部署全新AD DS域服務(wù)AD DS域服務(wù)是Windows Server 2008的核心服務(wù)，主要提供用戶身份驗(yàn)證、檢索、組織結(jié)構(gòu)規(guī)劃、部署企業(yè)策略等基礎(chǔ)服務(wù)。與Windows Server 2003中

部署全新AD DS域服務(wù)

AD DS域服務(wù)是Windows Server 2008的核心服務(wù)，主要提供用戶身份驗(yàn)證、檢索、組織結(jié)構(gòu)規(guī)劃、部署企業(yè)策略等基礎(chǔ)服務(wù)。與Windows Server 2003中不同，Windows Server 2008中的AD DS域服務(wù)以服務(wù)的方式運(yùn)行，可以在不停機(jī)的狀態(tài)下停止AD DS域服務(wù)。

一、基本概念介紹

1、 獨(dú)立服務(wù)器：指安裝有Windows Server操作系統(tǒng)，但不是域成員，具有獨(dú)立操作功能的服務(wù)器。

2、 域控制器：指安裝了活動(dòng)目錄（Active Directory）的服務(wù)器，主要負(fù)責(zé)管理用戶對(duì)網(wǎng)絡(luò)的各種各種權(quán)限。

3、 成員服務(wù)器：獨(dú)立服務(wù)器添加為域成員后就變成了成員服務(wù)器，主要用來(lái)充當(dāng)應(yīng)用服務(wù)器、web 服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等。

4、 服務(wù)器角色：在Windows Server 2008中，根據(jù)主要功能、用途的區(qū)別劃分了16個(gè)角色，AD DS便是其中一個(gè)。

5、 DNS ：全名叫Domain Name Server（域名服務(wù)器），提供了一種將名稱和IP 地址相關(guān)聯(lián)的方法，這樣用戶就可以通過(guò)較易記憶的域名來(lái)代替難以記憶的IP 地址進(jìn)行操作。

6、 域：活動(dòng)目錄中的邏輯組織單元

7、 域樹(shù)：域樹(shù)由多個(gè)域組成，這些域共享同一表結(jié)構(gòu)和配置，形成一個(gè)連續(xù)的名字空間。樹(shù)中的域通過(guò)信任關(guān)系連接起來(lái)，活動(dòng)目錄包含一個(gè)或多個(gè)域樹(shù)。域樹(shù)中的域 層次越深級(jí)別越低，一個(gè)“.”代表一個(gè)層次，如域child.Microsoft.com 就比 Microsoft.com 這個(gè)域級(jí)別低，因?yàn)樗袃蓚€(gè)層次關(guān)系，而Microsoft.com 只有一個(gè)層次。而域 Grandchild.Child.Microsoft.com 雙比 Child.Microsoft.com 級(jí)別低，道理一樣。 他們都屬于同一個(gè)域樹(shù)。Child.Microsoft.com 就屬于Microsoft.com 的子域。域“child.Microsoft.com” 就比“Microsoft.com”這個(gè)域級(jí)別低，因?yàn)榍罢哂袃蓚€(gè)層次關(guān)系，而后者只有一個(gè)層次。域樹(shù)中的域是通過(guò)雙向可傳遞信任關(guān)系連接在一起的，因此 在域樹(shù)或樹(shù)林中新創(chuàng)建的域可以立即與域樹(shù)或樹(shù)林中每個(gè)其他的域建立信任關(guān)系。這些信任關(guān)系允許單一的登錄過(guò)程，在域樹(shù)或樹(shù)林中的所有域上對(duì)用戶進(jìn)行身份驗(yàn) 證，但這不一定意味著經(jīng)過(guò)身份驗(yàn)證的用戶在域樹(shù)的所有域中都擁有相同的權(quán)利和權(quán)限。因?yàn)橛蚴前踩缦?，所以必須在每個(gè)域的基礎(chǔ)上為用戶指派相應(yīng)的權(quán)利和權(quán)限。

8、 域森林：域林是指由一個(gè)或多個(gè)沒(méi)有形成連續(xù)名字空間的域樹(shù)組成，它與域樹(shù)最明顯的區(qū)別就在于域林之間沒(méi)有形成連續(xù)的名字空間，而域樹(shù)則是由一些具有連續(xù)名字 空間的域組成。但域林中的所有域樹(shù)仍共享同一個(gè)表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹(shù)通過(guò)Kerberos 信任關(guān)系建立起來(lái)，所以每個(gè)域樹(shù)都知道Kerberos 信任關(guān)系，不同域樹(shù)可以交叉引用其他域樹(shù)中的對(duì)象。域林都有根域，域林的根域是域林中創(chuàng)建的第一個(gè) 域，域林中所有域樹(shù)的根域與域林的根域建立可傳遞的信任關(guān)系. 比如benet.com.cn, 則可以創(chuàng)建同屬與一個(gè)林的accp.com.cn, 他們就在同一個(gè)域林里.

