第9章 域和活動(dòng)目錄（一）9.1 win2003支持的網(wǎng)絡(luò)結(jié)構(gòu)1、工作組結(jié)構(gòu)圖的網(wǎng)絡(luò)（對(duì)等式網(wǎng)絡(luò)）網(wǎng)絡(luò)上沒有專門的服務(wù)器，沒有集中的數(shù)據(jù)庫(kù)所有的資源分散在不同的計(jì)算機(jī) 網(wǎng)絡(luò)上的計(jì)算

第9章 域和活動(dòng)目錄（一）

9.1 win2003支持的網(wǎng)絡(luò)結(jié)構(gòu)

1、工作組結(jié)構(gòu)圖的網(wǎng)絡(luò)（對(duì)等式網(wǎng)絡(luò)）

網(wǎng)絡(luò)上沒有專門的服務(wù)器，沒有集中的數(shù)據(jù)庫(kù)所有的資源分散在不同的計(jì)算機(jī) 網(wǎng)絡(luò)上的計(jì)算機(jī)都由本機(jī)的本地用戶安全數(shù)據(jù)庫(kù)審核。

2、 域結(jié)構(gòu)的網(wǎng)絡(luò)

域是管理員定義的一組對(duì)象的集合（計(jì)算機(jī)、用戶和組），域是一個(gè)安全邊界，

是由網(wǎng)絡(luò)上的計(jì)算機(jī)組成，域中的資源存放在集中數(shù)據(jù)庫(kù)內(nèi)，便于用戶的查找和使用，便于管理員的管理。

● 域中計(jì)算機(jī)的角色

1. 域控制器

1) 在win2000域內(nèi)，只有win2000 server 才可做域控制器；win2003內(nèi)只有WEB 版不可以做DC ；

2) DC 內(nèi)存儲(chǔ)了該域的AD 數(shù)據(jù)庫(kù)，它負(fù)責(zé)審核域用戶的登錄、域中資源的管理等；

3) 域內(nèi)可以有多臺(tái)域控制器，它們的地位是平等的；

4) 多臺(tái)DC 之間按照一定的頻率相互復(fù)制數(shù)據(jù)庫(kù)保持同步（即保持地位平等）；

5) NT 域內(nèi)也有多臺(tái)域控制器，但只能有一臺(tái)PDC 管理域，其余為BDC 注：額外域控制器的輔助功能：

1） 容錯(cuò)功能；

2） 相互減輕負(fù)擔(dān)；

3） 提高用戶的訪問效率。

2. 成員服務(wù)器

1）具有服務(wù)器版本的操作系統(tǒng)；

2）屬于某個(gè)域中；

3）沒有存儲(chǔ)AD 數(shù)據(jù)庫(kù)的稱為成員服務(wù)器。

注：服務(wù)器級(jí)的操作系統(tǒng):

windows NT服務(wù)器操作系統(tǒng)

win2000server 以上版本

win2003所有版本

3. 其它成員

1） 本身加入某個(gè)域中

2） 是非服務(wù)器版本的操作系統(tǒng)

例如：win2000 pro、win99、winNT workstation 等

注：獨(dú)立服務(wù)器

1）本身是服務(wù)器版本操作系統(tǒng)；

2）不屬于任何域的計(jì)算機(jī)。

9.2 活動(dòng)目錄地相關(guān)概念（一）

活動(dòng)目錄是微軟目錄服務(wù)的一種機(jī)制，它是用來存儲(chǔ)網(wǎng)絡(luò)上的用戶賬戶、計(jì)算

機(jī)、打印機(jī)等資源信息，方便用戶的查找和使用。 活動(dòng)目錄指的是用戶在使用資源時(shí)不需要了解該資源存放在哪臺(tái)計(jì)算機(jī)上和哪臺(tái)計(jì)算機(jī)上有哪些資源！

1、 名稱空間

所謂的名稱空間，實(shí)際是劃分好的區(qū)域，在該區(qū)域可以通過名稱查找

到與該名稱相關(guān)的信息。

win2000/2003的AD 與DNS 緊密地整合在一起，其名稱空間采用的是

DNS 架構(gòu)，其域名也采用DNS 格式，如:abc.com,xyz.com等！

2、 對(duì)象及其屬性

Win2003 的AD 數(shù)據(jù)庫(kù)將所有資源都當(dāng)作對(duì)象來處理，如用戶、計(jì)算

機(jī)、打印機(jī)等都是對(duì)象，屬性是用于描述對(duì)象信息提，如用戶對(duì)象的電

話號(hào)碼，電子郵件等。

3、 OU|組織單元

OU 是一種比較特殊的容器，類似于文件夾，用于存放對(duì)象和其他OU ，

還具有“組策略”的功能。

4、 域

域是管理員定義的一組對(duì)象的集合（計(jì)算機(jī)、用戶和組），域是一個(gè)

