計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)4windows網(wǎng)絡(luò)域的實(shí)現(xiàn)

1、實(shí)驗(yàn)序號(hào)：實(shí)驗(yàn)3計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)項(xiàng)目名稱(chēng)：wi ndows網(wǎng)絡(luò)域的實(shí)現(xiàn)歡迎下載28學(xué) 號(hào)實(shí)驗(yàn)地點(diǎn)姓 名指導(dǎo)教師專(zhuān)業(yè)班級(jí)實(shí)驗(yàn)時(shí)間專(zhuān)升本4班一、實(shí)驗(yàn)?zāi)康募耙蠡顒?dòng)目錄的基本概念活動(dòng)目錄的規(guī)劃與安裝域控制器的管理用戶(hù)賬戶(hù)和計(jì)算機(jī)賬戶(hù)的管理組和組織單位的管理資源發(fā)布和域的管理二、實(shí)驗(yàn)設(shè)備（環(huán)境）及要求兩臺(tái)windows2003服務(wù)器三、實(shí)驗(yàn)內(nèi)容與步驟2.1概述2.1.1活動(dòng)目錄簡(jiǎn)介2.1.2活動(dòng)目錄的三種特性集成性深入性易用性活動(dòng)目錄的邏輯結(jié)構(gòu)1 .域（Domain）域是活動(dòng)目錄中邏輯結(jié)構(gòu)的核心單元，活動(dòng)目錄包含一個(gè)或多個(gè)域，每個(gè)域 均有自己的安全策略以及與其他域的信任關(guān)系，因此，域是網(wǎng)絡(luò)安全管

2、理的邊界。也就是說(shuō)，域內(nèi)的所有對(duì)象均處于一個(gè)安全管理單位內(nèi)，域和域之間的關(guān)系是不同安全管理單位之間的關(guān)系。域是復(fù)制的單位。每個(gè)域均可以有一個(gè)或者幾個(gè)域控制器（ Domain Controler） 所有域控制器可以接收更改信息，并將這些更改的信息復(fù)制到域中的其他域控制 器中，從而保證同一個(gè)域內(nèi)的所有域控制器中的內(nèi)容完全一致?；顒?dòng)目錄的邏輯結(jié)構(gòu)2 域樹(shù)根據(jù)實(shí)際要求，一個(gè)網(wǎng)絡(luò)可能需要包含多個(gè)域，這時(shí)，可以將網(wǎng)絡(luò)設(shè)置成域目錄樹(shù)的結(jié)構(gòu)（層次結(jié)構(gòu)）?；顒?dòng)目錄的邏輯結(jié)構(gòu)域樹(shù)中的第一個(gè)域稱(chēng)作根域，相同域樹(shù)中的其他域?yàn)樽佑?，相同域?shù)中上層的域 稱(chēng)為子域的父域。如圖8.1所示為一棵域目錄樹(shù)，其中根域?yàn)?，級(jí)子 域

3、為和，下面分別還有兩個(gè)二級(jí)子域。具有公用根域的所有域構(gòu)成連續(xù)名稱(chēng)空間。由于活動(dòng)目錄的域名采用DNS域名的結(jié)構(gòu)進(jìn)行命名，所以從圖中可以看出，該域目錄也符合DNS域名空間的命名策略，它們的名稱(chēng)空間是連續(xù)的，即：子域的域名包含其父域的域名，如：子域 中包含著父域 的域名。在這棵目錄樹(shù)中的所有域，共享著一個(gè)活動(dòng)目錄，也就是說(shuō)，一棵域樹(shù) 只有一個(gè)活動(dòng)目錄。但是，該活動(dòng)目錄內(nèi)的數(shù)據(jù)是分散地存儲(chǔ)在各個(gè)域內(nèi)， 具體 位置是域內(nèi)的域控制器的目錄數(shù)據(jù)庫(kù)中，當(dāng)然，每個(gè)域中只存儲(chǔ)本域內(nèi)的數(shù)據(jù)。 活動(dòng)目錄的邏輯結(jié)構(gòu)信任關(guān)系是兩個(gè)域之間安全信息的通信連接， 也就是說(shuō)，兩個(gè)域只有建立了信任 關(guān)系后，方可訪(fǎng)問(wèn)對(duì)方域內(nèi)的資源。

4、在 Windows Server 2003中域的信任關(guān)系有 以下特點(diǎn)：l雙向性：如果A域信任B域，則B域就信任A域。l可傳遞性：如果A域信任B域，而B(niǎo)域又信任C域，則A域就自動(dòng)信任C 域，那么根據(jù)雙向性，C域也信任A域，這樣A域和C域就自動(dòng)地建立起雙向 的信任關(guān)系?；顒?dòng)目錄的邏輯結(jié)構(gòu)因此，當(dāng)一個(gè)域加入到某個(gè)域目錄樹(shù)后，它會(huì)自動(dòng)地雙向信任當(dāng)前域目錄樹(shù)的所有域，這種通過(guò)傳遞性建立起來(lái)的雙向信任關(guān)系，稱(chēng)為隱含的信任關(guān)系。如圖8.1所設(shè)置的一棵域目錄樹(shù)，各個(gè)域之間存在著隱含的信任關(guān)系。假如，現(xiàn)在建 立一個(gè)新域,加入到當(dāng)前域樹(shù)中，它會(huì)與該域樹(shù)中的所有域 自動(dòng)建立起雙向的信任關(guān)系，新域的用戶(hù)可以訪(fǎng)問(wèn)其他域

5、內(nèi)的資源 （在其權(quán)限允 許范圍內(nèi)）。活動(dòng)目錄的邏輯結(jié)構(gòu)3. 域林域林由多個(gè)域目錄樹(shù)構(gòu)成（而域樹(shù)可以看成是特殊的域林），每個(gè)域樹(shù)有自己的 獨(dú)立的名稱(chēng)空間，因此，通常域林中的域并不共享連續(xù)的名字空間。如圖8.2所示的域目林中包含兩棵域樹(shù)：和。創(chuàng)建的第一棵域樹(shù)的根域就是整個(gè)域樹(shù)的根域，同時(shí)該域的域名就是域林的名 稱(chēng)。假設(shè)圖8.2中的第一棵域樹(shù)為，那么域就是域林的名稱(chēng)。 8.1.2活動(dòng)目錄的邏輯結(jié)構(gòu)域林中所有域樹(shù)中的根域之間，會(huì)自動(dòng)地建立雙向的、可傳遞的信任關(guān)系，因此， 域目錄林中任何一個(gè)域中的用戶(hù)，都有權(quán)限訪(fǎng)問(wèn)其他域目錄樹(shù)中的資源。服務(wù)器的角色1. 域控制器（DC）域控制器就是存儲(chǔ)活動(dòng)目錄的服務(wù)器，

