部署全新AD DS域服務AD DS域服務是Windows Server 2008的核心服務，主要提供用戶身份驗證、檢索、組織結構規(guī)劃、部署企業(yè)策略等基礎服務。與Windows Server 2003中

部署全新AD DS域服務

AD DS域服務是Windows Server 2008的核心服務，主要提供用戶身份驗證、檢索、組織結構規(guī)劃、部署企業(yè)策略等基礎服務。與Windows Server 2003中不同，Windows Server 2008中的AD DS域服務以服務的方式運行，可以在不停機的狀態(tài)下停止AD DS域服務。

一、基本概念介紹

1、 獨立服務器：指安裝有Windows Server操作系統(tǒng)，但不是域成員，具有獨立操作功能的服務器。

2、 域控制器：指安裝了活動目錄（Active Directory ）的服務器，主要負責管理用戶對網絡的各種各種權限。

3、 成員服務器：獨立服務器添加為域成員后就變成了成員服務器，主要用來充當應用服務器、web 服務器、數(shù)據(jù)庫服務器等。

4、 服務器角色：在Windows Server 2008中，根據(jù)主要功能、用途的區(qū)別劃分了16個角色，AD DS便是其中一個。

5、 DNS：全名叫Domain Name Server（域名服務器），提供了一種將名稱和IP 地址相關聯(lián)的方法，這樣用戶就可以通過較易記憶的域名來代替難以記憶的IP 地址進行操作。

6、 域：活動目錄中的邏輯組織單元

7、 域樹：域樹由多個域組成，這些域共享同一表結構和配置，形成一個連續(xù)的名字空間。樹中的域通過信任關系連接起來，活動目錄包含一個或多個域樹。域樹中的域 層次越深級別越低，一個“. ”代表一個層次，如域child.Microsoft.com 就比 Microsoft.com這個域級別低，因為它有兩個層次關系，而Microsoft.com 只有一個層次。而域

Grandchild.Child.Microsoft.com 雙比 Child.Microsoft.com級別低，道理一樣。 他們都屬于同一個域樹。Child.Microsoft.com 就屬于Microsoft.com 的子域。域

“child.Microsoft.com ” 就比“Microsoft.com ”這個域級別低，因為前者有兩個層次關系，而后者只有一個層次。域樹中的域是通過雙向可傳遞信任關系連接在一起的，因此 在域樹或樹林中新創(chuàng)建的域可以立即與域樹或樹林中每個其他的域建立信任關系。這些信任關系允許單一的登錄過程，在域樹或樹林中的所有域上對用戶進行身份驗 證，但這不一定意味著經過身份驗證的用戶在域樹的所有域中都擁有相同的權利和權限。因為域是安全界限，所以必須在每個域的基礎上為用戶指派相應的權利和權限。

8、 域森林：域林是指由一個或多個沒有形成連續(xù)名字空間的域樹組成，它與域樹最明顯的區(qū)別就在于域林之間沒有形成連續(xù)的名字空間，而域樹則是由一些具有連續(xù)名字 空間的域組成。但域林中的所有域樹仍共享同一個表結構、配置和全局目錄。域林中的所有域樹通過Kerberos 信任關系建立起來，所以每個域樹都知道Kerberos 信任關系，不同域樹可以交叉引用其他域樹中的對象。域林都有根域，域林的根域是域林中創(chuàng)建的第一個 域，域林中所有域樹的根域與域林的根域建立可傳遞的信任關系. 比如benet.com.cn, 則可以創(chuàng)建同屬與一個林的accp.com.cn, 他們就在同一個域林里.

二、AD DS域服務對象介紹

1、 計算機（Computer ）：指網絡上的計算機資源。

2、 用戶（User ）：是活動目錄中的安全主體，可被授予訪問權限。

3、 組（Group ）：用于存放用戶、計算機等對象的容器。

4、 聯(lián)系人（Contactor ）：非安全主體的一個賬戶，不能被授予權限，一般情況下用于E-mail 聯(lián)系。

5、 組織單元（Organizational Unit，簡稱OU ）:用于組織其他活動目錄的容器和對象。

6、 默認容器對象：

6.1、Builtin 容器：是AD DS 域服務創(chuàng)建的第一個容器，主要用于保存域中本地域組對象，比如Domain admins。

6.2、Computer 容器：用于存放成員計算機的計算機帳戶。

6.3、Domain Controller容器：用于存放當前域的所有域控制器。

6.4、ForeignSecurityPrincipals 容器：主要存放受信任的外域中的安全主體。

6.5、Users 容器：主要用于存放用戶組和當前域中的所有用戶賬戶。

三、部署AD DS域服務的前期準備

1、 設置網絡運行模式

Windows Server 2008默認安裝后是“公用網絡”的網絡類型，建議部署Active Directory 時使用“專用網絡”類型。

補充：專用網絡指被配置為工作組成員的計算機所連接的網絡，或者沒有直接連接到

Internet 的網絡，默認情況下，在專用網絡上會啟用發(fā)現(xiàn)功能，這樣可以降低對專用網絡上的計算機發(fā)現(xiàn)其他網絡計算機和設備的限制。公用網絡指處于公共場所的非內部網絡，默認情況下，在公用網絡會禁用發(fā)現(xiàn)功能，這樣可以通過防止公用網絡上的計算機發(fā)現(xiàn)其他網絡計算機或設備而增強安全性。發(fā)現(xiàn)功能主要意味著（1）本計算機可以發(fā)現(xiàn)網絡上的其他計算機和設備；（2）網絡上的其他計算機可以發(fā)現(xiàn)本機

1.1、依次選擇“Start ”→“Control panel” →“Network and Sharing Center”，點擊如下圖所示的“Customize ”鏈接；

1.2、在Location type中選擇“Private ”，之后點擊“Next ” →“Close ”完成設置。

2、 設置網絡參數(shù)

默認狀態(tài)下，Windows Server 2008會同時啟用IPv4和IPv6，但在安裝AD DS時不允許兩種協(xié)議同時存在，必須去除一項。這里我們選擇使用IPv4。

2.1、依次選擇“Start ”→“Control panel” →“Network and Sharing Center”，點擊如下圖所示的“View status”鏈接；

2.2、在“Local Area Connection Status”窗口中點擊“Properties ”；

2.3、在“Local Area Connection Properties”窗口中取消“Internet Protocol Version 6（TCP/IPv6）”前的復選框，點擊“OK ”完成。

3、 修改服務器IP 地址

3.1、仍然是在“Local Area Connection Properties”窗口中，選擇“Internet Protocol Version 4（TCP/IPv4）”，然后點擊“Properties ”按鈕；

3.2、選擇“use the following IP address”，此時下方的“use the following DNS Server address”也會自動選中，設置好域控制器的IP 地址、子網掩碼、默認網關和DNS （我們準備在本機安裝DNS 服務，所以設置DNS 為本機）；

3.3、點擊“OK ” →“Close ”完成設置。

4、 修改服務器計算機名

4.1、依次選擇“Start ” →“Computer ” →“Properties ”；

4.2、出現(xiàn)System 窗口，點擊“Change settings”鏈接；

4.3、在“System Properties”窗口中點擊“Change ?”按鈕；