实训九、活动目录的安装与配置

实训九、活动目录的安装与配置重点内容：•活动目录的基本概念与功能；•域控制器的安装与配置；•域帐户的创建与管理；一、活动目录的概述1、什么是活动目录ActiveDirectory（活动目录）是一种目录服务，它存储有关网络对象的信息。比如，用户、组、计算机、共享文件夹、网络打印机等，并使系统管理员和用户可以方便地查找和使用网络信息。ActiveDirectory的应用起源于WindowsNT4.0，在WindowsServer2003中得到进一步的发展和应用，具有可扩展性和可调整性，并以结构化数据存储方式作为目录信息逻辑和分层组织的基础。2、活动目录的相关概念1）、目录与目录服务目录是存储有关网络上对象信息的层次结构。而目录服务是提供用于存储器目录数据并使该数据可由网络用户和管理员使用的方法。目录服务标记管理网络中的所有对象资源，如计算机、用户、打印机、文件等，并且提供了命名、描述、查找、访问以及保护这些对象信息的方法，使网络中的所有用户都能访问到这些资源。2）、对象与属性对象是活动目录中一种有形的信息实体，它是一组属性的集合，比如用户帐户、文件名、计算机名等。对象通过属性描述它的基本特征，比如，一个用户帐户的属性中可能包括用户的姓名、电话号码、电子邮件地址和家庭住址等。3）、容器与OU（组织单位）容器是存放对象的空间，它与对象相似也有名称，也是一些属性的集合。容器内可以包含其他对象，如包含“用户”与“计算机”等对象，也可以包含其他的容器。而组织单位（OrganizationUnits，OU）是ActiveDirectory内一个比较特殊的容器，除了可以包含其他对象与OU之外，还有“组策略（grouppolicy）”的功能。例如，一个名称为“业务部”的OU，包含了两个“用户”对象、两个“计算机”对象和两个OU。ActiveDirectory通过层次式的架构，将对象、容器、OU等组合在一起，并将它们存储在ActiveDirectory的数据库中。4）、名字空间与DNS每一个域都必须有名字，域的名字遵循DNS命名规则，并且通过DNS服务器解析域名。5）、域树域树是由根域及其之下的子域所构成的域目录层次结构。域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间。树中的域通过信任关系连接起来，活动目录包含一个或多个域树。域树中的域层次越深级别越低，一个“.”代表一个层次，如域child.Microsoft.com就比Microsoft.com这个域级别低。6）、域（森）林域林是指由一个或多个没有形成连续名字空间的域树组成，它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间。域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos信任关系建立起来，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。域林都有根域，域林的根域是域林中创建的第一个域，域林中所有域树的根域与域林的根域建立可传递的信任关系。二、域的相关概念1、什么是域域是由网络上的用户和计算机组成的一个逻辑组或逻辑集合。域中所有的对象都存储在活动目录下。一个网络可以建立一个或多个域，每个域都是一个安全界限，这意味着各种权限的设置不能跨越不同的域。简单的说，一个域就是一系列的用户帐户、访问权限和其他各种资源的集合。2、域与工作组的区别工作组模式的网络中，各服务器都是独立的，而且各服务器中的帐户和资源也是各自进行管理的。所以，管理员需要为每台服务器建立帐户，在管理时也需要分别登录各服务器完成管理工作。授权用户访问不同的服务器时，也需要分别登录。域模式的网络中，服务器可以集中进行管理，域中的帐户和资源也是集中管理的。所以，管理员登录到服务器后就可以管理整个域并可以访问所有共享资源。在域模式的网络中，需要一个对帐户和资源进行统一管理的机制，这个机制就是活动目录（ActiveDirectory）。