6、它負(fù)責(zé)活動(dòng)目錄數(shù)據(jù)庫(kù)的維護(hù)、用戶(hù)身份的驗(yàn)證和活動(dòng)目錄的安全性。一個(gè)域可以有一個(gè)或若干個(gè)域控制器， 通常它們的地位是平等的。在域中，各域 控制器相互復(fù)制活動(dòng)目錄的更改。例如：某個(gè)域有兩個(gè)域控制器A和B，在域控制器A上創(chuàng)建了一個(gè)用戶(hù)帳戶(hù)（zhangsar）時(shí)，這個(gè)帳戶(hù)（zhangsar）就被建 立在當(dāng)前域控制器A的活動(dòng)目錄中，然后zhangsan的相關(guān)數(shù)據(jù)就會(huì)自動(dòng)地復(fù)制 到域控制器B中。一個(gè)域中包含多個(gè)域控制器，可以獲得高性能，提高容錯(cuò)能力。因?yàn)楫?dāng)一臺(tái)域控 制器出現(xiàn)故障了，其他的域控制器仍然可以提供服務(wù)，而用戶(hù)是感覺(jué)不到的。同樣，在域林中，各域控制器相互之間也把信息自動(dòng)復(fù)制給對(duì)方，從而為用戶(hù)提供最

7、新的全局編錄，方便了用戶(hù)在域林中搜索信息。2. 成員服務(wù)器成員服務(wù)器是運(yùn)行Windows Server2003的計(jì)算機(jī)，它是域的成員但不 是域控制器。因?yàn)樗皇怯蚩刂破?，所以成員服務(wù)器不處理賬戶(hù)登錄過(guò)程，不參與活動(dòng)目錄復(fù)制，也不存儲(chǔ)域安全策略信息。成員服務(wù)器一般用作文件服務(wù)器、 應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、Web服務(wù)器、證書(shū)服務(wù)器、防火墻以及遠(yuǎn)程訪(fǎng)問(wèn)服 務(wù)器。服務(wù)器的角色3. 獨(dú)立服務(wù)器獨(dú)立服務(wù)器是運(yùn)行Windows Server 2003的計(jì)算機(jī)并且不是Windows域的成員。 如果Windows Server 2003作為工作組成員安裝，則該服務(wù)器是獨(dú)立的服務(wù)器。它可以與網(wǎng)絡(luò)上的其他計(jì)算機(jī)共

8、享資源，但是不接受活動(dòng)目錄所提供的任何好 處。4. 更改服務(wù)器角色使用活動(dòng)目錄安裝向?qū)?，可以將成員服務(wù)器升級(jí)至域控制器，也可以將域控制器降級(jí)為成員服務(wù)器。服務(wù)器的角色2.2安裝活動(dòng)目錄2.2.1活動(dòng)目錄的規(guī)劃規(guī)劃DNS規(guī)劃域結(jié)構(gòu) 規(guī)劃組織單位結(jié)構(gòu) 規(guī)劃委派模式 2.2.2安裝活動(dòng)目錄（1） 安裝活動(dòng)目錄具體步驟如下：步驟一，啟動(dòng) Windows Server 2003系統(tǒng)自動(dòng)打開(kāi)“ Server 2003配置服務(wù)器”窗 口，或者選擇“開(kāi)始” / “程序” / “管理工具” / “配置服務(wù)器”，打開(kāi)如圖2-1 所示配置服務(wù)器向?qū)Т翱?。步驟二，單擊“下一步”，出現(xiàn)一個(gè)配置服務(wù)器向?qū)У念A(yù)備步驟窗口，

9、以確認(rèn)所 提到的步驟已完成。單擊“下一步”，出現(xiàn)檢測(cè)網(wǎng)絡(luò)設(shè)置窗口，如圖2-2所示。 步驟三，接下來(lái)出現(xiàn)配置選項(xiàng)窗口，我們選擇“自定義配置”選項(xiàng)，單擊“下一 步”，出現(xiàn)服務(wù)器角色窗口，也就是你想讓你的服務(wù)器擔(dān)任的角色，我們從列表 中選擇“域控制器”。如圖2-3所示。單擊“下一步”按鈕，出現(xiàn)確認(rèn)窗口，以 確認(rèn)選擇了正確角色。單擊“下一步”，出現(xiàn)“ Active Directory安裝向?qū)Т翱凇?, 如圖2-4所示。也可省去前面步驟，直接通過(guò)“開(kāi)始” / “運(yùn)行”，打開(kāi)“運(yùn)行”對(duì)話(huà)框，輸入dcpromo 命令，單擊“確定”按鈕，打開(kāi)如圖 2-4所示的對(duì)話(huà)框。圖2-1 /Server 2003配置服務(wù)

10、器”窗口圖2-2顯示活動(dòng)目錄內(nèi)容2.2.2 安裝活動(dòng)目錄（2）2.2.2 安裝活動(dòng)目錄（3）步驟四，單擊/下一步”，打開(kāi)/操作系統(tǒng)兼容性”對(duì)話(huà)框。其大意是早期的Windows版本無(wú)法登錄 Windows Server 2003創(chuàng)建的域。圖2-3服務(wù)器角色配置窗口2.2.2 安裝活動(dòng)目錄（4）步驟五，單擊/下一步”，/Active Directory安裝向?qū)А睍?huì)詢(xún)問(wèn)新建的域控制器的 性質(zhì)，如圖2-2,我們選擇/新域的域控制器”。圖 2-4 Active Directory 安裝向?qū)Т翱?.2.2 安裝活動(dòng)目錄（2）步驟六，單擊/下一步”，打開(kāi)如圖2-6所示的/創(chuàng)建一個(gè)新域”對(duì)話(huà)框，如果 所創(chuàng)建的

11、域?yàn)閱挝坏牡谝粋€(gè)域，或者希望所創(chuàng)建的新域獨(dú)立于現(xiàn)有目錄林，可選擇/新林中的域”。如果希望新的域成為現(xiàn)有域的子域，則選擇/現(xiàn)有域中的子 域”。如想創(chuàng)建一個(gè)與現(xiàn)有域樹(shù)分開(kāi)的、 新的域樹(shù)，則選擇/在現(xiàn)有林中的域樹(shù)”。 這里我們選擇/新林中的域”。圖2-6選擇創(chuàng)建域的類(lèi)圖2-2選擇域控制器的類(lèi)型型222安裝活動(dòng)目錄（6）步驟七，單擊“下一步”，打開(kāi)如圖2-7所示的指定域名對(duì)話(huà)框，在“新域的DNS 全名”文本框中輸入新建域的 DNS全名，例如。步驟八，單擊“下一步”，打開(kāi)如圖2-8所示的“ NetBIOS域名”對(duì)話(huà)框，在“域 NetBIOS名”文本框中輸入 NetBIOS域名，或者接受顯示的名稱(chēng)。Net

