組建域模式局域網(wǎng)0. 背景知識介紹0.1 活動目錄的作用活動目錄是Windows 2000網(wǎng)絡(luò)體系結(jié)構(gòu)中一個基本且不可分割的部分。它在Windows NT 4.0操作系統(tǒng)的域結(jié)構(gòu)基礎(chǔ)上改進(jìn)而成，并提

組建域模式局域網(wǎng)

0. 背景知識介紹

0.1 活動目錄的作用

活動目錄是Windows 2000網(wǎng)絡(luò)體系結(jié)構(gòu)中一個基本且不可分割的部分。它在Windows NT 4.0操作系統(tǒng)的域結(jié)構(gòu)基礎(chǔ)上改進(jìn)而成，并提供了一套為分布式網(wǎng)絡(luò)環(huán)境設(shè)計的目錄服務(wù)?；顒幽夸浭沟媒M織機(jī)構(gòu)可以有效地對有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問。同等重要的是，活動目錄還擔(dān)當(dāng)著系統(tǒng)集成和鞏固管理任務(wù)的集合點。

活動目錄提供了對基于Windows 的用戶賬號、客戶、服務(wù)器和應(yīng)用程序進(jìn)行管理的唯一點。同時，它也幫助組織機(jī)構(gòu)通過使用基于Windows 的應(yīng)用程序和與Windows 相兼容的設(shè)備對非Windows 系統(tǒng)進(jìn)行集成，從而實現(xiàn)鞏固目錄服務(wù)并簡化對整個網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到Internet 上?；顒幽夸浺虼耸宫F(xiàn)有網(wǎng)絡(luò)投資升值，同時，降低為使Windows 網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費(fèi)用。

總的來說，活動目錄的這些功能使組織機(jī)構(gòu)可以將標(biāo)準(zhǔn)化的商業(yè)規(guī)則貫徹于分布式應(yīng)用和網(wǎng)絡(luò)資源當(dāng)中，同時，無需管理員來維護(hù)各種不同的專用目錄。

0.2 活動目錄的特點

活動目錄是從一個數(shù)據(jù)存儲開始的。它采用的是Exchange Server的數(shù)據(jù)存儲，稱為：Extensible Storage Service （ESS ）。其特點是不需要事先定義數(shù)據(jù)庫的參數(shù)，可以做到動態(tài)地增長，性能非常優(yōu)良。這個數(shù)據(jù)存儲之上已建立索引的，可以方便快速地搜索和定位?；顒幽夸浀姆謪^(qū)是" 域（Domain ）" ，一個域可以存儲上百萬的對象。域之間還有層次關(guān)系，可以建立域樹和域森林，無限地擴(kuò)展。

在數(shù)據(jù)存儲之上，微軟建立了一個對象模型，以構(gòu)成活動目錄。這一對象模型對輕型目錄訪問協(xié)議 (Lightweight Directory Access Protocal, LDAP)有純粹的支持，還可以管理和修改Schema 。Schema 包括了在活動目錄中的計算機(jī)、用戶和打印機(jī)等所有對象的定義，其本身也是活動目錄的內(nèi)容之一，在整個域森林中是唯一的。通過修改Schema 的工具，用戶或開發(fā)人員可以自己定義特殊的類和屬性，來創(chuàng)建所需要的對象和對象屬性。

活動目錄包括兩個方面：一個目錄和與目錄相關(guān)的服務(wù)。目錄是存儲各種對象的一個物理上的容器；而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)?；顒幽夸浭且粋€分布式的目錄服務(wù)。信息可以分散在多臺不同的計算機(jī)上，保證快速訪問和容錯；同時不管用戶從何處訪問或信息處在何處，都對用戶提供統(tǒng)一的視圖。

在活動目錄中，目錄存儲只有一種形式，即域控制器（Domain Controller），包括了完整的域目錄的信息，不再有主域控制器和備份域控制器的區(qū)別。所有的域控制器在用戶訪問和提供服務(wù)方面都是相同的。它們之間的同步是采用了一種先進(jìn)的多主復(fù)制的技術(shù)，稱為Update Sequence Numbers (USN)。每個服務(wù)器跟蹤其復(fù)制伙伴的最新USN 列表，保證及時更新并且更新不會有沖突或相互覆蓋等。

