項(xiàng)目3域環(huán)境的架設(shè)及賬戶管理

1、2022年4月26日項(xiàng)目項(xiàng)目3 域環(huán)境的架設(shè)及賬戶管理域環(huán)境的架設(shè)及賬戶管理項(xiàng)目項(xiàng)目3 域環(huán)境的架設(shè)及賬戶管理域環(huán)境的架設(shè)及賬戶管理嶺南信息技術(shù)有限公司是一家主要提供信息化建設(shè)和維護(hù)嶺南信息技術(shù)有限公司是一家主要提供信息化建設(shè)和維護(hù)的網(wǎng)絡(luò)技術(shù)服務(wù)公司，于的網(wǎng)絡(luò)技術(shù)服務(wù)公司，于2010年為某上市公司擴(kuò)建了集團(tuán)總年為某上市公司擴(kuò)建了集團(tuán)總部內(nèi)部局域網(wǎng)，該網(wǎng)絡(luò)覆蓋了集團(tuán)部內(nèi)部局域網(wǎng)，該網(wǎng)絡(luò)覆蓋了集團(tuán)5棟辦公大樓，涉及棟辦公大樓，涉及1000多多個信息點(diǎn)，還擁有各類服務(wù)器個信息點(diǎn)，還擁有各類服務(wù)器20余臺。余臺。由于各種網(wǎng)絡(luò)和硬件設(shè)備分布在不同的辦公大樓和樓層，由于各種網(wǎng)絡(luò)和硬件設(shè)備分布在不同的辦公大

2、樓和樓層，網(wǎng)絡(luò)的資源和權(quán)限管理非常復(fù)雜，產(chǎn)生的問題也非常多，管理網(wǎng)絡(luò)的資源和權(quán)限管理非常復(fù)雜，產(chǎn)生的問題也非常多，管理員經(jīng)常疲于處理各類日常網(wǎng)絡(luò)問題。那么，是否有辦法減少管員經(jīng)常疲于處理各類日常網(wǎng)絡(luò)問題。那么，是否有辦法減少管理員的工作量，實(shí)現(xiàn)用戶賬戶、軟件、網(wǎng)絡(luò)的統(tǒng)一管理和控制理員的工作量，實(shí)現(xiàn)用戶賬戶、軟件、網(wǎng)絡(luò)的統(tǒng)一管理和控制呢？例如，能否實(shí)現(xiàn)在一臺服務(wù)器上對所有的客戶機(jī)的桌面或呢？例如，能否實(shí)現(xiàn)在一臺服務(wù)器上對所有的客戶機(jī)的桌面或者系統(tǒng)的更新升級進(jìn)行統(tǒng)一部署呢？者系統(tǒng)的更新升級進(jìn)行統(tǒng)一部署呢？項(xiàng)目項(xiàng)目3 域環(huán)境的架設(shè)及賬戶管理域環(huán)境的架設(shè)及賬戶管理（1）在公司內(nèi)部架設(shè)域環(huán)境，可以實(shí)現(xiàn)賬

3、戶的集中管理，）在公司內(nèi)部架設(shè)域環(huán)境，可以實(shí)現(xiàn)賬戶的集中管理，所有賬戶均存儲在域控制器中，方便對賬戶進(jìn)行安全策略的所有賬戶均存儲在域控制器中，方便對賬戶進(jìn)行安全策略的設(shè)置。設(shè)置。（2）在公司內(nèi)部架設(shè)域環(huán)境，可以實(shí)現(xiàn)軟件的集中管理，）在公司內(nèi)部架設(shè)域環(huán)境，可以實(shí)現(xiàn)軟件的集中管理，利用組策略分發(fā)軟件，實(shí)現(xiàn)軟件的統(tǒng)一部署。利用組策略分發(fā)軟件，實(shí)現(xiàn)軟件的統(tǒng)一部署。（3）在公司內(nèi)部架設(shè)域環(huán)境，實(shí)現(xiàn)環(huán)境的集中管理，可）在公司內(nèi)部架設(shè)域環(huán)境，實(shí)現(xiàn)環(huán)境的集中管理，可以根據(jù)企業(yè)需要統(tǒng)一客戶端桌面、以根據(jù)企業(yè)需要統(tǒng)一客戶端桌面、IE等設(shè)置。等設(shè)置。（4）在公司內(nèi)部架設(shè)域環(huán)境，實(shí)現(xiàn)對網(wǎng)絡(luò)的配置、管理）在公司內(nèi)部架設(shè)

4、域環(huán)境，實(shí)現(xiàn)對網(wǎng)絡(luò)的配置、管理和監(jiān)控。和監(jiān)控。項(xiàng)目項(xiàng)目3 域環(huán)境的架設(shè)及賬戶管理域環(huán)境的架設(shè)及賬戶管理（1）理解域和活動目錄的含義。）理解域和活動目錄的含義。（2）學(xué)會架設(shè)域環(huán)境。）學(xué)會架設(shè)域環(huán)境。（3）學(xué)會利用對域賬戶進(jìn)行管理。）學(xué)會利用對域賬戶進(jìn)行管理。（4）學(xué)會利用組策略實(shí)現(xiàn)對域中用戶和計算機(jī)的）學(xué)會利用組策略實(shí)現(xiàn)對域中用戶和計算機(jī)的集中管理和控制。集中管理和控制。項(xiàng)目項(xiàng)目3 域環(huán)境的架設(shè)及賬戶管理域環(huán)境的架設(shè)及賬戶管理任務(wù)任務(wù)1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境任務(wù)任務(wù)2 域賬戶的管理域賬戶的管理任務(wù)任務(wù)3 組策略的管理組策略的管理項(xiàng)目項(xiàng)目3 域環(huán)境的架設(shè)及賬戶管理域環(huán)境的架設(shè)及賬

5、戶管理任務(wù)任務(wù)1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境1任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境1工作組中的限制工作組中的限制為計算機(jī)安裝為計算機(jī)安裝Windows Server 2008操作系統(tǒng)后，在默認(rèn)操作系統(tǒng)后，在默認(rèn)情況下，該計算機(jī)屬于情況下，該計算機(jī)屬于Workgroup工作組。工作組是最簡單工作組。工作組是最簡單的計算機(jī)組織形式。的計算機(jī)組織形式。對工作組中的計算機(jī)沒有統(tǒng)一的管理機(jī)制，每臺計算機(jī)的對工作組中的計算機(jī)沒有統(tǒng)一的管理機(jī)制，每臺計算機(jī)的管理員只能管理本地計算機(jī)，例如，對計算機(jī)的安全策略進(jìn)行管理員只能管理本地計算機(jī)，例如，對計算機(jī)的安全策略進(jìn)行設(shè)置，對本地連接和

6、共享進(jìn)行管理等。設(shè)置，對本地連接和共享進(jìn)行管理等。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境在賬戶的管理上，工作組也沒有統(tǒng)一的身份驗(yàn)證機(jī)制，用在賬戶的管理上，工作組也沒有統(tǒng)一的身份驗(yàn)證機(jī)制，用戶登錄計算機(jī)后只能使用該計算機(jī)的本地賬戶，并由本地計戶登錄計算機(jī)后只能使用該計算機(jī)的本地賬戶，并由本地計算機(jī)對用戶的身份進(jìn)行驗(yàn)證，當(dāng)對網(wǎng)絡(luò)上的共享資源進(jìn)行訪算機(jī)對用戶的身份進(jìn)行驗(yàn)證，當(dāng)對網(wǎng)絡(luò)上的共享資源進(jìn)行訪問時，必須提供訪問共享資源的憑據(jù)，因此，用戶需要記下問時，必須提供訪問共享資源的憑據(jù)，因此，用戶需要記下訪問各不同服務(wù)器的賬戶和密碼。訪問各不同服務(wù)器的賬戶和密碼。工作組中的計算機(jī)沒有統(tǒng)一的

