员服务器、独立服务器

1. 域控制器降级为成员服务器


输入“dcpromo”命令 回答是是否域中的最后一个域控制器
48 / 80
成员服务器、独立服务器
输入新的管理员密码
49 / 80
成员服务器、独立服务器

2. 独立服务器提升为成员服务器
57 / 80
Active Directory域和信任关系

选择xyz.com，右击鼠标，选择“属性”菜单，可以 打开域的属性窗口，选择“信任”选项卡，如图可以 看到xyz.com和其他域的信任关系。
58 / 80
Active Directory域和信任关系

2. 创建新的信任关系

asia.xyz.com信任abc.com ，要建立信任关系必须在 asia.xyz.com域中创建一个传出信任，用来信任abc.com ；而 同时还要在abc.com中创建传入信任，用来被asia.xyz.com信任。 如果要创建的是aisa.xyz.com和abc.com双向信任，则在 asia.xyz.com和abc.com两个域都必须分别创建一个传出信任和 一个传入信任

确认“本地连接”属性TCP/IP中首选DNS指 向了自己 输入“dcpromo”命令打开“Active Directory 安装向导”
22 / 80
创建第一个域xyz.com
• 选择“只在这台计算机上安装并配置DNS”。这样在 安装活动目录时可以一同安装DNS，并且把首选 DNS指向自己 • 输入新域的DNS全名



确认“本地连接”属性中的TCP/IP首选DNS指向 了asia.xyz.com域的DNS服务器 从“开始”→“控制面板”→“系统”菜单中， 打开“系统属性”窗口，选择“计算机名”选项 卡 点击“更改”按钮，打开“计算机名称更改”窗 口
50 / 80
成员服务器、独立服务器
51 / 80
成员服务器、独立服务器
53 / 80
Active Directory用户和计算机
54 / 80
Active Directory用户和计算机
55 / 80
Active Directory用户和计算机
56 / 80
Active Directory域和信任关系

1. 域林中的信任

子域和父域的双向信任关系是在安装域控制器时 就自动建立的，同时由于域林中的信任关系是可 传递的，因此同一域林中的所有域都显式或者隐 式地相互信任。
15 / 80
活动目录和DNS


Windows Server 2003的活动目录和DNS是 紧密不可分的，它使用DNS服务器来登记域 控制器的IP、各种资源的定位等 在一个域林中至少要有一个DNS服务器存在。 Windows Server 2003中域的命名也是采用 DNS的格式来命名的。
16 / 80
23 / 80
创建第一个域xyz.com
•指定新的NetBIOS名
•可以改变活动目录数据库以及日志存放的路径
•选择在该计算机上安装DNS
24 / 80
创建第一个域xyz.com
如果网络中只有 Windows 2000 Server 和Windows Server 2003的服务器，可以选 择“只与Windows 2000 或Windows Server 2003操作系统兼容的权 限”
61 / 80
Active Directory域和信任关系
34 / 80
创建子域
35 / 80
创建子域
• 输入父域的域名以及管理员的账号、密码 • 输入父域的域名和新的子域的域名，子域的域名不 需要包括父域域名
百度文库
36 / 80
创建子域
输入子域的NetBIOS名
37 / 80
创建域中的第二棵域树
在w2003-1.xyz.com服务器上要创建新的DNS域abc.com
6 / 80
为什么需要域

A域信任B域，A称为信任域（Trusting Domain），B称为被信任域（Trusted Domain），B域的用户可以访问A域中的资源
单向信任关系
7 / 80
双向信任关系
为什么要域树（Domain Tree）

信任关系有可传递和不可传递之分


A信任B，B又信任C，如果信任关系是可传递的， A就信任C A信任B，B又信任C，如果信任关系是不可传递的， A就不信任C。
4 / 80
为什么需要域
5 / 80
网络划分成多个域
为什么需要域


划分成小的网络后（域），问题又产生了。 在域1中的用户登录后可以访问域1中的服务 器上的资源，域2的用户可以访问域2中的服 务器上的资源；域1的用户却访问不了域2中 的服务器上的资源，域2的用户也访问不了域 1中的服务器上的资源。 为了解决用户跨域访问资源的问题，可以在 域之间引入信任
59 / 80
Active Directory域和信任关系

在asia.xyz.com中的域属性窗口中的信任选项卡中， 单击“新建信任”按钮，打开“欢迎使用新建信任 向导”窗口，单击“下一步”；输入域的名称 abc.com
60 / 80
Active Directory域和信任关系

选择信任关系的方向，可以是双向、单向传入、单 向传出，双向的信任关系实际上是由两个单向的信 任关系组成的，因此也可以通过分别建立两个单向 的信任关系达到建立双向信任关系
42 / 80
创建域中的第二棵域树
43 / 80
创建域中的第二棵域树
44 / 80
创建域中的第二棵域树
45 / 80
成员服务器、独立服务器

