網(wǎng)絡(luò)工程設(shè)計(jì)與實(shí)踐（第三版）課件：Internet、Intranet應(yīng)用的建立

Internet/Intranet應(yīng)用的建立4.1活動(dòng)目錄概述

4.2WWW和FTP服務(wù)的配置與管理

4.3DHCP的安裝與配置4.4DNS的安裝與配置

4.1活動(dòng)目錄概述

4.1.1活動(dòng)目錄的概念與特點(diǎn)

1.活動(dòng)目錄的概念

1)什么是目錄服務(wù)

簡(jiǎn)單地說，目錄是指用來存儲(chǔ)網(wǎng)絡(luò)中對(duì)象的分層信息結(jié)構(gòu)。這里指的目錄與我們已熟悉的文件系統(tǒng)中的目錄是有區(qū)別的，文件目錄只能存儲(chǔ)一類對(duì)象——文件對(duì)象的信息，事實(shí)上，在Windows中文件目錄的正式名稱是文件夾，而這里所指的目錄范圍要更加廣泛。它可以用來存儲(chǔ)包括用戶、用戶組、打印機(jī)、應(yīng)用程序等多種網(wǎng)絡(luò)對(duì)象。目錄服務(wù)包括目錄數(shù)據(jù)本身及其對(duì)目錄所作的服務(wù)。目錄服務(wù)為應(yīng)用程序、用戶和分布式環(huán)境中的客戶提供了一種命名、存儲(chǔ)和重組信息的方法。目錄通常由兩個(gè)主要部分組成：一個(gè)是存儲(chǔ)目錄信息的數(shù)據(jù)庫；另一個(gè)是為用戶訪問存儲(chǔ)數(shù)據(jù)提供服務(wù)的一個(gè)或多個(gè)協(xié)議。例如，數(shù)據(jù)庫分布在多個(gè)機(jī)器上，并通過一個(gè)稱為計(jì)劃(Schema)的規(guī)則集來定義它能存儲(chǔ)的信息類型。

目錄服務(wù)具有豐富的應(yīng)用價(jià)值。例如，可以利用目錄服務(wù)來查找用戶的E-mail地址或者驗(yàn)證E-mail該發(fā)往哪臺(tái)機(jī)器；也可以利用目錄服務(wù)存儲(chǔ)用戶的帳號(hào)信息，如用戶名、密碼；還可以跟蹤有關(guān)應(yīng)用程序的信息，如應(yīng)用所在的位置、文件的位置等。如果分布式環(huán)境中缺乏一個(gè)統(tǒng)一的目錄服務(wù)，那么每個(gè)需要目錄的應(yīng)用都需要自己提供一個(gè)方案。例如在WindowsNTServer4.0中，MicrosoftExchange使用了一個(gè)目錄，而用戶帳號(hào)信息則存于另一個(gè)目錄中，MicrosoftMessageQueue(MSMQ)等分布式組件又使用其他的目錄，其結(jié)果是對(duì)同一個(gè)問題形成了許多不同的解決方案。較好的方法應(yīng)該是建立一個(gè)公共的目錄服務(wù)，它提供了存儲(chǔ)信息的空間、描述對(duì)象屬性的公共計(jì)劃以及命名習(xí)慣，并且每個(gè)用戶和應(yīng)用都可以使用該目錄服務(wù)，使用非常方便。目錄服務(wù)已經(jīng)成為網(wǎng)絡(luò)計(jì)算環(huán)境中的一個(gè)重要組成部分。在實(shí)際使用中，用戶和管理員通常并不知道他們感興趣的對(duì)象的確切名字，而僅僅知道對(duì)象的一個(gè)或者多個(gè)屬性，目錄服務(wù)能夠根據(jù)對(duì)象的一個(gè)或者多個(gè)屬性，幫助用戶查找所需的對(duì)象。目錄服務(wù)既是管理工具又是終端用戶可使用的工具。隨著基于Internet技術(shù)的分布式計(jì)算的廣泛使用，人們對(duì)目錄服務(wù)提出了更高的要求。一個(gè)成熟的目錄服務(wù)需要提供如下功能：