7、對網(wǎng)絡(luò)資源進(jìn)行查找的機(jī)制，工作組中的計算機(jī)沒有統(tǒng)一的對網(wǎng)絡(luò)資源進(jìn)行查找的機(jī)制，例如，對網(wǎng)絡(luò)中的共享打印機(jī)、用戶賬戶信息以及共享文件例如，對網(wǎng)絡(luò)中的共享打印機(jī)、用戶賬戶信息以及共享文件夾的查找。夾的查找。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境由此可見，工作組的組織形式存在諸多限制，因由此可見，工作組的組織形式存在諸多限制，因此，這種形式僅適應(yīng)于網(wǎng)絡(luò)規(guī)模較小的應(yīng)用中。當(dāng)企此，這種形式僅適應(yīng)于網(wǎng)絡(luò)規(guī)模較小的應(yīng)用中。當(dāng)企業(yè)規(guī)模不斷增大，計算機(jī)數(shù)量不斷增多時，需要有統(tǒng)業(yè)規(guī)模不斷增大，計算機(jī)數(shù)量不斷增多時，需要有統(tǒng)一的管理機(jī)制，對用戶賬戶、共享資源等進(jìn)行統(tǒng)一的一的管理機(jī)制，對用戶賬戶、共享資

8、源等進(jìn)行統(tǒng)一的管理。此時，工作組的組織形式不再適應(yīng)了。管理。此時，工作組的組織形式不再適應(yīng)了。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境2活動目錄概述活動目錄概述活動目錄（活動目錄（Active Directory）是從）是從Windows Server 2003以后的操作系統(tǒng)所提供的一種新的目錄服務(wù)。而在以后的操作系統(tǒng)所提供的一種新的目錄服務(wù)。而在Windows Server 2008中，活動目錄有了一個新的名稱：中，活動目錄有了一個新的名稱：Active Directory Domain Service（ADDS）。名稱的）。名稱的改變意味著微軟對改變意味著微軟對Windows

9、Server 2008的活動目錄進(jìn)的活動目錄進(jìn)行了較大的調(diào)整，增加了強(qiáng)大的新特性，例如，新增加行了較大的調(diào)整，增加了強(qiáng)大的新特性，例如，新增加了只讀域控制器（了只讀域控制器（RODC）的域控制器類型、更新的活）的域控制器類型、更新的活動目錄域服務(wù)安裝向?qū)?、可重啟的活動目錄域服?wù)、快動目錄域服務(wù)安裝向?qū)А⒖芍貑⒌幕顒幽夸浻蚍?wù)、快照查看以及增強(qiáng)的照查看以及增強(qiáng)的Ntdsutil命令等，并且對原有特性進(jìn)行命令等，并且對原有特性進(jìn)行了增強(qiáng)了增強(qiáng)。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境在了解活動目錄前，首先需要明確域的概念。在了解活動目錄前，首先需要明確域的概念。域（域（Domain）是

10、指將網(wǎng)絡(luò)中的多臺計算機(jī)邏輯上組）是指將網(wǎng)絡(luò)中的多臺計算機(jī)邏輯上組織到一起，進(jìn)行集中管理，這種區(qū)別于工作組的邏輯環(huán)織到一起，進(jìn)行集中管理，這種區(qū)別于工作組的邏輯環(huán)境叫做域，域是組織和存儲資源的核心管理單元。境叫做域，域是組織和存儲資源的核心管理單元。活動目錄由一個或多個域構(gòu)成，一個域跨越不止一個活動目錄由一個或多個域構(gòu)成，一個域跨越不止一個物理地點(diǎn)。每一個域都有其自己的安全策略和本域與其物理地點(diǎn)。每一個域都有其自己的安全策略和本域與其他域之間的安全關(guān)系。當(dāng)多個域通過信任關(guān)系連接起來他域之間的安全關(guān)系。當(dāng)多個域通過信任關(guān)系連接起來并且擁有共同的模式、配置和全局目錄時，它們就構(gòu)成并且擁有共同的模式、

11、配置和全局目錄時，它們就構(gòu)成了一個域樹。多個域樹可以連接起來形成一個樹林。了一個域樹。多個域樹可以連接起來形成一個樹林。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境利用活動目錄可以對資源進(jìn)行集中管理，實(shí)現(xiàn)便利用活動目錄可以對資源進(jìn)行集中管理，實(shí)現(xiàn)便捷的網(wǎng)絡(luò)資源訪問，用戶一次登錄后就可以訪問整捷的網(wǎng)絡(luò)資源訪問，用戶一次登錄后就可以訪問整個網(wǎng)絡(luò)資源，這些網(wǎng)絡(luò)主要資源包含用戶賬戶、組、個網(wǎng)絡(luò)資源，這些網(wǎng)絡(luò)主要資源包含用戶賬戶、組、共享文件夾以及打印機(jī)等。同時，活動目錄具有可共享文件夾以及打印機(jī)等。同時，活動目錄具有可擴(kuò)展性。擴(kuò)展性。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境3Act

12、ive Directory的物理結(jié)構(gòu)的物理結(jié)構(gòu)在活動目錄中，物理結(jié)構(gòu)和邏輯結(jié)構(gòu)區(qū)別很大，在活動目錄中，物理結(jié)構(gòu)和邏輯結(jié)構(gòu)區(qū)別很大，它們彼此獨(dú)立具有不同的概念。邏輯結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)它們彼此獨(dú)立具有不同的概念。邏輯結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)資源的管理，而物理結(jié)構(gòu)則側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化。資源的管理，而物理結(jié)構(gòu)則側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化。活動目錄的物理結(jié)構(gòu)主要著眼于活動目錄信息的復(fù)制活動目錄的物理結(jié)構(gòu)主要著眼于活動目錄信息的復(fù)制和用戶登錄網(wǎng)絡(luò)時性能的優(yōu)化。物理結(jié)構(gòu)包括兩個重和用戶登錄網(wǎng)絡(luò)時性能的優(yōu)化。物理結(jié)構(gòu)包括兩個重要的概念，分別是域控制器和站點(diǎn)。要的概念，分別是域控制器和站點(diǎn)。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境

13、在企業(yè)中架設(shè)域環(huán)境1）域控制器）域控制器域控制器是運(yùn)行域控制器是運(yùn)行Active Directory 的的 Windows Server 2008服務(wù)器。在域控制器上，服務(wù)器。在域控制器上，Active Directory 存儲了所有的域范圍內(nèi)的賬戶和策略信息，存儲了所有的域范圍內(nèi)的賬戶和策略信息，如系統(tǒng)的安全策略、用戶身份驗(yàn)證數(shù)據(jù)和目錄搜索。如系統(tǒng)的安全策略、用戶身份驗(yàn)證數(shù)據(jù)和目錄搜索。賬戶信息可以屬于用戶、服務(wù)和計算機(jī)賬戶。由于有賬戶信息可以屬于用戶、服務(wù)和計算機(jī)賬戶。由于有Active Directory 的存在，域控制器不需要本地安全的存在，域控制器不需要本地安全賬戶管理器（賬戶管理器

