1、第5章 Windows Server 2008活动目录 5.1活动目录概述活动目录概述5.2活动目录的结构活动目录的结构5.2.1活动目录的逻辑结构活动目录的逻辑结构5.2.2活动目录的物理结构活动目录的物理结构5.3 管理活动目录管理活动目录5.4 信任关系的创建信任关系的创建5.5 账号的管理账号的管理5.6组和组织单位的管理组和组织单位的管理 5.7组策略5.1.1 Active Directory的概念n活动目录包括两个方面:目录和与目录相关的服务。活动目录包括两个方面:目录和与目录相关的服务。n目录是存储各种对象的一个物理上的容器;从静态目录是存储各种对象的一个物理上的容器;从静态的
2、角度来理解与我们所熟知的的角度来理解与我们所熟知的“目录目录”和和“文件夹文件夹”没有本质区别,仅仅是一个对象,是一个实体没有本质区别,仅仅是一个对象,是一个实体n目录服务是使目录中所有信息和资源发挥作用的服目录服务是使目录中所有信息和资源发挥作用的服务。目录服务标记管理网络中的所有实体资源(比务。目录服务标记管理网络中的所有实体资源(比如计算机、用户、打印机、文件、应用等),并且如计算机、用户、打印机、文件、应用等),并且提供了命名、描述、查找、访问以及保护这些实体提供了命名、描述、查找、访问以及保护这些实体信息的一致性的方法,允许相同网络上的其他已授信息的一致性的方法,允许相同网络上的其他
3、已授权用户和应用访问这些资源。权用户和应用访问这些资源。5.1活动目录概述活动目录概述n活动目录是一个层次的、树状的结构,活动目录是一个层次的、树状的结构,通过活动目录组织和存储网络上的对象信息,可以让管理员非常方便的进行对象的查询、组织和管理。活动目录具有与活动目录具有与DNS集成、便于查询、可集成、便于查询、可伸缩可扩展、可以进行基于策略的管理、伸缩可扩展、可以进行基于策略的管理、安全高效等特点,通过组织活动目录,可以实现提高用户生产力、增强安全性、减少宕机时间、减轻IT管理的负担与成本等优势。5.1.1 Active Directory的概念nActive Directory中的对象信息
4、以域为安全边中的对象信息以域为安全边界。界。n通过登录验证以及对目录中对象的访问控制,通过登录验证以及对目录中对象的访问控制,将将安全性集成到安全性集成到Active Directory中。中。n通过一次网络登录,管理员可管理整个网络中通过一次网络登录,管理员可管理整个网络中的目录数据和单位,而获得授权的网络用户可的目录数据和单位,而获得授权的网络用户可访问网络上任何地方的资源。任何用户只需有访问网络上任何地方的资源。任何用户只需有一个域账号,就可以访问一个域账号,就可以访问Active Directory中中的全部资源,漫游整个网络。而采用基于域和的全部资源,漫游整个网络。而采用基于域和域控
5、制器策略的管理则可以大大减轻管理的负域控制器策略的管理则可以大大减轻管理的负担。担。在在Win2000和和Win2003系统中,活动目录服务被命名为系统中,活动目录服务被命名为AD Directory Service,而在,而在Win2008中,活动目录服务有了一个中,活动目录服务有了一个新的名称:新的名称:Active Directory Domain Service n1、活动目录审核新特性n活动目录审核(Audit)并不是Win2008活动目录中的一个新功能,在Win2000/Win2003的活动目录中也可以指派审核策略。n通过审核功能,系统可以将服务器的状态、用户登录状态以及活动目录等
6、状态进行记录,以日志的方式进行储存,管理员可以通过管理工具中的“Event Viewer”来查看日志,查看日志是管理员了解系统状态、排除错误的一个重要手段。5.1.2 Active Directory的特点n2、多元密码策略新特性n统一的密码策略虽然大大提高了安全性,但是提高了域用户使用的复杂度。n为解决这个问题,在Win2008中引入了多元密码策略(Fine-Grained Password Policy)的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略,例如,可以为管理员组指派超强密码策略,密码16位以上、两周过期;为服务帐号指派中等密码策略,密码31天过期,不配置密码锁
