AD 培訓(xùn)內(nèi)容講解（1）活動(dòng)目錄的介紹目錄，是一個(gè)數(shù)據(jù)庫(kù)，存貯了網(wǎng)絡(luò)資源相關(guān)的信息，包括了資源的位置、管理等信息。目錄服務(wù) 是一種網(wǎng)絡(luò)服務(wù)，目錄服務(wù)標(biāo)記管理網(wǎng)絡(luò)中的所有實(shí)體資源(比如計(jì)算機(jī)、用戶、打印

AD 培訓(xùn)內(nèi)容講解

（1）活動(dòng)目錄的介紹

目錄，是一個(gè)數(shù)據(jù)庫(kù)，存貯了網(wǎng)絡(luò)資源相關(guān)的信息，包括了資源的位置、管理等信息。

目錄服務(wù) 是一種網(wǎng)絡(luò)服務(wù)，目錄服務(wù)標(biāo)記管理網(wǎng)絡(luò)中的所有實(shí)體資源(比如計(jì)算機(jī)、用戶、打印機(jī)、文件、應(yīng)用等) ，并且提供了命名、描述、查找、訪問以及保護(hù)這些實(shí)體信息的一致的方法，使網(wǎng)絡(luò)中的所

有用戶和應(yīng)用都能訪問到這些資源。

活動(dòng)目錄(Active Directory)

活動(dòng)目錄 是Windows 2000完全實(shí)現(xiàn)的目錄服務(wù)，也是Windows 2000網(wǎng)絡(luò)體系的基本結(jié)構(gòu)模型，是

Windows 2000網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心管理機(jī)構(gòu)。

Microsoft 在Windows 2000中提供的活動(dòng)目錄是一個(gè)全面的目錄服務(wù)管理方案，也是一個(gè)企業(yè)級(jí)的目錄服務(wù)，具有很好的可伸縮性?；顒?dòng)目錄采用了Internet 的標(biāo)準(zhǔn)協(xié)議，它與操作系統(tǒng)緊密地集成在一起。活動(dòng)目錄不僅可以管理基本的網(wǎng)絡(luò)資源，比如計(jì)算機(jī)對(duì)象、用戶賬戶、打印機(jī)等，它也充分考慮了現(xiàn)代應(yīng)用的業(yè)務(wù)需求，為這些應(yīng)用提供了基本的管理對(duì)象模型，比如用戶賬戶對(duì)象具有辦公電話、手機(jī)、呼機(jī)、住址、上司、下屬、電子郵件等屬性。幾乎所有的應(yīng)用可以直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動(dòng)

目錄也具有很好的擴(kuò)充能力，允許應(yīng)用程序定制目錄中對(duì)象的屬性或者添加新的對(duì)象類型。

活動(dòng)目錄的邏輯結(jié)構(gòu)

活動(dòng)目錄的邏輯結(jié)構(gòu)非常靈活，它為活動(dòng)目錄提供了完全的樹狀層次結(jié)構(gòu)視圖，邏輯結(jié)構(gòu)與前面我們討論過的名字空間有直接的關(guān)系。邏輯結(jié)構(gòu)為用戶和管理員查找、定位對(duì)象提供了極大的方便?；顒?dòng)目錄

中的邏輯單元包括:域、組織單元(Organizational Unit，簡(jiǎn)稱OU) 、域樹、域森林。

1、 域(Domain)

域 既是Windows 網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，也是Internet 的邏輯組織單元，在Windows 2000系統(tǒng)中，域是安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問或

者管理其他的域。每個(gè)域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。

2、 OU(Organizational Unit)

OU 是一個(gè)容器對(duì)象，我們可以把域中的對(duì)象組織成邏輯組，所以O(shè)U 純粹是一個(gè)邏輯概念，它可以幫助我們簡(jiǎn)化管理工作。OU 可以包含各種對(duì)象，比如用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)，甚至可以包括其他的OU 。所以我們可以利用OU 把域中的對(duì)象形成一個(gè)完全邏輯上的層次結(jié)構(gòu)，對(duì)于一個(gè)企業(yè)來(lái)講，我們可以按部門把所有的用戶和設(shè)備組成一個(gè)OU 層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個(gè)OU 層次結(jié)構(gòu)。由于OU 層次結(jié)構(gòu)局限于域的內(nèi)部，所以一個(gè)域中的OU 層次結(jié)構(gòu)與