14、（SAM）。在域中作為服務(wù)器的系統(tǒng)可以）。在域中作為服務(wù)器的系統(tǒng)可以充當(dāng)以下兩種角色中的任何一種：域控制器或成員服充當(dāng)以下兩種角色中的任何一種：域控制器或成員服務(wù)器。務(wù)器。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境（1）域控制器。）域控制器。一個域可有一個或多個域控制器。通常單個局域網(wǎng)一個域可有一個或多個域控制器。通常單個局域網(wǎng)（LAN）的用戶可能只需要一個域就能夠滿足要求。由）的用戶可能只需要一個域就能夠滿足要求。由于一個域比較簡單，所以整個域也只要一個域控制器。于一個域比較簡單，所以整個域也只要一個域控制器。為了獲得高可用性和較強(qiáng)的容錯能力，具有多個網(wǎng)絡(luò)位為了獲得高可用性和較強(qiáng)的

15、容錯能力，具有多個網(wǎng)絡(luò)位置的大型網(wǎng)絡(luò)或組織可能在每個部分都需要一個或多個置的大型網(wǎng)絡(luò)或組織可能在每個部分都需要一個或多個域控制器。這樣的設(shè)計，使得大型組織的管理非常煩瑣，域控制器。這樣的設(shè)計，使得大型組織的管理非常煩瑣，而而Active Directory 支持域中所有域控制器之間目錄數(shù)支持域中所有域控制器之間目錄數(shù)據(jù)的多宿主復(fù)制，從而可以降低管理的復(fù)雜程度，提高據(jù)的多宿主復(fù)制，從而可以降低管理的復(fù)雜程度，提高管理效率。管理效率。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境管理員可以更新域中任何域控制器上的管理員可以更新域中任何域控制器上的Active Directory。由于域控制器

16、為域存儲了所有用戶賬戶。由于域控制器為域存儲了所有用戶賬戶的信息，管理員在一個域控制器上對域中的信息進(jìn)的信息，管理員在一個域控制器上對域中的信息進(jìn)行修改后，會自動傳遞到網(wǎng)絡(luò)中其他的域控制器中。行修改后，會自動傳遞到網(wǎng)絡(luò)中其他的域控制器中。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境（2）成員服務(wù)器。）成員服務(wù)器。一個成員服務(wù)器是一臺運(yùn)行一個成員服務(wù)器是一臺運(yùn)行Windows Server 2008的域成員服務(wù)器，由于不是域控制器，因此成的域成員服務(wù)器，由于不是域控制器，因此成員服務(wù)器不執(zhí)行用戶身份驗(yàn)證并且不存儲安全策略信員服務(wù)器不執(zhí)行用戶身份驗(yàn)證并且不存儲安全策略信息，這樣可以讓成員服

17、務(wù)器擁有更高的處理能力來處息，這樣可以讓成員服務(wù)器擁有更高的處理能力來處理網(wǎng)絡(luò)中的其他服務(wù)。所以在網(wǎng)絡(luò)中，通常使用成員理網(wǎng)絡(luò)中的其他服務(wù)。所以在網(wǎng)絡(luò)中，通常使用成員服務(wù)器作為專用的文件服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器作為專用的文件服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器或者服務(wù)器或者Web服務(wù)器，專門用于為網(wǎng)絡(luò)中的用戶服務(wù)器，專門用于為網(wǎng)絡(luò)中的用戶提供一種或幾種服務(wù)。由于將身份認(rèn)證和服務(wù)分開，提供一種或幾種服務(wù)。由于將身份認(rèn)證和服務(wù)分開，所以可以獲得較高的效率。所以可以獲得較高的效率。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境2）站點(diǎn)）站點(diǎn)站點(diǎn)由一個或多個站點(diǎn)由一個或多個IP子網(wǎng)組成，這些子

18、網(wǎng)通過高子網(wǎng)組成，這些子網(wǎng)通過高速網(wǎng)絡(luò)設(shè)備進(jìn)行連接。通常，子網(wǎng)之間的信息傳輸速網(wǎng)絡(luò)設(shè)備進(jìn)行連接。通常，子網(wǎng)之間的信息傳輸速度必須很快且穩(wěn)定才能符合站點(diǎn)的需要，否則，速度必須很快且穩(wěn)定才能符合站點(diǎn)的需要，否則，應(yīng)該將它們分別劃為不同的站點(diǎn)。站點(diǎn)往往由企業(yè)應(yīng)該將它們分別劃為不同的站點(diǎn)。站點(diǎn)往往由企業(yè)的物理位置分布情況來決定，可以根據(jù)站點(diǎn)結(jié)構(gòu)配的物理位置分布情況來決定，可以根據(jù)站點(diǎn)結(jié)構(gòu)配置活動目錄的訪問和復(fù)制拓?fù)潢P(guān)系，從而使網(wǎng)絡(luò)連置活動目錄的訪問和復(fù)制拓?fù)潢P(guān)系，從而使網(wǎng)絡(luò)連接更有效、復(fù)制策略更合理、用戶登錄更快速。接更有效、復(fù)制策略更合理、用戶登錄更快速。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架

19、設(shè)域環(huán)境活動目錄中的站點(diǎn)和域是兩個完全獨(dú)立的概念，活動目錄中的站點(diǎn)和域是兩個完全獨(dú)立的概念，站點(diǎn)是物理的分組，而域則是邏輯的分組。因此，站點(diǎn)是物理的分組，而域則是邏輯的分組。因此，一個站點(diǎn)可以有多個域，多個站點(diǎn)也可以位于同一一個站點(diǎn)可以有多個域，多個站點(diǎn)也可以位于同一域中。域中。如果一個域的域控制器是分布在不同的站點(diǎn)內(nèi)，如果一個域的域控制器是分布在不同的站點(diǎn)內(nèi)，而且這些站點(diǎn)之間是低速鏈接，由于各個域控制器而且這些站點(diǎn)之間是低速鏈接，由于各個域控制器必須將自己內(nèi)部的必須將自己內(nèi)部的Active Directory數(shù)據(jù)復(fù)制到其他數(shù)據(jù)復(fù)制到其他的域控制器，因此，必須小心地規(guī)劃執(zhí)行復(fù)制的時的域控制器，

20、因此，必須小心地規(guī)劃執(zhí)行復(fù)制的時段，也就是盡量設(shè)定成在非高峰期執(zhí)行復(fù)制工作，段，也就是盡量設(shè)定成在非高峰期執(zhí)行復(fù)制工作，同時，復(fù)制的頻率也不能太高，以避免復(fù)制占用了同時，復(fù)制的頻率也不能太高，以避免復(fù)制占用了兩個站點(diǎn)之間的鏈接帶寬，從而影響站點(diǎn)之間其他兩個站點(diǎn)之間的鏈接帶寬，從而影響站點(diǎn)之間其他數(shù)據(jù)的傳輸效率。數(shù)據(jù)的傳輸效率。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境對于同一個站點(diǎn)內(nèi)的域控制器，由于是通過快速、對于同一個站點(diǎn)內(nèi)的域控制器，由于是通過快速、穩(wěn)定的網(wǎng)絡(luò)連接，因此，在復(fù)制穩(wěn)定的網(wǎng)絡(luò)連接，因此，在復(fù)制Active Directory數(shù)據(jù)數(shù)據(jù)時，可以有效、快速地復(fù)制。時，可以有

