組建域模式局域網(wǎng)0. 背景知識介紹0.1 活動目錄的作用活動目錄是Windows 2000網(wǎng)絡體系結(jié)構(gòu)中一個基本且不可分割的部分。它在Windows NT 4.0操作系統(tǒng)的域結(jié)構(gòu)基礎上改進而成，并提

組建域模式局域網(wǎng)

0. 背景知識介紹

0.1 活動目錄的作用

活動目錄是Windows 2000網(wǎng)絡體系結(jié)構(gòu)中一個基本且不可分割的部分。它在Windows NT 4.0操作系統(tǒng)的域結(jié)構(gòu)基礎上改進而成，并提供了一套為分布式網(wǎng)絡環(huán)境設計的目錄服務?；顒幽夸浭沟媒M織機構(gòu)可以有效地對有關網(wǎng)絡資源和用戶的信息進行共享和管理。另外，目錄服務在網(wǎng)絡安全方面也扮演著中心授權機構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡資源的訪問。同等重要的是，活動目錄還擔當著系統(tǒng)集成和鞏固管理任務的集合點。

活動目錄提供了對基于Windows 的用戶賬號、客戶、服務器和應用程序進行管理的唯一點。同時，它也幫助組織機構(gòu)通過使用基于Windows 的應用程序和與Windows 相兼容的設備對非Windows 系統(tǒng)進行集成，從而實現(xiàn)鞏固目錄服務并簡化對整個網(wǎng)絡操作系統(tǒng)的管理。公司也可以使用活動目錄服務安全地將網(wǎng)絡系統(tǒng)擴展到Internet 上?；顒幽夸浺虼耸宫F(xiàn)有網(wǎng)絡投資升值，同時，降低為使Windows 網(wǎng)絡操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費用。

總的來說，活動目錄的這些功能使組織機構(gòu)可以將標準化的商業(yè)規(guī)則貫徹于分布式應用和網(wǎng)絡資源當中，同時，無需管理員來維護各種不同的專用目錄。

0.2 活動目錄的特點

活動目錄是從一個數(shù)據(jù)存儲開始的。它采用的是Exchange Server的數(shù)據(jù)存儲，稱為：Extensible Storage Service （ESS ）。其特點是不需要事先定義數(shù)據(jù)庫的參數(shù)，可以做到動態(tài)地增長，性能非常優(yōu)良。這個數(shù)據(jù)存儲之上已建立索引的，可以方便快速地搜索和定位。活動目錄的分區(qū)是" 域（Domain ）" ，一個域可以存儲上百萬的對象。域之間還有層次關系，可以建立域樹和域森林，無限地擴展。

在數(shù)據(jù)存儲之上，微軟建立了一個對象模型，以構(gòu)成活動目錄。這一對象模型對輕型目錄訪問協(xié)議 (Lightweight Directory Access Protocal, LDAP)有純粹的支持，還可以管理和修改Schema 。Schema 包括了在活動目錄中的計算機、用戶和打印機等所有對象的定義，其本身也是活動目錄的內(nèi)容之一，在整個域森林中是唯一的。通過修改Schema 的工具，用戶或開發(fā)人員可以自己定義特殊的類和屬性，來創(chuàng)建所需要的對象和對象屬性。

活動目錄包括兩個方面：一個目錄和與目錄相關的服務。目錄是存儲各種對象的一個物理上的容器；而目錄服務是使目錄中所有信息和資源發(fā)揮作用的服務。活動目錄是一個分布式的目錄服務。信息可以分散在多臺不同的計算機上，保證快速訪問和容錯；同時不管用戶從何處訪問或信息處在何處，都對用戶提供統(tǒng)一的視圖。