安全邊界，是由網(wǎng)絡(luò)上的計(jì)算機(jī)組成，域中的資源存放在集中數(shù)據(jù)庫(kù)內(nèi)，

便于用戶的查找和使用，便于管理員的管理。

5、 域樹

是多個(gè)域按照一定的層次排列，構(gòu)成倒置的樹狀結(jié)構(gòu)，且共享一個(gè)連

續(xù)的名稱空間。其中最上層的是這棵域樹的根域，下一層稱為它的子域。

域樹內(nèi)的所有域共享一個(gè)AD ，此AD 內(nèi)的數(shù)據(jù)分散地存儲(chǔ)在各個(gè)域

內(nèi)，且每一個(gè)域內(nèi)只存儲(chǔ)該域內(nèi)的數(shù)據(jù)。

6、 信任關(guān)系

兩個(gè)域之間必須建立了“信任關(guān)系”之后，才可以訪問對(duì)方的資源。

1） 單向信任：如果A 域的用戶可以訪問B 域的資源，但B 域的用

戶不可以訪問A 域的資源，稱為單向信任；

2） 雙向信任：如果A 域的用戶可以訪問B 域的資源，B 域的用戶

也可以訪問A 域的資源，稱雙向信任；

3） 可傳遞信任：如果A 域信任B 域，B 域信任C 域，則A 域也信

任C 域，則稱此信任具有可傳遞性。而因傳遞得到的信任關(guān)系稱

為隱性的信任關(guān)系。

注：win2003的域樹上，父域和子域之間具備雙向的、可傳遞的信任

關(guān)系。實(shí)際上，同一棵域樹上的任意兩個(gè)域之間都是雙向的信任關(guān)

系。這個(gè)信任的功能是通過Kerberos 安全協(xié)議來實(shí)現(xiàn)的，因此也被

稱為Kerberos 信任。

7、 域林

由一個(gè)域樹或多個(gè)域樹組成，它們各自有著獨(dú)立的名稱空間。第一個(gè)

域樹的根域就是整個(gè)樹林的根域，同時(shí)其名稱也是這個(gè)樹林的名稱。

注：Win2003的域樹林中，同一個(gè)樹林內(nèi)的域樹的根域之間具有雙向的、可

傳遞的信任關(guān)系。實(shí)際上，同一個(gè)域林上的任意兩個(gè)域之間都是雙向的信任

關(guān)系。

實(shí)踐：1、創(chuàng)建一個(gè)新域的域控制器

創(chuàng)建一個(gè)新域DC 時(shí)應(yīng)注意的幾個(gè)問題；

1）選定要?jiǎng)?chuàng)建域的計(jì)算機(jī)，管理員身份登錄；

2）設(shè)置靜態(tài)IP 地址；

3）設(shè)置DNS 服務(wù)器；

4）至少要有一個(gè)NTFS 分區(qū)；

5）適當(dāng)?shù)目臻g大小，至少300M ；

6）取一個(gè)符合DNS 結(jié)構(gòu)的域名。

步驟：

1）開始——運(yùn)行——輸入dcpromo ，啟動(dòng)AD 安裝向?qū)В?/p>

1）在“域控制器類型”窗口中，選擇“新域的域控制器”；

2）在“創(chuàng)建一個(gè)新域”窗口中，選擇“新林中的域”；

3）在新的域名頁(yè)面中，輸入域的完整合法域名；

4）在“NETBIOS ”域名 窗口中確認(rèn)Netbios ；

5）在“數(shù)據(jù)庫(kù)和日志文件文件夾”窗口，接受數(shù)據(jù)庫(kù)和日志文件夾的默認(rèn)位置，或者單擊“瀏覽”選擇另一個(gè)位置；

6）在“共享的系統(tǒng)卷”窗口中，接受Sysvol 文件夾的位置，或者單擊“瀏覽”選擇另外一個(gè)位置；

7）在“DNS 注冊(cè)診斷”窗口，確認(rèn)是否一個(gè)現(xiàn)有的DNS 服務(wù)器負(fù)責(zé)該林，或者如果不存在DNS 服務(wù)器，選擇在這臺(tái)計(jì)算機(jī)上安裝并配置DNS 服務(wù)器；

9）在“權(quán)限”窗口中，選擇一個(gè)權(quán)限選項(xiàng)（取決于將要訪問該域控制器的客戶端的

windows 版本）；

9）檢查“總結(jié)”窗口，如果需要修改某些地方，單擊“上一步”重新配置。如果一

切正常，單擊“下一步”開始安裝。所有文件復(fù)制到硬盤驅(qū)動(dòng)器之中，重新啟動(dòng)

計(jì)算機(jī)。

2、創(chuàng)建額外DC 、成員服務(wù)器、成員、子域、加入域樹林的準(zhǔn)備工作

1） PING DC 、DNS 的IP 地址；

2） PING 域名

A. 能通，可以進(jìn)一步操作；

B. 不能通，則按以下步驟操作：

C ：>net stop netlogon

C ：>net start netlogon

C ．

釋放緩存：

C:>ipconfig /flushdns

顯示緩存：

C:>ipconfig /displaydns

3、創(chuàng)建額外DC 、成員服務(wù)器、成員、子域、加入域樹林