21、效、快速地復(fù)制。Active Directory會設(shè)定會設(shè)定讓同一個站點(diǎn)內(nèi)、隸屬于同一個域的域控制器之間自讓同一個站點(diǎn)內(nèi)、隸屬于同一個域的域控制器之間自動執(zhí)行復(fù)制操作，且其預(yù)設(shè)的復(fù)制頻率也比不同站點(diǎn)動執(zhí)行復(fù)制操作，且其預(yù)設(shè)的復(fù)制頻率也比不同站點(diǎn)之間的高。之間的高。為了避免占用兩個站點(diǎn)之間鏈接的帶寬，影響其他為了避免占用兩個站點(diǎn)之間鏈接的帶寬，影響其他數(shù)據(jù)的傳輸效率，位于不同站點(diǎn)的域控制器在執(zhí)行復(fù)數(shù)據(jù)的傳輸效率，位于不同站點(diǎn)的域控制器在執(zhí)行復(fù)制操作時，其所傳送的數(shù)據(jù)會被壓縮，而同一個站點(diǎn)制操作時，其所傳送的數(shù)據(jù)會被壓縮，而同一個站點(diǎn)內(nèi)的域控制器之間進(jìn)行復(fù)制時，數(shù)據(jù)不會被壓縮。內(nèi)的域控制器之間進(jìn)行

22、復(fù)制時，數(shù)據(jù)不會被壓縮。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境4DNS服務(wù)器在域環(huán)境中的作用服務(wù)器在域環(huán)境中的作用在企業(yè)中，可以在同一臺服務(wù)器上部署活動目錄在企業(yè)中，可以在同一臺服務(wù)器上部署活動目錄和和DNS，客戶端計算機(jī)使用，客戶端計算機(jī)使用DNS服務(wù)就能方便對域服務(wù)就能方便對域控制器進(jìn)行定位。由于控制器進(jìn)行定位。由于DNS是使用最廣泛的定位服是使用最廣泛的定位服務(wù)，因此，不僅在務(wù)，因此，不僅在Internet上，甚至在許多規(guī)模較大上，甚至在許多規(guī)模較大的企業(yè)中，其內(nèi)部網(wǎng)絡(luò)也使用的企業(yè)中，其內(nèi)部網(wǎng)絡(luò)也使用DNS作為定位服務(wù)。作為定位服務(wù)。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)

23、中架設(shè)域環(huán)境在活動目錄中，最基本的單位是域，通過父域和在活動目錄中，最基本的單位是域，通過父域和子域的模式將域組織起來形成樹，父域和子域之間是子域的模式將域組織起來形成樹，父域和子域之間是完全雙向的信任關(guān)系，并且這種信任是可以傳遞的，完全雙向的信任關(guān)系，并且這種信任是可以傳遞的，其組織結(jié)構(gòu)和其組織結(jié)構(gòu)和DNS系統(tǒng)非常類似。在活動目錄中，命系統(tǒng)非常類似。在活動目錄中，命名策略基本按照名策略基本按照Internet的標(biāo)準(zhǔn)實(shí)現(xiàn)，根據(jù)的標(biāo)準(zhǔn)實(shí)現(xiàn)，根據(jù)DNS和和LDAP 3.0的標(biāo)準(zhǔn)，活動目錄中的域和的標(biāo)準(zhǔn)，活動目錄中的域和DNS系統(tǒng)中的系統(tǒng)中的域使用的是完全一樣的命名方式，即活動目錄中的域域使用的是完

24、全一樣的命名方式，即活動目錄中的域名就是名就是DNS的域名。因此，在活動目錄中，就可以依的域名。因此，在活動目錄中，就可以依賴賴DNS作為定位服務(wù)，實(shí)現(xiàn)將名稱解析為作為定位服務(wù)，實(shí)現(xiàn)將名稱解析為IP地址。所地址。所以，當(dāng)使用以，當(dāng)使用Windows Server 2008構(gòu)建活動目錄時，構(gòu)建活動目錄時，必須同時安裝配置相應(yīng)的必須同時安裝配置相應(yīng)的DNS服務(wù)，無論用戶實(shí)現(xiàn)服務(wù)，無論用戶實(shí)現(xiàn)IP地址解析還是登錄驗(yàn)證，都可以利用地址解析還是登錄驗(yàn)證，都可以利用DNS在活動目錄在活動目錄中的定位服務(wù)器。中的定位服務(wù)器。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境5活動目錄與活動目錄與DNS的區(qū)

25、別的區(qū)別活動目錄和活動目錄和DNS的相似之處很多，兩者的主要區(qū)別的相似之處很多，兩者的主要區(qū)別如下。如下。（1）存儲的對象不同。）存儲的對象不同。在在DNS和活動目錄中，各自存儲不同的數(shù)據(jù)，因此，和活動目錄中，各自存儲不同的數(shù)據(jù)，因此，兩者管理不同的對象。兩者管理不同的對象。DNS存儲其區(qū)域和資源記錄，活存儲其區(qū)域和資源記錄，活動目錄存儲域和域中的對象。動目錄存儲域和域中的對象。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境（2）解析所用的數(shù)據(jù)庫不同。）解析所用的數(shù)據(jù)庫不同。DNS是一種名稱解析服務(wù)，通過是一種名稱解析服務(wù)，通過DNS服務(wù)器接受服務(wù)器接受請求、查詢請求、查詢DNS數(shù)據(jù)庫，

26、從而把域或計算機(jī)解析為對數(shù)據(jù)庫，從而把域或計算機(jī)解析為對應(yīng)的應(yīng)的IP地址。地址。DNS客戶發(fā)送客戶發(fā)送DNS名稱查詢到它們設(shè)定名稱查詢到它們設(shè)定的的DNS服務(wù)器，服務(wù)器，DNS服務(wù)器接受請求后，可以通過本服務(wù)器接受請求后，可以通過本地地DNS數(shù)據(jù)庫解析名稱或者查詢數(shù)據(jù)庫解析名稱或者查詢Internet上的上的DNS數(shù)數(shù)據(jù)庫來解析名稱。據(jù)庫來解析名稱。DNS不需要活動目錄就可以發(fā)揮其不需要活動目錄就可以發(fā)揮其功能。功能。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境活動目錄則是一種目錄服務(wù)，通過域控制器接受請活動目錄則是一種目錄服務(wù)，通過域控制器接受請求、查詢活動目錄數(shù)據(jù)庫，從而把域?qū)ο竺?/p>

27、稱解析為對求、查詢活動目錄數(shù)據(jù)庫，從而把域?qū)ο竺Q解析為對象記錄?；顒幽夸浻脩敉ㄟ^象記錄?；顒幽夸浻脩敉ㄟ^LADP協(xié)議向活動目錄服務(wù)協(xié)議向活動目錄服務(wù)器發(fā)送請求，為了定位活動目錄數(shù)據(jù)庫，需要借助器發(fā)送請求，為了定位活動目錄數(shù)據(jù)庫，需要借助DNS，也就是說，活動目錄將也就是說，活動目錄將DNS作為定位服務(wù)，將活動目錄作為定位服務(wù)，將活動目錄服務(wù)器解析為服務(wù)器解析為IP地址，活動目錄不能沒有地址，活動目錄不能沒有DNS的幫助。的幫助。DNS可以獨(dú)立于活動目錄，但是活動目錄必須有可以獨(dú)立于活動目錄，但是活動目錄必須有DNS的幫助才能發(fā)揮功能。為了保證活動目錄正常工作，的幫助才能發(fā)揮功能。為了保證活動

