Active Directory 是用于 Windows 2000 Server 的目錄服務(wù)。它存儲著網(wǎng)絡(luò)上各種對象的有關(guān)信息,并使該信息易于管理員和用戶查找及使用。Active Directory 目錄服務(wù)使用結(jié)構(gòu)化的數(shù)據(jù)存儲作為目錄信息的邏輯層次結(jié)構(gòu)的基礎(chǔ)。Active Directory 的優(yōu)點:信息安全性 、基于策略的管理 、可擴展性 、可伸縮性 、信息的復(fù)制 、與 DNS 集成 、與其他目錄服務(wù)的互操作性、靈活的查詢。
本章主要內(nèi)容:
1、活動目錄的基本概念及其作用
2、在安裝活動目錄前的目錄規(guī)劃
3、活動目錄工具
6.1 活動目錄的概念
6.1.1 域
域提供了多項優(yōu)點:
§ 組織對象。
§ 發(fā)布有關(guān)域?qū)ο蟮馁Y源和信息。
§ 將組策略對象應(yīng)用到域可加強資源和安全性管理。
§ 委派授權(quán)使用戶不再需要大量的具有廣泛管理權(quán)利的管理員。
要創(chuàng)建域,用戶必須將一個或更多的運行 Windows 2000 Server 的計算機升級為域控制器。域控制器為網(wǎng)絡(luò)用戶和計算機提供 Active Directory 目錄服務(wù)、存儲目錄數(shù)據(jù)并管理用戶和域之間的交互作用,包括用戶登錄過程、驗證和目錄搜索。每個域至少必須包含一個域控制器。
域樹和域林
活動目錄中的每個域利用 DNS 域名加以標識,并且需要一個或多個域控制器。如果用戶的網(wǎng)絡(luò)需要一個以上的域,則用戶可以創(chuàng)建多個域。共享相同的公用架構(gòu)和全局目錄的一個或多個域稱為域林。如圖 6.1 中所示,如果樹林中的多個域有連續(xù)的 DNS 域名,則該結(jié)構(gòu)稱為域樹。
如圖6.2所示如果相關(guān)域樹共享相同的 Active Directory 架構(gòu)以及目錄配置和復(fù)制信息,但不共享連續(xù)的 DNS 名稱空間,則稱之為域林。
域樹和域林的組合為用戶提供了靈活的域命名選項。連續(xù)和非連續(xù)的 DNS 名稱空間都可加入到用戶的目錄中。
6.1.2. 域和帳戶命名
Active Directory 域名通常是該域的完整 DNS 名稱。但是,為確保向下兼容,每個域還有一個 Windows 2000 以前版本的名稱,以便在運行 Windows 2000 以前版本的操作系統(tǒng)的計算機上使用。用戶帳戶
在 Active Directory 中,每個用戶帳戶都有一個用戶登錄名、一個 Windows 2000 以前版本的用戶登錄名(安全帳戶管理器的帳戶名)和一個用戶主要名稱后綴。在創(chuàng)建用戶帳戶時,管理員輸入其登錄名并選擇用戶主要名稱。Active Directory 建議 Windows 2000 以前版本的用戶登錄名使用此用戶登錄名的前 20 個字節(jié)。
所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 Windows 2000 域的標準用法。表準格式為:user@domain.com (類似個人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號。Active Directory 在創(chuàng)建用戶主要名稱時自動添加此符號。包含多個 @ 號的用戶主要名稱是無效的。
在 Active Directory 中,默認的用戶主要名稱后綴是域樹中根域的 DNS 名。如果用戶的單位使用由部門和區(qū)域組成的多層域樹,則對于底層用戶的域名可能很長。對于該域中的用戶,默認的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認的登錄名可能是 user@grandchild.child.root.com 。創(chuàng)建主要名稱后綴 - "root" 使同一用戶使用更簡單的登錄名 user@root.com 就可以登錄。
6.1.3 域間信任關(guān)系
對于 Windows 2000 計算機,通過基于 Kerberos V5 安全協(xié)議的雙向、可傳遞信任關(guān)系啟用域之間的帳戶驗證。
在域樹中創(chuàng)建域時,相鄰域(父域和子域)之間自動建立信任關(guān)系。如圖 6.2 中的 root.com 和 child.root.com 之間自動建立信任關(guān)系。在域林中,在樹林根域和添加到樹林的每個域樹的根域之間自動建立信任關(guān)系。因為這些信任關(guān)系是可傳遞的,所以可以在域樹或域林中的任何域之間進行用戶和計算機的身份驗證。
如果將 Windows 2000 以前版本的 Windows 域升級為 Windows 2000 域時,Windows 2000 域?qū)⒈A粲蚝腿魏纹渌蛑g現(xiàn)有的單向信任關(guān)系。包括 Windows 2000 以前版本的 Windows 域的所有信任關(guān)系。如果用戶要安裝新的 Windows 2000 域并且希望與任何 Windows 2000 以前版本的域建立信任關(guān)系,則必須創(chuàng)建與那些域的外部信任關(guān)系。
所有域信任關(guān)系都只能有兩個域:信任域和受信任域。域信任關(guān)系按以下特征進行描述:
§ 單向
單向信任是域 A 信任域 B 的單一信任關(guān)系。所有的單向關(guān)系都是不可傳遞的,并且所有的不可傳遞信任都是單向的。身份驗證請求只能從信任域傳到受信任域。Windows 2000 的域可與以下域建立單向信任:不同樹林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 領(lǐng)域。
§ 雙向
Windows 2000 樹林中的所有域信任都是雙向可傳遞信任。建立新的子域時,雙向可傳遞信任在新的子域和父域之間自動建立。
§ 可傳遞
Windows 2000 樹林中的所有域信任都是可傳遞的。可傳遞信任始終為雙向:此關(guān)系中的兩個域相互信任。
可傳遞信任不受信任關(guān)系中的兩個域的約束。每次當用戶建立新的子域時,在父域和新子域之間就隱含地(自動)建立起雙向可傳遞信任關(guān)系。這樣,可傳遞信任關(guān)系在域樹中按其形成的方式向上流動,并在域樹中的所有域之間建立起可傳遞信任。
如圖6.3中因為域 1 和域 2 有可傳遞信任關(guān)系,域 2 和域 3 有可傳遞信任關(guān)系,所以域 3 中的用戶(在獲得相應(yīng)權(quán)限時)可訪問域 1 中的資源。因為域 1 和域 A 具有可傳遞信任關(guān)系,
并且域 A 的域樹中的其他域和域 A 具有可傳遞信任關(guān)系,所以域 B 中的用戶(當授與適當權(quán)限時)可訪問域 3 中的資源。