12、BIOS域 名是供早期的Windows用戶(hù)用來(lái)識(shí)別新域的。圖2-7指定新域名圖2-8指定NetBIOS2.2.2 安裝活動(dòng)目錄（7）步驟九，單擊“下一步”，打開(kāi)如圖2-9所示的“數(shù)據(jù)庫(kù)和日志文件文件夾”對(duì) 話(huà)框，在“數(shù)據(jù)庫(kù)文件夾”文本框中輸入保存數(shù)據(jù)庫(kù)的位置，或者單擊“瀏覽” 按鈕選擇路徑，在“日志文件夾”文本框中輸入保存日志的位置或單擊“瀏覽” 按鈕選擇路徑。注意，基于最佳性和可恢復(fù)性的考慮，最好將活動(dòng)目錄的數(shù)據(jù)庫(kù)和日志保存在不 同的硬盤(pán)上。步驟十，單擊“下一步”，打開(kāi)如圖2-10所示的“共享的系統(tǒng)卷”對(duì)話(huà)框，在 Server 2003中，Sysvol文件夾存放域的公用文件的服務(wù)器副本，它的

13、內(nèi)容將被復(fù)制到域中的所有域控制器上。在“文件夾位置”文本框中輸入Sysvol文件夾位置，如本例中對(duì)應(yīng)文件夾為c:WINNTSYSVOL，或單擊“瀏覽”按鈕選擇路徑。 步驟一，單擊“下一步”，會(huì)出現(xiàn)“ Active Directory安裝向?qū)А钡腄NS注冊(cè)診 斷程序?qū)υ?huà)框，如圖2-11。我們選擇“在這臺(tái)計(jì)算機(jī)上安裝并配置 DNS服務(wù)器， 并將這臺(tái)DNS服務(wù)器設(shè)為計(jì)算機(jī)的首選DNS服務(wù)器”。2.2.2 安裝活動(dòng)目錄（8）圖2-9指定活動(dòng)目錄的數(shù)據(jù)庫(kù)和日志文件的文件夾圖2-10指定系統(tǒng)卷共享文件夾2.2.2 安裝活動(dòng)目錄（9）步驟十二，單擊“下一步”，打開(kāi)如圖2-12所示的“權(quán)限”對(duì)話(huà)框，為用戶(hù)和組

14、 選擇默認(rèn)權(quán)限，如果單位中還存在或?qū)⒁?Windows 2000的以前版本，選擇“與Windows 2000之前的服務(wù)器操作系統(tǒng)兼容的權(quán)限”。否則，選擇“只與 Windows2000或 Windows Server 2003操作系統(tǒng)兼容的權(quán)限”。圖2-11 DNS注冊(cè)診斷圖2-12權(quán)限設(shè)置2.2.2 安裝活動(dòng)目錄（10）步驟十三，單擊“下一步”，打開(kāi)“目錄服務(wù)還原模式的管理員密碼”對(duì)話(huà)框， 如圖2-13所示，輸入并牢記該密碼，以備將來(lái)目錄服務(wù)還原模式下使用。步驟十四，單擊“下一步”，打開(kāi)“摘要”對(duì)話(huà)框，如圖2-14所示。通過(guò)該對(duì)話(huà) 框，用戶(hù)可檢查并確認(rèn)設(shè)置的各個(gè)選項(xiàng)。圖2-13輸入目錄服務(wù)恢

15、復(fù)模式管理員密碼圖2-14確認(rèn)選定的選項(xiàng)步驟十五，單擊“下一步”，系統(tǒng)開(kāi)始配置活動(dòng)目錄，中間將需要 Windows Server 2003安裝光盤(pán)，如圖2-12所示。此時(shí)如果將2003光盤(pán)放入光驅(qū)，系統(tǒng)會(huì)自動(dòng) 完成對(duì)DNS服務(wù)器得配置。步驟十六，經(jīng)過(guò)幾分鐘之后，配置完成。同時(shí)，打開(kāi)“完成Active Directory安裝向?qū)А睂?duì)話(huà)框，如圖2-16所示，單擊“完成”，即完成活動(dòng)目錄的安裝。圖2-12配置活動(dòng)目錄圖2-16完成活動(dòng)目錄的安裝2.2.2安裝活動(dòng)目錄（11）2.2.2 安裝活動(dòng)目錄（12）活動(dòng)目錄安裝完成之后，必須重新啟動(dòng)計(jì)算機(jī)，活動(dòng)目錄才會(huì)生效。注意：在活動(dòng)目錄安裝之后，不但服務(wù)器

16、的開(kāi)機(jī)和關(guān)機(jī)時(shí)間變長(zhǎng)，而且系統(tǒng)的執(zhí)行速度變慢。所以，如果用戶(hù)對(duì)某個(gè)服務(wù)器沒(méi)有特別要求或不把它作為域控制器 來(lái)使用，可將該服務(wù)器上的活動(dòng)目錄刪除，使其降級(jí)為成員服務(wù)器或獨(dú)立服務(wù)器。 成員服務(wù)器是指安裝到現(xiàn)有域中的附加域控制器；獨(dú)立服務(wù)器是指在名稱(chēng)空間目錄樹(shù)中直接位于另一個(gè)域名之下的服務(wù)器。 刪除活動(dòng)目錄使服務(wù)器成為成員服務(wù) 器還是獨(dú)立服務(wù)器，取決于該服務(wù)器的域控制器的類(lèi)型。如果要?jiǎng)h除活動(dòng)目錄的服務(wù)器不是域中的唯一的域控制器，則刪除活動(dòng)目錄將使該服務(wù)器成為成員服務(wù) 器；如果要?jiǎng)h除活動(dòng)目錄的服務(wù)器是域中最后一個(gè)域控制器，則刪除活動(dòng)目錄將使該服務(wù)器成為獨(dú)立服務(wù)器。要?jiǎng)h除活動(dòng)目錄，打開(kāi)“開(kāi)始”菜單，選擇

17、“運(yùn)行”命令，打開(kāi)“運(yùn)行”對(duì)話(huà)框， 輸入dcpromo命令，然后單擊“確定”按鈕，打開(kāi)“ Active Directory安裝向?qū)А?對(duì)話(huà)框，并沿著向?qū)нM(jìn)行刪除，這里不再細(xì)述其過(guò)程。223檢驗(yàn)安裝結(jié)果在安裝完成后，可以通過(guò)以下方法檢驗(yàn)Active Directory安裝是否正確，在安裝過(guò)程中一項(xiàng)最重要的工作是在DNS數(shù)據(jù)庫(kù)中添加服務(wù)記錄(SRV記錄)，下面介紹一下如何檢查安裝結(jié)果。1 .檢查DNS文件的SRV記錄。用文本編輯器打開(kāi) SystemRoot%/system32/config中的Netlogon.dns文件，察看 LDAP 服務(wù)記錄，在本例中為 _ldap. 600 IN SRV 0

