單元十二 域與活動目錄本單元要點：域、域樹和域林活動目錄安裝域控制器活動目錄的管理12.1 域、域樹和域林工作組（Work Group ）就是將不同的電腦按功能分別列入不同的組中，以方便管理。工作組名

單元十二 域與活動目錄

本單元要點：

域、域樹和域林

活動目錄

安裝域控制器

活動目錄的管理

12.1 域、域樹和域林

工作組（Work Group ）就是將不同的電腦按功能分別列入不同的組中，以方便管理。工作組名并沒有太多的實際意義，只是在“網(wǎng)上鄰居”的列表中實現(xiàn)一個分組而已。 “工作組”就像一個自由加入和退出的俱樂部一樣，它本身的作用僅僅是提供一個“房間”，以方便網(wǎng)上計算機共享資源的瀏覽。

在主從式網(wǎng)絡(luò)中，資源集中存放在一臺或者幾臺服務(wù)器上，如果僅僅只有一臺服務(wù)器，問題就很簡單，在服務(wù)器上為每一位員工建立一個賬戶即可，用戶只需登錄該服務(wù)器就可以使用服務(wù)器中的資源。然而如果資源分布在多臺服務(wù)器上呢？如圖所示12-1所示，要在每臺服務(wù)器分別為每一員工建立一個賬戶（共M ×N 個），用戶需要在每臺服務(wù)器上（共M 臺）登錄，感覺又回到了對等網(wǎng)的模式。

圖12-1

域（Domain ）是一個安全的邊界，也可以理解為服務(wù)器控制網(wǎng)絡(luò)上的計算機能否加入的計算機組合。

在使用了域之后，如圖12-2所示，服務(wù)器和用戶的計算機都在同一域中，用戶在域中只要擁有一個賬戶，用賬戶登錄后即取得一個身份，有了該身份便可以在域中漫游，訪問域中任一臺服務(wù)器上的資源。

圖12-2

在“域”模式下，至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作，相當(dāng)于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller ，簡寫為DC

）”，它包含

了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。

隨著網(wǎng)絡(luò)的不斷發(fā)展，有的企業(yè)的網(wǎng)絡(luò)大的驚人，當(dāng)網(wǎng)絡(luò)有十萬個用戶甚至更多時，域控制器存放的用戶數(shù)據(jù)量很大，更為關(guān)鍵的是如果用戶頻繁登錄，域控制器可能因此不堪重負(fù)。在實際的應(yīng)用中，我們在網(wǎng)絡(luò)中劃分多個域，每個域的規(guī)?？刂圃谝欢ǖ姆秶鷥?nèi)，同時也是出于管理上的要求，將大的網(wǎng)絡(luò)劃分成小的網(wǎng)絡(luò)，每個小的網(wǎng)絡(luò)管理員管理自己所屬的賬戶，如圖12-3所示。

圖12-3

為了解決用戶跨域訪問資源的問題，可以在域之間引入信任，有了信任關(guān)系，域A 的用戶想要訪問B 域中的資源，讓域B 信任域A 就行了。信任關(guān)系分為單向和雙向，如圖12-4所示。圖中①是單向的信任關(guān)系，箭頭指向被信任的域，即域A 信任域B ，域A 稱為信任域，域B 被稱為被信任域，因此域B 的用戶可以訪問域A 中的資源。圖中②是雙向的信任關(guān)系，域A 信任域B 的同時域B 也信任域A ，因此域A 的用戶可以訪問域B 的資源，反之亦然。

圖12-4

微軟的網(wǎng)絡(luò)操作系統(tǒng)是考慮在大型企業(yè)構(gòu)建網(wǎng)絡(luò)和擴(kuò)展網(wǎng)絡(luò)的需要而設(shè)計的。在一個企業(yè)中可能會有分布在全世界的分公司等，分公司下又有各個部門存在，資源的訪問常?？赡芸邕^許多域。在Windows NT 4.0時，域和域之間的信任關(guān)系是不可傳遞的，如果要實現(xiàn)多個域中的用戶可以跨域訪問資源，必須創(chuàng)建多個雙向信任關(guān)系：n ×(n-1)/2，如圖12-5所示。