Windows Server 2003服务器在域中可以有三种角色： 域控制器、成员服务器和独立服务器。



当一Windows Server 2003服务器安装了活动目录，服务 器就成为了域控制器，域控制器可以对用户的登录等进行 验证 Windows Server 2003可以仅仅加入到域中，而不安装活 动目录，这时服务器的主要目的是为了提供网络资源，服 务器称为成员服务器 独立服务器和域没有什么关系，当服务器不加入到域中也 不安装活动目录，服务器就称为独立服务器了
为什么需要域
如果资源分布在多台服务器上，要在每台服务器分别为每 一员工建立一个账户（共M*N），用户则需要在每台服务器 上（共M台）登录
2 / 80
为什么需要域


服务器和用户的计算机都在同一个域中，用 户在域中只要拥有一个账号 用户只需要在域中拥有一个域账户，只需要 在域中登录一次就可以访问域中的资源了。


17 / 80
全局编录

全局编录包含了整个活动目录中每一个对象 的最重要的属性（即部分属性，而不是全部）
18 / 80
用户访问资源的过程

1. 访问本地域中的资源
19 / 80
用户访问资源的过程

2. 访问跨域的资源
20 / 80
创建第一个域xyz.com
21 / 80
创建第一个域xyz.com
31 / 80
添加额外的域控制器
32 / 80
添加额外的域控制器
• 完成安装后，重新启动计算机。 • 在“开始”→“管理工具”→“Active Directory用户 和计算机”中，可以看到xyz.com有了两个域控制器。
33 / 80
创建子域


设置“本地连接”属性中的TCP/IP协议，把 首选DNS指向用来支持父域xyz.com的DNS 服务器 输入“dcpromo”命令
38 / 80
创建域中的第二棵域树
39 / 80
创建域中的第二棵域树
40 / 80
创建域中的第二棵域树
abc.com DNS域已经创建
41 / 80
创建域中的第二棵域树


确认w2003-3服务器上“本地连接”属性中 的TCP/IP的首选DNS指向了w20031.xyz.com 输入“dcpromo”命令
3 / 80
为什么需要域



用户信息存放在域中的域控制器(DC， Domain Controller)上 当网络有十万个用户甚至更多，域控制器存 放的用户数据量将很大，更为关键的是如果 用户频繁登录，域控制器可能因此而不堪重 负。 分成多个域，每个域的规模控制在一定的范 围之内。实际上，分成小的域不仅仅出于服 务器不堪重负的原因，更多的是出于管理上 的要求。
12 / 80
域林（Domain Forest）

域树中的域的名字和DNS域的名字非常相同， 在Windows 2000 Server以后的系统中，域和 DNS域的关系非常密切，因为域中的计算机 使用DNS来定位域控制器和服务器以及其它 计算机、网络服务等，实际上域的名字就是 DNS的域的名字。
13 / 80
25 / 80
创建第一个域xyz.com





输入活动目录的恢复密码 需要花费较长时间 确定“本地连接”属性中的TCP/IP设置，检 查首选DNS是否指向了自己，确认后才重新 启动计算机 重新启动计算机 重新启动计算机时，由于活动目录的存在， 启动时间会变长
26 / 80
创建第一个域xyz.com
10 / 80
为什么要域树（Domain Tree）
11 / 80
为什么要域树（Domain Tree）


域树中，信任关系是可传递的。父域和子域的信 任关系是双向可传递的，结果是域树中的一个域 隐含地信任域树中所有地域。图中共有7个域，所有 域相互信任也只需要6个信任关系，远比之前的 7*6/2=21个信任关系要少得多。 域树中，域的名字是从父域派生出来的。
28 / 80
添加额外的域控制器



保证w2003-2服务器和现在的域控制器 w2003-1能否正常通信 确认“本地连接”属性中TCP/IP的首选DNS 指向了原有域中支持活动目录的DNS服务器 输入“dcpromo”命令
29 / 80
添加额外的域控制器
30 / 80
添加额外的域控制器
输入原有域的域名、管 理员账号和密码
活动目录中的组织单元（OU， Organization Unit）

1. 对象


用户、计算机、打印机、组等等 每个对象都有自己的属性以及属性值
组织单元把这些对象按逻辑进行分组，便于管理、 查找、授权和访问。 组织单元有许多划分方法，也可以根据地理位置 进行划分

2. 组织单元（OU，Organization Unit）
域林（Domain Forest）


企业可能同时拥有xyz.com和abc.com两个DNS域名 ，这时 候会派生出两棵域树。 这两个域树共同构成了域林。在同一域林中的域树的信任关系 也是双向可传递的。
14 / 80
什么是活动目录


我们的电话本、地址本也是一种目录，微软 的活动目录（AD，Active Directory）也是一 种存放信息的方式而已 域控制器（DC，Domain Controller）上存放 有域中所有用户、组、计算机等信息。域控 制器就把这些信息存放在活动目录中，活动 目录实际上就是一个特殊的数据库
8 / 80
为什么要域树（Domain Tree）

在一个企业中可能有很多域，如果要互相跨域访问资 源，需要建立多个信任。必须创建多个双向信任关系： n*(n-1)/2
9 / 80
为什么要域树（Domain Tree）

之所以会这样，是因为A、B、C、D、E域被 看成是独立的域，所以信任关系被看成不可 传递，而实际上A、B、C、D、E域都是在同 一企业中，很可能B是A的主管单位，C又是B 的主管单位