另一個(gè)域中的OU 層次結(jié)構(gòu)完全獨(dú)立。

3、 樹

當(dāng)多個(gè)域通過信任關(guān)系連接起來(lái)之后，所有的域共享公共的表結(jié)構(gòu)(schema) 、配置和全局目錄(global catalog) ，從而形成 域樹 。域樹由多個(gè)域組成，這些域共享同一個(gè)表結(jié)構(gòu)和配置，形成一個(gè)連續(xù)的名字空

間。樹中的域通過信任關(guān)系連接起來(lái)?；顒?dòng)目錄包含一個(gè)或多個(gè)域樹。

4、 森林

域森林 是指一個(gè)或多個(gè)沒有形成連續(xù)名字空間的域樹。域林中的所有域樹共享同一個(gè)表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹通過Kerberos 信任關(guān)系建立起來(lái)，所以每個(gè)域樹都知道Kerberos 信任關(guān)系，

不同域樹可以交叉引用其他域樹中的對(duì)象。

其它

1、 域控制器(Domain Controller)

域控制器是指運(yùn)行Windows 2000 Server版本的服務(wù)器，它保存了活動(dòng)目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個(gè)域中的其他域控制器上。域控制器也負(fù)責(zé)用戶的登錄過程，

以及其他與域有關(guān)的操作，比如身份認(rèn)證、目錄信息查找等。

一個(gè)域可以有多個(gè)域控制器。規(guī)模較小的域可以只需要兩個(gè)域控制器，一個(gè)實(shí)際使用，另一個(gè)用于容

錯(cuò)性檢查; 規(guī)模較大的域可以使用多個(gè)域控制器。

Windows 2000的域結(jié)構(gòu)與Windows NT 4的域結(jié)構(gòu)不同的是，活動(dòng)目錄中的域控制器沒有主次之分，活動(dòng)目錄采用了多主機(jī)復(fù)制方案，每一個(gè)域控制器都有一個(gè)可寫入的目錄副本。在某一個(gè)時(shí)刻，不同的域控制器中的目錄信息可能有所不同，一旦活動(dòng)目錄中的所有域控制器執(zhí)行同步操作之后，最新的變化信息

就會(huì)一致。

2、 活動(dòng)目錄與DNS

活動(dòng)目錄使用域名服務(wù)DNS 作為它的定位服務(wù)，同時(shí)也對(duì)標(biāo)準(zhǔn)的DNS 作了擴(kuò)充。在活動(dòng)目錄中使用DNS 的最大好處在于，我們可以使Windows 2000域與Internet 上的域統(tǒng)一起來(lái)，即Windows 域名也是

DNS 域名。

3、Active Directory命名規(guī)范

(1)辨別名( distinguished name (DN))

活動(dòng)目錄中的每一個(gè)對(duì)象都會(huì)有一個(gè)唯一的辨別名DN 。DN 由域名、對(duì)象名組成:

DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用戶對(duì)象James Smith在

contoso.com 域中的Users 組織單元中的Teacher 單元中.

(2) User Principal Name : 由用戶登錄名和域名組成，如 JamesS@contoso.com

4、 域運(yùn)行模式

(1) 混合模式 ?；旌夏Ｊ降挠蚣瓤梢杂蠾indows 2000的域控制器，也可以有Windows NT 4的域控制器。這是一個(gè)過渡模式，利用這種模式，我們可以對(duì)現(xiàn)有的系統(tǒng)逐步升級(jí)。但是，在混合模式下，活動(dòng)

目錄中有些功能不能很好地發(fā)揮出來(lái)。

(2) 準(zhǔn)模式 。活動(dòng)目錄的標(biāo)準(zhǔn)模式要求所有的域控制器都必須運(yùn)行Windows 2000。只有在這個(gè)時(shí)候，

活動(dòng)目錄的所有功能和特性才能充分體現(xiàn)出來(lái)。

在Windows 2003中，各種網(wǎng)絡(luò)服務(wù)以服務(wù)器角色出現(xiàn)，方便了用戶對(duì)網(wǎng)絡(luò)資源進(jìn)行分配與管理。應(yīng)用服務(wù)器角色對(duì)網(wǎng)絡(luò)進(jìn)行管理，均需要有活動(dòng)目錄服務(wù)、域名系統(tǒng)服務(wù)、動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)、Windows Internet命名服務(wù)的配合與支持。本文將向你重點(diǎn)講解上述活動(dòng)目錄服務(wù)務(wù)的實(shí)現(xiàn)方法與技巧。