28、目錄正常工作，DNS服務(wù)器必須支持服務(wù)定位（服務(wù)器必須支持服務(wù)定位（SRV）資源記錄，資源）資源記錄，資源記錄把服務(wù)名稱映射為提供服務(wù)的服務(wù)器名稱。活動目記錄把服務(wù)名稱映射為提供服務(wù)的服務(wù)器名稱。活動目錄客戶和域控制器使用錄客戶和域控制器使用SRV資源記錄決定域控制器的資源記錄決定域控制器的IP地址。地址。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境1任務(wù)實(shí)施拓?fù)浣Y(jié)構(gòu)任務(wù)實(shí)施拓?fù)浣Y(jié)構(gòu)在企業(yè)中實(shí)現(xiàn)域環(huán)境拓?fù)鋱D如圖在企業(yè)中實(shí)現(xiàn)域環(huán)境拓?fù)鋱D如圖3.1所示。所示。圖3.1 在企業(yè)中實(shí)現(xiàn)域環(huán)境拓?fù)鋱D需要注意的是：需要注意的是：如果使用虛擬機(jī)進(jìn)行實(shí)驗(yàn)，域控制器和域成員在配置網(wǎng)卡時，均設(shè)置為橋接模式

29、。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境2安裝活動目錄安裝活動目錄在進(jìn)行活動目錄安裝前，必須對計算機(jī)的在進(jìn)行活動目錄安裝前，必須對計算機(jī)的“本地連接本地連接”進(jìn)行基本設(shè)置，其方法是：以管理員身份登錄到進(jìn)行基本設(shè)置，其方法是：以管理員身份登錄到PUMA計算計算機(jī)，其位置靜態(tài)機(jī)，其位置靜態(tài)IP地址為地址為192.168.2.2，子網(wǎng)掩碼為，子網(wǎng)掩碼為25.255.255.0，默認(rèn)網(wǎng)關(guān)為，默認(rèn)網(wǎng)關(guān)為192.168.2.1，首選，首選DNS服務(wù)器為服務(wù)器為192.168.2.2，保證首選，保證首選DNS指向本機(jī)。指向本機(jī)。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境安裝活動目錄時

30、，可使用命令安裝活動目錄時，可使用命令“dcpromo”打開打開“Active Directory向?qū)驅(qū)А卑惭b活動目錄，具體步驟如下。安裝活動目錄，具體步驟如下。（1）打開）打開“Active Directory安裝安裝”對話框。以本地管理對話框。以本地管理員賬戶登錄到需要安裝活動目錄的計算機(jī)上，單擊員賬戶登錄到需要安裝活動目錄的計算機(jī)上，單擊“開始開始運(yùn)行運(yùn)行”，在打開的對話框中輸入命令，在打開的對話框中輸入命令“dcpromo”，單擊，單擊“確定確定”按鈕，出現(xiàn)如圖按鈕，出現(xiàn)如圖3.2所示的界面，開始安裝所示的界面，開始安裝Active Directory域服務(wù)二進(jìn)制文件。域服務(wù)二進(jìn)制文

31、件。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.2 安裝Active Directory域服務(wù)二進(jìn)制文件任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境（2）Active Directory域服務(wù)二進(jìn)制文件安裝完之后，域服務(wù)二進(jìn)制文件安裝完之后，將打開如圖將打開如圖3.3所示的所示的“Active Directory域服務(wù)安裝向域服務(wù)安裝向?qū)?dǎo)”，通過該向?qū)О旬?dāng)前計算機(jī)配置為域控制器。，通過該向?qū)О旬?dāng)前計算機(jī)配置為域控制器。（3）操作系統(tǒng)兼容性。單擊）操作系統(tǒng)兼容性。單擊“下一步下一步”按鈕，出現(xiàn)按鈕，出現(xiàn)如圖如圖3.4所示所示“操作系統(tǒng)兼容性操作系統(tǒng)兼容性”對話框。該對話框

32、中簡對話框。該對話框中簡要介紹了要介紹了Windows Server 2008域控制器和以前版本的域控制器和以前版本的Windows之間有可能存在兼容性問題，可以了解一下相之間有可能存在兼容性問題，可以了解一下相關(guān)知識。關(guān)知識。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境 圖3.3 Active Directory域服務(wù)安裝向?qū)蝿?wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.4 “操作系統(tǒng)兼容性”對話框任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境（4）設(shè)置域控制器類型。單擊）設(shè)置域控制器類型。單擊“下一步下一步”按鈕，出現(xiàn)按鈕，出現(xiàn)“選擇某一部署配置選擇某一部署配置”

33、對話框，在該對話框中可以為現(xiàn)有對話框，在該對話框中可以為現(xiàn)有林或新林創(chuàng)建域控制器。如果以前曾在該服務(wù)器上安裝過林或新林創(chuàng)建域控制器。如果以前曾在該服務(wù)器上安裝過Active Directory，可以選擇，可以選擇“現(xiàn)有林現(xiàn)有林”下的下的“向現(xiàn)有域添向現(xiàn)有域添加域控制器加域控制器”或或“在現(xiàn)有林中新建域在現(xiàn)有林中新建域”選項(xiàng)；如果是第一選項(xiàng)；如果是第一次安裝，則建議選擇次安裝，則建議選擇“在新林中創(chuàng)建域在新林中創(chuàng)建域”。這里選擇。這里選擇“在在新林中創(chuàng)建域新林中創(chuàng)建域”，如圖，如圖3.5所示。所示。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.5 設(shè)置域控制器類型任務(wù)任務(wù)1 1 在企

34、業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境注意：如果單擊注意：如果單擊“下一步下一步”按鈕出現(xiàn)如圖按鈕出現(xiàn)如圖3.6所示的所示的對話框，可以單擊對話框，可以單擊“開始開始運(yùn)行運(yùn)行”，在打開的對話框中，在打開的對話框中輸入命令輸入命令net user administrator/passwordreq:yes。圖3.6 安裝過程中出現(xiàn)錯誤界面任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境（5）設(shè)置域名。單擊）設(shè)置域名。單擊“下一步下一步”按鈕，出現(xiàn)按鈕，出現(xiàn)“命名林命名林根域根域”對話框，在對話框，在“目錄林根級域的目錄林根級域的FQDN”中輸入新域中輸入新域的名稱為的名稱為“”，如圖，如圖3.7所

35、示。所示。注意：注意：FQDN全名為全名為Fully Qualified Domain Name，表示完全合格的域名。表示完全合格的域名。（6）設(shè)置林功能級別。單擊）設(shè)置林功能級別。單擊“下一步下一步”按鈕，出現(xiàn)按鈕，出現(xiàn)“設(shè)置林功能級別設(shè)置林功能級別”對話框。在該對話框中可以選擇多個對話框。在該對話框中可以選擇多個不同的林功能級別：不同的林功能級別：“Windows 2000”、“Windows Server 2003”和和“Windows Server 2008”?？紤]到網(wǎng)絡(luò)考慮到網(wǎng)絡(luò)中有低版本中有低版本W(wǎng)indows系統(tǒng)計算機(jī)，這里選擇系統(tǒng)計算機(jī)，這里選擇“Windows 2000”，如

36、圖，如圖3.8所示。所示。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.7 設(shè)置域名任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.8 設(shè)置林功能級別任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境（7）設(shè)置域功能級別。單擊）設(shè)置域功能級別。單擊“下一步下一步”按鈕，出現(xiàn)按鈕，出現(xiàn)“設(shè)置域功能級別設(shè)置域功能級別”對話框。在該對話框中可以選擇多對話框。在該對話框中可以選擇多個不同的域功能級別：個不同的域功能級別：“Windows 2000純模式純模式”、“Windows Server 2003”和和“Windows Server 2008”，考慮到網(wǎng)絡(luò)中有低版本考慮到網(wǎng)