7、定策略;为普通域用户指派密码90天过期等。多元密码策略适应了不同用户对于安全性的不同要求。5.1.2 Active Directory的特点n3、可重启的活动目录域服务n在Win2000/2003中,如果要执行离线整理活动目录数据库或者进入目录服务还原模式进行活动目录的修复或者还原,需要重启服务器进行切换。这时候服务器上的所有服务都会一同停止,这样就影响了其他不依赖于目录服务的一些如DHCP、流媒体等服务的执行。n在Win2008中支持可重启的活动目录域服务(Restartable Active Directory Domain Services)功能,这时候活动目录域服务(Active Di
8、rectory Domain Services)是直接作为一个服务而存在,可以在系统服务控制台中停止或者启动,而不必像Win2000/2003中必须将服务器重启才能停止。5.1.2 Active Directory的特点n4、只读域控制器n只读域控制器RODC(Read-only domain controller)是Win2008活动目录中变化非常大的一点。在之前的微软服务器操作系统版本中,如Win2000/2003,森林中的所有域控制器均可以进行更新,管理员可以在任何一个域控制器上进行写操作,这些操作会同步到其他域控制器上。这样就造成了安全隐患。nRODC具有以下这几点特性:RODC上存有
9、活动目录域服务中所有的对象和属性,但是RODC上的数据只可读、不可写,在分支机构如果有轻量级目录访问协议LDAP(Lightweight Directory Access Protocol)的应用程序需要访问活动目录并对活动目录对象作修改,则该LDAP应用程序可以重定向到中央站点的可读写DC上。同时,RODC是单向复制,包括AD数据库和SYSVOL,只可以从其他域控制器上同步信息,不可以向其他域控制器同步信息。5.1.2 Active Directory的特点5.2活动目录的结构活动目录的结构n“逻辑逻辑”与与“物理物理”是对等的,一般地说,是对等的,一般地说,“物理物理”上上的是指实实在在的
10、,而的是指实实在在的,而“逻辑逻辑”上的是指非物理上的,上的是指非物理上的,非实体的东西,是一个抽象的概念。前面我们讲到活非实体的东西,是一个抽象的概念。前面我们讲到活动目录的逻辑结构非常灵活,有目录树、域、域树、动目录的逻辑结构非常灵活,有目录树、域、域树、域林等,这些名字都不是实实在在的一种实体,只是域林等,这些名字都不是实实在在的一种实体,只是代表了一种关系,一定范围。逻辑结构还与名字空间代表了一种关系,一定范围。逻辑结构还与名字空间有直接关系,逻辑结构为用户和管理员在一定的名字有直接关系,逻辑结构为用户和管理员在一定的名字空间中查找、定位对象提供了极大方便。空间中查找、定位对象提供了极
11、大方便。n物理结构与逻辑结构有很大的不同,它们是彼此独立物理结构与逻辑结构有很大的不同,它们是彼此独立的两个概念。逻辑结构侧重于网络资源的管理,而物的两个概念。逻辑结构侧重于网络资源的管理,而物理结构则侧重于网络的配置和优化,着眼于活动目录理结构则侧重于网络的配置和优化,着眼于活动目录信息的复制。物理结构的两个重要概念是域控制器和信息的复制。物理结构的两个重要概念是域控制器和站点。站点。5.2.1活动目录的逻辑结构活动目录的逻辑结构1.层次化的目录结构层次化的目录结构 Windows 2000的活动目录是由组织单元(的活动目录是由组织单元(OU)、域()、域(Domain)、域树)、域树(Tr
12、ee)、森林()、森林(Forest)构成的层次结构。如目录树就是由同一名)构成的层次结构。如目录树就是由同一名字空间上的目录组成;而域是由不同的目录树组成;域树是由不同的字空间上的目录组成;而域是由不同的目录树组成;域树是由不同的域组成;域林是由多个域树组成。它们是一种完全的树状、层次结构域组成;域林是由多个域树组成。它们是一种完全的树状、层次结构视图,这种关系我们可以看成是一种动态关系。视图,这种关系我们可以看成是一种动态关系。nWindows域(域(Domain)是基于)是基于NT技术构建的技术构建的Windows系统组成的计系统组成的计算机网络的独立安全范围,算机网络的独立安全范围,是
