第5章 活動(dòng)目錄和域控制器的管理

第5章

活動(dòng)目錄和域控制器的管理

主要內(nèi)容技能一安裝活動(dòng)目錄技能二管理域控制器2頁(yè)5.1技能一安裝活動(dòng)目錄任務(wù)一認(rèn)識(shí)活動(dòng)目錄任務(wù)二安裝活動(dòng)目錄任務(wù)三安裝額外域控制器任務(wù)四刪除活動(dòng)目錄3頁(yè)5.1.1任務(wù)一認(rèn)識(shí)活動(dòng)目錄活動(dòng)目錄域控制器域活動(dòng)目錄、域控制器和域的關(guān)系4頁(yè)活動(dòng)目錄活動(dòng)目錄（ActiveDirectory，AD）是Windows2000Server網(wǎng)絡(luò)提供的目錄服務(wù)，是運(yùn)行在域控制器上的數(shù)據(jù)庫(kù)，存儲(chǔ)著網(wǎng)絡(luò)對(duì)象的信息。5頁(yè)域控制器域控制器（DomainControlor，DC）是安裝了活動(dòng)目錄的一臺(tái)Windows2000Server計(jì)算機(jī)，是Windows2000網(wǎng)絡(luò)域的核心，負(fù)責(zé)域用戶(hù)的驗(yàn)證、域的管理和控制?；顒?dòng)目錄數(shù)據(jù)庫(kù)保存并運(yùn)行在域控制器上。6頁(yè)域域（Domain）是由管理員安裝活動(dòng)目錄時(shí)定義的一個(gè)網(wǎng)絡(luò)環(huán)境，是一些計(jì)算機(jī)的集合，這個(gè)集合使用一個(gè)目錄數(shù)據(jù)庫(kù)，并為管理員提供對(duì)用戶(hù)賬戶(hù)、組和計(jì)算機(jī)等對(duì)象的集中管理維護(hù)的能力。7頁(yè)活動(dòng)目錄、域控制器和域的關(guān)系活動(dòng)目錄、域控制器、域三者具有相互依存關(guān)系?；顒?dòng)目錄運(yùn)行在域控制器上，域控制器是域中的服務(wù)器，控制域的活動(dòng)。8頁(yè)5.1.2任務(wù)二安裝活動(dòng)目錄啟動(dòng)Windows2000Server計(jì)算機(jī)，以系統(tǒng)管理員身份即administrator登錄。執(zhí)行【開(kāi)始】→【程序】→【管理工具】→【配置服務(wù)器】命令，打開(kāi)“Windows2000配置您的服務(wù)器”窗口，單擊左側(cè)的【ActiveDirectory】超級(jí)鏈接，在右側(cè)窗格中滾動(dòng)垂直滾動(dòng)條，使之顯示“啟動(dòng)ActiveDirectory向?qū)А薄?頁(yè)“Windows2000配置您的服務(wù)器”窗口10頁(yè)接上單擊【啟動(dòng)】超級(jí)連接，打開(kāi)“歡迎使用ActiveDirectory安裝向?qū)А睂?duì)話(huà)框。單擊【下一步】按鈕，顯示“域控制器類(lèi)型”對(duì)話(huà)框。該對(duì)話(huà)框允許選擇新建一個(gè)域還是在現(xiàn)有域中創(chuàng)建額外的域控制器。對(duì)于新創(chuàng)建的域，選擇“新建域的域控制器”；對(duì)于現(xiàn)有的域，可以選擇“現(xiàn)有域的額外域控制器”，以在一個(gè)域中創(chuàng)建多個(gè)域控制器。這里選擇【新域的域控制器】單選按鈕，單擊【下一步】按鈕。11頁(yè)“ActiveDirectory安裝向?qū)А睂?duì)話(huà)框12頁(yè)“域控制器類(lèi)型”對(duì)話(huà)框13頁(yè)接上出現(xiàn)“創(chuàng)建目錄樹(shù)或子域”對(duì)話(huà)框，允許選擇創(chuàng)建一個(gè)新的目錄樹(shù)還是在現(xiàn)有的域目錄樹(shù)中創(chuàng)建一個(gè)子域。