圖12-5

12.1 域、域樹和域林

從Windows 2000 Server 起，域樹（Domain Tree ）開始出現(xiàn)，如圖12-6所示。域樹中的域以樹的出現(xiàn)，最上層的域名為abc.com

，是這個域樹的根域，根域下有兩個子域：

asia.abc.com 和europe.abc.com, 子域下又有自己的子域。在域樹中，父域和子域的信任關(guān)系是雙向可傳遞的，因此域樹中的一個域隱含地信任域樹中所有的域。圖12-6中共有七個域，所有域相互信任，也只需要六個信任關(guān)系，遠(yuǎn)比圖12-5中所示的7×（7－1）/2=21個信任關(guān)系要少得多。

圖12-6

域和DNS 域的關(guān)系非常密切，因為域中的計算機使用DNS 來定位域控制器和服務(wù)器以及其它計算機、網(wǎng)絡(luò)服務(wù)等，實際上域的名字就是DNS 域的名字。在圖12-6中，企業(yè)向Internet 組織申請了一個DNS 域名abc.com ，所以根域就采用了該名。然而，企業(yè)可能同時擁有abc.com 和abc.net 兩個域名，如果某個域用abc.net 作為域名，abc.net 將無法掛在abc.com 域樹中，這個時候只能單獨創(chuàng)建另一個域樹，如圖12-7所示，新的域樹根域為abc.net ，這兩個域樹共同構(gòu)成了域林（Domain Forest）。

圖12-7

12.2 活動目錄

12.2.1 活動目錄結(jié)構(gòu)

活動目錄（Active Directory）是一種目錄服務(wù)，它存儲有關(guān)網(wǎng)絡(luò)對象（如用戶、組、計算機、共享資源、打印機和聯(lián)系人等）的信息，并將結(jié)構(gòu)化數(shù)據(jù)存儲作為目錄信息邏輯和分層組織的基礎(chǔ)，使管理員比較方便地查找并使用這些網(wǎng)絡(luò)信息。

活動目錄是在Windows 2000 Server 就推出的新技術(shù)，它最大的突破性和成功之一也就在于它全新引入了活動目錄服務(wù)，使 Windows 2000 Server與Internet 上的各項服務(wù)和協(xié)議更加聯(lián)系緊密。通過在Windows 2000 Server 的基礎(chǔ)上進(jìn)一步擴(kuò)展，Windows Server 2003提高了活動目錄的多功能性、可管理性及可靠性。

活動目錄結(jié)構(gòu)主要是指網(wǎng)絡(luò)中所有用戶、計算機以及其他網(wǎng)絡(luò)資源的層次關(guān)系，就像是一個大型倉庫中分出若干個小的儲藏間，每一個小儲藏間分別用來存放不同的東西一樣，通常情況下活動目錄的結(jié)構(gòu)可以分為邏輯結(jié)構(gòu)和物理結(jié)構(gòu)。

活動目錄的邏輯結(jié)構(gòu)：包括域、域樹、域林和組織單元。

組織單元(Organizational Unit，OU) 是一個容器對象，可以把域中的對象組織成邏輯組，以簡化管理工作。組織單元可以包含各種對象，比如用戶賬戶、用戶組、計算機、打印機等，甚至可以包括其它的組織單元，

所以可以利用組織單元把域中的對象組成一個完全邏

輯上的層次結(jié)構(gòu)。對于企業(yè)來講，可以按部門把所有的用戶和設(shè)備組成一個組織單元層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個組織層次結(jié)構(gòu)。

活動目錄的物理結(jié)構(gòu)與邏輯結(jié)構(gòu)有很大不同，它們是彼此獨立的兩個概念。邏輯結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)資源的管理，而物理結(jié)構(gòu)則側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化?；顒幽夸浀奈锢斫Y(jié)構(gòu)，主要著眼于活動目錄信息的復(fù)制和用戶登錄網(wǎng)絡(luò)時的性能優(yōu)化。物理結(jié)構(gòu)的兩個重要概念是站點和域控制器。