Windows 2000的安全性服務(wù)（如Kerberos ，PKI 和智能卡等）和活動目錄緊密結(jié)合?；顒幽夸洿鎯α擞虬踩叩男畔?，比如域口令的限制政策、系統(tǒng)訪問權(quán)限等，實施了基于對象的安全模型和訪問控制機(jī)制。在活動目錄中的每個對象都有一個獨(dú)有的安全性描述，定義了瀏覽或更新對象屬性所需要的訪問權(quán)限。但是，當(dāng)LDAP 客戶端訪問活動目錄時，操作系統(tǒng)會實施訪問安全控制，而不是由活動目錄來決定訪問控制的。Windows 2000 安全性和活動目錄相輔相成，可以共同完成任務(wù)和協(xié)同管理。

另外，活動目錄還充分地考慮到了備份和恢復(fù)目錄服務(wù)的需要。Windows 2000備份工具中有專門備份活動目錄的選項，在出現(xiàn)意外事故的時候，可以在機(jī)器啟動時按F8進(jìn)入安全模式，來進(jìn)行目錄服務(wù)的恢復(fù)，保證減少災(zāi)難的惡性影響。

在活動目錄安裝之后，主要有三個活動目錄的微軟管理界面（MMC ），一個是活動目錄用戶和計算機(jī)管理，主要用于實施對域的管理；一個是活動目錄的域和域信任關(guān)系的管理，主要用于管理多域的關(guān)系；還有一個是活動目錄的站點管理，可以把域控制器置于不同的站點。一般局域網(wǎng)的范圍內(nèi)，為一個站點，站點內(nèi)的域控制器之間的復(fù)制是自動進(jìn)行的；站點間的域控制器之間的復(fù)制，需要管理員設(shè)定，以優(yōu)化復(fù)制流量，提高可伸縮性。從活動目錄管理界面，還可以對SDOU(站點、域和組織單元的統(tǒng)稱) 右鍵點擊，啟動組策略（Group Policy ）的管理界面，實施對對象的細(xì)致管理。

1. 實驗?zāi)康?/p>

⑴了解活動目錄的概念和作用

⑵掌握域名解析的過程

⑶學(xué)會安裝活動目錄服務(wù)與配置DNS 服務(wù)器

2．實驗內(nèi)容

⑴兩個同學(xué)為一小組，將其中一臺計算機(jī)作為域控制器，建立一個以自己名字命名的域，向該域添加一個名字為ABC 的用戶，使用該用戶名登陸你剛才創(chuàng)建的域。

⑵將小組內(nèi)的另一臺計算機(jī)作為客戶機(jī)加入剛才創(chuàng)建的域。在域控制器中打開Computers 容器，觀察有客戶機(jī)加入域前后的變化。

⑶打開Computers 容器，管理已經(jīng)存在的計算機(jī)，對計算機(jī)設(shè)置“停用帳戶”，然后在被停用的計算機(jī)上使用一個域用戶登錄，觀察結(jié)果是否能夠登錄。重新啟用該計算機(jī)后，通過活動目錄對該計算機(jī)進(jìn)行管理，查看其磁盤分區(qū)情況等。

⑷右擊某一用戶帳戶，選擇屬性，點擊賬戶頁簽，可看到登錄時間和登錄到兩個按鈕，點擊可以設(shè)置登錄時間和登錄的計算機(jī)，請設(shè)置設(shè)置某一用戶只能在規(guī)定時間：周一至周五的上午8點～下午4點內(nèi)登錄。

⑸設(shè)置某一用戶只能在規(guī)定的計算機(jī)上登錄。并在客戶機(jī)上驗證。

3. 實驗步驟

3.1 實驗內(nèi)容1

⑴選擇“開始”→“運(yùn)行”，輸入：dcpromo ，啟動活動目錄安裝向?qū)В鐖D1-1,1-2

，所示：

圖1-1

圖2-2

⑵單擊“下一步” 按鈕，直至出現(xiàn)“域控制器類型”頁面，如圖1-3所示。選擇新域的域控制器。

圖1-3

⑶單擊“下一步”按鈕，選擇新林中的域，如圖1-4所示：

圖1-4

⑷單擊“下一步”按鈕，輸入以你的名字命名的新域的名稱，如：“zhongyy.com ”，如圖1-5所示：

圖1-5

⑸單擊“下一步”，使用默認(rèn)的NetBIOS 名稱；

⑹單擊“下一步”，指定數(shù)據(jù)庫和日志文件存放的文件夾，如“E:WINDOWSNTDS”。注意：數(shù)據(jù)庫和日志文件最好存放在不同的硬盤上。

