AD 培訓(xùn)內(nèi)容講解（1）活動目錄的介紹目錄，是一個數(shù)據(jù)庫，存貯了網(wǎng)絡(luò)資源相關(guān)的信息，包括了資源的位置、管理等信息。目錄服務(wù) 是一種網(wǎng)絡(luò)服務(wù)，目錄服務(wù)標(biāo)記管理網(wǎng)絡(luò)中的所有實體資源(比如計算機、用戶、打印

AD 培訓(xùn)內(nèi)容講解

（1）活動目錄的介紹

目錄，是一個數(shù)據(jù)庫，存貯了網(wǎng)絡(luò)資源相關(guān)的信息，包括了資源的位置、管理等信息。

目錄服務(wù) 是一種網(wǎng)絡(luò)服務(wù)，目錄服務(wù)標(biāo)記管理網(wǎng)絡(luò)中的所有實體資源(比如計算機、用戶、打印機、文件、應(yīng)用等) ，并且提供了命名、描述、查找、訪問以及保護這些實體信息的一致的方法，使網(wǎng)絡(luò)中的所

有用戶和應(yīng)用都能訪問到這些資源。

活動目錄(Active Directory)

活動目錄 是Windows 2000完全實現(xiàn)的目錄服務(wù)，也是Windows 2000網(wǎng)絡(luò)體系的基本結(jié)構(gòu)模型，是

Windows 2000網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心管理機構(gòu)。

Microsoft 在Windows 2000中提供的活動目錄是一個全面的目錄服務(wù)管理方案，也是一個企業(yè)級的目錄服務(wù)，具有很好的可伸縮性?；顒幽夸洸捎昧薎nternet 的標(biāo)準(zhǔn)協(xié)議，它與操作系統(tǒng)緊密地集成在一起?；顒幽夸洸粌H可以管理基本的網(wǎng)絡(luò)資源，比如計算機對象、用戶賬戶、打印機等，它也充分考慮了現(xiàn)代應(yīng)用的業(yè)務(wù)需求，為這些應(yīng)用提供了基本的管理對象模型，比如用戶賬戶對象具有辦公電話、手機、呼機、住址、上司、下屬、電子郵件等屬性。幾乎所有的應(yīng)用可以直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動

目錄也具有很好的擴充能力，允許應(yīng)用程序定制目錄中對象的屬性或者添加新的對象類型。

活動目錄的邏輯結(jié)構(gòu)

活動目錄的邏輯結(jié)構(gòu)非常靈活，它為活動目錄提供了完全的樹狀層次結(jié)構(gòu)視圖，邏輯結(jié)構(gòu)與前面我們討論過的名字空間有直接的關(guān)系。邏輯結(jié)構(gòu)為用戶和管理員查找、定位對象提供了極大的方便?；顒幽夸?/p>

中的邏輯單元包括:域、組織單元(Organizational Unit，簡稱OU) 、域樹、域森林。

1、 域(Domain)

域 既是Windows 網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，也是Internet 的邏輯組織單元，在Windows 2000系統(tǒng)中，域是安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問或

者管理其他的域。每個域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。

2、 OU(Organizational Unit)

OU 是一個容器對象，我們可以把域中的對象組織成邏輯組，所以O(shè)U 純粹是一個邏輯概念，它可以幫助我們簡化管理工作。OU 可以包含各種對象，比如用戶賬戶、用戶組、計算機、打印機，甚至可以包括其他的OU 。所以我們可以利用OU 把域中的對象形成一個完全邏輯上的層次結(jié)構(gòu)，對于一個企業(yè)來講，我們可以按部門把所有的用戶和設(shè)備組成一個OU 層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個OU 層次結(jié)構(gòu)。由于OU 層次結(jié)構(gòu)局限于域的內(nèi)部，所以一個域中的OU 層次結(jié)構(gòu)與

另一個域中的OU 層次結(jié)構(gòu)完全獨立。

3、 樹

當(dāng)多個域通過信任關(guān)系連接起來之后，所有的域共享公共的表結(jié)構(gòu)(schema) 、配置和全局目錄(global catalog) ，從而形成 域樹 。域樹由多個域組成，這些域共享同一個表結(jié)構(gòu)和配置，形成一個連續(xù)的名字空

間。樹中的域通過信任關(guān)系連接起來?；顒幽夸洶粋€或多個域樹。

4、 森林

域森林 是指一個或多個沒有形成連續(xù)名字空間的域樹。域林中的所有域樹共享同一個表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹通過Kerberos 信任關(guān)系建立起來，所以每個域樹都知道Kerberos 信任關(guān)系，

不同域樹可以交叉引用其他域樹中的對象。

其它

1、 域控制器(Domain Controller)

域控制器是指運行Windows 2000 Server版本的服務(wù)器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個域中的其他域控制器上。域控制器也負責(zé)用戶的登錄過程，