18、 100 389 she nlan. 2.驗(yàn)證SRV記錄在NSLOOKUP命令工具中運(yùn)行是否正常。(1) 在命令提示行下，輸入 NSLOOKUP ;(2) 輸入 set type=srv；(3) 輸入 _ldap._如果返回了服務(wù)器名和IP地址，說(shuō)明SRV記錄工作正常。2.3域控制器管理域(Domain)是活動(dòng)目錄的分區(qū)，定義了安全邊界，在沒(méi)經(jīng)過(guò)授權(quán)的情況下，不允許其他域中的用戶(hù)訪(fǎng)問(wèn)本域中的資源?；顒?dòng)目錄可由一個(gè)或多個(gè)域組成，每一個(gè)域可以存儲(chǔ)上百萬(wàn)個(gè)對(duì)象，域之間還有層次關(guān)系，可以建立域樹(shù)和域林，如 圖2-17、2-18所示，進(jìn)行無(wú)限地域擴(kuò)展。圖中的雙箭頭表示域之間的信任關(guān)系， Server 2

19、003中域的信任關(guān)系都是雙向和可傳遞的。圖2-17域樹(shù)圖2-18域林2.3.1設(shè)置域控制器屬性（1）設(shè)置域控制器屬性，具體步驟如下：步驟一，選擇“開(kāi)始” / “程序” / “管理工具” / “Active Directory用戶(hù)與計(jì)算機(jī)” 菜單，打開(kāi)“ Active Directory用戶(hù)與計(jì)算機(jī)”管理窗口，如圖 2-19所示。步驟二，在控制臺(tái)目錄樹(shù)中，雙擊展開(kāi)域節(jié)點(diǎn)。單擊 Domain Controllers子節(jié)點(diǎn)。 步驟三，在詳細(xì)資料窗格中，右擊要設(shè)置屬性的域控制器，從彈出的快捷菜單中 選擇“屬性”，打開(kāi)該控制器的“屬性”對(duì)話(huà)框，如圖 2-20所示。步驟四，在“常規(guī)”選項(xiàng)卡的“描述”文本框

20、中輸入對(duì)域控制器的一般描述。如 果不希望域控制器的可受信任用來(lái)作為委派，可禁用“信任計(jì)算機(jī)作為委派”復(fù) 選框。步驟五，選擇“操作系統(tǒng)”選項(xiàng)卡，在該選項(xiàng)卡中，顯示出操作系統(tǒng)的名稱(chēng)、版 本以及Service Pack管理員只能查看并不能修改這些內(nèi)容。步驟六，選擇如圖2-21所示的“隸屬于”選項(xiàng)卡，要添加組，單擊“添加”按 鈕，打開(kāi)“選擇組”對(duì)話(huà)框?yàn)橛蚩刂破鬟x擇一個(gè)要添加的組；要?jiǎng)h除某個(gè)已經(jīng)添 加的組，在“成員屬于”列表框選擇該組，然后單擊“刪除”按鈕即可。2.3.1設(shè)置域控制器屬性（2）圖2-19 Active Directory用戶(hù)和計(jì)算機(jī)窗口2.3.1設(shè)置域控制器屬性（3）步驟七，當(dāng)管理員為域

21、控制器添加多個(gè)組時(shí)，還可為域控制器設(shè)置一個(gè)主要組。 要設(shè)置主要組，在“隸屬于”列表框中選擇要設(shè)置的主要組，一般為DomainControllers，也可為Cert Publishers,然后單擊“設(shè)置主要組”按鈕即可。步驟八，選擇“位置”選項(xiàng)卡，可以設(shè)置域控制器的位置。步驟九，選擇“管理者”選項(xiàng)卡，要更改域控制器的管理者，可單擊“更改”按 鈕，打開(kāi)“選擇用戶(hù)或聯(lián)系人”對(duì)話(huà)框，選擇新的管理人即可。要?jiǎng)h除管理者， 可單擊“清除”按鈕來(lái)刪除；要查看和修改管理者屬性，可單擊“查看”按鈕， 打開(kāi)該管理者屬性對(duì)話(huà)框來(lái)進(jìn)行操作。步驟十，域控制器設(shè)置完畢，單擊“確定”按鈕保存設(shè)置。2.3.1設(shè)置域控制器屬性（

22、4）圖2-20設(shè)置域控制器屬性圖2-21設(shè)置成員組232查找域控制器目錄內(nèi)容（1）要查找目錄內(nèi)容，可參照如下步驟：步驟一，在“ Active Directory用戶(hù)和計(jì)算機(jī)”窗口的控制臺(tái)目錄樹(shù)中，鼠標(biāo)右擊 域節(jié)點(diǎn)，在彈出的快捷菜單中選擇“查找”命令，打開(kāi)“查找用戶(hù)聯(lián)系人及組” 對(duì)話(huà)框，如圖2-22所示。步驟二，在“查找”下拉列表框中可以選擇要查找的目錄內(nèi)容，包括“用戶(hù)、聯(lián) 系人及組”、“計(jì)算機(jī)”、“打印機(jī)”、“共享文件夾”、“組織單位”、“自定義搜索” 等。例如，在列表中選擇“計(jì)算機(jī)”，如圖2-23所示。在“范圍”下拉列表框中選擇 查找范圍，如整個(gè)目錄。步驟三，在“計(jì)算機(jī)”選項(xiàng)卡中，設(shè)置查找條

23、件。例如，在“計(jì)算機(jī)”文本框中 輸入要查找的計(jì)算機(jī)名，在“所有者”文本框中輸入計(jì)算機(jī)的用戶(hù)名，在“作用” 下拉列表框中選擇計(jì)算機(jī)在網(wǎng)絡(luò)中作用。步驟四，單擊“高級(jí)”選項(xiàng)卡，要設(shè)置高級(jí)查找條件，單擊“字段”按鈕，從彈 出的快捷菜單中選擇設(shè)置條件的選項(xiàng)，然后在“條件”下拉列表框和“值”文本 框中設(shè)置查詢(xún)條件。2.3.2查找域控制器目錄內(nèi)容（2）步驟五，高級(jí)條件設(shè)置好之后，單擊“添加”按鈕，將條件添加到下面的文本框 中。如果要繼續(xù)添加高級(jí)條件，可按照上面步驟繼續(xù)添加。步驟六，所有查找條件設(shè)置完畢，單擊“開(kāi)始查找”按鈕即開(kāi)始查找，并將查找 結(jié)果列出，如圖2-23下面窗口所示。圖2-22 “查找用戶(hù)聯(lián)系人