對(duì)于大中型的網(wǎng)絡(luò)可以在現(xiàn)有的域中創(chuàng)建子域，從而形成一個(gè)域樹(shù)。對(duì)于小型網(wǎng)絡(luò)則只創(chuàng)建一個(gè)域即可。這里選擇【創(chuàng)建一個(gè)新的域目錄樹(shù)】，單擊【下一步】按鈕。顯示“創(chuàng)建或加入目錄林”對(duì)話(huà)框，對(duì)于大型網(wǎng)絡(luò)，如果已經(jīng)存在域目錄林，可選擇【將這個(gè)新的域目錄樹(shù)放入現(xiàn)有的目錄林中】單選按鈕。對(duì)于小型網(wǎng)絡(luò)，創(chuàng)建第一個(gè)域，則選擇【創(chuàng)建新的域目錄林】單選按鈕。這里選擇【創(chuàng)建新的域目錄林】單選按鈕，單擊【下一步】按鈕。14頁(yè)“創(chuàng)建目錄樹(shù)或子域”對(duì)話(huà)框15頁(yè)“創(chuàng)建或加入目錄林”對(duì)話(huà)框16頁(yè)接上出現(xiàn)“新的域名”對(duì)話(huà)框，在【新域的DNS全名】文本框中輸入新域的名稱(chēng)。域名的格式可以是Internet格式，如，也可以是局域網(wǎng)慣用的格式，這里輸入Internet格式的域名，如，單擊【下一步】按鈕。顯示“NetBIOS域名”對(duì)話(huà)框，在【域NetBIOS名】文本框中輸入域的NetBIOS名稱(chēng)或使用其默認(rèn)的名稱(chēng)。這里使用默認(rèn)名稱(chēng)，單擊【下一步】按鈕。17頁(yè)“新的域名”對(duì)話(huà)框18頁(yè)“NetBIOS域名”對(duì)話(huà)框19頁(yè)接上出現(xiàn)“數(shù)據(jù)庫(kù)和日志文件位置”對(duì)話(huà)框，根據(jù)需要選擇數(shù)據(jù)庫(kù)文件和日志文件的位置。建議將數(shù)據(jù)庫(kù)和日志文件放在不同的硬盤(pán)上，以改善服務(wù)器性能。這里保持默認(rèn)位置，單擊【下一步】按鈕。出現(xiàn)“共享的系統(tǒng)卷”對(duì)話(huà)框，提示輸入“Sysvol文件夾”的位置。這里使用默認(rèn)位置，單擊【下一步】按鈕。20頁(yè)“數(shù)據(jù)庫(kù)和日志文件位置”對(duì)話(huà)框21頁(yè)“共享的系統(tǒng)卷”對(duì)話(huà)框22頁(yè)接上由于該域控制器上沒(méi)有安裝DNS服務(wù)器，所以會(huì)彈出確認(rèn)安裝配置DNS服務(wù)器的對(duì)話(huà)框，單擊【確定】按鈕。23頁(yè)接上出現(xiàn)“配置DNS”對(duì)話(huà)框，選擇【是，在這臺(tái)計(jì)算機(jī)安裝和配置DNS（推薦）】單選按鈕，并單擊【下一步】按鈕。出現(xiàn)“權(quán)限”對(duì)話(huà)框，提示為用戶(hù)和組對(duì)象選擇默認(rèn)權(quán)限，根據(jù)需要進(jìn)行選擇。這里選擇【只與Windows2000服務(wù)器相兼容的權(quán)限】，單擊【下一步】按鈕。24頁(yè)“配置DNS”對(duì)話(huà)框25頁(yè)“權(quán)限”對(duì)話(huà)框26頁(yè)接上出現(xiàn)“目錄服務(wù)恢復(fù)模式的管理員密碼”對(duì)話(huà)框，在【密碼】和【確認(rèn)密碼】文本框中兩次輸入密碼（該密碼不是系統(tǒng)管理員的登錄密碼），單擊【下一步】按鈕。