二、AD DS域服務(wù)對(duì)象介紹

1、 計(jì)算機(jī)（Computer ）：指網(wǎng)絡(luò)上的計(jì)算機(jī)資源。

2、 用戶（User ）：是活動(dòng)目錄中的安全主體，可被授予訪問(wèn)權(quán)限。

3、 組（Group ）：用于存放用戶、計(jì)算機(jī)等對(duì)象的容器。

4、 聯(lián)系人（Contactor ）：非安全主體的一個(gè)賬戶，不能被授予權(quán)限，一般情況下用于

E-mail 聯(lián)系。

5、 組織單元（Organizational Unit，簡(jiǎn)稱OU ）:用于組織其他活動(dòng)目錄的容器和對(duì)象。

6、 默認(rèn)容器對(duì)象：

6.1、Builtin 容器：是AD DS域服務(wù)創(chuàng)建的第一個(gè)容器，主要用于保存域中本地域組對(duì)象，比如Domain admins。

6.2、Computer 容器：用于存放成員計(jì)算機(jī)的計(jì)算機(jī)帳戶。

6.3、Domain Controller容器：用于存放當(dāng)前域的所有域控制器。

6.4、ForeignSecurityPrincipals 容器：主要存放受信任的外域中的安全主體。

6.5、Users 容器：主要用于存放用戶組和當(dāng)前域中的所有用戶賬戶。

三、部署AD DS域服務(wù)的前期準(zhǔn)備

1、 設(shè)置網(wǎng)絡(luò)運(yùn)行模式

Windows Server 2008默認(rèn)安裝后是“公用網(wǎng)絡(luò)”的網(wǎng)絡(luò)類型，建議部署Active Directory 時(shí)使用“專用網(wǎng)絡(luò)”類型。

補(bǔ)充：專用網(wǎng)絡(luò)指被配置為工作組成員的計(jì)算機(jī)所連接的網(wǎng)絡(luò)，或者沒(méi)有直接連接到Internet 的網(wǎng)絡(luò)，默認(rèn)情況下，在專用網(wǎng)絡(luò)上會(huì)啟用發(fā)現(xiàn)功能，這樣可以降低對(duì)專用網(wǎng)絡(luò)上的計(jì)算機(jī)發(fā)現(xiàn)其他網(wǎng)絡(luò)計(jì)算機(jī)和設(shè)備的限制。公用網(wǎng)絡(luò)指處于公共場(chǎng)所的非內(nèi)部網(wǎng)絡(luò)，默認(rèn)情況下，在公用網(wǎng)絡(luò)會(huì)禁用發(fā)現(xiàn)功能，這樣可以通過(guò)防止公用網(wǎng)絡(luò)上的計(jì)算機(jī)發(fā)現(xiàn)其他網(wǎng)絡(luò)計(jì)算機(jī)或設(shè)備而增強(qiáng)安全性。發(fā)現(xiàn)功能主要意味著（1）本計(jì)算機(jī)可以發(fā)現(xiàn)網(wǎng)絡(luò)上的其他計(jì)算機(jī)和設(shè)備；（2）網(wǎng)絡(luò)上的其他計(jì)算機(jī)可以發(fā)現(xiàn)本機(jī)

1.1、依次選擇“Start ”→“Control panel” →“Network and Sharing Center”，點(diǎn)擊如下圖所示的“Customize ”鏈接；

1.2、在Location type中選擇“Private ”，之后點(diǎn)擊“Next ” →“Close ”完成設(shè)置。

2、 設(shè)置網(wǎng)絡(luò)參數(shù)

默認(rèn)狀態(tài)下，Windows Server 2008會(huì)同時(shí)啟用IPv4和IPv6，但在安裝AD DS時(shí)不允許兩種協(xié)議同時(shí)存在，必須去除一項(xiàng)。這里我們選擇使用IPv4。

2.1、依次選擇“Start ”→“Control panel ” →“Network and Sharing Center”，點(diǎn)擊如下圖所示的“View status”鏈接；

2.2、在“Local Area Connection Status”窗口中點(diǎn)擊“Properties ”；

2.3、在“Local Area Connection Properties”窗口中取消“Internet Protocol Version 6（TCP/IPv6）”前的復(fù)選框，點(diǎn)擊“OK ”完成。

3、 修改服務(wù)器IP 地址

3.1、仍然是在“Local Area Connection Properties”窗口中，選擇“Internet Protocol V ersion 4（TCP/IPv4）”，然后點(diǎn)擊“Properties ”按鈕；

3.2、選擇“use the following IP address”，此時(shí)下方的“use the following DNS

Server address”也會(huì)自動(dòng)選中，設(shè)置好域控制器的IP 地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS （我們準(zhǔn)備在本機(jī)安裝DNS 服務(wù)，所以設(shè)置DNS 為本機(jī)）；

3.3、點(diǎn)擊“OK ” →“Close ”完成設(shè)置。

4、 修改服務(wù)器計(jì)算機(jī)名

4.1、依次選擇“Start ” →“Computer ” →“Properties ”；

4.2、出現(xiàn)System 窗口，點(diǎn)擊“Change settings”鏈接；

4.3、在“System Properties”窗口中點(diǎn)擊“Change …”按鈕；

4.4、輸入新的計(jì)算機(jī)名，點(diǎn)擊“OK ”;

4.5、提示需要重啟計(jì)算機(jī)，點(diǎn)擊“OK ”

4.6、點(diǎn)擊“Restart Now”重啟服務(wù)器，設(shè)置便完成。

四、部署全新的AD DS域服務(wù)

部署全新的AD DS 域服務(wù)主要分為兩個(gè)步驟：1）安裝AD DS 域服務(wù)角色；2）使用dcpromo.exe 命令安裝域服務(wù)。

1、依次選擇“Start ” →右鍵點(diǎn)擊“Computer ” →“Manage ”打開(kāi)“Server Manager ”窗口；

2、在左邊樹(shù)形菜單中選擇“Roles ”，在右邊窗口中點(diǎn)擊“Add Roles”；

3、出現(xiàn)“Before You Begin”窗口，單擊“Next ”按鈕；