§ 不可傳遞
不可傳遞信任受信任關(guān)系中的兩個域的約束,并不流向樹林中的任何其他域。在大多數(shù)情況下,用戶必須明確建立不可傳遞信任。在 Windows 2000 域和 Windows NT 域之間的所有信任關(guān)系都是不可傳遞的。從 Windows NT 升級至 Windows 2000 時,目前所有的 Windows NT 信任都保持不動。在混和模式環(huán)境中,所有的 Windows NT 信任都是不可傳遞的。不可傳遞信任默認為單向信任關(guān)系。
§ 外部信任
外部信任創(chuàng)建了與樹林外部的域的信任關(guān)系。創(chuàng)建外部信任的優(yōu)點在于使用戶可以通過樹林的信任路徑不包含的域進行身份驗證。所有的外部驗證都是單向非轉(zhuǎn)移的信任
§ 快捷信任
快捷信任是雙向可傳遞的信任,使用戶可以縮短復(fù)雜樹林中的路徑。Windows 2000 同一樹林中域之間的快捷信任是明確創(chuàng)建的。快捷信任具有優(yōu)化的性能,能縮短與 Windows 2000 安全機制有關(guān)的信任路徑以便進行身份驗證。在樹林中的兩個域樹之間使用快捷信任是最有效的。
6.1.4 站點
站點是由一個或多個 IP 子網(wǎng)中的一組計算機,確保目錄信息的有效交換,站點中的計算機需要很好地連接,尤其是子網(wǎng)內(nèi)的計算機。站點和域名稱空間之間沒有必要的連接。站點反映網(wǎng)絡(luò)的物理結(jié)構(gòu),而域通常反映用戶單位的邏輯結(jié)構(gòu)。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)相互獨立,所以網(wǎng)絡(luò)的物理結(jié)構(gòu)及其域結(jié)構(gòu)之間沒有必要的相關(guān)性,Active Directory 允許單個站點中有多個域,單個域中有多個站點。
如果配置方案未組織成站點,則域和客戶之間的信息交換可能非常混亂。站點能提高網(wǎng)絡(luò)使用的效率。站點服務(wù)在以下兩方面令網(wǎng)絡(luò)操作更為有效:
§ 服務(wù)請求
當客戶從域控制器請求服務(wù)時,只要相同域中的域控制器有一個可用,此請求就將會發(fā)給這個域控制器。選擇與發(fā)出請求的客戶連接良好的域控制器將使該請求的處理效率更高。
§ 復(fù)制
站點使目錄信息以流水線的方式復(fù)制。目錄架構(gòu)和配置信息分布在整個樹林中,而且域數(shù)據(jù)分布在域中的所有域控制器之間。通過有策略地減少復(fù)制,用戶的網(wǎng)絡(luò)擁塞也會同樣減少。Active Directory 在一個站點內(nèi)比在站點之間更頻繁地復(fù)制目錄信息。這樣,連接最好的域控制器中,最可能需要特定目錄信息的域控制器首先接收復(fù)制的內(nèi)容。其他站點中的域控制器接收對目錄所進行的更改,但不頻繁,以降低網(wǎng)絡(luò)帶寬的消耗。
6.1.5 Active Directory 用戶和計算機帳戶
Active Directory 用戶和計算機帳戶代表物理實體,諸如計算機或人。用戶帳戶和計算機帳戶(以及組)稱為安全主體。安全主體是自動分配安全標識符的目錄對象。帶安全標識符的對象可登錄到網(wǎng)絡(luò)并訪問域資源。用戶或計算機帳戶用于:
§ 驗證用戶或計算機的身份。
§ 授權(quán)或拒絕訪問域資源。
§ 管理其他安全主體。
§ 審計使用用戶或計算機帳戶執(zhí)行的操作。
Windows 2000 提供了可用于登錄到運行 Windows 2000 的計算機的預(yù)定義用戶帳戶。這些預(yù)定義帳戶為:
§ 管理員帳戶
§ 來賓帳戶
預(yù)定義帳戶就是允許用戶登錄到本地計算機并訪問本地計算機上資源的默認用戶帳戶。設(shè)計這些帳戶的主要目的是本地計算機的初始登錄和配置。每個預(yù)定義帳戶均有不同的權(quán)利和權(quán)限組合。管理員帳戶有最廣泛的權(quán)利和權(quán)限,同時來賓帳戶有受限制的權(quán)利和權(quán)限。
6.1.6組策略
組策略設(shè)置影響計算機或用戶帳戶并且可應(yīng)用于站點、域或組織單位。它可用于配置安全選項、管理應(yīng)用程序、管理桌面外觀、指派腳本并將文件夾從本地計算機重新定向到網(wǎng)絡(luò)位置。
6.1.7集成DNS
由于 Active Directory 與 DNS 集成而且共享相同的名稱空間結(jié)構(gòu),因此注意兩者之間的差異非常重要:
§ DNS 是一種名稱解析服務(wù)。
DNS 客戶機向配置的 DNS 服務(wù)器發(fā)送 DNS 名稱查詢。DNS 服務(wù)器接收名稱查詢,然后通過本地存儲的文件解析名稱查詢,或者查詢其他 DNS 服務(wù)器進行名稱解析。DNS 不需要 Active Directory 就能運行。
§ Active Directory 是一種目錄服務(wù)
Active Directory 提供信息儲存庫以及讓用戶和應(yīng)用程序訪問信息的服務(wù)。Active Directory 客戶使用"輕量級目錄訪問協(xié)議 (LDAP)"向 Active Directory 服務(wù)器發(fā)送查詢。要定位 Active Directory 服務(wù)器,Active Directory 客戶機將查詢 DNS。Active Directory 需要 DNS 才能工作。
即 Active Directory 用于組織資源,而 DNS 用于查找資源;只有它們共同工作才能為用戶或其他請求類似信息的過程返回信息。DNS 是 Active Directory 的關(guān)鍵組件,如果沒有 DNS,Active Directory 就無法將用戶的請求解析成資源的IP地址,因此在安裝和配置 Active Directory 之前,用戶必須對 DNS 有深入的理解。
6.1.8組織單位
包含在域中的特別有用的目錄對象類型就是組織單位。組織單位是可將用戶、組、計算機和其他單位放入其中的 Active Directory 容器。組織單位不能包括來自其他域的對象。組織單位是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單位。使用組織單位,用戶可在組織單位中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器。這樣用戶就可以根據(jù)用戶的組織模型管理帳戶和資源的配置和使用。
6.2 安裝活動目錄(ADS)
6.2.1 Active Directory 的規(guī)劃
在安裝 Active Directory 之前,用戶首先要對 Active Directory 的結(jié)構(gòu)進行細致的規(guī)劃設(shè)計,讓用戶和管理員在使用時更為輕松。