在活動目錄中，目錄存儲只有一種形式，即域控制器（Domain Controller），包括了完整的域目錄的信息，不再有主域控制器和備份域控制器的區(qū)別。所有的域控制器在用戶訪問和提供服務方面都是相同的。它們之間的同步是采用了一種先進的多主復制的技術，稱為Update Sequence Numbers (USN)。每個服務器跟蹤其復制伙伴的最新USN 列表，保證及時更新并且更新不會有沖突或相互覆蓋等。

Windows 2000的安全性服務（如Kerberos ，PKI 和智能卡等）和活動目錄緊密結(jié)合?；顒幽夸洿鎯α擞虬踩叩男畔ⅲ热缬蚩诹畹南拗普摺⑾到y(tǒng)訪問權限等，實施了基于對象的安全模型和訪問控制機制。在活動目錄中的每個對象都有一個獨有的安全性描述，定義了瀏覽或更新對象屬性所需要的訪問權限。但是，當LDAP 客戶端訪問活動目錄時，操作系統(tǒng)會實施訪問安全控制，而不是由活動目錄來決定訪問控制的。Windows 2000 安全性和活動目錄相輔相成，可以共同完成任務和協(xié)同管理。

另外，活動目錄還充分地考慮到了備份和恢復目錄服務的需要。Windows 2000備份工具中有專門備份活動目錄的選項，在出現(xiàn)意外事故的時候，可以在機器啟動時按F8進入安全模式，來進行目錄服務的恢復，保證減少災難的惡性影響。

在活動目錄安裝之后，主要有三個活動目錄的微軟管理界面（MMC ），一個是活動目錄用戶和計算機管理，主要用于實施對域的管理；一個是活動目錄的域和域信任關系的管理，主要用于管理多域的關系；還有一個是活動目錄的站點管理，可以把域控制器置于不同的站點。一般局域網(wǎng)的范圍內(nèi)，為一個站點，站點內(nèi)的域控制器之間的復制是自動進行的；站點間的域控制器之間的復制，需要管理員設定，以優(yōu)化復制流量，提高可伸縮性。從活動目錄管理界面，還可以對SDOU(站點、域和組織單元的統(tǒng)稱) 右鍵點擊，啟動組策略（Group Policy ）的管理界面，實施對對象的細致管理。

1. 實驗目的

⑴了解活動目錄的概念和作用

⑵掌握域名解析的過程

⑶學會安裝活動目錄服務與配置DNS 服務器

2．實驗內(nèi)容

⑴兩個同學為一小組，將其中一臺計算機作為域控制器，建立一個以自己名字命名的域，向該域添加一個名字為ABC 的用戶，使用該用戶名登陸你剛才創(chuàng)建的域。

⑵將小組內(nèi)的另一臺計算機作為客戶機加入剛才創(chuàng)建的域。在域控制器中打開Computers 容器，觀察有客戶機加入域前后的變化。

⑶打開Computers 容器，管理已經(jīng)存在的計算機，對計算機設置“停用帳戶”，然后在被停用的計算機上使用一個域用戶登錄，觀察結(jié)果是否能夠登錄。重新啟用該計算機后，通過活動目錄對該計算機進行管理，查看其磁盤分區(qū)情況等。

⑷右擊某一用戶帳戶，選擇屬性，點擊賬戶頁簽，可看到登錄時間和登錄到兩個按鈕，點擊可以設置登錄時間和登錄的計算機，請設置設置某一用戶只能在規(guī)定時間：周一至周五的上午8點～下午4點內(nèi)登錄。

⑸設置某一用戶只能在規(guī)定的計算機上登錄。并在客戶機上驗證。

3. 實驗步驟

3.1 實驗內(nèi)容1

⑴選擇“開始”→“運行”，輸入：dcpromo ，啟動活動目錄安裝向?qū)?，如圖1-1,1-2

，所示：

圖1-1

圖2-2

⑵單擊“下一步” 按鈕，直至出現(xiàn)“域控制器類型”頁面，如圖1-3所示。選擇新域的域控制器。

圖1-3

⑶單擊“下一步”按鈕，選擇新林中的域，如圖1-4所示：

圖1-4

⑷單擊“下一步”按鈕，輸入以你的名字命名的新域的名稱，如：“zhongyy.com ”，如圖1-5所示：

圖1-5

⑸單擊“下一步”，使用默認的NetBIOS 名稱；

⑹單擊“下一步”，指定數(shù)據(jù)庫和日志文件存放的文件夾，如“E:WINDOWSNTDS”。注意：數(shù)據(jù)庫和日志文件最好存放在不同的硬盤上。