24、及組”對(duì)話(huà)框圖圖2-23列出查找結(jié)果233連接到其他域在一個(gè)多域的網(wǎng)絡(luò)中，用戶(hù)經(jīng)常需要將當(dāng)前域連接到其他域， 這樣可使當(dāng)前域中 的用戶(hù)和計(jì)算機(jī)訪(fǎng)問(wèn)其他域中的資源，也可將當(dāng)前域控制器的部分操作主機(jī)功能 傳送給其他域控制器，甚至可將當(dāng)前域控制器更改為其他域中的域控制器。要連接到網(wǎng)絡(luò)中其他域，在控制臺(tái)目錄樹(shù)中，鼠標(biāo)右擊“Active Directory用戶(hù)和 計(jì)算機(jī)”根結(jié)點(diǎn)，從彈出的快捷菜單中選擇“連接到域”命令，打開(kāi)如圖2-24所示的“連接到域”對(duì)話(huà)框，在“域”文本框中輸入要連接的域的名稱(chēng)；或者單 擊“瀏覽”，打開(kāi)“瀏覽域”對(duì)話(huà)框選擇要連接的域，單擊“確定”即可建立連 接。圖2-24連接到其他域注

25、意：一般情況下，一個(gè)域網(wǎng)絡(luò)中至少應(yīng)有兩個(gè)域控制器(一個(gè)域控制器和一個(gè) 附加域控制器)，以便在當(dāng)前域控制器出現(xiàn)故障時(shí)，可使用附加域控制器來(lái)代替 當(dāng)前域控制器，保證網(wǎng)絡(luò)的正常運(yùn)行。234更改域控制器要更改域控制器，在控制臺(tái)目錄樹(shù)中，鼠標(biāo)右擊“Active Directory用戶(hù)和計(jì)算機(jī)” 根節(jié)點(diǎn)，從彈出的快捷菜單中選擇“連接到域控制器”，打開(kāi)如圖2-22所示的“連 接到域控制器”對(duì)話(huà)框。在“輸入另一個(gè)域控制器的名稱(chēng)”文本框中輸入要連接的域控制器；或者從域控 制器列表中選擇一個(gè)要連接的域控制器。如果在域中沒(méi)有列出其他可用的域控制 器，可選擇“任何可寫(xiě)的域控制器”選項(xiàng)，系統(tǒng)會(huì)根據(jù)網(wǎng)絡(luò)連接情況自動(dòng)選擇可

26、 用的域控制器。要連接的域控制器選定之后，單擊“確定”按鈕完成連接。圖2-22連接到域控制器2.6資源發(fā)布和域的管理2.6.1資源發(fā)布的管理一、資源的發(fā)布1 公布共享文件夾的步驟如下：(1) 運(yùn)行“管理工具” / “Active Directory域和信任關(guān)系”管理應(yīng)用程序；(2) 在控制臺(tái)樹(shù)中，鼠標(biāo)雙擊“域節(jié)點(diǎn)”；(3) 鼠標(biāo)右鍵單擊想在其中添加共享文件夾的文件夾，指向“新建”并單擊“共 享文件夾”對(duì)話(huà)框，如圖2-40所示；(4) 鍵入文件夾的名稱(chēng)和網(wǎng)絡(luò)路徑；(2) 單擊“確定”按鈕完成操作。2. 公布打印機(jī)的步驟如下：（1）打開(kāi)“ Active Directory用戶(hù)和計(jì)算機(jī)”;（2）在控

27、制臺(tái)樹(shù)中，鼠標(biāo)雙擊“域節(jié)點(diǎn)”；（3） 在控制臺(tái)樹(shù)中，鼠標(biāo)右鍵單擊想在其中公布打印機(jī)的文件夾，指向“新建”， 并單擊“打印機(jī)”；（4）鍵入網(wǎng)絡(luò)路徑，如圖2-41所示。（2）單擊“確定”按鈕完成操作。圖2-41設(shè)置共享打印機(jī)路徑圖2-40設(shè)置共享文件夾2.6.1資源發(fā)布的管理二、資源的查找若要進(jìn)行自定義搜索，可參照如下步驟：（1）運(yùn)行“管理工具” / “Active Directory域和信任關(guān)系”管理應(yīng)用程序；（2）在控制臺(tái)樹(shù)中用鼠標(biāo)右鍵單擊“域節(jié)點(diǎn)”，然后單擊“查找”；（3）在“查找”中單擊“自定義搜索”；（4）鼠標(biāo)單擊“字段”，選擇要搜索的對(duì)象種類(lèi)，然后單擊要為其指定搜索值的 對(duì)象的屬性；（

28、2）在“條件”中單擊搜索的條件；（6）在“值”中鍵入要應(yīng)用搜索條件的屬性值；（7）單擊“添加”，將該搜索條件添加至自定義搜索；（8）重復(fù)第（4）步至第（7）步，直到添加完所需的全部搜索條件為止；（9）單擊“開(kāi)始查找”按鈕。2.6.2域的管理1. 提升域功能級(jí)別Windows Server 2003中有四個(gè)域功能級(jí)別，下表列出了域功能級(jí)別及其所支持 的域控制器。默認(rèn)情況下，域以 Win dows 2000混合功能級(jí)別操作。表2-1域功能級(jí)別與其支持的域控制器2.6.2域的管理根據(jù)網(wǎng)絡(luò)的實(shí)際需要，可以提升域功能級(jí)別，提升域功能級(jí)別的具體步驟如下： 步驟一，運(yùn)行“管理工具” / “Active Di

29、rectory域和信任關(guān)系”管理應(yīng)用程序； 步驟二，鼠標(biāo)右鍵單擊你想要管理的域的“域節(jié)點(diǎn)”，然后單擊“提升域功能級(jí) 別”；步驟三，在打開(kāi)如圖2-42所示窗口中，我們可以在“選一個(gè)可用的域功能級(jí)別” 的下拉菜單中選擇一種模式。圖2-42更改域模式2. 創(chuàng)建明確的域信任創(chuàng)建明確的域信任具體步驟如下：步驟一，運(yùn)行“管理工具” / “Active Directory域和信任關(guān)系”管理應(yīng)用程序； 步驟二，在控制臺(tái)樹(shù)中，鼠標(biāo)右鍵單擊要管理的域節(jié)點(diǎn)，然后單擊“屬性” ； 步驟三，單擊“信任”選項(xiàng)卡，如圖 2-43所示；步驟四，根據(jù)需要，單擊“新建信任”按鈕，打開(kāi)“新建信任向?qū)А贝翱?，輸?一個(gè)信任域的名稱(chēng)。