13、Windows的逻辑管理单位,也就是说一个域就是一系列的用户账户、访问权限和其他的各种资源的集合。活动目。活动目录的结构如图所示。录的结构如图所示。活动目录的结构域(Domain)是Windows Server 2008活动目录的核心单元,是共享同一活动目录的一组计算机集合。域是安全的边界,在默认的情况下,一个域的管理在默认的情况下,一个域的管理员只能管理自己的域,一个域的员只能管理自己的域,一个域的管理员要管理其他的域需要专门管理员要管理其他的域需要专门的授权。的授权。域也是复制单位,一个,一个域可包含多个域控制器,当某个域可包含多个域控制器,当某个域控制器的活动目录数据库修改域控制器的活动
14、目录数据库修改以后,会将此修改复制到其他所以后,会将此修改复制到其他所有域控制器。有域控制器。组织单元(OU,Organizational Unit)是组织、管理一个域内对象的容器,它能包容用户账户、用户组、计算机、打印机和其他的组织单元。5.2.1活动目录的逻辑结构活动目录的逻辑结构4.使用包容结构建立组织模型使用包容结构建立组织模型l容器是活动目录名字空间的一部分,与目录对象一样,它也有属性,但容器是活动目录名字空间的一部分,与目录对象一样,它也有属性,但与目录对象不同的是,它不代表有形的实体,而是代表存放对象的空间。与目录对象不同的是,它不代表有形的实体,而是代表存放对象的空间。组织单元
15、(组织单元(OU)就是一个容器对象,它也是活动目录的逻辑结构的一)就是一个容器对象,它也是活动目录的逻辑结构的一部分。部分。图图5-4组织单元组织单元n对象(Object)是对某具体事物的命名,如用户、打印机或应用程序等。属性是对象用来识别主题的描述性数据。一个用户的属性可能包括用户的Name、Email和Phone等,是一个用户对象和其属性的表示。用户对象和它的属性用户对象和它的属性n2、面向对象的存储 n对象(Object)是对某具体事物的命名,也可以理解为信息实体。对象通过属性描述它的基本特征,比如一个用户账号的属性中可能包括用户姓名、电话号码、电子邮件地址和家庭住址等。n活动目录以对象
16、的形式存储关于网络元素的信息,对活动目录以对象的形式存储关于网络元素的信息,对象是对象类的一个实例,而每个对象类都有很多属性象是对象类的一个实例,而每个对象类都有很多属性,这些属性描述了某种对象类的特殊特征。这使得组织机构可以在目录中存储广泛的信息,从而便于组织、管理和控制对它的访问。n这种面向对象的存储机制同时也实现了对象的安全这种面向对象的存储机制同时也实现了对象的安全,因为对象的属性被封装在对象内部。当然,所有这些对象都有一个全局唯一的标志。5.2.1活动目录的逻辑结构活动目录的逻辑结构域树图2-1 域树树林n多颗域树构成树林:信任关系信任关系图2-2 树林树林n树林中第一个创建的域称为
17、树林中第一个创建的域称为森林根域森林根域,它不可以被删除,更改或重命名。当用它不可以被删除,更改或重命名。当用户创建一棵新的树时,要指定初始的根户创建一棵新的树时,要指定初始的根域,在第二棵树的根域和森林根域间建域,在第二棵树的根域和森林根域间建立起一种信任关系。立起一种信任关系。n因为信任关系是相互并且是双向的。第因为信任关系是相互并且是双向的。第三棵树的根域跟第二棵树的根域之间也三棵树的根域跟第二棵树的根域之间也存在着一个双向的信任关系。存在着一个双向的信任关系。5.2.1活动目录的逻辑结构活动目录的逻辑结构3.域、域树、森林及信任关系域、域树、森林及信任关系 域(domain)是Wind
18、ows Server 2008目录服务的基本管理单位,是对象(如计算机、用户等)的容器,这些对象有相同的安全需求、复制过程和管理。域模式的最大好处就是它的单一网络登录能力,任何用户只要在域中有一个账户,就可以漫游网络。同时域还是安全边界,域管理员只能管理域的内部,除非其它的域显式地赋予他管理权限,他才能够访问或管理其它的域。n域是安全界限,每个域都有自己的安全策略,以及它域是安全界限,每个域都有自己的安全策略,以及它与其它域的安全信任关系。与其它域的安全信任关系。n域信任关系是建立在两个域之间的关系,一个域中的域信任关系是建立在两个域之间的关系,一个域中的用户通过另一域中的域控制器验证,才能使
19、一个域中用户通过另一域中的域控制器验证,才能使一个域中的用户访问另一个域中的资源。这些信任关系允许单的用户访问另一个域中的资源。这些信任关系允许单一登录过程,但这不一定意味着经过身份验证的用户一登录过程,但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限,必须在在域树的所有域中都拥有相同的权利和权限,必须在每个域的基础上为用户指派相应的权利和权限。每个域的基础上为用户指派相应的权利和权限。n所有域信任关系在关系中只能有两个域:信任域和受所有域信任关系在关系中只能有两个域:信任域和受信任域。如果域信任域。如果域A信任域信任域B,则域,则域B中的用户可以通过中的用户可以通过域