出現(xiàn)“摘要”對(duì)話(huà)框，可檢查并確認(rèn)各個(gè)選項(xiàng)，如果有誤，可單擊【上一步】按鈕，回退后重新設(shè)置。檢查無(wú)誤后，單擊【下一步】按鈕。27頁(yè)“摘要”對(duì)話(huà)框28頁(yè)“目錄服務(wù)恢復(fù)模式的管理員密碼”對(duì)話(huà)框29頁(yè)接上彈出“正在配置ActiveDirectory”對(duì)話(huà)框，需耐心等待。注意，這里不要點(diǎn)擊“取消”按鈕，否則會(huì)前功盡棄。當(dāng)進(jìn)行到配置DNS的步驟時(shí)，會(huì)彈出“插入磁盤(pán)”對(duì)話(huà)框，提示插入Windows2000Server安裝文件所在的光盤(pán)，插入光盤(pán)后，單擊【確定】按鈕。彈出“所需文件”對(duì)話(huà)框，按提示輸入或單擊【瀏覽】按鈕選擇安裝文件所在目錄“i386”的位置，單擊【確定】按鈕，繼續(xù)進(jìn)行配置。30頁(yè)“正在配置ActiveDirectory”對(duì)話(huà)框31頁(yè)“插入磁盤(pán)”提示32頁(yè)“所需文件”對(duì)話(huà)框33頁(yè)“配置DNS服務(wù)”對(duì)話(huà)框34頁(yè)接上配置完成后，顯示“完成ActiveDirectory安裝向?qū)А睂?duì)話(huà)框，單擊【完成】按鈕。彈出對(duì)話(huà)框，提示“必須重新啟動(dòng)Windows，ActiveDirectory安裝向?qū)龅母膭?dòng)才能生效”。單擊【立即重新啟動(dòng)】按鈕，系統(tǒng)重新啟動(dòng)。啟動(dòng)成功后，ActiveDirectory安裝、配置生效。至此，活動(dòng)目錄安裝完畢。35頁(yè)“完成ActiveDirectory安裝向?qū)А睂?duì)話(huà)框36頁(yè)“重新啟動(dòng)”對(duì)話(huà)框37頁(yè)說(shuō)明安裝活動(dòng)目錄以后，計(jì)算機(jī)發(fā)生了很大的變化。首先計(jì)算機(jī)由獨(dú)立服務(wù)器或成員服務(wù)器提升成為域控制器，該計(jì)算機(jī)上的本地用戶(hù)和組也轉(zhuǎn)化為域用戶(hù)和組。因此在該計(jì)算機(jī)的“計(jì)算機(jī)管理”工具中，“本地用戶(hù)和組”工具被禁用。計(jì)算機(jī)的管理員轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)管理員，現(xiàn)有的本地用戶(hù)賬戶(hù)轉(zhuǎn)變?yōu)橛颍ㄈ郑┯脩?hù)賬戶(hù)。為了保證網(wǎng)絡(luò)系統(tǒng)的安全，Windows2000不再允許普通用戶(hù)在域控制器上交互式登錄?！肮芾砉ぞ摺敝性黾恿嗽S多與活動(dòng)目錄有關(guān)的工具，如“ActiveDirectory用戶(hù)和計(jì)算機(jī)”、“ActiveDirectory域和信任關(guān)系”、“ActiveDirectory站點(diǎn)和服務(wù)”、“域安全策略”、“域控制器安全策略”、“DNS”等。由于安裝了活動(dòng)目錄，計(jì)算機(jī)啟動(dòng)速度明顯減慢。在創(chuàng)建了域的網(wǎng)絡(luò)的使用過(guò)程中，域控制器需要先于客戶(hù)機(jī)開(kāi)機(jī)或長(zhǎng)期保持正常運(yùn)行狀態(tài)，才能保證客戶(hù)機(jī)可以隨時(shí)登錄到域使用域中的資源，保證網(wǎng)絡(luò)的正常運(yùn)行。