部署全新AD DS域服務(wù)AD DS域服務(wù)是Windows Server 2008的核心服務(wù)，主要提供用戶身份驗證、檢索、組織結(jié)構(gòu)規(guī)劃、部署企業(yè)策略等基礎(chǔ)服務(wù)。與Windows Server 2003中

部署全新AD DS域服務(wù)

AD DS域服務(wù)是Windows Server 2008的核心服務(wù)，主要提供用戶身份驗證、檢索、組織結(jié)構(gòu)規(guī)劃、部署企業(yè)策略等基礎(chǔ)服務(wù)。與Windows Server 2003中不同，Windows Server 2008中的AD DS域服務(wù)以服務(wù)的方式運行，可以在不停機的狀態(tài)下停止AD DS域服務(wù)。

一、基本概念介紹

1、 獨立服務(wù)器：指安裝有Windows Server操作系統(tǒng)，但不是域成員，具有獨立操作功能的服務(wù)器。

2、 域控制器：指安裝了活動目錄（Active Directory ）的服務(wù)器，主要負(fù)責(zé)管理用戶對網(wǎng)絡(luò)的各種各種權(quán)限。

3、 成員服務(wù)器：獨立服務(wù)器添加為域成員后就變成了成員服務(wù)器，主要用來充當(dāng)應(yīng)用服務(wù)器、web 服務(wù)器、數(shù)據(jù)庫服務(wù)器等。

4、 服務(wù)器角色：在Windows Server 2008中，根據(jù)主要功能、用途的區(qū)別劃分了16個角色，AD DS便是其中一個。

5、 DNS：全名叫Domain Name Server（域名服務(wù)器），提供了一種將名稱和IP 地址相關(guān)聯(lián)的方法，這樣用戶就可以通過較易記憶的域名來代替難以記憶的IP 地址進行操作。

6、 域：活動目錄中的邏輯組織單元

7、 域樹：域樹由多個域組成，這些域共享同一表結(jié)構(gòu)和配置，形成一個連續(xù)的名字空間。樹中的域通過信任關(guān)系連接起來，活動目錄包含一個或多個域樹。域樹中的域 層次越深級別越低，一個“. ”代表一個層次，如域child.Microsoft.com 就比 Microsoft.com這個域級別低，因為它有兩個層次關(guān)系，而Microsoft.com 只有一個層次。而域

Grandchild.Child.Microsoft.com 雙比 Child.Microsoft.com級別低，道理一樣。 他們都屬于同一個域樹。Child.Microsoft.com 就屬于Microsoft.com 的子域。域

“child.Microsoft.com ” 就比“Microsoft.com ”這個域級別低，因為前者有兩個層次關(guān)系，而后者只有一個層次。域樹中的域是通過雙向可傳遞信任關(guān)系連接在一起的，因此 在域樹或樹林中新創(chuàng)建的域可以立即與域樹或樹林中每個其他的域建立信任關(guān)系。這些信任關(guān)系允許單一的登錄過程，在域樹或樹林中的所有域上對用戶進行身份驗 證，但這不一定意味著經(jīng)過身份驗證的用戶在域樹的所有域中都擁有相同的權(quán)利和權(quán)限。因為域是安全界限，所以必須在每個域的基礎(chǔ)上為用戶指派相應(yīng)的權(quán)利和權(quán)限。

8、 域森林：域林是指由一個或多個沒有形成連續(xù)名字空間的域樹組成，它與域樹最明顯的區(qū)別就在于域林之間沒有形成連續(xù)的名字空間，而域樹則是由一些具有連續(xù)名字 空間的域組成。但域林中的所有域樹仍共享同一個表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹通過Kerberos 信任關(guān)系建立起來，所以每個域樹都知道Kerberos 信任關(guān)系，不同域樹可以交叉引用其他域樹中的對象。域林都有根域，域林的根域是域林中創(chuàng)建的第一個 域，域林中所有域樹的根域與域林的根域建立可傳遞的信任關(guān)系. 比如benet.com.cn, 則可以創(chuàng)建同屬與一個林的accp.com.cn, 他們就在同一個域林里.