30、步驟五，單擊“下一步”，打開(kāi)的窗口會(huì)詢(xún)問(wèn)信任方向，我們選擇“雙向”；單擊“下一步”，窗口詢(xún)問(wèn)創(chuàng)建信任關(guān)系域的范圍，我們選擇“只是這個(gè)域”；步驟六，單擊“下一步”，打開(kāi)如圖2-44所示窗口，我們選擇“全域性身份驗(yàn)證”； 單擊“下一步”打開(kāi)“信任密碼”窗口，輸入密碼；步驟七，單擊“下一步”，給出我們所配置的信息，在以后的步驟中我們使用默認(rèn)設(shè)置，最后單擊“完成”按鈕，完成配置，如圖2-42所示。注意：密碼必須是信任域和被信任域雙方都接受的。圖2-44單擊“編輯”后的對(duì)話(huà)框選項(xiàng)圖2-43 “信任”選項(xiàng)卡3. 驗(yàn)證信任關(guān)系信任關(guān)系建立之后，可以驗(yàn)證信任關(guān)系的創(chuàng)建情況。驗(yàn)證信任關(guān)系具體步驟如下： 步驟一，

31、運(yùn)行“管理工具” / “Active Directory域和信任關(guān)系”管理應(yīng)用程序； 步驟二，在控制臺(tái)樹(shù)中，鼠標(biāo)右鍵單擊要驗(yàn)證的信任關(guān)系所涉及的一個(gè)域，然后單擊“屬性”對(duì)話(huà)框；步驟三，單擊“信任”選項(xiàng)卡，在“受此域信任的域”或“信任此域的域”中，單擊要驗(yàn)證的信任關(guān)系，然后單擊“屬性”，其結(jié)果如圖2-46所示；步驟四，單擊“驗(yàn)證”按鈕即可。4. 撤銷(xiāo)信任關(guān)系如果不再需要已建立的信任關(guān)系，可以撤銷(xiāo)信任關(guān)系。撤銷(xiāo)信任關(guān)系的具體步驟如下：步驟一，運(yùn)行“管理工具” / “Active Directory域和信任關(guān)系”管理應(yīng)用程序； 步驟二，在控制臺(tái)樹(shù)中，鼠標(biāo)右鍵單擊要撤銷(xiāo)的信任關(guān)系所涉及的一個(gè)域節(jié)點(diǎn)，

32、然后單擊“屬性”對(duì)話(huà)框；步驟三，單擊“信任”選項(xiàng)卡，在“受此域信任的域”或“信任此域的域”中，單擊要撤銷(xiāo)的信任關(guān)系，然后單擊“刪除”按鈕即可；步驟四，對(duì)于此信任關(guān)系中涉及的其他域，重復(fù)該過(guò)程。2-42“信任”選項(xiàng)卡2-46信任域?qū)傩源翱诒菊滦〗Y(jié)活動(dòng)目錄(Active Directory )的引入，方便了管理員在統(tǒng)一的環(huán)境下管理全網(wǎng)的 各種資源，保證了系統(tǒng)的良好擴(kuò)展性和可管理性。本章主要講述活動(dòng)目錄的基本概念、管理模式、安裝方法以及對(duì)用戶(hù)和計(jì)算機(jī)賬戶(hù)的管理、組和組織單位的管理、域和域控制器的管理等內(nèi)容。思考題1. Active Directory 的優(yōu)點(diǎn)是什么？如何安裝 Active Direc

33、tory ?2 .在Active Directory安裝結(jié)束后，如何檢驗(yàn) Active Directory安裝是否正確？3. 不同的組對(duì)網(wǎng)絡(luò)性能具有哪些影響？4. 如何限制用戶(hù)由某臺(tái)客戶(hù)機(jī)在某個(gè)特定時(shí)段登錄？2. 組織單位的委派控制有何意義？6. 如何實(shí)現(xiàn)域間信任？7. 將用戶(hù)賬戶(hù)、計(jì)算機(jī)賬戶(hù)添加到組中作用有何不同？實(shí)訓(xùn)題目：Windows Server 2003活動(dòng)目錄的安裝與配置內(nèi)容與要求：1 .安裝 Windows Server 2003活動(dòng)目錄。2 設(shè)置域控制器屬性、連接到其他域、更改域控制器。3使用“ Active Directory用戶(hù)和計(jì)算機(jī)”窗口管理用戶(hù)和計(jì)算機(jī)賬戶(hù)，包括賬 戶(hù)

34、的創(chuàng)建、刪除、停用、移動(dòng)等。4 管理組和組織單位。四、實(shí)驗(yàn)結(jié)果與數(shù)據(jù)處理2.2.2安裝活動(dòng)目錄（1）安裝活動(dòng)目錄具體步驟如下：步驟一，啟動(dòng) Windows Server 2003系統(tǒng)自動(dòng)打開(kāi)“ Server 2003配置服務(wù)器”窗 口，或者選擇“開(kāi)始” / “程序” / “管理工具” / “配置服務(wù)器”，打開(kāi)如圖2-1 所示配置服務(wù)器向?qū)Т翱?。步驟二，單擊“下一步”，出現(xiàn)一個(gè)配置服務(wù)器向?qū)У念A(yù)備步驟窗口，以確認(rèn)所 提到的步驟已完成。單擊“下一步”，出現(xiàn)檢測(cè)網(wǎng)絡(luò)設(shè)置窗口，如圖2-2所示。 步驟三，接下來(lái)出現(xiàn)配置選項(xiàng)窗口，我們選擇“自定義配置”選項(xiàng)，單擊“下一 步”，出現(xiàn)服務(wù)器角色窗口，也就是你想

35、讓你的服務(wù)器擔(dān)任的角色，我們從列表 中選擇“域控制器”。如圖2-3所示。單擊“下一步”按鈕，出現(xiàn)確認(rèn)窗口，以 確認(rèn)選擇了正確角色。單擊“下一步”，出現(xiàn)“ Active Directory安裝向?qū)Т翱凇?, 如圖2-4所示。也可省去前面步驟，直接通過(guò)“開(kāi)始” / “運(yùn)行”，打開(kāi)“運(yùn)行”對(duì)話(huà)框，輸入dcpromo 命令，單擊“確定”按鈕2.2.2 安裝活動(dòng)目錄（2）Acti ve Directory 安裝月導(dǎo)歡SB使用Active Directory安裝問(wèn) 導(dǎo)此內(nèi)導(dǎo)會(huì)幫瞬磁負(fù)眼爭(zhēng)哥莠A=UveD ire（?t ovy膽劈j使苴成為或控制鑒口如果您是第一歡妄裝Active Directorjtj建識(shí)

36、燃先閱 讀Autism Di7Ectcii幫助里的攝迷.要繼淒諸單擊“下一步”上一步砂|CT5洼盤(pán)總|取消 |222安裝活動(dòng)目錄（3）步驟四，單擊“下一步”，打開(kāi)“操作系統(tǒng)兼容性”對(duì)話(huà)框。其大意是早期的Windows版本無(wú)法登錄 Windows Server 2003創(chuàng)建的域。2.2.2 安裝活動(dòng)目錄（4）步驟五，單擊“下一步”，“Active Directory安裝向?qū)А睍?huì)詢(xún)問(wèn)新建的域控制器的性質(zhì)，如圖2-2,我們選擇“新域的域控制器”圖 2-4 Active Directory 安裝向?qū)Т翱?.2.2 安裝活動(dòng)目錄（2）步驟六，單擊“下一步”，打開(kāi)如圖2-6所示的“創(chuàng)建一個(gè)新域”對(duì)話(huà)框，如