(1)用戶及網(wǎng)絡(luò)資源管理。

(2)安全認(rèn)證和授權(quán)服務(wù)。

(3)目錄合并。

(4)基于目錄的基礎(chǔ)結(jié)構(gòu)。

(5)基于目錄的應(yīng)用。2)什么是活動(dòng)目錄

活動(dòng)目錄是Windows2003等服務(wù)器版操作系統(tǒng)內(nèi)置的目錄服務(wù)。活動(dòng)目錄服務(wù)以輕目錄訪問協(xié)議(LDAP，LightweightDirectoryAccessProtocol)作為基礎(chǔ)，支持X.500中定義的目錄體系結(jié)構(gòu)，并具有可復(fù)制、可分區(qū)以及分布式等特點(diǎn)。對(duì)于管理員還是對(duì)于一般的用戶來說，活動(dòng)目錄都是易于使用和管理的，活動(dòng)目錄能夠順利地管理從只有數(shù)百個(gè)對(duì)象的單一服務(wù)器到具有數(shù)百萬個(gè)對(duì)象的上千個(gè)服務(wù)器組成的集群系統(tǒng)中的資源?；顒?dòng)目錄把過去的Windows的目錄結(jié)構(gòu)發(fā)展成一種能夠滿足從企業(yè)Intranet到商業(yè)Internet各種需求的、可擴(kuò)展的、具有良好伸縮性的目錄服務(wù)?；顒?dòng)目錄仍采用域(Domain)作為基本管理單位，但增加了許多新的功能。域模式的最大好處就是它的單一網(wǎng)絡(luò)登錄能力，任何用戶只要在域中有一個(gè)帳戶，就可以漫游網(wǎng)絡(luò)，即域用戶可從任意客戶機(jī)上登錄到網(wǎng)絡(luò)中的域帳號(hào)中。由于以前域的信任關(guān)系，過分強(qiáng)調(diào)安全性會(huì)導(dǎo)致可調(diào)整性不夠。新一代的活動(dòng)目錄服務(wù)擴(kuò)展了域目錄樹的靈活性，增強(qiáng)了信任關(guān)系，把一個(gè)域作為一個(gè)完整的目錄，域之間能夠通過一種基于Kerberos認(rèn)證的可傳遞的信任關(guān)系建立起樹狀連接，從而使單一帳戶在該樹狀結(jié)構(gòu)中的任何地方都有效，減輕了管理員在網(wǎng)絡(luò)管理和擴(kuò)展時(shí)的工作量?；顒?dòng)目錄在Windows中具有許多不同的用途。操作系統(tǒng)自身使用活動(dòng)目錄存儲(chǔ)有關(guān)用戶帳號(hào)、打印機(jī)、網(wǎng)絡(luò)中的計(jì)算機(jī)等信息；Windows的管理體系利用活動(dòng)目錄來定位應(yīng)用組件的服務(wù)器位置；MicrosoftExchange利用活動(dòng)目錄來存儲(chǔ)如用戶地址簿和認(rèn)證證書等信息；利用分布式組件對(duì)象模型(DCOM)和Microsoft事務(wù)處理服務(wù)器(MTS)所建立的應(yīng)用依賴活動(dòng)目錄來定位遠(yuǎn)程對(duì)象，活動(dòng)目錄替代了以前在WindowsNT4.0中使用的MSMQ目錄服務(wù)。由于活動(dòng)目錄所存儲(chǔ)的信息類型是可擴(kuò)展的，因此無論對(duì)家用軟件開發(fā)商還是商用軟件開發(fā)商，都可以利用它的服務(wù)來建立自己的應(yīng)用。

2.活動(dòng)目錄的特點(diǎn)

1)靈活快速的查詢

用戶和管理員能根據(jù)對(duì)象的屬性利用搜索菜單、網(wǎng)上鄰居或“活動(dòng)目錄用戶和計(jì)算機(jī)”插件快速找到網(wǎng)絡(luò)中的對(duì)象。例如，可以根據(jù)用戶的姓、名、E-mail地址、辦公室位置及其他個(gè)人信息來查找此用戶。信息的查找通過利用全局目錄編號(hào)(GlobalCatalog)進(jìn)行優(yōu)化，全局目錄編號(hào)是由活動(dòng)目錄創(chuàng)建的、運(yùn)行在支持活動(dòng)目錄的計(jì)算機(jī)上的、客戶能根據(jù)提供的菜單選項(xiàng)查詢到的全局目錄編號(hào)信息。2)基于策略的管理

活動(dòng)目錄的目錄服務(wù)包括數(shù)據(jù)存儲(chǔ)以及邏輯分層結(jié)構(gòu)。作為邏輯結(jié)構(gòu)，為策略應(yīng)用程序提供上下文分層結(jié)構(gòu)。作為目錄，存儲(chǔ)指定給特定上下文的策略(又稱為組策略)。組策略表達(dá)一組業(yè)務(wù)規(guī)則，包含應(yīng)用于上下文的設(shè)置，它可確定：