§ 規(guī)劃 DNS
如果用戶準備使用 Active Directory,則需要先規(guī)劃名稱空間。當 DNS 域名稱空間可在 Windows 2000 中正確執(zhí)行之前,需要有可用的 Active Directory 結(jié)構(gòu)。所以,從 Active Directory 設(shè)計著手并用適當?shù)?DNS 名稱空間支持它。經(jīng)過審閱,如果檢測到任何規(guī)劃中有不可預(yù)見的或不合要求的結(jié)果,則根據(jù)需要進行修改。
在 Windows 2000 中,用 DNS 名稱命名 Active Directory 域。選擇 DNS 名稱用于 Active Directory 域時,以單位保留在 Internet 上使用的已注冊 DNS 域名后綴開始(如"root.com"),并將該名稱和單位中使用的地理名稱或部門名稱結(jié)合起來,組成 Active Directory 域的全名。
例如,root 的 sales 測試組可能稱他們的域為"sales.child.root.com"。這種命名方法確保每個 Active Directory 域名是全球唯一的。而且,這種命名方法一旦被采用,使用現(xiàn)有名稱作為創(chuàng)建其他子域的父名稱以及進一步增大名稱空間以供單位中的新部門使用的過程將變得非常簡單。對于僅使用單個域或小型多域模式的小型企業(yè),可以直接進行規(guī)劃并按照與以前范例相似的方法操作。在規(guī)劃 DNS 和 Active Directory 名稱空間時,建議使用不同組而且不重疊的可分辨名稱作為內(nèi)部和外部 DNS 使用的基礎(chǔ)。例如,假定單位的父域名是"example.root.com"。對于內(nèi)部 DNS 名稱的使用,用戶可以使用諸如"internal.root.microsoft.com"的名稱 對于外部 DNS 名稱的使用,用戶可以使用諸如"external.example.microsoft.com"的名稱 保持內(nèi)部和外部名稱空間始終是分離的而且截然不同,這樣用戶可以簡化某些配置的維護工作,如域名篩選器或排除列表。
§ 規(guī)劃用戶的域結(jié)構(gòu)
最容易管理的域結(jié)構(gòu)就是單域。規(guī)劃時,用戶應(yīng)從單域開始,并且只有在單域模式不能滿足用戶的要求時,才增加其他的域。一個域可跨越多個站點并且包含數(shù)百萬個對象。站點結(jié)構(gòu)和域結(jié)構(gòu)互相獨立而且非常靈活。單域可跨越多個地理站點,并且單個站點可包含屬于多個域的用戶和計算機。如果只是反映用戶公司的部門組織結(jié)構(gòu),則不必創(chuàng)建獨立的域樹。在一個域中,可以使用組織單位來實現(xiàn)這個目標。然后,可以指定組策略設(shè)置并將用戶、組和計算機放在組織單位中。
創(chuàng)建多個域的原因有:
§ 部門之間不同的密碼要求
§ 大量的對象
§ 不同的 Internet 域名
§ 對復(fù)制進行更多的控制
§ 分散的網(wǎng)絡(luò)管理
§ 規(guī)劃組織單位結(jié)構(gòu)
可以在域中創(chuàng)建組織單位的層次結(jié)構(gòu)。組織單位可包含用戶、組、計算機、打印機、共享文件夾以及其他組織單位。組織單位是目錄容器對象。它們表現(xiàn)為"Active Directory 用戶和計算機"中的文件夾。組織單位簡化了域中目錄對象的視圖以及這些對象的管理。可將每個組織單位的管理控制權(quán)委派給特定的人。這樣,用戶就可以在管理員中分配域的管理工作,以更接近指派的單位職責的方式來管理這些管理性職責工作。
通常,應(yīng)該創(chuàng)建能反映組織單位的職能或商務(wù)結(jié)構(gòu)的單位。例如,用戶可以創(chuàng)建頂級單位,例如人事關(guān)系、設(shè)備管理和營銷等部門單位。在人事關(guān)系單位中,用戶可以創(chuàng)建其他的嵌套組織單位,例如福利和招聘單位。在招聘單位中,也可以創(chuàng)建另一級的嵌套單位。例如,內(nèi)部招聘和外部招聘單位。總之,組織單位可使用戶以一種更有意義且易于管理的方式來模擬用戶實際工作的單位,而且在任何一級指派一個適當?shù)谋镜貦?quán)利機構(gòu)作為管理員。
每個域都可實現(xiàn)自己的組織單位層次結(jié)構(gòu)。如果用戶的企業(yè)包含多個域,則可以獨立于其他域中的結(jié)構(gòu)在每個域中創(chuàng)建組織單位的結(jié)構(gòu)。
§ 何時創(chuàng)建域控制器
將 Windows 2000 Server 計算機升級為域控制器會創(chuàng)建一個新域或者向現(xiàn)有的域添加其他域控制器。創(chuàng)建域控制器可以:
§ 創(chuàng)建網(wǎng)絡(luò)中的第一個域。
§ 在樹林中創(chuàng)建其他的域。
§ 提高網(wǎng)絡(luò)可用性和可靠性。
§ 提高站點之間的網(wǎng)絡(luò)性能。
要創(chuàng)建 Windows 2000 域,必須在該域中至少創(chuàng)建一個域控制器。創(chuàng)建域控制器也將創(chuàng)建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域,則必須為每個附加的域至少創(chuàng)建一個域控制器。樹林中的附加域可以是:新的子域、新域樹的根。
§ 規(guī)劃用戶的委派模式
用戶可以將權(quán)利下派給單位中最底層部門,方法是在每個域中創(chuàng)建組織單位樹,并將部分組織單位子樹的權(quán)利委派給其他用戶或組。通過委派管理權(quán)利,用戶不再需要那些定期登錄到特定帳戶的人員,這些帳戶具有對整個域的管理權(quán)。盡管用戶還擁有帶整個域的管理授權(quán)的管理員帳戶和域管理員器組,可以仍保留這些帳戶以備少數(shù)高度信任的管理員偶爾使用。
最后在規(guī)劃 Active Directory 結(jié)構(gòu)時,除了需要認真考慮以上各項外,用戶還要注意以下幾點:
1.使用的域越少越好,因為在 Windows 2000 中已經(jīng)大大擴展了單個域的容量。
2.限制組織單位的層次,在 Active Directory 搜索事物的層次越深則運行效率越低
3.限制組織單位中的對象個數(shù),這樣便于高效的查找特定資源
4.用戶可以將管理權(quán)限分配到組織單位級,這樣提高了管理效率,降低了管理員的負荷。
6.2.2 安裝 Active Directory
運行 Active Directory 安裝向?qū)?Windows 2000 Server 計算機升級為域控制器會創(chuàng)建一個新域或者向現(xiàn)有的域添加其他域控制器。創(chuàng)建域控制器可以:
§ 創(chuàng)建網(wǎng)絡(luò)中的第一個域。
§ 在樹林中創(chuàng)建其他的域。
§ 提高網(wǎng)絡(luò)可用性和可靠性。
§ 提高站點之間的網(wǎng)絡(luò)性能。
要創(chuàng)建 Windows 2000 域,必須在該域中至少創(chuàng)建一個域控制器。創(chuàng)建域控制器也將創(chuàng)建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域,則必須為每個附加的域至少創(chuàng)建一個域控制器。樹林中的附加域可以是:新的子域、新域樹的根。
在安裝 Active Directory 前首先確定DNS服務(wù)正常工作,下面用戶來安裝根域為 nt2000.com 的域中第一臺域控制器。
步驟1 利用配置服務(wù)器啟動位于 %Systemroot%/system32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe。
如圖 6.4,單擊"下一步"
步驟2 由于用戶所建立的是域中的第一臺域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"創(chuàng)建一個新域的域目錄樹" ,單擊"下一步"
步驟4 選擇"創(chuàng)建一個新域的域目錄林", 單擊"下一步"
步驟5 在"新域的 DNS 全名"中輸入要創(chuàng)建得域名,nt2000.com
如圖 6.5,單擊"下一步"
步驟6 安裝向?qū)ё詣訉⒂蚩刂破鞯?NetBIOS 名設(shè)置為 "nt2000" ,單擊"下一步"
步驟7 顯示數(shù)據(jù)庫、目錄文件 及Sysvol 文件的保存位置,一般不必作修改。單擊"下一步"
步驟8 配置 DNS 服務(wù),單擊"下一步",(如果在安裝 Active Directory 之前未配置 DNS 服務(wù)器可以在此讓安裝向?qū)渲?DNS ,推薦使用這種方法。)
步驟9 為用戶和組選擇默認權(quán)限,考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本,所以選擇"與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限"
如圖 6.6,單擊"下一步"
步驟10 輸入以目錄恢復(fù)模式下的管理員密碼,單擊"下一步"
步驟11 安裝向?qū)э@示摘要信息,單擊"下一步"開始安裝如圖6.7
步驟12 安裝完成之后,重新啟動計算機。
檢驗安裝結(jié)果
在安裝完成后,可以通過以下方法檢驗 Active Directory 安裝正確,在安裝過程中一項最重要的工作是在 DNS 數(shù)據(jù)庫中添加服務(wù)記錄( SRV 記錄)。
1.檢查 DNS 文件的SRV記錄
用文本編輯器打開 %systemroot%/system32/config/ 中的 Netlogon.dns 文件,察看 LDAP 服務(wù)記錄,在本例中為
_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.
2.驗證 SRV 記錄在 NSLOOKUP 命令工具中運行正常
步驟1 在命令提示行下,輸入 NSLOOKUP
步驟2 輸入 set type=srv
步驟3 輸入 _ldap._tcp.nt2000.com
如果返回了服務(wù)器名和 IP 地址,說明 SRV 記錄工作正常
6.2.3 安裝第二臺域控制器
在安裝完第一臺域控制器后其域名為 nt2000.com ,在上例中該服務(wù)器用于總公司,如果由于公司擴展的需要為其新建的工廠建立自己的域名和域控制器,則用戶將工廠的域名定義為 man.nt2000.com ,由于此域名與 nt2000.com 是連續(xù)的域名,所以他們組成了一個目錄樹,今后隨著工廠的發(fā)展用戶還可以在這個目錄樹下繼續(xù)逐級添加子域(如:accounting.man.nt2000.com),如果需要添加的域名與該目錄樹不連續(xù)(如:nt3000.com)則用戶就需要建立一個新的目錄樹,這樣由多個目錄樹組成了域目錄林。
在安裝第二臺域控制器之前,首先檢驗它的IP設(shè)置和DNS設(shè)置,以保證可以訪問域控制器(n2k_server.nt2000.com)。
步驟1 利用配置服務(wù)器啟動位于 %Systemroot%/system32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe 。如圖6.4,單擊"下一步"
步驟2 由于用戶所建立的是域中的一臺域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"在現(xiàn)有域目錄樹中創(chuàng)建一個新的子域" ,單擊"下一步"
步驟4 在"網(wǎng)絡(luò)憑據(jù)"對話框中輸入上一級域的域名及具有管理員權(quán)限的用戶名和密碼, 單擊"下一步"
步驟5 在"子域安裝"對話框中輸入父域域名(nt2000.com)和子域域名(man),在下方的子域完整域名中會自動顯示 man.nt2000.com,單擊"下一步"
步驟6 安裝向?qū)ё詣訉⒂蚩刂破鞯?NetBIOS 名設(shè)置為"man",用戶也可以進行修改 ,單擊"下一步"
步驟7 顯示數(shù)據(jù)庫、目錄文件及 Sysvol 文件的保存位置,一般不必作修改。單擊"下一步"
步驟8 為用戶和組選擇默認權(quán)限,考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本,所以選擇"與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限",單擊"下一步"
步驟9 單擊"下一步"開始安裝,在重新啟動后,在 n2k_server.nt2000.com 的" Active Directory 域和信任關(guān)系"中將顯示新建的子域 man.nt2000.com 如圖6.8
6.3 活動目錄工具
在安裝完畢后,在管理工具中提供了三個工具
§ Active Directory 用戶和計算機
如圖 6.9
§ Active Directory 域和信任關(guān)系
如圖 6.10
§ Active Directory 站點和服務(wù)
如圖 6.11
系統(tǒng)還提供了 Active DirectorySchema 和 ADSI 主要用于 Active Direttory 開發(fā)的工具。Active Directory 域和信任關(guān)系、Active Directory 站點和服務(wù)工具主要用于管理多個服務(wù)器或多個域之間的關(guān)系,這不是本書的重點;Active Directory 用戶和計算機工具是配置互動目錄最常用的工具,在后續(xù)章節(jié)中用戶將詳細介紹它的使用方法。