37、果 所創(chuàng)建的域?yàn)閱挝坏牡谝粋€(gè)域，或者希望所創(chuàng)建的新域獨(dú)立于現(xiàn)有目錄林，可選擇“新林中的域”。如果希望新的域成為現(xiàn)有域的子域，則選擇“現(xiàn)有域中的子 域”。如想創(chuàng)建一個(gè)與現(xiàn)有域樹(shù)分開(kāi)的、 新的域樹(shù)，則選擇“在現(xiàn)有林中的域樹(shù)”。 這里我們選擇“新林中的域”。xDirfctarr 安菱內(nèi)導(dǎo)諸選攝要?jiǎng)?chuàng)建的域的類(lèi)型.創(chuàng)崖一個(gè)新的：| 取消 |222安裝活動(dòng)目錄（6）步驟七，單擊“下一步”，打開(kāi)如圖2-7所示的指定域名對(duì)話(huà)框，在“新域的DNS 全名”文本框中輸入新建域的 DNS全名，例如。步驟八，單擊“下一步”，打開(kāi)如圖2-8所示的“ NetBIOS域名”對(duì)話(huà)框，在“域NetBIOS名”文本框中輸入 Net

38、BIOS域名，或者接受顯示的名稱(chēng)。NetBIOS域 名是供早期的Windows用戶(hù)用來(lái)識(shí)別新域的。步驟九，單擊“下一步”，打開(kāi)如圖2-9所示的“數(shù)據(jù)庫(kù)和日志文件文件夾”對(duì) 話(huà)框，在“數(shù)據(jù)庫(kù)文件夾”文本框中輸入保存數(shù)據(jù)庫(kù)的位置，或者單擊“瀏覽” 按鈕選擇路徑，在“日志文件夾”文本框中輸入保存日志的位置或單擊“瀏覽”按鈕選擇路徑 注意，基于最佳性和可恢復(fù)性的考慮，最好將活動(dòng)目錄的數(shù)據(jù)庫(kù)和日志保存在不 同的硬盤(pán)上。步驟十，單擊“下一步”，打開(kāi)如圖2-10所示的“共享的系統(tǒng)卷”對(duì)話(huà)框，在Server 2003中，Sysvol文件夾存放域的公用文件的服務(wù)器副本， 它的內(nèi)容將被復(fù) 制到域中的所有域控制器上

39、。在“文件夾位置”文本框中輸入 Sysvol文件夾位 置，如本例中對(duì)應(yīng)文件夾為c:WINNTSYSVOL ,或單擊“瀏覽”按鈕選擇路徑。 步驟一，單擊“下一步”，會(huì)出現(xiàn)“ Active Directory安裝向?qū)А钡腄NS注冊(cè)診 斷程序?qū)υ?huà)框，如圖2-11 o我們選擇“在這臺(tái)計(jì)算機(jī)上安裝并配置 DNS服務(wù)器, 并將這臺(tái)DNS服務(wù)器設(shè)為計(jì)算機(jī)的首選DNS服務(wù)器” o步驟十二，單擊“下一步”，打開(kāi)如圖2-12所示的“權(quán)限”對(duì)話(huà)框，為用戶(hù)和組 選擇默認(rèn)權(quán)限，如果單位中還存在或?qū)⒁?Windows 2000的以前版本，選擇“與 Windows 2000之前的服務(wù)器操作系統(tǒng)兼容的權(quán)限”。否則，選擇“只

40、與 Windows 2000或 Windows Server 2003操作系統(tǒng)兼容的權(quán)限”。222安裝活動(dòng)目錄（10）步驟十三，單擊“下一步”，打開(kāi)“目錄服務(wù)還原模式的管理員密碼”對(duì)話(huà)框, 如圖2-13所示，輸入并牢記該密碼，以備將來(lái)目錄服務(wù)還原模式下使用。步驟十四，單擊“下一步”，打開(kāi)“摘要”對(duì)話(huà)框，如圖2-14所示。通過(guò)該對(duì)話(huà)框，用戶(hù)可檢查并確認(rèn)設(shè)置的各個(gè)選項(xiàng)。步驟十五，單擊“下一步”，系統(tǒng)開(kāi)始配置活動(dòng)目錄，中間將需要 Windows Server 2003安裝光盤(pán)，如圖2-12所示。此時(shí)如果將2003光盤(pán)放入光驅(qū)，系統(tǒng)會(huì)自動(dòng) 完成對(duì)DNS服務(wù)器得配置。步驟十六，經(jīng)過(guò)幾分鐘之后，配置完成。

41、同時(shí)，打開(kāi)“完成 Active Directory安裝向?qū)А睂?duì)話(huà)框，如圖2-16所示，單擊“完成”，即完成活動(dòng)目錄的安裝活動(dòng)目錄安裝完成之后，必須重新啟動(dòng)計(jì)算機(jī)，活動(dòng)目錄才會(huì)生效注意：在活動(dòng)目錄安裝之后，不但服務(wù)器的開(kāi)機(jī)和關(guān)機(jī)時(shí)間變長(zhǎng)， 而且系統(tǒng)的執(zhí) 行速度變慢。所以，如果用戶(hù)對(duì)某個(gè)服務(wù)器沒(méi)有特別要求或不把它作為域控制器 來(lái)使用，可將該服務(wù)器上的活動(dòng)目錄刪除，使其降級(jí)為成員服務(wù)器或獨(dú)立服務(wù)器。成員服務(wù)器是指安裝到現(xiàn)有域中的附加域控制器；獨(dú)立服務(wù)器是指在名稱(chēng)空間目錄樹(shù)中直接位于另一個(gè)域名之下的服務(wù)器。 刪除活動(dòng)目錄使服務(wù)器成為成員服務(wù) 器還是獨(dú)立服務(wù)器，取決于該服務(wù)器的域控制器的類(lèi)型。如果要?jiǎng)h除