以及其他與域有關(guān)的操作，比如身份認證、目錄信息查找等。

一個域可以有多個域控制器。規(guī)模較小的域可以只需要兩個域控制器，一個實際使用，另一個用于容

錯性檢查; 規(guī)模較大的域可以使用多個域控制器。

Windows 2000的域結(jié)構(gòu)與Windows NT 4的域結(jié)構(gòu)不同的是，活動目錄中的域控制器沒有主次之分，活動目錄采用了多主機復(fù)制方案，每一個域控制器都有一個可寫入的目錄副本。在某一個時刻，不同的域控制器中的目錄信息可能有所不同，一旦活動目錄中的所有域控制器執(zhí)行同步操作之后，最新的變化信息

就會一致。

2、 活動目錄與DNS

活動目錄使用域名服務(wù)DNS 作為它的定位服務(wù)，同時也對標(biāo)準(zhǔn)的DNS 作了擴充。在活動目錄中使用DNS 的最大好處在于，我們可以使Windows 2000域與Internet 上的域統(tǒng)一起來，即Windows 域名也是

DNS 域名。

3、Active Directory命名規(guī)范

(1)辨別名( distinguished name (DN))

活動目錄中的每一個對象都會有一個唯一的辨別名DN 。DN 由域名、對象名組成:

DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用戶對象James Smith在

contoso.com 域中的Users 組織單元中的Teacher 單元中.

(2) User Principal Name : 由用戶登錄名和域名組成，如 JamesS@contoso.com

4、 域運行模式

(1) 混合模式 ?；旌夏Ｊ降挠蚣瓤梢杂蠾indows 2000的域控制器，也可以有Windows NT 4的域控制器。這是一個過渡模式，利用這種模式，我們可以對現(xiàn)有的系統(tǒng)逐步升級。但是，在混合模式下，活動

目錄中有些功能不能很好地發(fā)揮出來。

(2) 準(zhǔn)模式 ?；顒幽夸浀臉?biāo)準(zhǔn)模式要求所有的域控制器都必須運行Windows 2000。只有在這個時候，

活動目錄的所有功能和特性才能充分體現(xiàn)出來。

在Windows 2003中，各種網(wǎng)絡(luò)服務(wù)以服務(wù)器角色出現(xiàn)，方便了用戶對網(wǎng)絡(luò)資源進行分配與管理。應(yīng)用服務(wù)器角色對網(wǎng)絡(luò)進行管理，均需要有活動目錄服務(wù)、域名系統(tǒng)服務(wù)、動態(tài)主機配置協(xié)議服務(wù)、Windows Internet命名服務(wù)的配合與支持。本文將向你重點講解上述活動目錄服務(wù)務(wù)的實現(xiàn)方法與技巧。

(二)DNS 與活動目錄

由于活動目錄與DNS(Domain Name System，域名系統(tǒng)) 集成，共享相同的名稱空間結(jié)構(gòu)，因此注意兩者之間的差異非常重要：

1.DNS 是一種名稱解析服務(wù)

DNS 客戶機向配置的DNS 服務(wù)器發(fā)送DNS 名稱查詢。DNS 服務(wù)器接收名稱查詢，然后通過本地存儲的文件解析名稱查詢，或者查詢其他DNS 服務(wù)器進行名稱解析。DNS 不需要活動目錄就能運行。

2. 活動目錄是一種目錄服務(wù)

活動目錄提供信息存儲庫以及讓用戶和應(yīng)用程序訪問信息的服務(wù)?；顒幽夸浛蛻羰褂谩拜p量級目錄訪問協(xié)議(Lightweight Directory Access Protocol，LDAP)”向活動目錄服務(wù)器發(fā)送查詢。要定位活動目錄服務(wù)器，活動目錄客戶機將查詢DNS ?；顒幽夸浶枰狣NS 才能工作。 即活動目錄用于組織資源，而DNS 用于查找資源；只有它們共同工作才能為用戶或其他請求類似信息的過程返回信息。DNS 是活動目錄的關(guān)鍵組件，如果沒有DNS ，活動目錄就無法將用戶的請求解析成資源的IP 地址，因此在安裝和配置活動目錄之前，我們必須對DNS 有深入的理解。

(三) 規(guī)劃活動目錄

在安裝活動目錄之前，我們首先要對活動目錄的結(jié)構(gòu)進行細致的規(guī)劃設(shè)計，讓用戶和管理員在使用時更為方便。

1. 規(guī)劃DNS

如果用戶準(zhǔn)備使用活動目錄，則需要首先規(guī)劃名稱空間。當(dāng)DNS 域名稱空間可在Windows 2003中正確執(zhí)行之前，需要有可用的活動目錄結(jié)構(gòu)。所以，從活動目錄設(shè)計著手并用適當(dāng)?shù)腄NS 名稱空間支持它。