37、絡(luò)中有低版本W(wǎng)indows系統(tǒng)計算機(jī)，這里選擇系統(tǒng)計算機(jī)，這里選擇“Windows 2000純模式純模式”，如圖，如圖3.9所示。所示。注意：注意：林和域的功能級別越高，其兼容性越差，但林和域的功能級別越高，其兼容性越差，但是能獲得更多域的功能，因此，在進(jìn)行設(shè)計時，因綜合是能獲得更多域的功能，因此，在進(jìn)行設(shè)計時，因綜合考慮兼容性和實(shí)用性。考慮兼容性和實(shí)用性。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.9 設(shè)置域功能級別任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境（8）設(shè)置其他域控制器。單擊）設(shè)置其他域控制器。單擊“下一步下一步”按鈕，出現(xiàn)按鈕，出現(xiàn)“其他域控制器選項(xiàng)其他域

38、控制器選項(xiàng)”對話框，可以對域控制器的其他方對話框，可以對域控制器的其他方面進(jìn)行設(shè)置。系統(tǒng)會檢測是否有已安裝好的面進(jìn)行設(shè)置。系統(tǒng)會檢測是否有已安裝好的DNS，由于沒，由于沒有安裝其他的有安裝其他的DNS服務(wù)器，系統(tǒng)會自動選擇服務(wù)器，系統(tǒng)會自動選擇“DNS服務(wù)器服務(wù)器”復(fù)選框，一并安裝好復(fù)選框，一并安裝好DNS服務(wù)，使得該域控制器同時也作服務(wù)，使得該域控制器同時也作為一臺為一臺DNS服務(wù)器。該域的服務(wù)器。該域的DNS區(qū)域及該區(qū)域的授權(quán)會被區(qū)域及該區(qū)域的授權(quán)會被自動創(chuàng)建。由于林中的第一臺域控制器必須是全局編錄服自動創(chuàng)建。由于林中的第一臺域控制器必須是全局編錄服務(wù)器，且不能是只讀域控制器（務(wù)器，且不能

39、是只讀域控制器（RODC），所以這兩項(xiàng)為），所以這兩項(xiàng)為不可選狀態(tài)，如圖不可選狀態(tài)，如圖3.10所示。所示。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.10 設(shè)置其他域控制選項(xiàng)任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境單擊單擊“下一步下一步”按鈕，出現(xiàn)如圖按鈕，出現(xiàn)如圖3.11所示的信息提示。所示的信息提示。單擊單擊“是是”按鈕繼續(xù)安裝，之后在活動目錄的安裝過程中，按鈕繼續(xù)安裝，之后在活動目錄的安裝過程中，將在這臺計算機(jī)上自動安裝和配置將在這臺計算機(jī)上自動安裝和配置DNS服務(wù)，并且自動配服務(wù)，并且自動配置自己為首選置自己為首選DNS服務(wù)器。服務(wù)器。圖3.11 信息提示任

40、務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境（9）設(shè)置數(shù)據(jù)庫和日志文件保存路徑。單擊）設(shè)置數(shù)據(jù)庫和日志文件保存路徑。單擊“下一步下一步”按鈕，出現(xiàn)按鈕，出現(xiàn)“數(shù)據(jù)庫、日志文件和數(shù)據(jù)庫、日志文件和SYSVOL的位置的位置”對話對話框。在該對話框中可指定活動目錄數(shù)據(jù)庫、日志文件和框。在該對話框中可指定活動目錄數(shù)據(jù)庫、日志文件和SYSVOL文件夾的存儲位置，這里選擇默認(rèn)位置即可，如文件夾的存儲位置，這里選擇默認(rèn)位置即可，如圖圖3.12所示。所示。（10）單擊）單擊“下一步下一步”按鈕，出現(xiàn)按鈕，出現(xiàn)“目錄服務(wù)還原模目錄服務(wù)還原模式的式的Administrator密碼密碼”對話框。在對話框中輸入

41、密碼，對話框。在對話框中輸入密碼，用以創(chuàng)建目錄服務(wù)還原模式的超級用戶賬戶密碼，如圖用以創(chuàng)建目錄服務(wù)還原模式的超級用戶賬戶密碼，如圖3.13所示。所示。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.12 設(shè)置其他域控制選項(xiàng)任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.13 創(chuàng)建目錄還原模式的賬戶密碼任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境（11）單擊）單擊“下一步下一步”按鈕，出現(xiàn)按鈕，出現(xiàn)“摘要摘要”對話框，對話框，可以查看并檢查所有的配置信息，如圖可以查看并檢查所有的配置信息，如圖3.14所示。單擊所示。單擊“下一步下一步”按鈕，安裝向?qū)⒆詣舆M(jìn)行活動目錄

42、的安裝按鈕，安裝向?qū)⒆詣舆M(jìn)行活動目錄的安裝和配置，如圖和配置，如圖3.15所示。整個過程大概需要幾分鐘時間，所示。整個過程大概需要幾分鐘時間，安裝完成后將出現(xiàn)如圖安裝完成后將出現(xiàn)如圖3.16所示的所示的“完成完成Active Directory域服務(wù)安裝向?qū)в蚍?wù)安裝向?qū)А睂υ捒?，此時，單擊對話框，此時，單擊“完成完成”按鈕，重新啟動計算機(jī)后，即可完成活動目錄的安裝。按鈕，重新啟動計算機(jī)后，即可完成活動目錄的安裝。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.14 摘要信息任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境 圖3.15 活動目錄配置過程任務(wù)任務(wù)1 1 在企業(yè)中架

43、設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.16 “完成Active Directory域服務(wù)安裝向?qū)А睂υ捒蛉蝿?wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境（12）登錄到域控制器。重新啟動計算機(jī)后，該計算）登錄到域控制器。重新啟動計算機(jī)后，該計算機(jī)將以域控制器的角色出現(xiàn)在網(wǎng)絡(luò)中，登錄界面如圖機(jī)將以域控制器的角色出現(xiàn)在網(wǎng)絡(luò)中，登錄界面如圖3.17所示，輸入密碼將登錄到域控制器上，原來的本地用戶賬所示，輸入密碼將登錄到域控制器上，原來的本地用戶賬戶現(xiàn)在都已經(jīng)升級為域用戶賬戶。戶現(xiàn)在都已經(jīng)升級為域用戶賬戶。（13）驗(yàn)證域控制器是否安裝成功。單擊）驗(yàn)證域控制器是否安裝成功。單擊“開始開始所所有程序有程序管理

44、工具管理工具DNS”，打開如圖，打開如圖3.18所示的所示的“DNS管理器管理器”窗口，可以看到該窗口內(nèi)已經(jīng)添加了信窗口，可以看到該窗口內(nèi)已經(jīng)添加了信息，選擇息，選擇“正向查找區(qū)域正向查找區(qū)域”選項(xiàng)，可以見到和域控制器集選項(xiàng)，可以見到和域控制器集成的正向查找區(qū)域的多個子目錄，這意味著域控制器安裝成的正向查找區(qū)域的多個子目錄，這意味著域控制器安裝成功。成功。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.17 登錄界面任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.18 “DNS管理器”窗口任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境3將客戶機(jī)加入域環(huán)境將客戶機(jī)加入域