42、活動(dòng)目錄的 服務(wù)器不是域中的唯一的域控制器，則刪除活動(dòng)目錄將使該服務(wù)器成為成員服務(wù) 器；如果要?jiǎng)h除活動(dòng)目錄的服務(wù)器是域中最后一個(gè)域控制器，則刪除活動(dòng)目錄將使該服務(wù)器成為獨(dú)立服務(wù)器。要?jiǎng)h除活動(dòng)目錄，打開(kāi)“開(kāi)始”菜單，選擇“運(yùn)行”命令，打開(kāi)“運(yùn)行”對(duì)話(huà)框， 輸入dcpromo命令，然后單擊“確定”按鈕，打開(kāi)“ Active Directory安裝向?qū)А?對(duì)話(huà)框，并沿著向?qū)нM(jìn)行刪除，這里不再細(xì)述其過(guò)程。Acti ve Direct ory 安向?qū)g迎使用Active Dizeetory安裝向 導(dǎo)如果彌隴Act ive Directory 逵臺(tái)計(jì)幫執(zhí)會(huì)成為一卜 獨(dú)瑩前銃成員腹芻器|正三戔職消 I223

43、檢驗(yàn)安裝結(jié)果在安裝完成后，可以通過(guò)以下方法檢驗(yàn) Active Directory安裝是否正確，在安裝 過(guò)程中一項(xiàng)最重要的工作是在 DNS數(shù)據(jù)庫(kù)中添加服務(wù)記錄（SRV記錄），下面 介紹一下如何檢查安裝結(jié)果。1 .檢查DNS文件的SRV記錄。用文本編輯器打開(kāi) SystemRoot%/system32/config中 的 Netlogon.dns 文件，察看 LDAP 服務(wù)記錄，在本例中為 _ldap. 600 IN SRV 0 100 389 she nlan. 丈件（D 綁淆峯 査著妁 收荷曲 工A CD 希勒加0后退 0t I丈怦誓洼X專(zhuān)|垃址 QJ IJ 匚：WUTOO胎G：e頃3lunni

44、gS稱(chēng)亠IH-片丨奔莊丨修改冃期|尿性.二用“trtatN刃tut-和 n ca京件 韓tfi町音看00Hlgcdc：4.e. 6 00 IH A 192刪ciistMju*5 . 6 00 IH 脅 192 k 1ti8.1.1_Lildp._lcp. vycdc.tfdu.uii ft 00 IN SRU 0 10 0 389 wluUuub2Q03. vycilc.tdu *Cn ._inap._tcp-UpFauir-Hrt-sitf-NAmp. sltp*；.wgcdr.prtuxn. hnn (N sru u mo wlndnusnn (lAp._trp .pdc . nKdr.u

45、grric .edu_cn. 6M IM RU 0 IM 3B9 uindniiK2Gtt3 . _L|叩-_tcp .gc . nsdcs.wgcdc . 6GG IH RU 0 1GG 3268 Nindouis2 00 .ugcdc.du上仏LJap_tcpiPcfault-First-Site-NjiWr sites-gc msdcs.wgcdc- 600 IH SRI* O 1G0 326 9 Ldap _tcp, 3f0c(j73c-1F7Fa16 0?d4c2a.doniin H_nsdcs.i4gcdc . &肺 IN RVqs nsdes uqcdc* 660 H A 192

46、,16 3 dndcs 心甌 FH ft 92,18 *1 .1ieF2Ofi2i-0S-4e5?-9fDe-8eosiKiFi55a,_ns(jcs- oa in cnane uiudzeea.ugcoc _kerDercs._tcp.flc_ms(.彷on in sru P 1 onuilndovis?._iipmprns r_p .opi-AiJir-FiK；r-tlrp-NAiTiP ._lrp.nr _ra；iicc .ujfrdD.pdn _cr. h on rN squ a i iih n _ldap-_tcp .de +_m5ics.ugcdc L?ducn* 6UC IN S

47、Rl* ti 1Gbuindaws2GG3 .ugcde . ?ducn -ldp. tep .DcfjuLt-First-Site-Nainp. sites .dc_nsdc .wgcdc?du-cn. t QB IN RJ G 1G8 389 w LmzhhDiPE uun0 rl hi En A. HlHl T Ml CD 11 H -1 R El 0Q iii ri rln ac OnslookiLip DNS request timed out.t imeout was 2 seconds.MMM Ganf t Find seiuer name for address 192.168

48、 -3.1： Timed out DefauIt Seruey： UnKnounAddress: set type=sru _ldap._ a cnSeruei： UnKnounAddtess -DHS request tined out-tineou was 2 seconds._ldap .tcp 討守cdc 兮duSRU sew ice locat ion =priority=0we igh t=100port=389sut hostname -windows2003 .vgede .edit .cnuindojs200

49、3 . wgcdlc interinet adldi*ess = 2.3域控制器管理域（Domain）是活動(dòng)目錄的分區(qū)，定義了安全邊界，在沒(méi)經(jīng)過(guò)授權(quán)的情況下， 不允許其他域中的用戶(hù)訪(fǎng)問(wèn)本域中的資源?；顒?dòng)目錄可由一個(gè)或多個(gè)域組成，每一個(gè)域可以存儲(chǔ)上百萬(wàn)個(gè)對(duì)象，域之間還有層次關(guān)系，可以建立域樹(shù)和域林，如 圖2-17、2-18所示，進(jìn)行無(wú)限地域擴(kuò)展。圖中的雙箭頭表示域之間的信任關(guān)系， Server 2003中域的信任關(guān)系都是雙向和可傳遞的。2.3.1設(shè)置域控制器屬性（1）設(shè)置域控制器屬性，具體步驟如下：步驟一，選擇“開(kāi)始” / “程序” / “管理工具” / “Active D

50、irectory用戶(hù)與計(jì)算機(jī)” 菜單，打開(kāi)“ Active Directory用戶(hù)與計(jì)算機(jī)”管理窗口，如圖 2-19所示。況盍向?qū)min is tr tor還Activie Directory域和信枉關(guān)殺 曲Active Birsctory站點(diǎn)和服務(wù)A倨* InUrnet信息服勞口工刃背理器命令提示符記爭(zhēng)本EP- Internet Explorer 蘭DUS事異瑞服務(wù)管理器葺終詰服務(wù)器授楓控制茴板C）詡|昔理工具色稀助和支持QD我的電腦r 1 1 _打印機(jī)和傳其卷 Mi er Cis o ft . MTT Framework 1. 1 sea Mi crosoft . HET Frajftework 1, 1 向?qū)分布式立件系蔬囁服務(wù)1管程您的服務(wù)器尊計(jì)煙機(jī)昔理 亶路由和運(yùn)程訪(fǎng)問(wèn)配置坯的服笛器向?qū)г贿\(yùn)行鞘|1)劇窗站詹群集管理錐爭(zhēng)件直看器授權(quán)數(shù)據(jù)?。∣DBC）網(wǎng)略負(fù)載平衡管理器 性能域安全策略域控制器妄全策璐3遠(yuǎn)程臬面gj證弔預(yù)發(fā)機(jī)構(gòu)步驟二，在控制臺(tái)目錄樹(shù)中，雙擊展開(kāi)域節(jié)點(diǎn)。單擊Domain Controllers子節(jié)點(diǎn)4 *Active Jirectory