⑺單擊“下一步”，指定作為系統(tǒng)卷的共享的文件夾，例如：“E:WINDOWSSYSVOL”，。注意：指定的文件夾必須在硬盤的NTFS 分區(qū)。

⑻單擊“下一步”，出現(xiàn)“DNS 診斷頁面”，如圖1-6所示。選擇“在這臺計算機上安裝并配置DNS 服務器，并將這臺DNS 服務器設衛(wèi)這臺計算機的首選DNS 服務器(S)?！?/p> ,

圖1-6

⑼一直單擊“下一步”，直至出現(xiàn)“摘要”頁面，如圖1-7所示。仔細閱讀“摘要”，確定所有設置正確無誤

圖1-7

⑽單擊“下一步”，開始安裝活動目錄；當系統(tǒng)提示需要安裝文件時，指定安裝文件的位置為“2.168.1.100win200I386”, 如圖1-8所示：

圖1-8

⑾安裝完成后重新啟動計算機，使設置生效。

⑿“開始”→“設置”→“控制面板” →“管理工具” →“Active 用戶和計算機”，打開“Active 用戶和計算機”控制臺，如圖1-9所示：

圖1-9

⒀展開“zhongyy.com ”節(jié)點，右鍵單擊“Users ”容器，在彈出的快捷菜單中選擇“新建” →“用戶”，打開新建用戶窗口，填入用戶登陸名“ABC ”, 姓“ZHONG ”, 名“YY ”，如圖1-10所示

圖1-10

⒁單擊“下一步”，輸入登錄密碼，再單擊“下一步”，完成用戶“ABC ”的添加。

⒂“開始”→“設置”→“控制面板” →“管理工具” →“域控制器安全策略”，打開“域控制器安全策略”控制臺，如圖1-11所示：

圖1-11

⒃依次展開“安全設置” →“本地策略”節(jié)點，單擊“用戶權利指派”，打開控制臺，開始編輯本地策略，如圖1-12所示：

圖1－12

⒄找到“允許在本地登陸選項”，雙擊之，打開如圖1-13所示的頁面

圖1-13

⒅單擊“添加用戶或組”按鈕，添加用戶“ZHONGYY?C”，如圖1-14所示：

圖1-14

⒆單擊“確定”按鈕完成用戶添加?！伴_始” →“關機” →“注銷Administrator ”，使用帳戶“ABC ”登陸。

⒇將客戶機加入域：首先更改客戶機的DNS 服務器為域控制的IP 地址，然后在客戶機桌面上右擊“我的電腦”選“屬性”，點擊“網(wǎng)絡標識”選項卡，點擊“屬性”按鈕，點擊“隸屬于”單選按鈕，輸入隸屬于的域，如，想作為zhongyy.com 的客戶機，可輸入zhongyy, 等待片刻，會出現(xiàn)輸入用戶名和密碼對話框，輸入在域控制器上建立的用戶賬戶和相應的密碼，或輸入域控制上的管理員administrator 賬戶，其初始密碼為空。等待片刻，會出現(xiàn)歡迎加入XXX 域?qū)υ捒?。重起計算機

3.2 實驗內(nèi)容2

⑴“開始”→“設置”→“控制面板” →“管理工具” →“DNS ”，打開DNS 控制臺，單擊DNS 服務器，展開該節(jié)點，再展開“正向查找區(qū)域”節(jié)點，如圖1-15所示：