站點由一個或多個IP 子網(wǎng)組成，這些子網(wǎng)通過高速網(wǎng)絡(luò)設(shè)備連接在一起。站點往往由企業(yè)的物理位置分布情況決定，可以依據(jù)站點結(jié)構(gòu)配置活動目錄的訪問和復(fù)制拓?fù)潢P(guān)系，這樣能使得網(wǎng)絡(luò)更有效地連接，并且可使復(fù)制策略更合理，用戶登錄更快速?；顒幽夸浿械恼军c與域是兩個完全獨立的概念，一個站點中可以有多個域，多個站點也可以位于同一域中。

域控制器是指運行Windows Server 2003的服務(wù)器，它保存了活動目錄信息的副本。域控 制器管理目錄信息的變化，并把這些變化復(fù)制到同一個域中的其它域控制器上，使各域控制器上的目錄信息同步。域控制器也負(fù)責(zé)用戶的登錄過程以及其它與域有關(guān)的操作，比如身份鑒定、目錄信息查找等。

活動目錄支持多主機復(fù)制方案，然而由于復(fù)制引起的通信流量以及網(wǎng)絡(luò)潛在的沖突，變化的傳播并不一定能夠順利進(jìn)行，因此有必要在域控制器中指定全局目錄服務(wù)器以及操作主機。

全局目錄是一個信息倉庫，包含活動目錄中所有對象的一部分屬性，往往是在查 詢過程中訪問最為頻繁的屬性。利用這些信息，可以定位到任何一個對象實際所在的位置。

12.3 活動目錄的設(shè)置

12.3.1 安裝活動目錄前的準(zhǔn)備

文件系統(tǒng)和網(wǎng)絡(luò)協(xié)議：活動目錄必須安裝在NTFS 分區(qū)，因此Windows Server 2003所

在的分區(qū)必須是NTFS 文件系統(tǒng)，同時計算機上要正確安裝了網(wǎng)卡驅(qū)動程序，并啟用了TCP/IP協(xié)議。

域結(jié)構(gòu)規(guī)劃：活動目錄可包含多個域，只有合理地規(guī)劃目錄結(jié)構(gòu)，才能充分發(fā)揮活動目錄的優(yōu)越性。選擇根域最為關(guān)鍵，根域名字的選擇可以有以下幾種方案：

● 使用一個已經(jīng)注冊的DNS 域名作為活動目的根域名，使得企業(yè)的公共網(wǎng)絡(luò)和私有網(wǎng)

絡(luò)使用同樣的DNS 名字。

● 使用一個已經(jīng)注冊的DNS 域名的子域名作為活動目錄的根域名。

● 活動目錄使用與已經(jīng)注冊的DNS 域名完全不同的域名，使企業(yè)網(wǎng)絡(luò)在內(nèi)部和互聯(lián)網(wǎng)

上呈現(xiàn)出兩種完全不同的命名結(jié)構(gòu)。

域名策劃：目錄域名通常是該域的完整DNS 名稱，如“abc.net ”。同時，為了確保向下兼容，每個域還應(yīng)當(dāng)有一個與Windows 2000 Server 以前版本相兼容的名稱，如“abc ”。

注意：在TCP/IP網(wǎng)絡(luò)中，DNS 是用來解決計算機名字和IP 地址的映射關(guān)系的?；顒幽夸浐虳NS 密不可分，它使用DNS 服務(wù)器來登記域控制器的IP 、各種資源的定位等，因此在一個域林中至少要有一個DNS 服務(wù)器存在。Windows Server 2003中的域也是采用DNS 的格式來命名的。

圖

12-8

為了說明的方便，以圖12-8中的拓?fù)錇闃颖?，該拓?fù)涞挠蛄钟袃蓚€域樹：cninfo.com 和information.com ，其中cninfo.com 域樹下有hb.cninfo.com 子域，在cninfo.com 域中有兩個域控制器；因hb.cninfo.com 域中除了一個域控制器外，還有一個成員服務(wù)器。

12.3.2 安裝活動目錄

用戶要將自己的服務(wù)器配置成域控制器，應(yīng)該首先安裝活動目錄，以發(fā)揮活動目錄的作用。安裝活動目錄具體步驟如下：

1）首先確認(rèn)“本地連接”屬性TCP/IP首選DNS 是否指向了本機（本例為192.168.1.7），然后在“管理您的服務(wù)器”窗口中，單擊“添加或刪除角色”超級鏈接，啟動“配置您的服務(wù)器向?qū)А?，單擊“下一步”按鈕檢測所有的設(shè)備、操作系統(tǒng)，并搜索網(wǎng)絡(luò)連接。搜索完成，彈出 “配置選項”窗口，選擇“自定義配置”單選按鈕。

