Windows活动目录介绍及安装

出处：本站收集于网络作者：请作者联系时间：2004-10-8 10:48:00

一、活动目录介绍

（一）目录服务

目录，是一个数据库，存贮了网络资源相关的信息，包括了资源的位置、管理等信息。

目录服务是一种网络服务，目录服务标记管理网络中的所有实体资源（比如计算机、用户、打印机、文件、应用等），并且提供了命名、描述、查找、访问以及保护这些实体信息的一致的方法，使网络中的所有用户和应用都能访问到这些资源。

（二）活动目录（Active Directory）

活动目录是Windows 2000完全实现的目录服务，也是Windows 2000网络体系的基本结构模型，是Windows 2000网络操作系统的核心支柱，也是中心管理机构。
Microsoft在Windows 2000中提供的活动目录是一个全面的目录服务管理方案，也是一个企业级的目录服务，具有很好的可伸缩性。活动目录采用了Internet的标准协议，它与操作系统紧密地集成在一起。活动目录不仅可以管理基本的网络资源，比如计算机对象、用户账户、打印机等，它也充分考虑了现代应用的业务需求，为这些应用提供了基本的管理对象模型，比如用户账户对象具有办公电话、手机、呼机、住址、上司、下属、电子邮件等属性。几乎所有的应用可以直接利用系统提供的目录服务结构，而且活动目录也具有很好的扩充能力，允许应用程序定制目录中对象的属性或者添加新的对象类型。

（三）活动目录的用处

（四）活动目录的逻辑结构

活动目录的逻辑结构非常灵活，它为活动目录提供了完全的树状层次结构视图，逻辑结构与前面我们讨论过的名字空间有直接的关系。逻辑结构为用户和管理员查找、定位对象提供了极大的方便。活动目录中的逻辑单元包括：域、组织单元（Organizational Unit，简称OU）、域树、域森林。

１、 域（Domain）

域既是Windows网络系统的逻辑组织单元，也是Internet的逻辑组织单元，在Windows 2000系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域。每个域都有自己的安全策略，以及它与其他域的安全信任关系。

２、 OU(Organizational Unit)

OU 是一个容器对象，我们可以把域中的对象组织成逻辑组，所以OU纯粹是一个逻辑概念，它可以帮助我们简化管理工作。OU可以包含各种对象，比如用户账户、用户组、计算机、打印机，甚至可以包括其他的OU。所以我们可以利用OU把域中的对象形成一个完全逻辑上的层次结构，对于一个企业来讲，我们可以按部门把所有的用户和设备组成一个OU层次结构，也可以按地理位置形成层次结构，还可以按功能和权限分成多个OU层次结构。由于OU层次结构局限于域的内部，所以一个域中的OU层次结构与另一个域中的OU层次结构完全独立。

３、树

当多个域通过信任关系连接起来之后，所有的域共享公共的表结构(schema) 、配置和全局目录(global catalog)，从而形成域树。域树由多个域组成，这些域共享同一个表结构和配置，形成一个连续的名字空间。树中的域通过信任关系连接起来。活动目录包含一个或多个域树。

４、森林

域森林 是指一个或多个没有形成连续名字空间的域树。域林中的所有域树共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos信任关系建立起来，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。

（五）其它

１、 域控制器(Domain Controller)

域控制器是指运行Windows 2000 Server版本的服务器，它保存了活动目录信息的副本。域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其他域控制器上。域控制器也负责用户的登录过程，以及其他与域有关的操作，比如身份认证、目录信息查找等。
一个域可以有多个域控制器。规模较小的域可以只需要两个域控制器，一个实际使用，另一个用于容错性检查；规模较大的域可以使用多个域控制器。
Windows 2000的域结构与Windows NT 4的域结构不同的是，活动目录中的域控制器没有主次之分，活动目录采用了多主机复制方案，每一个域控制器都有一个可写入的目录副本。在某一个时刻，不同的域控制器中的目录信息可能有所不同，一旦活动目录中的所有域控制器执行同步操作之后，最新的变化信息就会一致。

２、 活动目录与DNS

活动目录使用域名服务DNS作为它的定位服务，同时也对标准的DNS作了扩充。在活动目录中使用DNS的最大好处在于，我们可以使Windows 2000域与Internet上的域统一起来，即Windows域名也是DNS域名。

３、Active Directory命名规范

（１）辨别名( distinguished name (DN))

活动目录中的每一个对象都会有一个唯一的辨别名DN。DN由域名、对象名组成：
DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用户对象James Smith在contoso.com域中的Users组织单元中的Teacher单元中．

（２） User Principal Name : 由用户登录名和域名组成，如 JamesS@contoso.com

４、 域运行模式

（1）混合模式 。混合模式的域既可以有Windows 2000的域控制器，也可以有Windows NT 4的域控制器。这是一个过渡模式，利用这种模式，我们可以对现有的系统逐步升级。但是，在混合模式下，活动目录中有些功能不能很好地发挥出来。
（2）准模式 。活动目录的标准模式要求所有的域控制器都必须运行Windows 2000。只有在这个时候，活动目录的所有功能和特性才能充分体现出来。