45、環(huán)境域控制器創(chuàng)建完成后，可以將其他計算機(jī)加入到域，域控制器創(chuàng)建完成后，可以將其他計算機(jī)加入到域，這里以操作系統(tǒng)為這里以操作系統(tǒng)為Windows 7的客戶機(jī)為例進(jìn)行說明，的客戶機(jī)為例進(jìn)行說明，具體步驟如下。具體步驟如下。1）設(shè)置客戶機(jī)首選）設(shè)置客戶機(jī)首選DNS服務(wù)器服務(wù)器單擊單擊“開始開始控制面板控制面板網(wǎng)絡(luò)和網(wǎng)絡(luò)和Internet”，打開如，打開如圖圖3.19所示的對話框，選擇所示的對話框，選擇“網(wǎng)絡(luò)和共享中心網(wǎng)絡(luò)和共享中心”，在彈出，在彈出的對話框中選擇的對話框中選擇“查看網(wǎng)絡(luò)狀態(tài)和任務(wù)查看網(wǎng)絡(luò)狀態(tài)和任務(wù)”，單擊，單擊“查看活查看活動網(wǎng)絡(luò)動網(wǎng)絡(luò)”中的中的“本地連接本地連接”，打開如圖，打開如

46、圖3.20所示的對話框，所示的對話框，進(jìn)行進(jìn)行IP地址的配置，其中，在地址的配置，其中，在“首選首選DNS服務(wù)器服務(wù)器”中輸中輸入域控制器的入域控制器的IP地址地址“192.168.2.2”。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.19 “網(wǎng)絡(luò)和Internet”對話框任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.20 設(shè)置“首選DNS服務(wù)器”任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境2）將客戶機(jī)加入到域中）將客戶機(jī)加入到域中單擊單擊“開始開始控制面板控制面板系統(tǒng)和安全系統(tǒng)和安全系統(tǒng)系統(tǒng)”，在，在“查看有關(guān)計算機(jī)的基本信息查看有關(guān)計算機(jī)的基本信息”對話框

47、中選擇對話框中選擇“計算機(jī)計算機(jī)名稱、域和工作組設(shè)置名稱、域和工作組設(shè)置”中的中的“更改設(shè)置更改設(shè)置”，打開，打開“系系統(tǒng)屬性統(tǒng)屬性”對話框，如圖對話框，如圖3.21所示，可以看到計算機(jī)當(dāng)前所示，可以看到計算機(jī)當(dāng)前已經(jīng)加入到工作組已經(jīng)加入到工作組“WORKGROUP”中。中。單擊單擊“更改更改”按鈕，打開按鈕，打開“計算機(jī)名計算機(jī)名/域更改域更改”對話對話框，在框，在“隸屬于隸屬于”區(qū)域中選擇區(qū)域中選擇“域域”選項(xiàng)，并在其欄目選項(xiàng)，并在其欄目中輸入需要加入的域名中輸入需要加入的域名“”，如圖，如圖3.22所示。所示。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.21 “系統(tǒng)屬性”對

48、話框任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.22 “計算機(jī)名/域更改”對話框任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境單擊單擊“確定確定”按鈕，出現(xiàn)按鈕，出現(xiàn)“Windows安全安全”對話框，對話框，在該對話框中可以指定將該計算機(jī)加入域的賬戶和密碼，在該對話框中可以指定將該計算機(jī)加入域的賬戶和密碼，如圖如圖3.23所示。所示。單擊單擊“確定確定”按鈕，身份驗(yàn)證成功后出現(xiàn)如圖按鈕，身份驗(yàn)證成功后出現(xiàn)如圖3.24所所示的信息，顯示該計算機(jī)已經(jīng)加入到域中。單擊示的信息，顯示該計算機(jī)已經(jīng)加入到域中。單擊“確定確定”按鈕，重新啟動該計算機(jī)后就可以完成加入域的操作。按鈕，重新啟

49、動該計算機(jī)后就可以完成加入域的操作。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.23 輸入加入域的賬戶和密碼圖3.24 歡迎加入域的信息任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境4刪除域控制器刪除域控制器在實(shí)際應(yīng)用中，有時候需要更改域控制器的角色，因在實(shí)際應(yīng)用中，有時候需要更改域控制器的角色，因此，必須刪除域控制器，其操作步驟如下。此，必須刪除域控制器，其操作步驟如下。利用利用“dcpromo”命令啟動命令啟動“Active Directory域服域服務(wù)安裝向?qū)?wù)安裝向?qū)А睂υ捒?，如圖對話框，如圖3.25所示，運(yùn)行之后，若本機(jī)所示，運(yùn)行之后，若本機(jī)已經(jīng)是域控制器，將提示

50、如圖已經(jīng)是域控制器，將提示如圖3.26圖圖3.28所示的刪除所示的刪除Active Directory的界面，最后提示重新啟動計算機(jī)，即的界面，最后提示重新啟動計算機(jī)，即可完全刪除可完全刪除Active Directory域控制器。域控制器。任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.25 “Active Directory域服務(wù)安裝向?qū)А睂υ捒蛉蝿?wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.26 應(yīng)用程序目錄分區(qū)信息任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.27 刪除所有應(yīng)用程序分區(qū)任務(wù)任務(wù)1 1 在企業(yè)中架設(shè)域環(huán)境在企業(yè)中架設(shè)域環(huán)境圖3.28 輸入具

51、有刪除域的賬戶和密碼項(xiàng)目項(xiàng)目3 3 域環(huán)境的架設(shè)及賬戶管理域環(huán)境的架設(shè)及賬戶管理任務(wù)任務(wù)2 域賬戶的管理域賬戶的管理2任務(wù)任務(wù)2 2 域賬戶的管理域賬戶的管理1域用戶賬戶域用戶賬戶Active Directory用戶賬戶和計算機(jī)賬戶代表物理用戶賬戶和計算機(jī)賬戶代表物理實(shí)體，如人或計算機(jī)。用戶賬戶也可用做某些應(yīng)用程實(shí)體，如人或計算機(jī)。用戶賬戶也可用做某些應(yīng)用程序的專用服務(wù)賬戶。用戶賬戶和計算機(jī)賬戶以及組也序的專用服務(wù)賬戶。用戶賬戶和計算機(jī)賬戶以及組也稱為安全主體。安全主體是被自動指派了安全標(biāo)識符稱為安全主體。安全主體是被自動指派了安全標(biāo)識符（SID）的目錄對象。用戶或計算機(jī)賬戶在系統(tǒng)中可）的目錄

52、對象。用戶或計算機(jī)賬戶在系統(tǒng)中可以用于以下幾個方面以用于以下幾個方面。任務(wù)任務(wù)2 2 域賬戶的管理域賬戶的管理1）驗(yàn)證用戶或計算機(jī)的身份）驗(yàn)證用戶或計算機(jī)的身份用戶賬戶使用戶能夠利用經(jīng)域驗(yàn)證后的標(biāo)識登錄用戶賬戶使用戶能夠利用經(jīng)域驗(yàn)證后的標(biāo)識登錄到計算機(jī)和域。登錄到網(wǎng)絡(luò)的每個用戶應(yīng)有自己的到計算機(jī)和域。登錄到網(wǎng)絡(luò)的每個用戶應(yīng)有自己的唯一賬戶和密碼。在高安全等級的網(wǎng)絡(luò)中，要避免唯一賬戶和密碼。在高安全等級的網(wǎng)絡(luò)中，要避免多個用戶共享同一個賬戶登錄，確保每個賬戶都是多個用戶共享同一個賬戶登錄，確保每個賬戶都是只有唯一的使用人。只有唯一的使用人。2）授權(quán)或拒絕訪問域資源）授權(quán)或拒絕訪問域資源一旦用戶已