當用戶登陸到網(wǎng)絡(luò)上,用戶可以看到活動目錄,
如圖 6.12
本章主要內(nèi)容:
1、活動目錄的基本概念及其作用
2、在安裝活動目錄前的目錄規(guī)劃
3、活動目錄工具
6.1 活動目錄的概念
6.1.1 域
域提供了多項優(yōu)點:
§ 組織對象。
§ 發(fā)布有關(guān)域?qū)ο蟮馁Y源和信息。
§ 將組策略對象應(yīng)用到域可加強資源和安全性管理。
§ 委派授權(quán)使用戶不再需要大量的具有廣泛管理權(quán)利的管理員。
要創(chuàng)建域,用戶必須將一個或更多的運行 Windows 2000 Server 的計算機升級為域控制器。域控制器為網(wǎng)絡(luò)用戶和計算機提供 Active Directory 目錄服務(wù)、存儲目錄數(shù)據(jù)并管理用戶和域之間的交互作用,包括用戶登錄過程、驗證和目錄搜索。每個域至少必須包含一個域控制器。
域樹和域林
活動目錄中的每個域利用 DNS 域名加以標識,并且需要一個或多個域控制器。如果用戶的網(wǎng)絡(luò)需要一個以上的域,則用戶可以創(chuàng)建多個域。共享相同的公用架構(gòu)和全局目錄的一個或多個域稱為域林。如圖 6.1 中所示,如果樹林中的多個域有連續(xù)的 DNS 域名,則該結(jié)構(gòu)稱為域樹。
如圖6.2所示如果相關(guān)域樹共享相同的 Active Directory 架構(gòu)以及目錄配置和復(fù)制信息,但不共享連續(xù)的 DNS 名稱空間,則稱之為域林。
域樹和域林的組合為用戶提供了靈活的域命名選項。連續(xù)和非連續(xù)的 DNS 名稱空間都可加入到用戶的目錄中。
6.1.2. 域和帳戶命名
Active Directory 域名通常是該域的完整 DNS 名稱。但是,為確保向下兼容,每個域還有一個 Windows 2000 以前版本的名稱,以便在運行 Windows 2000 以前版本的操作系統(tǒng)的計算機上使用。用戶帳戶
在 Active Directory 中,每個用戶帳戶都有一個用戶登錄名、一個 Windows 2000 以前版本的用戶登錄名(安全帳戶管理器的帳戶名)和一個用戶主要名稱后綴。在創(chuàng)建用戶帳戶時,管理員輸入其登錄名并選擇用戶主要名稱。Active Directory 建議 Windows 2000 以前版本的用戶登錄名使用此用戶登錄名的前 20 個字節(jié)。
所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 Windows 2000 域的標準用法。表準格式為:user@domain.com (類似個人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號。Active Directory 在創(chuàng)建用戶主要名稱時自動添加此符號。包含多個 @ 號的用戶主要名稱是無效的。
在 Active Directory 中,默認的用戶主要名稱后綴是域樹中根域的 DNS 名。如果用戶的單位使用由部門和區(qū)域組成的多層域樹,則對于底層用戶的域名可能很長。對于該域中的用戶,默認的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認的登錄名可能是 user@grandchild.child.root.com 。創(chuàng)建主要名稱后綴 - "root" 使同一用戶使用更簡單的登錄名 user@root.com 就可以登錄。
6.1.3 域間信任關(guān)系
對于 Windows 2000 計算機,通過基于 Kerberos V5 安全協(xié)議的雙向、可傳遞信任關(guān)系啟用域之間的帳戶驗證。
在域樹中創(chuàng)建域時,相鄰域(父域和子域)之間自動建立信任關(guān)系。如圖 6.2 中的 root.com 和 child.root.com 之間自動建立信任關(guān)系。在域林中,在樹林根域和添加到樹林的每個域樹的根域之間自動建立信任關(guān)系。因為這些信任關(guān)系是可傳遞的,所以可以在域樹或域林中的任何域之間進行用戶和計算機的身份驗證。
如果將 Windows 2000 以前版本的 Windows 域升級為 Windows 2000 域時,Windows 2000 域?qū)⒈A粲蚝腿魏纹渌蛑g現(xiàn)有的單向信任關(guān)系。包括 Windows 2000 以前版本的 Windows 域的所有信任關(guān)系。如果用戶要安裝新的 Windows 2000 域并且希望與任何 Windows 2000 以前版本的域建立信任關(guān)系,則必須創(chuàng)建與那些域的外部信任關(guān)系。
所有域信任關(guān)系都只能有兩個域:信任域和受信任域。域信任關(guān)系按以下特征進行描述:
§ 單向
單向信任是域 A 信任域 B 的單一信任關(guān)系。所有的單向關(guān)系都是不可傳遞的,并且所有的不可傳遞信任都是單向的。身份驗證請求只能從信任域傳到受信任域。Windows 2000 的域可與以下域建立單向信任:不同樹林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 領(lǐng)域。
§ 雙向
Windows 2000 樹林中的所有域信任都是雙向可傳遞信任。建立新的子域時,雙向可傳遞信任在新的子域和父域之間自動建立。
§ 可傳遞
Windows 2000 樹林中的所有域信任都是可傳遞的。可傳遞信任始終為雙向:此關(guān)系中的兩個域相互信任。
可傳遞信任不受信任關(guān)系中的兩個域的約束。每次當用戶建立新的子域時,在父域和新子域之間就隱含地(自動)建立起雙向可傳遞信任關(guān)系。這樣,可傳遞信任關(guān)系在域樹中按其形成的方式向上流動,并在域樹中的所有域之間建立起可傳遞信任。
如圖6.3中因為域 1 和域 2 有可傳遞信任關(guān)系,域 2 和域 3 有可傳遞信任關(guān)系,所以域 3 中的用戶(在獲得相應(yīng)權(quán)限時)可訪問域 1 中的資源。因為域 1 和域 A 具有可傳遞信任關(guān)系,
并且域 A 的域樹中的其他域和域 A 具有可傳遞信任關(guān)系,所以域 B 中的用戶(當授與適當權(quán)限時)可訪問域 3 中的資源。
§ 不可傳遞
不可傳遞信任受信任關(guān)系中的兩個域的約束,并不流向樹林中的任何其他域。在大多數(shù)情況下,用戶必須明確建立不可傳遞信任。在 Windows 2000 域和 Windows NT 域之間的所有信任關(guān)系都是不可傳遞的。從 Windows NT 升級至 Windows 2000 時,目前所有的 Windows NT 信任都保持不動。在混和模式環(huán)境中,所有的 Windows NT 信任都是不可傳遞的。不可傳遞信任默認為單向信任關(guān)系。