域中所有的帐户和共享资源都需要在活动目录中进行登记，用户可以利用活动目录查找和使用这些资源。基于域模式的网络可大大减轻管理的复杂度和工作量，通常用于结构较复杂的网络。3、域控制器域控制器（DomainController，DC)是一台安装并运行ActiveDirectory的服务器，它包含ActiveDirectory数据库的可写副本，参与ActiveDirectory复制并控制对网络资源的访问。在域中，域控制器统一管理帐户数据库、所有的用户登录、资源访问认证及其管理任务。一个域可以有一个或多个域控制器，各域控制器地位平等，管理员可以在任一台域控制器上更新域中的信息，更新的信息会自动传递到网络中的其它域控制器中。4、成员服务器成员服务器是一台运行WindowsServer2003的服务器，它是域中的成员，但不是域控制器。成员服务器不执行用户身份验证，也不存储安全策略信息，这些工作由域控制器完成，这样，可以让成员服务器有更高的处理能力来处理网络中的其他服务。在域结构的网络中，身份验证与服务是分开的，这样可以提高服务器的效率。5、独立服务器独立服务器是一台运行WindowsServer2003但不参与域的服务器。独立服务器只有其自身的用户数据库，并由服务器自身处理登录请求。独立服务器不提供对域帐户的访问权限，该服务器通常于工作组模式下运行。6、活动目录和域控制器的关系如果网络规模较大，这时我们就会考虑把网络中对象，比如计算机、用户帐户、组帐户、打印机、共享夹进行分类后存放在一个数据库中，并做好检索信息，以利于查找、管理和使用这些对象（资源）。这个有层次结构的数据库，就是活动目录数据库，简称AD库。接下来，我们把存放有活动目录数据库的计算机就称之为域控制器（DomainController），简称DC。在WindowsServer2003中，域是建立在ActiveDirectory中，是作为ActiveDirectory的一个对象来使用和管理的。域的范围也被扩大到了整个网络。三、域帐户的相关概念1、域帐户的分类域中的帐户分为用户帐户、组帐户、计算机帐户和共享资源帐户。所有帐户都存放在活动目录中，系统使用安全标识符(SID)标识各个帐户。1)、用户帐户用于识别用户身份，它主要由用户名和密码组成，只有拥有了一个用户帐户的人员才能通过计算机登录到域。在实际应用中，应该尽量保证一个用户帐户由一个人使用，避免一个帐户供多人使用的情况出现。2)、组帐户用于组织和管理用户帐户。不同用户帐户可拥有不同的权利和权限，为了方便管理，可设置组帐户，为组帐户设置权利和权限，当需要赋予一个用户某种权限时，只要把该帐户加入相应的组即可。一个用户帐户可同时加入多个组，此时他的权限是各个组权限的叠加。域中的组允许嵌套，即组的成员可以包括用户帐户和其它组。而本地帐户中的组是不能嵌套的。3)、计算机帐户用于标识域中的计算机。一个拥有用户帐户的人并不能从任意的一台计算机登录到域，他只能在已加入域的计算机上才能登录域。每台加入到域的计算机（包括客户机和服务器）都会有一个计算机帐户。4)、共享资源帐户用于标识域中的共享资源，包括共享文件夹、共享打印机等。域中的共享资源必须公布在活动目录中才能由域用户共享。共享文件夹的实际位置可以在域中任一台计算机中，但域用户只要登录到域，就可以访问这些资源，而不必登录到具体计算机上。实际应用中，共享文件夹通常定义在服务器上，这样可保证资源总是有效，如果定义在客户机上，将会在客户机关机时无法访问。2、域组的类型域模式中的组称为域组，域组可分为通信组和安全组。通信组用于创建电子邮件通信组列表，即用于部署电子邮件服务的网络。安全组用于给共享资源指派权限，系统自动创建的默认组也属于安全组。3、域组的作用域类型通用组：成员可以来自任何域，成员可以访问任何域内资源。全局组：成员只来自本地域，成员可以访问任何域内资源。本地域组：成员可来自任何域，成员可以访问本地域内的资源。提示：本地组是指在工作组模式下的本地帐户中的组，它只针对于本机。