20、域A中的域控制器进行身份验证后访问域中的域控制器进行身份验证后访问域A中的资源,中的资源,称域称域A是信任域,域是信任域,域B是受信任域,域是受信任域,域A与域与域B之间的之间的关系就是信任关系。信任关系可以是单向的,也可以关系就是信任关系。信任关系可以是单向的,也可以是双向的,即域是双向的,即域A与域与域B之间可以单方面的信任关系,之间可以单方面的信任关系,也可以是双方面的信任关系。也可以是双方面的信任关系。3.域、域树、森林及信任关系域、域树、森林及信任关系 3.域的信任关系n域信任关系是建立在两个域之间的关系,一个域信任关系是建立在两个域之间的关系,一个域中的用户可由另一个域中的域控制器
21、验证。域中的用户可由另一个域中的域控制器验证。n活动目录通过域间的信任关系提供跨域的安全。活动目录通过域间的信任关系提供跨域的安全。当域之间有信任关系时,每个域的认证机构都当域之间有信任关系时,每个域的认证机构都信任其他所有它所信任的域的认证机构。信任其他所有它所信任的域的认证机构。n如果一个用户或应用程序被一个域认证后,所如果一个用户或应用程序被一个域认证后,所有信任这个认证的域都认可这种认证。一个被有信任这个认证的域都认可这种认证。一个被信任域中的用户可以访问信任域中的资源,并信任域中的用户可以访问信任域中的资源,并由信任域上的访问控制所制约。在图由信任域上的访问控制所制约。在图2-3中,
22、中,域信任关系用箭头标出(指向受信任域)。域信任关系用箭头标出(指向受信任域)。3.域的信任关系n域的信任关系及其传递:信任域受信任域信任方向访问方向图2-3 域间信任关系3.域的信任关系 在以前的在以前的 Windows 版体中,信任关系只限于涉及到的两个域,而版体中,信任关系只限于涉及到的两个域,而且信任关系是单向的。在且信任关系是单向的。在 Windows 2000 中,所有信任关系都中,所有信任关系都是可传递的而且是双向的,信任关系中的两个域自动相互信任。是可传递的而且是双向的,信任关系中的两个域自动相互信任。图图2-4 域间信任关系的双向传递域间信任关系的双向传递域1 域2 域33.
23、域的信任关系n1信任路径信任路径n信任路径是身份验证请求在域之间必须遵循的信任路径是身份验证请求在域之间必须遵循的一组信任关系。在用户可以访问别一个域中的一组信任关系。在用户可以访问别一个域中的资源之前,资源之前,Windows 2000 安全机制必须确安全机制必须确定信任域(含有用户试图访问的资源的域)和定信任域(含有用户试图访问的资源的域)和受信任域(用户的登录域)之间是否有信任关受信任域(用户的登录域)之间是否有信任关系。系。3.域的信任关系2单向信任单向信任单向信任是域单向信任是域1信任域信任域2 的单一信任关系。所有的单向关的单一信任关系。所有的单向关系都是不可传递的,并且所有的不可
24、传递信任都是单系都是不可传递的,并且所有的不可传递信任都是单向的。身份验证请求只能从信任域传到受信任域。即向的。身份验证请求只能从信任域传到受信任域。即如果域如果域1与域与域2有单向信任关系,域有单向信任关系,域2与与3有单向信任关有单向信任关系,则域系,则域1与域与域3之间没有单向信任关系。之间没有单向信任关系。3双向信任双向信任Windows 2000 树林中的所有域信任都是双向可传递信树林中的所有域信任都是双向可传递信任。建立新的子域时,双向可传递信任在新的子域和任。建立新的子域时,双向可传递信任在新的子域和父域之间自动建立。在双向信任中,域父域之间自动建立。在双向信任中,域1信任域信任
25、域2,且,且域域2信任域信任域1。这意味着身份验证请求可在两个目录中。这意味着身份验证请求可在两个目录中的两个域之间传递。的两个域之间传递。3.域的信任关系4可传递信任可传递信任Windows 2000树林中的所有域信任都是可传递的。可传递信任始终为双树林中的所有域信任都是可传递的。可传递信任始终为双向的,即此关系中的每两个域相互信任。可传递信任不受信任关系中两向的,即此关系中的每两个域相互信任。可传递信任不受信任关系中两个域的约束。个域的约束。每次当建立新的子域时,在父域和新子域之间就隐含(自每次当建立新的子域时,在父域和新子域之间就隐含(自动)地建立起双向可传递信任关系。动)地建立起双向可