2）單擊“下一步”按鈕，彈出 “服務(wù)器角色”窗口，在“服務(wù)器角色”列表框中列出了所有可以安裝的服務(wù)器，選擇“域控制器”選項，將該計算機設(shè)置為域控制器，并同時安裝活動目錄。

3）單擊“下一步”按鈕，顯示“選擇總結(jié)”窗口，此處說明將“運行Active Directory 安裝向?qū)韺⒋朔?wù)器設(shè)置成域服務(wù)器”，直接單擊“下一步”按鈕，啟動 “Active Directory 安裝向?qū)А贝翱凇?/p>

4）單擊“下一步”按鈕，彈出 “操作系統(tǒng)兼容性”窗口，此處對安裝活動目錄以后的情況進(jìn)行了簡單說明。

5）單擊“下一步”按鈕，彈出 “域控制器類型”窗口，選擇此服務(wù)器要擔(dān)任的角色。如果當(dāng)前服務(wù)器未曾安裝過Active Directory，并且要保留這個服務(wù)器上的所有賬戶，則建議選擇“新域的域控制器”選項。

注意：域控制器類似于網(wǎng)絡(luò)“看門人”，用于管理所有的網(wǎng)絡(luò)訪問，包括登錄服務(wù)器、

訪問共享目錄和資源。域控制器存儲了所有的域范圍內(nèi)的賬戶和策略信息，包括安全策略、用戶身份驗證信息和賬戶信息。在網(wǎng)絡(luò)中，可以有多臺計算機配置為域控制器，以分擔(dān)用戶的登錄和訪問。多個域控制器可以一起工作，自動備份用戶賬戶和活動目錄數(shù)據(jù)，即使部分域控制器癱瘓后，網(wǎng)絡(luò)訪問仍然不受影響，提高網(wǎng)絡(luò)安全性和穩(wěn)定性。

6）選擇“新域的域控制器”選項后，單擊“下一步”按鈕，彈出 “創(chuàng)建一個新域”窗口。如果以前曾在該服務(wù)器上安裝過Active Directory，可以選擇“在現(xiàn)有的域樹中的子域”或“在現(xiàn)有的林中的域樹”選項；如果是第一次安裝，則建議選擇“在新林中的域”選項。

7）選擇“在新林中的域”選項后，單擊“下一步”按鈕，彈出 “新的域名”窗口，在“新域的DNS 全名”文本框中輸入該服務(wù)器的DNS 全名：“cninfo.com ”。如果尚未申請正式域名，也應(yīng)當(dāng)輸入擬申請的域名。

注意：此處的域名一定要與網(wǎng)絡(luò)DNS 服務(wù)的域名相對應(yīng)。

8）單擊“下一步”按鈕，彈出“NetBIOS 域名”窗口，在“域NetBIOS 名”文本框中，顯示該服務(wù)器的新域的NetBIOS 名稱。NetBIOS 名稱的意義在于，讓其它早期Windows 版本的用戶可以識別新域。

9）單擊“下一步”按鈕，彈出 “數(shù)據(jù)庫和日志文件文件夾”窗口，Active Directory 數(shù)據(jù)庫默認(rèn)位于系統(tǒng)盤Windows 文件夾下，也可以單擊“瀏覽”按鈕更改為其它路徑，建議不作更改。其中，數(shù)據(jù)庫文件夾用來存儲互動目錄數(shù)據(jù)庫，而日志文件夾用來存儲活動目錄的變化日志，以便于日常管理和維護(hù)。

注意：如果當(dāng)前計算機上安裝有多個硬盤，最好將存戶活動目錄數(shù)據(jù)庫的文件夾與活動目錄日志文件夾，分別指定在不同的硬盤內(nèi)，一方面可以提高響應(yīng)速率，另一方面也便于故障后的緊急恢復(fù)。