(二)DNS 與活動(dòng)目錄

由于活動(dòng)目錄與DNS(Domain Name System，域名系統(tǒng)) 集成，共享相同的名稱空間結(jié)構(gòu)，因此注意兩者之間的差異非常重要：

1.DNS 是一種名稱解析服務(wù)

DNS 客戶機(jī)向配置的DNS 服務(wù)器發(fā)送DNS 名稱查詢。DNS 服務(wù)器接收名稱查詢，然后通過本地存儲(chǔ)的文件解析名稱查詢，或者查詢其他DNS 服務(wù)器進(jìn)行名稱解析。DNS 不需要活動(dòng)目錄就能運(yùn)行。

2. 活動(dòng)目錄是一種目錄服務(wù)

活動(dòng)目錄提供信息存儲(chǔ)庫(kù)以及讓用戶和應(yīng)用程序訪問信息的服務(wù)?；顒?dòng)目錄客戶使用“輕量級(jí)目錄訪問協(xié)議(Lightweight Directory Access Protocol，LDAP)”向活動(dòng)目錄服務(wù)器發(fā)送查詢。要定位活動(dòng)目錄服務(wù)器，活動(dòng)目錄客戶機(jī)將查詢DNS ?；顒?dòng)目錄需要DNS 才能工作。 即活動(dòng)目錄用于組織資源，而DNS 用于查找資源；只有它們共同工作才能為用戶或其他請(qǐng)求類似信息的過程返回信息。DNS 是活動(dòng)目錄的關(guān)鍵組件，如果沒有DNS ，活動(dòng)目錄就無(wú)法將用戶的請(qǐng)求解析成資源的IP 地址，因此在安裝和配置活動(dòng)目錄之前，我們必須對(duì)DNS 有深入的理解。

(三) 規(guī)劃活動(dòng)目錄

在安裝活動(dòng)目錄之前，我們首先要對(duì)活動(dòng)目錄的結(jié)構(gòu)進(jìn)行細(xì)致的規(guī)劃設(shè)計(jì)，讓用戶和管理員在使用時(shí)更為方便。

1. 規(guī)劃DNS

如果用戶準(zhǔn)備使用活動(dòng)目錄，則需要首先規(guī)劃名稱空間。當(dāng)DNS 域名稱空間可在Windows 2003中正確執(zhí)行之前，需要有可用的活動(dòng)目錄結(jié)構(gòu)。所以，從活動(dòng)目錄設(shè)計(jì)著手并用適當(dāng)?shù)腄NS 名稱空間支持它。

在Windows 2003中，用DNS 名稱命名活動(dòng)目錄域。選擇DNS 名稱用于活動(dòng)目錄域時(shí)，以保留在Internet 上使用的已注冊(cè)DNS 域名后綴開始(如microsoft.com) ，并將該名稱和單位中使用的地理(部門) 名稱結(jié)合起來(lái)，組成活動(dòng)目錄域的全名。例如，microsoft 的sales 組可能稱他們的域?yàn)椤皊ales.microsoft.com”。這種命名方法確保每個(gè)活動(dòng)目錄域名是全球唯一的。而且，這種命名方法一旦被采用，使用現(xiàn)有名稱作為創(chuàng)建其他子域的父名稱以及進(jìn)一步增大名稱空間以供單位中的新部門使用的過程將變得非常簡(jiǎn)單。

2. 規(guī)劃用戶的域結(jié)構(gòu)

最容易管理的域結(jié)構(gòu)就是單域。規(guī)劃時(shí)，用戶應(yīng)從單域開始，并且只有在單域模式不能滿足用戶的要求時(shí)，才增加其他的域。單域可跨越多個(gè)地理站點(diǎn)，并且單個(gè)站點(diǎn)可包含屬于多個(gè)域的用戶和計(jì)算機(jī)。在一個(gè)域中，可以使用組織單元(OU，Organizational Units) 來(lái)實(shí)現(xiàn)這個(gè)目標(biāo)。然后，可以指定組策略設(shè)置并將用戶、組和計(jì)算機(jī)放在組織單元中。