行 Active Directory 安装向导将 Windows 2000 Server 计算机升级为域控制器会创建一个新域或者向现有的域添加其他域控制器。创建域控制器可以：
§　创建网络中的第一个域。
§　在树林中创建其他的域。
§　提高网络可用性和可靠性。
§　提高站点之间的网络性能。
　　要创建 Windows 2000 域，必须在该域中至少创建一个域控制器。创建域控制器也将创建该域。不可能有没有域控制器的域。如果确定用户的单位需要一个以上的域，则必须为每个附加的域至少创建一个域控制器。树林中的附加域可以是：新的子域、新域树的根。

在安装 Active Directory 前首先确定DNS服务正常工作，下面用户来安装根域为 nt2000.com 的域中第一台域控制器。
　　步骤1 利用配置服务器启动位于 %Systemroot%\system32 中的 Active Directory 安装向导程序 DCPromo.exe。
　　如图 6.4，单击"下一步"
　　步骤2 由于用户所建立的是域中的第一台域控制器所以选择"新域的域控制器" 单击"下一步"

步骤3 选择"创建一个新域的域目录树" ,单击"下一步"
　　步骤4 选择"创建一个新域的域目录林", 单击"下一步"
　　步骤5 在"新域的 DNS 全名"中输入要创建得域名，nt2000.com
　　如图 6.5,单击"下一步"

步骤6 安装向导自动将域控制器的 NetBIOS 名设置为 "nt2000" ,单击"下一步"
　　步骤7 显示数据库、目录文件及Sysvol 文件的保存位置，一般不必作修改。单击"下一步"
　　步骤8 配置 DNS 服务,单击"下一步",（如果在安装 Active Directory 之前未配置 DNS 服务器可以在此让安装向导配置 DNS ，推荐使用这种方法。）
　　步骤9 为用户和组选择默认权限，考虑到现在大多数单位中仍然需要使用 Windows 2000 的以前版本，所以选择"与 Windows 2000 服务器之前版本相兼容的权限"
　　如图 6.6,单击"下一步"

步骤10 输入以目录恢复模式下的管理员密码,单击"下一步"
　　步骤11 安装向导显示摘要信息,单击"下一步"开始安装如图6.7
　　步骤12 安装完成之后，重新启动计算机。
　　检验安装结果
　　在安装完成后，可以通过以下方法检验 Active Directory 安装正确，在安装过程中一项最重要的工作是在 DNS 数据库中添加服务记录( SRV 记录)。
1．检查 DNS 文件的SRV记录
　　用文本编辑器打开 %systemroot%/system32/config/ 中的 Netlogon.dns 文件，察看 LDAP 服务记录，在本例中为

_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.
2.验证 SRV 记录在 NSLOOKUP 命令工具中运行正常
　　步骤1 在命令提示行下，输入 NSLOOKUP
　　步骤2 输入 set type=srv
　　步骤3 输入 _ldap._tcp.nt2000.com
　　如果返回了服务器名和 IP 地址，说明 SRV 记录工作正常

6.2.3 安装第二台域控制器
　　在安装完第一台域控制器后其域名为 nt2000.com ,在上例中该服务器用于总公司，如果由于公司扩展的需要为其新建的工厂建立自己的域名和域控制器，则用户将工厂的域名定义为 man.nt2000.com ，由于此域名与 nt2000.com 是连续的域名，所以他们组成了一个目录树，今后随着工厂的发展用户还可以在这个目录树下继续逐级添加子域（如：accounting.man.nt2000.com），如果需要添加的域名与该目录树不连续（如：nt3000.com）则用户就需要建立一个新的目录树，这样由多个目录树组成了域目录林。
　　在安装第二台域控制器之前，首先检验它的IP设置和DNS设置，以保证可以访问域控制器（n2k_server.nt2000.com）。
　　步骤1 利用配置服务器启动位于 %Systemroot%\system32 中的 Active Directory 安装向导程序 DCPromo.exe 。如图6.4，单击"下一步"
　　步骤2 由于用户所建立的是域中的一台域控制器所以选择"新域的域控制器" 单击"下一步"
　　步骤3 选择"在现有域目录树中创建一个新的子域" ,单击"下一步"
　　步骤4 在"网络凭据"对话框中输入上一级域的域名及具有管理员权限的用户名和密码, 单击"下一步"
　　步骤5 在"子域安装"对话框中输入父域域名（nt2000.com）和子域域名（man）,在下方的子域完整域名中会自动显示 man.nt2000.com,单击"下一步"
　　步骤6 安装向导自动将域控制器的 NetBIOS 名设置为"man",用户也可以进行修改 ,单击"下一步"
　　步骤7 显示数据库、目录文件及 Sysvol 文件的保存位置，一般不必作修改。单击"下一步"

步骤8 为用户和组选择默认权限，考虑到现在大多数单位中仍然需要使用 Windows 2000 的以前版本，所以选择"与 Windows 2000 服务器之前版本相兼容的权限",单击"下一步"
　　步骤9 单击"下一步"开始安装，在重新启动后，在 n2k_server.nt2000.com 的" Active Directory 域和信任关系"中将显示新建的子域 man.nt2000.com 如图6.8

分享到：