⑺單擊“下一步”，指定作為系統(tǒng)卷的共享的文件夾，例如：“E:WINDOWSSYSVOL”，。注意：指定的文件夾必須在硬盤的NTFS 分區(qū)。

⑻單擊“下一步”，出現(xiàn)“DNS 診斷頁面”，如圖1-6所示。選擇“在這臺計算機(jī)上安裝并配置DNS 服務(wù)器，并將這臺DNS 服務(wù)器設(shè)衛(wèi)這臺計算機(jī)的首選DNS 服務(wù)器(S)?！?/p> ,

圖1-6

⑼一直單擊“下一步”，直至出現(xiàn)“摘要”頁面，如圖1-7所示。仔細(xì)閱讀“摘要”，確定所有設(shè)置正確無誤

圖1-7

⑽單擊“下一步”，開始安裝活動目錄；當(dāng)系統(tǒng)提示需要安裝文件時，指定安裝文件的位置為“2.168.1.100win200I386”, 如圖1-8所示：

圖1-8

⑾安裝完成后重新啟動計算機(jī)，使設(shè)置生效。

⑿“開始”→“設(shè)置”→“控制面板” →“管理工具” →“Active 用戶和計算機(jī)”，打開“Active 用戶和計算機(jī)”控制臺，如圖1-9所示：

圖1-9

⒀展開“zhongyy.com ”節(jié)點，右鍵單擊“Users ”容器，在彈出的快捷菜單中選擇“新建” →“用戶”，打開新建用戶窗口，填入用戶登陸名“ABC ”, 姓“ZHONG ”, 名“YY ”，如圖1-10所示

圖1-10

⒁單擊“下一步”，輸入登錄密碼，再單擊“下一步”，完成用戶“ABC ”的添加。

⒂“開始”→“設(shè)置”→“控制面板” →“管理工具” →“域控制器安全策略”，打開“域控制器安全策略”控制臺，如圖1-11所示：

圖1-11

⒃依次展開“安全設(shè)置” →“本地策略”節(jié)點，單擊“用戶權(quán)利指派”，打開控制臺，開始編輯本地策略，如圖1-12所示：

圖1－12

⒄找到“允許在本地登陸選項”，雙擊之，打開如圖1-13所示的頁面

圖1-13

⒅單擊“添加用戶或組”按鈕，添加用戶“ZHONGYY?C”，如圖1-14所示：

圖1-14

⒆單擊“確定”按鈕完成用戶添加。“開始” →“關(guān)機(jī)” →“注銷Administrator ”，使用帳戶“ABC ”登陸。

⒇將客戶機(jī)加入域：首先更改客戶機(jī)的DNS 服務(wù)器為域控制的IP 地址，然后在客戶機(jī)桌面上右擊“我的電腦”選“屬性”，點擊“網(wǎng)絡(luò)標(biāo)識”選項卡，點擊“屬性”按鈕，點擊“隸屬于”單選按鈕，輸入隸屬于的域，如，想作為zhongyy.com 的客戶機(jī)，可輸入zhongyy, 等待片刻，會出現(xiàn)輸入用戶名和密碼對話框，輸入在域控制器上建立的用戶賬戶和相應(yīng)的密碼，或輸入域控制上的管理員administrator 賬戶，其初始密碼為空。等待片刻，會出現(xiàn)歡迎加入XXX 域?qū)υ捒?。重起計算機(jī)

3.2 實驗內(nèi)容2

⑴“開始”→“設(shè)置”→“控制面板” →“管理工具” →“DNS ”，打開DNS 控制臺，單擊DNS 服務(wù)器，展開該節(jié)點，再展開“正向查找區(qū)域”節(jié)點，如圖1-15所示：