26、传递信任关系。图2-6 树林中信任的传递域1域2域3 域A域C域D域B域E3.域的信任关系n5.信任协议信任协议nWindows通过使用通过使用Kerberos v5和和NTLM(Challenge-Response)认证协认证协议中的一个,来对用户或应用程序进行议中的一个,来对用户或应用程序进行认证。对协议的选择由客户机与服务器认证。对协议的选择由客户机与服务器的能力来决定。的能力来决定。n在运行在运行Windows 2000的计算机上,的计算机上,Kerberos v5协议是用于网络认证的默协议是用于网络认证的默认协议认协议。Kerberos v5nKerberos V5 是域内主要的安全
27、身份验证协议。Kerberos V5 协议可验证请求身份验证的用户标识以及提供请求的身份验证的服务器。这种双重验证也称为相互身份验证。nKerberos V5 工作原理:Kerberos V5 身份验证机制颁发用于访问网络服务的票证。这些票证包含能够向请求的服务确认用户身份的经过加密的数据,其中包括加密的密码。除了输入密码或智能卡凭据,整个身份验证过程对用户都是不可见的。nKerberos V5 中的一项重要服务是密钥分发中心(KDC)。KDC 作为 Active Directory 目录服务的一部分在每个域控制器上运行,它存储了所有客户端密码和其他帐户信息。Kerberos v5nKerbe
28、ros V5 身份验证过程按如下方式工作:身份验证过程按如下方式工作:n客户端系统上的用户使用密码或智能卡向客户端系统上的用户使用密码或智能卡向 KDC 进行身份验证。进行身份验证。nKDC 向此客户端颁发一个特别的授权票证。客户端系统使用该向此客户端颁发一个特别的授权票证。客户端系统使用该 TGT 访访问授票服务问授票服务(TGS),这是域控制器上的,这是域控制器上的 Kerberos V5 身份验证机制的身份验证机制的一部分。一部分。nTGS 接着向客户端颁发服务票证。接着向客户端颁发服务票证。n客户端向所请求的网络服务出示服务票证。服务票证向此服务证明用户客户端向所请求的网络服务出示服务
29、票证。服务票证向此服务证明用户的身份,同时也向该用户证明服务的身份。的身份,同时也向该用户证明服务的身份。nKerberos V5 服务安装在每个域控制器上,并且服务安装在每个域控制器上,并且 Kerberos 客户端则安客户端则安装在每个工作站和服务器上。装在每个工作站和服务器上。n每个域控制器作为每个域控制器作为 KDC 使用。客户端使用域名服务使用。客户端使用域名服务(DNS)定位最近的定位最近的可用域控制器。域控制器在用户登录会话中作为该用户的首选可用域控制器。域控制器在用户登录会话中作为该用户的首选 KDC 运运行。如果首选行。如果首选 KDC 不可用,系统将定位备用的不可用,系统将
30、定位备用的 KDC 来提供身份验证。来提供身份验证。1.域控制器域控制器 n在在Windows Server 2008安装安装Active Directory时,时,根据安装的先后顺序,会将第一个域服务器配置成为根据安装的先后顺序,会将第一个域服务器配置成为域控制器。配置第一台域控制器时,需要指定域名。域控制器。配置第一台域控制器时,需要指定域名。后来安装后来安装Active Directory的计算机被称为额外域控的计算机被称为额外域控制器,安装过程中将被提示加入到第一台域控制器指制器,安装过程中将被提示加入到第一台域控制器指定的域中。定的域中。5.2.2活动目录的物理结构活动目录的物理结构
31、5.2.2活动目录的物理结构活动目录的物理结构n域控制器是安装了Active Directory 的计算机。域控制器管理目录信息的变化,并把这些变化复制到同一个域中的其它域控制器上,使各域控制器上的目录信息处于同步。域控制器也负责用户的登录过程以及其它与域有关的操作,比如身份鉴定、目录信息查找等。一个域可以有多个域控制器。规模较小的域可以只需要两个域控制器,一个实际使用,另一个用于容错性检查。规模较大的域可以使用多个域控制器。nWindows 2000的域结构与WINNT的域结构不同,活动目录中的域控制器没有主次之分,活动目录采用了多主机复制方案,每一个域控制器都有一个可写入的目录副本,这为目