§ 外部信任
外部信任創(chuàng)建了與樹林外部的域的信任關(guān)系。創(chuàng)建外部信任的優(yōu)點在于使用戶可以通過樹林的信任路徑不包含的域進行身份驗證。所有的外部驗證都是單向非轉(zhuǎn)移的信任
§ 快捷信任
快捷信任是雙向可傳遞的信任,使用戶可以縮短復(fù)雜樹林中的路徑。Windows 2000 同一樹林中域之間的快捷信任是明確創(chuàng)建的。快捷信任具有優(yōu)化的性能,能縮短與 Windows 2000 安全機制有關(guān)的信任路徑以便進行身份驗證。在樹林中的兩個域樹之間使用快捷信任是最有效的。
6.1.4 站點
站點是由一個或多個 IP 子網(wǎng)中的一組計算機,確保目錄信息的有效交換,站點中的計算機需要很好地連接,尤其是子網(wǎng)內(nèi)的計算機。站點和域名稱空間之間沒有必要的連接。站點反映網(wǎng)絡(luò)的物理結(jié)構(gòu),而域通常反映用戶單位的邏輯結(jié)構(gòu)。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)相互獨立,所以網(wǎng)絡(luò)的物理結(jié)構(gòu)及其域結(jié)構(gòu)之間沒有必要的相關(guān)性,Active Directory 允許單個站點中有多個域,單個域中有多個站點。
如果配置方案未組織成站點,則域和客戶之間的信息交換可能非常混亂。站點能提高網(wǎng)絡(luò)使用的效率。站點服務(wù)在以下兩方面令網(wǎng)絡(luò)操作更為有效:
§ 服務(wù)請求
當客戶從域控制器請求服務(wù)時,只要相同域中的域控制器有一個可用,此請求就將會發(fā)給這個域控制器。選擇與發(fā)出請求的客戶連接良好的域控制器將使該請求的處理效率更高。
§ 復(fù)制
站點使目錄信息以流水線的方式復(fù)制。目錄架構(gòu)和配置信息分布在整個樹林中,而且域數(shù)據(jù)分布在域中的所有域控制器之間。通過有策略地減少復(fù)制,用戶的網(wǎng)絡(luò)擁塞也會同樣減少。Active Directory 在一個站點內(nèi)比在站點之間更頻繁地復(fù)制目錄信息。這樣,連接最好的域控制器中,最可能需要特定目錄信息的域控制器首先接收復(fù)制的內(nèi)容。其他站點中的域控制器接收對目錄所進行的更改,但不頻繁,以降低網(wǎng)絡(luò)帶寬的消耗。
6.1.5 Active Directory 用戶和計算機帳戶
Active Directory 用戶和計算機帳戶代表物理實體,諸如計算機或人。用戶帳戶和計算機帳戶(以及組)稱為安全主體。安全主體是自動分配安全標識符的目錄對象。帶安全標識符的對象可登錄到網(wǎng)絡(luò)并訪問域資源。用戶或計算機帳戶用于:
§ 驗證用戶或計算機的身份。
§ 授權(quán)或拒絕訪問域資源。
§ 管理其他安全主體。
§ 審計使用用戶或計算機帳戶執(zhí)行的操作。
Windows 2000 提供了可用于登錄到運行 Windows 2000 的計算機的預(yù)定義用戶帳戶。這些預(yù)定義帳戶為:
§ 管理員帳戶
§ 來賓帳戶
預(yù)定義帳戶就是允許用戶登錄到本地計算機并訪問本地計算機上資源的默認用戶帳戶。設(shè)計這些帳戶的主要目的是本地計算機的初始登錄和配置。每個預(yù)定義帳戶均有不同的權(quán)利和權(quán)限組合。管理員帳戶有最廣泛的權(quán)利和權(quán)限,同時來賓帳戶有受限制的權(quán)利和權(quán)限。
6.1.6組策略
組策略設(shè)置影響計算機或用戶帳戶并且可應(yīng)用于站點、域或組織單位。它可用于配置安全選項、管理應(yīng)用程序、管理桌面外觀、指派腳本并將文件夾從本地計算機重新定向到網(wǎng)絡(luò)位置。
6.1.7集成DNS
由于 Active Directory 與 DNS 集成而且共享相同的名稱空間結(jié)構(gòu),因此注意兩者之間的差異非常重要:
§ DNS 是一種名稱解析服務(wù)。
DNS 客戶機向配置的 DNS 服務(wù)器發(fā)送 DNS 名稱查詢。DNS 服務(wù)器接收名稱查詢,然后通過本地存儲的文件解析名稱查詢,或者查詢其他 DNS 服務(wù)器進行名稱解析。DNS 不需要 Active Directory 就能運行。
§ Active Directory 是一種目錄服務(wù)
Active Directory 提供信息儲存庫以及讓用戶和應(yīng)用程序訪問信息的服務(wù)。Active Directory 客戶使用"輕量級目錄訪問協(xié)議 (LDAP)"向 Active Directory 服務(wù)器發(fā)送查詢。要定位 Active Directory 服務(wù)器,Active Directory 客戶機將查詢 DNS。Active Directory 需要 DNS 才能工作。
即 Active Directory 用于組織資源,而 DNS 用于查找資源;只有它們共同工作才能為用戶或其他請求類似信息的過程返回信息。DNS 是 Active Directory 的關(guān)鍵組件,如果沒有 DNS,Active Directory 就無法將用戶的請求解析成資源的IP地址,因此在安裝和配置 Active Directory 之前,用戶必須對 DNS 有深入的理解。
6.1.8組織單位
包含在域中的特別有用的目錄對象類型就是組織單位。組織單位是可將用戶、組、計算機和其他單位放入其中的 Active Directory 容器。組織單位不能包括來自其他域的對象。組織單位是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單位。使用組織單位,用戶可在組織單位中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器。這樣用戶就可以根據(jù)用戶的組織模型管理帳戶和資源的配置和使用。
6.2 安裝活動目錄(ADS)
6.2.1 Active Directory 的規(guī)劃
在安裝 Active Directory 之前,用戶首先要對 Active Directory 的結(jié)構(gòu)進行細致的規(guī)劃設(shè)計,讓用戶和管理員在使用時更為輕松。
§ 規(guī)劃 DNS
如果用戶準備使用 Active Directory,則需要先規(guī)劃名稱空間。當 DNS 域名稱空間可在 Windows 2000 中正確執(zhí)行之前,需要有可用的 Active Directory 結(jié)構(gòu)。所以,從 Active Directory 設(shè)計著手并用適當?shù)?DNS 名稱空間支持它。經(jīng)過審閱,如果檢測到任何規(guī)劃中有不可預(yù)見的或不合要求的結(jié)果,則根據(jù)需要進行修改。