二、AD DS域服務(wù)對象介紹

1、 計算機（Computer ）：指網(wǎng)絡(luò)上的計算機資源。

2、 用戶（User ）：是活動目錄中的安全主體，可被授予訪問權(quán)限。

3、 組（Group ）：用于存放用戶、計算機等對象的容器。

4、 聯(lián)系人（Contactor ）：非安全主體的一個賬戶，不能被授予權(quán)限，一般情況下用于E-mail 聯(lián)系。

5、 組織單元（Organizational Unit，簡稱OU ）:用于組織其他活動目錄的容器和對象。

6、 默認(rèn)容器對象：

6.1、Builtin 容器：是AD DS 域服務(wù)創(chuàng)建的第一個容器，主要用于保存域中本地域組對象，比如Domain admins。

6.2、Computer 容器：用于存放成員計算機的計算機帳戶。

6.3、Domain Controller容器：用于存放當(dāng)前域的所有域控制器。

6.4、ForeignSecurityPrincipals 容器：主要存放受信任的外域中的安全主體。

6.5、Users 容器：主要用于存放用戶組和當(dāng)前域中的所有用戶賬戶。

三、部署AD DS域服務(wù)的前期準(zhǔn)備

1、 設(shè)置網(wǎng)絡(luò)運行模式

Windows Server 2008默認(rèn)安裝后是“公用網(wǎng)絡(luò)”的網(wǎng)絡(luò)類型，建議部署Active Directory 時使用“專用網(wǎng)絡(luò)”類型。

補充：專用網(wǎng)絡(luò)指被配置為工作組成員的計算機所連接的網(wǎng)絡(luò)，或者沒有直接連接到

Internet 的網(wǎng)絡(luò)，默認(rèn)情況下，在專用網(wǎng)絡(luò)上會啟用發(fā)現(xiàn)功能，這樣可以降低對專用網(wǎng)絡(luò)上的計算機發(fā)現(xiàn)其他網(wǎng)絡(luò)計算機和設(shè)備的限制。公用網(wǎng)絡(luò)指處于公共場所的非內(nèi)部網(wǎng)絡(luò)，默認(rèn)情況下，在公用網(wǎng)絡(luò)會禁用發(fā)現(xiàn)功能，這樣可以通過防止公用網(wǎng)絡(luò)上的計算機發(fā)現(xiàn)其他網(wǎng)絡(luò)計算機或設(shè)備而增強安全性。發(fā)現(xiàn)功能主要意味著（1）本計算機可以發(fā)現(xiàn)網(wǎng)絡(luò)上的其他計算機和設(shè)備；（2）網(wǎng)絡(luò)上的其他計算機可以發(fā)現(xiàn)本機

1.1、依次選擇“Start ”→“Control panel” →“Network and Sharing Center”，點擊如下圖所示的“Customize ”鏈接；

1.2、在Location type中選擇“Private ”，之后點擊“Next ” →“Close ”完成設(shè)置。

2、 設(shè)置網(wǎng)絡(luò)參數(shù)

默認(rèn)狀態(tài)下，Windows Server 2008會同時啟用IPv4和IPv6，但在安裝AD DS時不允許兩種協(xié)議同時存在，必須去除一項。這里我們選擇使用IPv4。

2.1、依次選擇“Start ”→“Control panel” →“Network and Sharing Center”，點擊如下圖所示的“View status”鏈接；

2.2、在“Local Area Connection Status”窗口中點擊“Properties ”；

2.3、在“Local Area Connection Properties”窗口中取消“Internet Protocol Version 6（TCP/IPv6）”前的復(fù)選框，點擊“OK ”完成。

3、 修改服務(wù)器IP 地址

3.1、仍然是在“Local Area Connection Properties”窗口中，選擇“Internet Protocol Version 4（TCP/IPv4）”，然后點擊“Properties ”按鈕；

3.2、選擇“use the following IP address”，此時下方的“use the following DNS Server address”也會自動選中，設(shè)置好域控制器的IP 地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS （我們準(zhǔn)備在本機安裝DNS 服務(wù)，所以設(shè)置DNS 為本機）；

3.3、點擊“OK ” →“Close ”完成設(shè)置。

4、 修改服務(wù)器計算機名

4.1、依次選擇“Start ” →“Computer ” →“Properties ”；

4.2、出現(xiàn)System 窗口，點擊“Change settings”鏈接；

4.3、在“System Properties”窗口中點擊“Change ?”按鈕；