38頁(yè)相關(guān)知識(shí)鏈接域模式單域模式單主域模式多主域模式完全委托域模式域成員獨(dú)立服務(wù)器39頁(yè)5.1.3任務(wù)三安裝額外域控制器在一臺(tái)運(yùn)行Windows2000Server的計(jì)算機(jī)上以管理員身份登錄，設(shè)置“Internet協(xié)議（TCP/IP）”的屬性。鼠標(biāo)右鍵單擊桌面上的【網(wǎng)上鄰居】圖標(biāo)，選擇【屬性】命令；在打開(kāi)的“網(wǎng)絡(luò)和撥號(hào)連接”窗口中，鼠標(biāo)右鍵單擊【本地連接】選項(xiàng)，選擇【屬性】命令；在彈出的“本地連接屬性”對(duì)話(huà)框中，選擇“Internet協(xié)議（TCP/IP）”，單擊【屬性】按鈕，彈出“Internet協(xié)議（TCP/IP）屬性”對(duì)話(huà)框。在“Internet協(xié)議(TCP/IP)屬性”對(duì)話(huà)框中，輸入IP地址（如2）、子網(wǎng)掩碼（如）和首選DNS服務(wù)器的IP地址（如1），然后單擊【確定】按鈕。40頁(yè)“Internet協(xié)議(TCP/IP)屬性”對(duì)話(huà)框41頁(yè)接上運(yùn)行“ActiveDirectory安裝向?qū)А?，安裝額外域控制器。執(zhí)行【開(kāi)始】→【運(yùn)行】選項(xiàng)，輸入：dcpromo，單擊【確定】按鈕。在彈出的“歡迎使用ActiveDirectory安裝向?qū)А睂?duì)話(huà)框中，單擊【下一步】按鈕。在彈出的“域控制器類(lèi)型”對(duì)話(huà)框中選擇【現(xiàn)有域的額外域控制器】單選按鈕，單擊【下一步】按鈕。出現(xiàn)“網(wǎng)絡(luò)憑據(jù)”對(duì)話(huà)框，輸入有權(quán)創(chuàng)建域控制器的用戶(hù)名（如administrator）及其密碼，并輸入現(xiàn)有域的域名（如），單擊【下一步】按鈕。42頁(yè)接上彈出“額外的域控制器”對(duì)話(huà)框，輸入現(xiàn)有域的DNS全名，或單擊【瀏覽】按鈕，在彈出“瀏覽域”對(duì)話(huà)框中選擇域名，并單擊【確定】按鈕，返回“額外域控制器”對(duì)話(huà)框。然后單擊【下一步】按鈕。如果使用默認(rèn)設(shè)置，則只需單擊【下一步】按鈕。經(jīng)過(guò)自動(dòng)配置，最后彈出完成向?qū)?duì)話(huà)框，單擊【完成】按鈕，完成安裝。43頁(yè)“運(yùn)行”對(duì)話(huà)框44頁(yè)“網(wǎng)絡(luò)憑據(jù)”對(duì)話(huà)框45頁(yè)“額外域控制器”對(duì)話(huà)框46頁(yè)“瀏覽域”對(duì)話(huà)框47頁(yè)“正在配置ActiveDirectory”對(duì)話(huà)框48頁(yè)5.1.4任務(wù)四刪除活動(dòng)目錄在域控制器上以管理員身份登錄，執(zhí)行【開(kāi)始】→【運(yùn)行】選項(xiàng)，輸入：dcpromo，單擊【確定】按鈕，彈出“ActiveDirectory安裝向?qū)А睂?duì)話(huà)框，提示刪除活動(dòng)目錄，單擊【下一步】按鈕。彈出“刪除ActiveDirectory”對(duì)話(huà)框，如果要?jiǎng)h除的是域中剩下的最后一個(gè)域控制器，則選中【這個(gè)服務(wù)器是域中的最后一個(gè)域控制器】復(fù)選框，否則不要選中該復(fù)選框。單擊【下一步】按鈕。