在 Windows 2000 中,用 DNS 名稱命名 Active Directory 域。選擇 DNS 名稱用于 Active Directory 域時,以單位保留在 Internet 上使用的已注冊 DNS 域名后綴開始(如"root.com"),并將該名稱和單位中使用的地理名稱或部門名稱結(jié)合起來,組成 Active Directory 域的全名。
例如,root 的 sales 測試組可能稱他們的域為"sales.child.root.com"。這種命名方法確保每個 Active Directory 域名是全球唯一的。而且,這種命名方法一旦被采用,使用現(xiàn)有名稱作為創(chuàng)建其他子域的父名稱以及進一步增大名稱空間以供單位中的新部門使用的過程將變得非常簡單。對于僅使用單個域或小型多域模式的小型企業(yè),可以直接進行規(guī)劃并按照與以前范例相似的方法操作。在規(guī)劃 DNS 和 Active Directory 名稱空間時,建議使用不同組而且不重疊的可分辨名稱作為內(nèi)部和外部 DNS 使用的基礎(chǔ)。例如,假定單位的父域名是"example.root.com"。對于內(nèi)部 DNS 名稱的使用,用戶可以使用諸如"internal.root.microsoft.com"的名稱 對于外部 DNS 名稱的使用,用戶可以使用諸如"external.example.microsoft.com"的名稱 保持內(nèi)部和外部名稱空間始終是分離的而且截然不同,這樣用戶可以簡化某些配置的維護工作,如域名篩選器或排除列表。
§ 規(guī)劃用戶的域結(jié)構(gòu)
最容易管理的域結(jié)構(gòu)就是單域。規(guī)劃時,用戶應(yīng)從單域開始,并且只有在單域模式不能滿足用戶的要求時,才增加其他的域。一個域可跨越多個站點并且包含數(shù)百萬個對象。站點結(jié)構(gòu)和域結(jié)構(gòu)互相獨立而且非常靈活。單域可跨越多個地理站點,并且單個站點可包含屬于多個域的用戶和計算機。如果只是反映用戶公司的部門組織結(jié)構(gòu),則不必創(chuàng)建獨立的域樹。在一個域中,可以使用組織單位來實現(xiàn)這個目標。然后,可以指定組策略設(shè)置并將用戶、組和計算機放在組織單位中。
創(chuàng)建多個域的原因有:
§ 部門之間不同的密碼要求
§ 大量的對象
§ 不同的 Internet 域名
§ 對復(fù)制進行更多的控制
§ 分散的網(wǎng)絡(luò)管理
§ 規(guī)劃組織單位結(jié)構(gòu)
可以在域中創(chuàng)建組織單位的層次結(jié)構(gòu)。組織單位可包含用戶、組、計算機、打印機、共享文件夾以及其他組織單位。組織單位是目錄容器對象。它們表現(xiàn)為"Active Directory 用戶和計算機"中的文件夾。組織單位簡化了域中目錄對象的視圖以及這些對象的管理。可將每個組織單位的管理控制權(quán)委派給特定的人。這樣,用戶就可以在管理員中分配域的管理工作,以更接近指派的單位職責的方式來管理這些管理性職責工作。
通常,應(yīng)該創(chuàng)建能反映組織單位的職能或商務(wù)結(jié)構(gòu)的單位。例如,用戶可以創(chuàng)建頂級單位,例如人事關(guān)系、設(shè)備管理和營銷等部門單位。在人事關(guān)系單位中,用戶可以創(chuàng)建其他的嵌套組織單位,例如福利和招聘單位。在招聘單位中,也可以創(chuàng)建另一級的嵌套單位。例如,內(nèi)部招聘和外部招聘單位。總之,組織單位可使用戶以一種更有意義且易于管理的方式來模擬用戶實際工作的單位,而且在任何一級指派一個適當?shù)谋镜貦?quán)利機構(gòu)作為管理員。
每個域都可實現(xiàn)自己的組織單位層次結(jié)構(gòu)。如果用戶的企業(yè)包含多個域,則可以獨立于其他域中的結(jié)構(gòu)在每個域中創(chuàng)建組織單位的結(jié)構(gòu)。
§ 何時創(chuàng)建域控制器
將 Windows 2000 Server 計算機升級為域控制器會創(chuàng)建一個新域或者向現(xiàn)有的域添加其他域控制器。創(chuàng)建域控制器可以:
§ 創(chuàng)建網(wǎng)絡(luò)中的第一個域。
§ 在樹林中創(chuàng)建其他的域。
§ 提高網(wǎng)絡(luò)可用性和可靠性。
§ 提高站點之間的網(wǎng)絡(luò)性能。
要創(chuàng)建 Windows 2000 域,必須在該域中至少創(chuàng)建一個域控制器。創(chuàng)建域控制器也將創(chuàng)建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域,則必須為每個附加的域至少創(chuàng)建一個域控制器。樹林中的附加域可以是:新的子域、新域樹的根。
§ 規(guī)劃用戶的委派模式
用戶可以將權(quán)利下派給單位中最底層部門,方法是在每個域中創(chuàng)建組織單位樹,并將部分組織單位子樹的權(quán)利委派給其他用戶或組。通過委派管理權(quán)利,用戶不再需要那些定期登錄到特定帳戶的人員,這些帳戶具有對整個域的管理權(quán)。盡管用戶還擁有帶整個域的管理授權(quán)的管理員帳戶和域管理員器組,可以仍保留這些帳戶以備少數(shù)高度信任的管理員偶爾使用。
最后在規(guī)劃 Active Directory 結(jié)構(gòu)時,除了需要認真考慮以上各項外,用戶還要注意以下幾點:
1.使用的域越少越好,因為在 Windows 2000 中已經(jīng)大大擴展了單個域的容量。
2.限制組織單位的層次,在 Active Directory 搜索事物的層次越深則運行效率越低
3.限制組織單位中的對象個數(shù),這樣便于高效的查找特定資源
4.用戶可以將管理權(quán)限分配到組織單位級,這樣提高了管理效率,降低了管理員的負荷。
6.2.2 安裝 Active Directory
運行 Active Directory 安裝向?qū)?Windows 2000 Server 計算機升級為域控制器會創(chuàng)建一個新域或者向現(xiàn)有的域添加其他域控制器。創(chuàng)建域控制器可以:
§ 創(chuàng)建網(wǎng)絡(luò)中的第一個域。
§ 在樹林中創(chuàng)建其他的域。
§ 提高網(wǎng)絡(luò)可用性和可靠性。
§ 提高站點之間的網(wǎng)絡(luò)性能。