32、录信息容错带来了无尽的好处。尽管在某一个时刻,不同的域控制器中的目录信息可能有所不同,但一旦活动目录中的所有域控制器执行同步操作之后,最新的变化信息就会一致。5.2.2活动目录的物理结构活动目录的物理结构n全局目录是一个信息仓库,包含活动目录中所有对象的一部分属性,往往是在查询过程中访问最为频繁的属性。全局目录服务器可以提高活动目录中大范围内对象检索的性能,比如在域林中查询所有的打印机操作。如果没有一个全局目录服务器,那么这样的查询操作必须要调动域林中每一个域的查询过程。如果域中只有一个域控制器,那么它就是全局目录服务器。如果有多个域控制器,那么管理员必须把一个域控制器配置为全局目录控制器。2
33、.站点nActive Directory中的站点代表网络的物理结构或拓扑。站点是指站点是指包括活动目录域服务器的一个网络位置,通常是一个或多个通过包括活动目录域服务器的一个网络位置,通常是一个或多个通过TCP/IP连接起来的子网。连接起来的子网。可以将站点定义为由一个或多个 IP 子网的一组连接良好的计算机集合。n站点在概念上不同于Windows Server 2008 的域,因为一个站点可以跨越多个域,而一个域也可以跨越多个站点。站点并不属于域名称空间的一部分,站点控制域信息的复制,并可以帮助确定资源位置的远近。站点反映网络的物理结构,而域通常反映组织的逻辑结构。5.2.2活动目录的物理结构
34、活动目录的物理结构2.站点站点 Active Directory 使用在目录中存储为站点和站点连接对象建立起最有效的复制拓扑。站点与域不同,站点代表网络的物理结构,而域代表组织的逻辑结构。(1)提高了验证过程的效率)提高了验证过程的效率(2)平衡了复制频率)平衡了复制频率(3)可提供有关站点链接信息)可提供有关站点链接信息5.3安装Active Directoryn 1.创建第一个域创建第一个域n步骤1:打开“运行”对话框,输入dcpromo命令单击“确定”,打开“Active Directory域服务安装向导”窗口。5.3安装Active Directoryn步骤2:取默认设置,单击“下一步
35、”,进入“操作系统兼容性”窗口。n步骤3:单击“下一步”,进入“选择某一部署配置”窗口;因为这是第一台域控制器,所以选择“在新林中新建域”。n步骤4:单击“下一步”,进入“命名林根域”窗口,在“目录林根级域的FQDN”编辑框中输入域控制器所在单位的DNS域名,如,如图5-3所示。“命名林根域”窗口5.3安装Active Directoryn步骤5:单击“下一步”,开始检查所设的域名及其相应的NetBIOS是否在网络中已使用,避免发生冲突。如未使用,则进入“设置林功能级别”窗口。在“林功能级别”的下拉列表框中,提供了Windows Server 2000,Windows Server 2003、
36、Windows Server 2008三种模式。根据本域控制器所在网络中存在的最低Windows版本的域控制器来选择,如图5-4所示。5.3安装Active Directoryn步骤7:单击“下一步”,开始检查DNS配置。完成后显示“其他域控制器选项”窗口,选中“DNS服务器”复选框,如图5-6所示。5.3安装Active Directoryn步骤8:单击“下一步”,如域控制器使用的是动态IP,将弹出警告窗口。一般建议将域控制器配置成静态IP。单击“是(Y),该计算机将使用动态分配的IP地址”,则会弹出警告窗口,提示找不到父域。n步骤9:单击“是”,进入“数据库、日志文件和SYSVOL的位置”
37、窗口。一般为了提高系统性能,便于以后的故障恢复,建议将数据库和日志文件存储的位置放在非系统分区,并分别存储于不同的文件夹内,如图5-7所示。5.3安装Active Directoryn步骤10:单击“下一步”,进入“目录服务还原模式的Administrator密码”窗口,设置密码。n步骤11:单击“下一步”,进入“摘要”窗口,该窗口列出了前面所设置的全部信息。如需更改,单击“上一步”返回到需要更改的窗口。n步骤12:如不需要更改,则单击“下一步”,安装向导开始配置域服务。此过程可能等待时间较长,如不想等待,可选中“完成后重新启动”复选框。安装完成后自动重启。n步骤13:配置完成后,出现“完成A