3. 規(guī)劃用戶的委派模式

用戶可以將權(quán)限下派給單位中最底層部門，方法是在每個(gè)域中創(chuàng)建組織單元樹，并將部分組織單元子樹的權(quán)限委派給其他用戶或組。通過委派管理權(quán)限，用戶不再需要那些定期登錄到特定賬戶的人員，這些賬戶具有對(duì)整個(gè)域的管理權(quán)。盡管用戶還擁有帶整個(gè)域的管理授權(quán)的管理員賬戶和域管理員器組，可以仍保留這些賬戶以備少數(shù)管理員偶爾使用

（2）AD 的安裝和配置教程

目前很多公司的網(wǎng)絡(luò)中的PC 數(shù)量均超過10臺(tái):按照微軟的說法，一般網(wǎng)絡(luò)中的PC 數(shù)目低于10臺(tái)，則建議建議采對(duì)等網(wǎng)的工作模式，而如果超過10臺(tái)，則建議采用域的管理模式，因?yàn)橛蚩梢蕴峁┮环N集中式的管理，這相比于對(duì)等網(wǎng)的分散管理有非常多的好處，那么如何把一臺(tái)成員服務(wù)器提升為域控? 我們現(xiàn)在就動(dòng)手實(shí)踐一下:

本篇文章中所有的成員服務(wù)器均采用微軟的Windows Server 2003，客戶端則采用Windows XP。

首先，當(dāng)然是在成員服務(wù)器上安裝上Windows Server 2003，安裝成功后進(jìn)入系統(tǒng)，

我們要做的第一件事就是給這臺(tái)成員服務(wù)器指定一個(gè)固定的IP ，在這里指定情況如下:

機(jī)器名:Server

IP:192.168.5.1

子網(wǎng)掩碼:255.255.255.0

DNS:192.168.5.1(因?yàn)槲乙堰@臺(tái)機(jī)器配置成DNS 服務(wù)器)

由于Windows Server 2003在默認(rèn)的安裝過程中DNS 是不被安裝的，所以我們需要手動(dòng)去添加，添加方法如下:“開始—設(shè)置—控制面板—添加刪除程序”，然后再點(diǎn)擊“添加/刪除Windows 組件”，則可以看到如下畫面:

向下搬運(yùn)右邊的滾動(dòng)條，找到“網(wǎng)絡(luò)服務(wù)”，選中:

默認(rèn)情況下所有的網(wǎng)絡(luò)服務(wù)都會(huì)被添加，可以點(diǎn)擊下面的“詳細(xì)信息”進(jìn)行自定義安裝，由于在這里只需要DNS ，所以把其它的全都去掉了，以后需要的時(shí)候再安裝:

然后就是點(diǎn)“確定”，一直點(diǎn)“下一步”就可以完成整個(gè)DNS 的安裝。在整個(gè)安裝過程中請(qǐng)保證Windows Server 2003安裝光盤位于光驅(qū)中，否則會(huì)出現(xiàn)找不到文件的提示，那就需

要手動(dòng)定位了。

安裝完DNS 以后，就可以進(jìn)行提升操作了，先點(diǎn)擊“開始—運(yùn)行”，輸入“Dcpromo”，然后回車就可以看到“Active Directory安裝向?qū)А?/p>

在這里直接點(diǎn)擊“下一步”:

這里是一個(gè)兼容性的要求，Windows 95及NT 4 SP3以前的版本無(wú)法登陸運(yùn)行到Windows Server 2003的域控制器，我建議大家盡量采用Windows 2000及以上的操作系統(tǒng)來(lái)做為客戶端。然后點(diǎn)擊“下一步”:

在這里由于這是第一臺(tái)域控制器，所以選擇第一項(xiàng):“新域的域控制器”，然后點(diǎn)“下一步”:

既然是第一臺(tái)域控，那么當(dāng)然也是選擇“在新林中的域”:

在這里我們要指定一個(gè)域名，我在這里指定的是demo.com ，

這里是指定NetBIOS 名，注意千萬(wàn)別和下面的客戶端沖突，也就是說整個(gè)網(wǎng)絡(luò)里不能