要創(chuàng)建 Windows 2000 域,必須在該域中至少創(chuàng)建一個域控制器。創(chuàng)建域控制器也將創(chuàng)建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域,則必須為每個附加的域至少創(chuàng)建一個域控制器。樹林中的附加域可以是:新的子域、新域樹的根。
在安裝 Active Directory 前首先確定DNS服務(wù)正常工作,下面用戶來安裝根域為 nt2000.com 的域中第一臺域控制器。
步驟1 利用配置服務(wù)器啟動位于 %Systemroot%/system32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe。
如圖 6.4,單擊"下一步"
步驟2 由于用戶所建立的是域中的第一臺域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"創(chuàng)建一個新域的域目錄樹" ,單擊"下一步"
步驟4 選擇"創(chuàng)建一個新域的域目錄林", 單擊"下一步"
步驟5 在"新域的 DNS 全名"中輸入要創(chuàng)建得域名,nt2000.com
如圖 6.5,單擊"下一步"
步驟6 安裝向?qū)ё詣訉⒂蚩刂破鞯?NetBIOS 名設(shè)置為 "nt2000" ,單擊"下一步"
步驟7 顯示數(shù)據(jù)庫、目錄文件 及Sysvol 文件的保存位置,一般不必作修改。單擊"下一步"
步驟8 配置 DNS 服務(wù),單擊"下一步",(如果在安裝 Active Directory 之前未配置 DNS 服務(wù)器可以在此讓安裝向?qū)渲?DNS ,推薦使用這種方法。)
步驟9 為用戶和組選擇默認權(quán)限,考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本,所以選擇"與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限"
如圖 6.6,單擊"下一步"
步驟10 輸入以目錄恢復(fù)模式下的管理員密碼,單擊"下一步"
步驟11 安裝向?qū)э@示摘要信息,單擊"下一步"開始安裝如圖6.7
步驟12 安裝完成之后,重新啟動計算機。
檢驗安裝結(jié)果
在安裝完成后,可以通過以下方法檢驗 Active Directory 安裝正確,在安裝過程中一項最重要的工作是在 DNS 數(shù)據(jù)庫中添加服務(wù)記錄( SRV 記錄)。
1.檢查 DNS 文件的SRV記錄
用文本編輯器打開 %systemroot%/system32/config/ 中的 Netlogon.dns 文件,察看 LDAP 服務(wù)記錄,在本例中為
_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.
2.驗證 SRV 記錄在 NSLOOKUP 命令工具中運行正常
步驟1 在命令提示行下,輸入 NSLOOKUP
步驟2 輸入 set type=srv
步驟3 輸入 _ldap._tcp.nt2000.com
如果返回了服務(wù)器名和 IP 地址,說明 SRV 記錄工作正常
6.2.3 安裝第二臺域控制器
在安裝完第一臺域控制器后其域名為 nt2000.com ,在上例中該服務(wù)器用于總公司,如果由于公司擴展的需要為其新建的工廠建立自己的域名和域控制器,則用戶將工廠的域名定義為 man.nt2000.com ,由于此域名與 nt2000.com 是連續(xù)的域名,所以他們組成了一個目錄樹,今后隨著工廠的發(fā)展用戶還可以在這個目錄樹下繼續(xù)逐級添加子域(如:accounting.man.nt2000.com),如果需要添加的域名與該目錄樹不連續(xù)(如:nt3000.com)則用戶就需要建立一個新的目錄樹,這樣由多個目錄樹組成了域目錄林。
在安裝第二臺域控制器之前,首先檢驗它的IP設(shè)置和DNS設(shè)置,以保證可以訪問域控制器(n2k_server.nt2000.com)。
步驟1 利用配置服務(wù)器啟動位于 %Systemroot%/system32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe 。如圖6.4,單擊"下一步"
步驟2 由于用戶所建立的是域中的一臺域控制器所以選擇"新域的域控制器" 單擊"下一步"
步驟3 選擇"在現(xiàn)有域目錄樹中創(chuàng)建一個新的子域" ,單擊"下一步"
步驟4 在"網(wǎng)絡(luò)憑據(jù)"對話框中輸入上一級域的域名及具有管理員權(quán)限的用戶名和密碼, 單擊"下一步"
步驟5 在"子域安裝"對話框中輸入父域域名(nt2000.com)和子域域名(man),在下方的子域完整域名中會自動顯示 man.nt2000.com,單擊"下一步"
步驟6 安裝向?qū)ё詣訉⒂蚩刂破鞯?NetBIOS 名設(shè)置為"man",用戶也可以進行修改 ,單擊"下一步"
步驟7 顯示數(shù)據(jù)庫、目錄文件及 Sysvol 文件的保存位置,一般不必作修改。單擊"下一步"
步驟8 為用戶和組選擇默認權(quán)限,考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本,所以選擇"與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限",單擊"下一步"
步驟9 單擊"下一步"開始安裝,在重新啟動后,在 n2k_server.nt2000.com 的" Active Directory 域和信任關(guān)系"中將顯示新建的子域 man.nt2000.com 如圖6.8
6.3 活動目錄工具
在安裝完畢后,在管理工具中提供了三個工具
§ Active Directory 用戶和計算機
如圖 6.9
§ Active Directory 域和信任關(guān)系
如圖 6.10
§ Active Directory 站點和服務(wù)
如圖 6.11
系統(tǒng)還提供了 Active DirectorySchema 和 ADSI 主要用于 Active Direttory 開發(fā)的工具。Active Directory 域和信任關(guān)系、Active Directory 站點和服務(wù)工具主要用于管理多個服務(wù)器或多個域之間的關(guān)系,這不是本書的重點;Active Directory 用戶和計算機工具是配置互動目錄最常用的工具,在后續(xù)章節(jié)中用戶將詳細介紹它的使用方法。
當用戶登陸到網(wǎng)絡(luò)上,用戶可以看到活動目錄,
如圖 6.12
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯(lián)系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