38、ctive Directory域服务安装向导”窗口,提示已完成安装Active Directory域服务的安装。n步骤14:单击“完成”,提示重启后更改才能生效。n步骤15:单击“立即重新启动”,重启计算机。注意重启登录域时,用户账户需使用“域名用户名”的格式登录。如图5-8所示n步骤16:进入系统后,单击“开始”“管理工具”“Active Directory用户和计算机”选项,弹出“Active Directory用户和计算机”窗口,在此可管理所有用户账户。n2、检查Active Directory安装结果检查DNS文件的SRV记录用文本编辑器打开%SystemRoot%/system32/
39、config/中的Netlogon.dns文件,查看LDAP服务记录,在本例中为_ldap._tcp.600 IN SRV 0 100 389 WIN-1ECMJ4MYPNI.验证SRV记录在NSLOOKUP命令工具中运行是否正常在命令提示符下,输入NSLOOKUP。输入set type=srv.输入_ldap._.如果返回了服务器名和IP地址,说明SRV记录工作正常。5.3安装Active Directory5.3安装Active Directoryn注意:活动目录安装完成之后,必须重新启动计算机,活动目录才会生效。n在活动目录安装之后,不但服务器的开机时间和关机时间变长,而且系统的执行速度
40、变慢。所以,如果用户对某个服务器没有特别要求或不把它作为域控制器来使用,可将该服务器上的活动目录删除,使其降级为成员服务器或独立服务器。5.3.2 域控制器与域控制器与DNS服务器服务器n如果先安装DNS服务器,后安装活动目录,有时可能会发现DNS的正向区域和SRV记录没有或不全;此时需要强制让域控制器向DNS注册SRV记录。n下面先删除DNS服务器上的正向区域,同时也就删除了该区域下的所有记录。然后,将会让域控制器向DNS服务器注册器其SRV记录。n(1)打开DNS管理器;如图5-9所示,右击_区域,单击“删除”命令。在弹出的提示框中,单击“是”。(3)右击“正向查找区域”,单击“新建区域”
41、。(4)在新建区域向导中,单击“下一步”。如图5-10所示,区域类型选择“主要区域”,选中“在Active Directory中存储区域”,单击“下一步”。(5)在Active Directory区域传送作用域中,选择“至此域中的所有域控制器”。(6)输入区域名字_,单击“下一步”。(注意:_msdcs是固定格式,如果安装的是,则需要创建的是_正向查找区域)(7)在“动态更新”中,选中“只允许安全的更新”。(8)单击“下一步”,单击“完成”。在“区域名称”中,按照上面的步骤创建一个区域。(9)确保域控制器的TCP/IPv4的首选DNS指向自己的地址。在域控制器上命令提示符环境下运行net st
42、op netlogon。再运行net start netlogon。(10)选中DNS服务器刚才创建的两个区域,按F5刷新。会发现已经注册成功SRV记录。客户机加入域n当活动目录安装完成,在网络中存在有当活动目录安装完成,在网络中存在有域结构和域控制器之后,客户端计算机域结构和域控制器之后,客户端计算机就可以加入到活动目录中访问域中的资就可以加入到活动目录中访问域中的资源,并接受域的管理。不是域控制器的源,并接受域的管理。不是域控制器的Windows Server 2008也可加入域中,也可加入域中,成为成员服务器。成为成员服务器。n下面以下面以 Windows 2000 Profession
43、al客户端计算机为例,介绍如何配置该计客户端计算机为例,介绍如何配置该计算机加入到活动目录中。算机加入到活动目录中。客户机加入域客户机加入域客户机加入域客户机加入域n4)最后将会弹出对话框)最后将会弹出对话框“欢迎加入欢迎加入 域域”。单击。单击【确定确定】按钮,提示需按钮,提示需要重新启动计算机才能完成加入到域中的全部操作。要重新启动计算机才能完成加入到域中的全部操作。按按【确定确定】按钮,重新启动计算机。按钮,重新启动计算机。n5)客户端计算机重新启动之后,在提示用户登陆的)客户端计算机重新启动之后,在提示用户登陆的对话框中单击对话框中单击【选项选项】按钮,在按钮,在“登录到登录到”下拉列
44、表下拉列表中选择需要登录的域,在中选择需要登录的域,在“用户名用户名”文本框中输入用文本框中输入用户帐户,在户帐户,在“密码密码”文本框中输入密码。单击文本框中输入密码。单击【确定确定】按钮,就可以以域用户帐户的身份登陆到网络中,并按钮,就可以以域用户帐户的身份登陆到网络中,并访问域中网络资源了。访问域中网络资源了。n当要将客户端加入到域中的时候,要保证客户端计算当要将客户端加入到域中的时候,要保证客户端计算机能够通过机能够通过DNS服务器找到活动目录域控制器,否则服务器找到活动目录域控制器,否则客户机不能加入到域中。客户机不能加入到域中。5.3.3 子域的创建子域的创建步骤1:在运行窗口输入