53、經(jīng)過身份驗(yàn)證，則用該賬戶登錄的用一旦用戶已經(jīng)過身份驗(yàn)證，則用該賬戶登錄的用戶就可以根據(jù)指派給該用戶的關(guān)于資源的顯式權(quán)限，戶就可以根據(jù)指派給該用戶的關(guān)于資源的顯式權(quán)限，授予或拒絕該用戶訪問域資源。授予或拒絕該用戶訪問域資源。任務(wù)任務(wù)2 2 域賬戶的管理域賬戶的管理3）管理其他安全主體）管理其他安全主體Active Directory 在本地域中創(chuàng)建外部安全主體對在本地域中創(chuàng)建外部安全主體對象，用以表示信任的外部域中的每個安全主體。象，用以表示信任的外部域中的每個安全主體。4）審核使用用戶或計算機(jī)賬戶執(zhí)行的操作）審核使用用戶或計算機(jī)賬戶執(zhí)行的操作審核有助于監(jiān)視賬戶的安全性，了解賬戶的網(wǎng)絡(luò)審核有助于

54、監(jiān)視賬戶的安全性，了解賬戶的網(wǎng)絡(luò)行為。在行為。在Windows Server 2008中，對于不同的應(yīng)用中，對于不同的應(yīng)用場合，又有不同類型的實(shí)體。對于這些賬戶各有什么場合，又有不同類型的實(shí)體。對于這些賬戶各有什么特色，能完成什么任務(wù)，下面分別加以討論。特色，能完成什么任務(wù)，下面分別加以討論。任務(wù)任務(wù)2 2 域賬戶的管理域賬戶的管理（1）Active Directory用戶賬戶。在用戶賬戶。在Active Directory中，每個用戶賬戶都有一個用戶登錄名、一中，每個用戶賬戶都有一個用戶登錄名、一個個Windows 2000以前版本的用戶登錄名和一個用戶主以前版本的用戶登錄名和一個用戶主要名

55、稱后綴。要名稱后綴。用戶主要名稱是由用戶登錄名、用戶主要名稱是由用戶登錄名、號和用戶主要名號和用戶主要名稱后綴組合而成的。但是，要注意的是，不要在用戶稱后綴組合而成的。但是，要注意的是，不要在用戶登錄名或用戶主要名稱中加入登錄名或用戶主要名稱中加入號。號。任務(wù)任務(wù)2 2 域賬戶的管理域賬戶的管理在在Active Directory中，默認(rèn)的用戶主要名稱后綴中，默認(rèn)的用戶主要名稱后綴是域樹中根域的是域樹中根域的DNS名。通常情況下，此名稱可能是名。通常情況下，此名稱可能是在在Internet上注冊為企業(yè)的域名。本章的例子并沒有使上注冊為企業(yè)的域名。本章的例子并沒有使用標(biāo)準(zhǔn)的域名，而是使用用標(biāo)準(zhǔn)的

56、域名，而是使用hunau.local，但在實(shí)際的應(yīng)，但在實(shí)際的應(yīng)用中可以使用其注冊的域名，如用中可以使用其注冊的域名，如。使用備。使用備用域名作為用戶主要名稱后綴可以提供附加的登錄安用域名作為用戶主要名稱后綴可以提供附加的登錄安全性，并簡化用于登錄到樹林中另一個域的名稱。全性，并簡化用于登錄到樹林中另一個域的名稱。任務(wù)任務(wù)2 2 域賬戶的管理域賬戶的管理例如，某單位使用由部門和區(qū)域組成的深層域樹，例如，某單位使用由部門和區(qū)域組成的深層域樹，則域名可能會很長。對于該域中的用戶，默認(rèn)的用戶則域名可能會很長。對于該域中的用戶，默認(rèn)的用戶主要名稱可能是主要名稱可能是client.hunau.local

57、，該域中用戶默，該域中用戶默認(rèn)的登錄名可能是認(rèn)的登錄名可能是 userclient.hunau.local。創(chuàng)建。創(chuàng)建主要名稱后綴主要名稱后綴“hunau”，讓同一用戶使用更簡單的，讓同一用戶使用更簡單的登錄名登錄名userhunau.local即可登錄。即可登錄。任務(wù)任務(wù)2 2 域賬戶的管理域賬戶的管理在在Active Directory用戶和計算機(jī)中的用戶和計算機(jī)中的“Users”容器中有容器中有3個內(nèi)置用戶賬戶：個內(nèi)置用戶賬戶：Administrator、Guest和和HelpAssistant。創(chuàng)建域時將自動創(chuàng)建這些內(nèi)置的用。創(chuàng)建域時將自動創(chuàng)建這些內(nèi)置的用戶賬戶，每個內(nèi)置賬戶均有不同的

58、權(quán)利和權(quán)限組合。戶賬戶，每個內(nèi)置賬戶均有不同的權(quán)利和權(quán)限組合。Administrator 賬戶對域具有最高等級的權(quán)利和權(quán)限，賬戶對域具有最高等級的權(quán)利和權(quán)限，是內(nèi)置的管理賬戶，而是內(nèi)置的管理賬戶，而Guest賬戶只有極其有限的權(quán)利賬戶只有極其有限的權(quán)利和權(quán)限。如表和權(quán)限。如表3.1所示，列出了所示，列出了Windows Server 2008 的域控制器上的默認(rèn)用戶賬戶和特性。的域控制器上的默認(rèn)用戶賬戶和特性。任務(wù)任務(wù)2 2 域賬戶的管理域賬戶的管理默認(rèn)用戶賬戶特性Administrator賬戶Administrator 賬戶是使用“Active Directory 安裝向?qū)А痹O(shè)置新域時創(chuàng)建的

59、第一個賬戶。該賬戶具有對域的完全控制權(quán)，可以為其他域用戶指派用戶權(quán)利和訪問控制權(quán)限。該賬戶是系統(tǒng)的管理賬戶，具有最高權(quán)限，因此必須為此賬戶設(shè)置強(qiáng)密碼Administrator 賬戶是Active Directory中Administrators、Domain Admins等幾個默認(rèn)組的默認(rèn)成員。雖然無法從 Administrators 組中刪除此賬戶，但是可以重命名或禁用此賬戶。當(dāng)它被禁用時，仍然可用于在安全模式下訪問域控制器Guest賬戶Guest 賬戶是為該域中沒有實(shí)際賬戶的人臨時使用的內(nèi)置賬戶，沒有為其設(shè)置密碼。盡管可以像設(shè)置任何用戶賬戶一樣設(shè)置來賓賬戶的權(quán)利和權(quán)限，但默認(rèn)情況下，Gue

60、st 賬戶是被禁用的，它是內(nèi)置 Guests 組和 Domain Guests 全局組的成員，它允許用戶登錄到域任務(wù)任務(wù)2 2 域賬戶的管理域賬戶的管理（2）保護(hù)）保護(hù)Active Directory用戶賬戶。內(nèi)置賬戶的權(quán)利和權(quán)用戶賬戶。內(nèi)置賬戶的權(quán)利和權(quán)限不是由網(wǎng)絡(luò)管理員來修改或禁用的，但是惡意用戶或程序就可限不是由網(wǎng)絡(luò)管理員來修改或禁用的，但是惡意用戶或程序就可以通過使用以通過使用Administrator或或Guest身份非法登錄到域中，進(jìn)而身份非法登錄到域中，進(jìn)而使用這些權(quán)利。為了提高系統(tǒng)的安全性，最佳安全操作是重命名使用這些權(quán)利。為了提高系統(tǒng)的安全性，最佳安全操作是重命名或禁用這些內(nèi)