在Windows 2003中，用DNS 名稱命名活動目錄域。選擇DNS 名稱用于活動目錄域時，以保留在Internet 上使用的已注冊DNS 域名后綴開始(如microsoft.com) ，并將該名稱和單位中使用的地理(部門) 名稱結(jié)合起來，組成活動目錄域的全名。例如，microsoft 的sales 組可能稱他們的域為“sales.microsoft.com”。這種命名方法確保每個活動目錄域名是全球唯一的。而且，這種命名方法一旦被采用，使用現(xiàn)有名稱作為創(chuàng)建其他子域的父名稱以及進一步增大名稱空間以供單位中的新部門使用的過程將變得非常簡單。

2. 規(guī)劃用戶的域結(jié)構(gòu)

最容易管理的域結(jié)構(gòu)就是單域。規(guī)劃時，用戶應(yīng)從單域開始，并且只有在單域模式不能滿足用戶的要求時，才增加其他的域。單域可跨越多個地理站點，并且單個站點可包含屬于多個域的用戶和計算機。在一個域中，可以使用組織單元(OU，Organizational Units) 來實現(xiàn)這個目標(biāo)。然后，可以指定組策略設(shè)置并將用戶、組和計算機放在組織單元中。

3. 規(guī)劃用戶的委派模式

用戶可以將權(quán)限下派給單位中最底層部門，方法是在每個域中創(chuàng)建組織單元樹，并將部分組織單元子樹的權(quán)限委派給其他用戶或組。通過委派管理權(quán)限，用戶不再需要那些定期登錄到特定賬戶的人員，這些賬戶具有對整個域的管理權(quán)。盡管用戶還擁有帶整個域的管理授權(quán)的管理員賬戶和域管理員器組，可以仍保留這些賬戶以備少數(shù)管理員偶爾使用

（2）AD 的安裝和配置教程

目前很多公司的網(wǎng)絡(luò)中的PC 數(shù)量均超過10臺:按照微軟的說法，一般網(wǎng)絡(luò)中的PC 數(shù)目低于10臺，則建議建議采對等網(wǎng)的工作模式，而如果超過10臺，則建議采用域的管理模式，因為域可以提供一種集中式的管理，這相比于對等網(wǎng)的分散管理有非常多的好處，那么如何把一臺成員服務(wù)器提升為域控? 我們現(xiàn)在就動手實踐一下:

本篇文章中所有的成員服務(wù)器均采用微軟的Windows Server 2003，客戶端則采用Windows XP。

首先，當(dāng)然是在成員服務(wù)器上安裝上Windows Server 2003，安裝成功后進入系統(tǒng)，

我們要做的第一件事就是給這臺成員服務(wù)器指定一個固定的IP ，在這里指定情況如下:

機器名:Server

IP:192.168.5.1

子網(wǎng)掩碼:255.255.255.0

DNS:192.168.5.1(因為我要把這臺機器配置成DNS 服務(wù)器)

由于Windows Server 2003在默認的安裝過程中DNS 是不被安裝的，所以我們需要手動去添加，添加方法如下:“開始—設(shè)置—控制面板—添加刪除程序”，然后再點擊“添加/刪除Windows 組件”，則可以看到如下畫面:

向下搬運右邊的滾動條，找到“網(wǎng)絡(luò)服務(wù)”，選中:

默認情況下所有的網(wǎng)絡(luò)服務(wù)都會被添加，可以點擊下面的“詳細信息”進行自定義安裝，由于在這里只需要DNS ，所以把其它的全都去掉了，以后需要的時候再安裝:

然后就是點“確定”，一直點“下一步”就可以完成整個DNS 的安裝。在整個安裝過程中請保證Windows Server 2003安裝光盤位于光驅(qū)中，否則會出現(xiàn)找不到文件的提示，那就需

要手動定位了。

安裝完DNS 以后，就可以進行提升操作了，先點擊“開始—運行”，輸入“Dcpromo”，然后回車就可以看到“Active Directory安裝向?qū)А?/p>

在這里直接點擊“下一步”:

這里是一個兼容性的要求，Windows 95及NT 4 SP3以前的版本無法登陸運行到Windows Server 2003的域控制器，我建議大家盡量采用Windows 2000及以上的操作系統(tǒng)來做為客戶端。然后點擊“下一步”:

在這里由于這是第一臺域控制器，所以選擇第一項:“新域的域控制器”，然后點“下一步”:

既然是第一臺域控，那么當(dāng)然也是選擇“在新林中的域”:

在這里我們要指定一個域名，我在這里指定的是demo.com ，

這里是指定NetBIOS 名，注意千萬別和下面的客戶端沖突，也就是說整個網(wǎng)絡(luò)里不能