45、dcpromo。安装程序会检测系统,并自动安装Active Directory域服务所需的文件。出现提示窗口后,连续单击“下一步”,进入“选择某一部署配置”窗口。此处选择“现有林和在现有林中新建域”。步骤2:单击“下一步”,进入“网络凭据”窗口。在“键入位于计划安装此域控制器的林中任何域的名称”编辑框中输入网络中已安装的域的名称,如。步骤3:单击“设置”,显示“Windows 安全”窗口。输入用户名和密码。步骤4:单击“确定”,添加到“备用凭据”列表框,如图5-12所示。5.3.3 子域的创建子域的创建步骤5:单击“下一步”,开始检查域,然后显示“命名新域”窗口。在“父域的FQDN”的编辑框中
46、输入主域的域名,或单击“浏览”选择。在“子域的单标签DNS名称”编辑框中输入子域的名称,如wangluo。步骤6:单击“下一步”,开始检查所设的域名机器相应的NetBIOS是否在网络中已使用,避免发生冲突。如未使用,则进入“设置域功能级别”窗口。步骤7:单击“下一步”,显示“请选择一个站点”对话框,在“站点”列表框中选择一个新域控制器站点。其他详细步骤请参考活动目录的安装步骤。5.3.4 辅助域控制器的创建辅助域控制器的创建n为了在主域控制器出现故障不能正常工作时,仍然保证用户能正常的登录网络,一般还需要一个或多个额外的域控制器,即辅助域控制器。以便在主域控制器出现故障时,辅助域控制器接管主域
47、控制器的工作。n安装辅助域控制器前,需要先把辅助域控制器的DNS地址设为主域控制器的IP,否则在辅助域控制器的安装过程中还可能找不到主域。5.3.5 活动目录的删除活动目录的删除n如网络中不再需要使用域控制器,或将其移至其他服务器上,则需要将当前的Active Directory删除。n需要注意的是:如果该域内还有其他域控制器,则该域将降级为这个“其他域控制器”的成员服务器。若这个域控制器为该域内最后一个域控制器,则降级后,将删除该域控制器n如这个域控制器是“全局编录”服务器,则降级后,他将不再担当“全局编录”的角色。但需注意,域中至少需要一个担任“全局编录”的域控制器;如仅该域控制器是“全局
48、编录”的,则在降级前,需要先指定某一域控制器担任“全局编录”,以便不影响用户的正常登陆。5.3.5 活动目录的删除活动目录的删除n步骤1:在运行窗口中输入dcpromo,单击“确定”,打开“Active Directory域服务安装向导”窗口。提示将卸载该服务器上的Active Directory域服务。n步骤2:单击“下一步”弹出警告窗口。n步骤3:如确认要删除该全局编录服务器,单击“确定”。显示如图5-14所示的“删除域”窗口,选中“删除该域,因为此服务器是该域中的最后一个域控制器”复选框。步骤4:单击“下一步”,显示“应用程序目录分区”窗口,提示在该域控制器中保留列表框中的应用程序目录分
49、区的最后副本。步骤5:单击“下一步”,显示“确认删除”窗口,选中“Active Directory域控制器上的所有应用程序目录分区”复选框。步骤6:单击“下一步”,显示“删除DNS委派”窗口。选中“删除指向此服务器的DNS委派。系统可能提示您删除此委派的其他凭据”复选框。步骤7:单击“下一步”,显示“管理凭据”。步骤8:输入用户账号和密码,单击确定。弹出“Administrator 密码”窗口。输入新密码并确认密码。步骤9:单击“下一步”,显示“摘要”窗口。提示删除完成后,此域将不再存在。步骤10:单击“下一步”,向导开始配置Active Directory域服务并准备降级目录服务。步骤11:
50、删除完成后弹出“提示域服务已删除”窗口。单击“完成”。并重启计算机使之成为独立服务器。5.4 信任关系的创建信任关系的创建域是活动目录的分区,定义了安全便捷,在没有经过授权的情况下,不允许其他域中的用户访问本域中的资源。在同一个域内,成员服务器根据Active Directory 中的用户账户,可以很容易地把资源分配给域内的用户。但我们有时会用到多个域,则在多个域环境下,该如何进行资源的跨域分配呢?比较常用的一种方法是在这几个域之间创建信任关系。要建立不同域之间的信任关系时,需要建立各自域的域控制器之间的信任。需注意的是,在建立信任之前,需要首先将某些域控制器的DNS服务器地址设置为将要与之建