顯示“管理員密碼”對(duì)話(huà)框，輸入并確認(rèn)管理員密碼，該密碼用于降級(jí)后，管理員登錄計(jì)算機(jī)時(shí)使用。單擊【下一步】按鈕。49頁(yè)“刪除ActiveDirectory”對(duì)話(huà)框50頁(yè)“管理員密碼”對(duì)話(huà)框51頁(yè)接上出現(xiàn)“摘要”對(duì)話(huà)框，可以檢查并確認(rèn)選擇的選項(xiàng)，如果有誤，可單擊【上一步】按鈕返回，重新設(shè)置。單擊【下一步】按鈕，彈出“正在配置ActiveDirectory”對(duì)話(huà)框，并進(jìn)行配置，待配置完成后，彈出“完成ActiveDirectory安裝向?qū)А睂?duì)話(huà)框，單擊【完成】按鈕即可。52頁(yè)5.2技能二管理域控制器任務(wù)一查看和設(shè)置域控制器屬性任務(wù)二委派控制53頁(yè)5.2.1任務(wù)一查看和設(shè)置域控制器屬性以管理員身份登錄到域控制器，執(zhí)行【開(kāi)始】→【程序】→【管理工具】→【ActiveDirectory用戶(hù)和計(jì)算機(jī)】選項(xiàng)，打開(kāi)“ActiveDirectory用戶(hù)和計(jì)算機(jī)”窗口，這個(gè)窗口是Windows2000活動(dòng)目錄的管理控制臺(tái)，在這里可以完成域控制器、域用戶(hù)、計(jì)算機(jī)、組和組織單元等對(duì)象的一系列管理工作。54頁(yè)“ActiveDirectory用戶(hù)和計(jì)算機(jī)”窗口55頁(yè)接上在左側(cè)的控制臺(tái)目錄樹(shù)中雙擊域名節(jié)點(diǎn)“”或單擊其前面的“+”號(hào)，展開(kāi)該域，選定【DomainControllers】子節(jié)點(diǎn)。在右側(cè)列表中右鍵單擊要管理的域控制器計(jì)算機(jī)名，如“W2KS11”，選擇【屬性】命令，打開(kāi)域控制器屬性對(duì)話(huà)框。56頁(yè)域控制器屬性對(duì)話(huà)框中的“常規(guī)”選項(xiàng)卡57頁(yè)接上在“常規(guī)”選項(xiàng)卡中可以查看到計(jì)算機(jī)名、DNS名、角色等信息。在【描述】文本框中可以輸入該域控制器的有關(guān)描述，對(duì)域控制器加以說(shuō)明。單擊【操作系統(tǒng)】選項(xiàng)卡，可查看該計(jì)算機(jī)安裝的操作系統(tǒng)的版本等信息。58頁(yè)“操作系統(tǒng)”選項(xiàng)卡59頁(yè)接上單擊【成員屬于】選項(xiàng)卡，可將此域控制器加入到其他組中（組是管理計(jì)算機(jī)和用戶(hù)的單位，參見(jiàn)第8章）。單擊【添加】按鈕，彈出“選擇組”對(duì)話(huà)框，在上部的列表中選擇要加入的組，單擊【添加】按鈕，最后單擊【確定】返回。60頁(yè)“成員屬于”選項(xiàng)卡61頁(yè)“選擇組”對(duì)話(huà)框62頁(yè)接上單擊【位置】選項(xiàng)卡，可在【位置】文本框中輸入域控制器的位置。單擊【管理者】選項(xiàng)卡，可查看管理者有關(guān)信息。單擊【更改】按鈕，可更改管理者；單擊【查看】按鈕可查看管理者的屬性信息；單擊【清除】按鈕，可刪除管理者。設(shè)置完成后，單擊【確定】按鈕。63頁(yè)域控制器位置選項(xiàng)卡64頁(yè)“管理者”選項(xiàng)卡65頁(yè)5.2.2任務(wù)二委派控制以管理員身份登錄域控制器，執(zhí)行【開(kāi)始】→【程序】→【管理工具】→【ActiveDirectory用戶(hù)和計(jì)算機(jī)】選項(xiàng)，打開(kāi)“Active