而本地域组针对的是域，工作于域模式下，两者不是一个概念。4、默认组默认组是系统安装ActiveDirectory域时自动创建的安全组，我们可以使用这些系统预定义的组来控制对共享资源的访问，并委派特定的域范围的管理角色。我们可以通过“ActiveDirectory用户和计算机”管理器来管理组。默认组位于“Builtin”容器和“Users”容器中，“Builtin”容器包含用本地域作用域定义的组（即本地域组），“Users”容器包含通过全局作用域定义的组和通过本地域作用域定义的组。我们可以将这些容器中的组移动到域中的其他组或组织单位，但不能将它们移动到其他域。四、域控制器的安装1、安装域控制器的准备工作1）、已安装WindowsServer2003操作系统，并以管理员身份登录系统；2）、在安装活动目录之前要确保系统盘为NTFS文件系统，如果不是NTFS文件系统，则必须将其转换成NTFS文件系统。3）、规划好一个DNS域名，也就是域控制器的根域，通常为二级域名，本教程假设根域名设置为mylab.com。4）、一台DNS服务器，负责域名的解析和定位域控制器的位置，多个域控制器可共用一台DNS服务器。5)、如果是建立一个新域的域控制器，在安装活动目录的同时在本机安装和配置DNS服务器时，要求DNS服务器地址与本机IP地址设置成相同的值。本教程假设IP地址设置成192.168.1.1/24，首选DNS服务器IP地址也设为192.168.1.1。2、安装域控制器安装域控制器的思路是：先安装一台WindowsServer2003操作系统的独立服务器或成员服务器，然后将其升级为域控制器。将服务器升级成域控制器的方法有两种：一种方法是使用“配置您的服务器向导”,另一种方法是通过运行“ActiveDirectory安装向导”来建立一个域控制器。运行“ActiveDirectory安装向导”:1)、在“开始”→“运行”处输入“dcpromo”命令，回车后启动安装向导。2）、在打开“欢迎使用ActiveDirectory安装向导”的对话框中单击“下一步”按钮。3）、在打开的“操作系统兼容性”对话框中单击“下一步”按钮。4)、如果建立的是域中的第一台域控制器，则在“域控制器类型”对话框中选择“新域的域控制器”选项，单击“下一步”按钮。5)、在“创建一个新域”对话框中选择“在新林中的域”选项，单击“下一步”按钮。6)、在“新的域名”对话框中的“新域的DNS全名”文本框中输入需要创建的域名，这里输入mylab.com，如图9-1所示。单击“下一步”按钮，系统开始检测域名是否合格。图9-1新的域名提示：每个域都需要有一个域名，由于一个域建立后再更改域名将会是一件很麻烦的事，所以这里应慎重设置。在网络中域名设置应遵循DNS命名规则且不允许重复，所以输入域名后，单击“下一步”按钮，系统会在网络中检测该域名是否可用。7)、接着打开“NetBIOS域名”对话框，系统会默认取域名的前半段字符（本例为mylab），以便Windows95/98/NT操作系统利用此名称来访问域内的资源，直接单击“下一步”按钮。8)、在“数据库和日志文件文件夹”对话框中，将显示数据库、日志文件的保存位置，一般不作修改。直接单击“下一步”按钮。9)、在“共享的系统卷”对话框中，指定作为系统卷共享的文件夹。Sysvol文件夹存放域的公用文件的服务器副本，Sysvol广播的内容会被复制到域中的所有域控制器，其文件夹位置一般不作修改，直接单击“下一步”按钮。10)、在“DNS注册诊断”对话框中，选中“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机的首选DNS服务器”单选框，然后单击“下一步”按钮。提示：如果在安装活动目录之前未安装DNS服务器，此时可选择安装并配置DNS，推荐使用这种方法，当然也可以以后再手动安装和配置DNS服务器；如果在安装活动目录之前已安装了DNS服务器，建议选删除DNS服务器再安装活动目录。11)、在“权