(1)對(duì)目錄對(duì)象和域資源的訪問。

(2)用戶可使用哪些域資源(諸如應(yīng)用程序)。

(3)這些域資源是如何配置的。3)豐富的信息安全服務(wù)

活動(dòng)目錄與安全性完全集成在一起，不僅可以針對(duì)目錄中的每個(gè)對(duì)象定義訪問控制，而且可以針對(duì)每種屬性進(jìn)行操作。例如，可以授予所有用戶查看網(wǎng)絡(luò)中用戶姓名和電話號(hào)碼的權(quán)限，而與此同時(shí)卻限制對(duì)用戶對(duì)象所有其他屬性的訪問。

活動(dòng)目錄為安全策略提供應(yīng)用程序的存儲(chǔ)和范圍。安全策略包括帳戶信息(如域?qū)捒诹钕拗苹驅(qū)δ程囟ㄓ蛸Y源的權(quán)利)。安全策略通過組策略執(zhí)行。

管理員可將某些特殊管理權(quán)分派到其他個(gè)人和組。這種權(quán)限分派明確了誰具有管理部分網(wǎng)絡(luò)的權(quán)限?？梢詫⑻厥獠糠值墓芾矸峙山o單個(gè)管理員，而不必分配過多的管理權(quán)限。Windows2003支持多種網(wǎng)絡(luò)安全協(xié)議，如Kerberosv5、SSL(SecureSocketsLayer)、分布式密碼驗(yàn)證(DPA)、WindowsNTNTLM等，這提供了有效的安全機(jī)制與外界實(shí)體(如Internet)進(jìn)行的互操作，并與現(xiàn)有的客戶兼容。4)可靠的信息復(fù)制

在同一個(gè)域內(nèi)，目錄信息會(huì)被復(fù)制到運(yùn)行活動(dòng)目錄的每一個(gè)服務(wù)器上。即如果一個(gè)域中包含了多個(gè)域控制器，則該域的目錄信息會(huì)被復(fù)制到各個(gè)服務(wù)器上，從而使每個(gè)域控制器中都存儲(chǔ)并保持了這個(gè)域的目錄信息的完整副本。

復(fù)制能帶來容錯(cuò)、負(fù)載平衡等多方面的好處。在一個(gè)域中的所有域控制器都能提供容錯(cuò)和負(fù)載平衡，例如，如果域內(nèi)的某個(gè)域控制器的運(yùn)行速度減慢到某個(gè)閾值、停止或者出錯(cuò)，那么域內(nèi)的其他域控制器就能替換它，其原因是它們包含了相同的目錄信息。在一個(gè)域內(nèi)設(shè)置多個(gè)物理站點(diǎn)(Site)可改善目錄性能，這樣就能在離客戶機(jī)最近的服務(wù)器上進(jìn)行目錄訪問?；顒?dòng)目錄使用多主(Multi-master)復(fù)制，

因而信息的改變可在包含此目錄的任一個(gè)服務(wù)器上進(jìn)行，這些變化會(huì)被自動(dòng)地復(fù)制到其他服務(wù)器上。即使復(fù)制暫時(shí)失敗了，也沒有必要人工復(fù)制主服務(wù)器中的目錄。

5)可縮放性

活動(dòng)目錄的域支持的范圍從最小的網(wǎng)絡(luò)到最大的網(wǎng)絡(luò)。由于活動(dòng)目錄并不需要大的目錄數(shù)據(jù)庫，因此一個(gè)網(wǎng)絡(luò)中可以包含一個(gè)或多個(gè)域，每個(gè)域中都有自己的帶有配置信息的目錄，這些配置信息描述了包含域控制器在內(nèi)的網(wǎng)絡(luò)站點(diǎn)，同時(shí)方便了存儲(chǔ)在域控制器中的目錄的存儲(chǔ)、復(fù)制和訪問。

活動(dòng)目錄支持多個(gè)域的使用，從而可以適應(yīng)從最小的組織到最大組織的不同需要。單域方便管理，較小的組織可以采用單域，通常多域則應(yīng)用于大組織中。6)可擴(kuò)充性

活動(dòng)目錄的可擴(kuò)充性是指管理員能在目錄中增加任何類型的對(duì)象，并能給現(xiàn)有對(duì)象增加屬性。例如可在用戶對(duì)象中增加購買權(quán)屬性，然后將每個(gè)用戶的購買權(quán)存儲(chǔ)到用戶帳號(hào)中。

通過使用活動(dòng)目錄中的計(jì)劃管理工具或者編寫程序，用戶能在目錄中增加對(duì)象和對(duì)象屬性，也可以寫一個(gè)命令行腳本來管理活動(dòng)目錄中的對(duì)象。書寫腳本的腳本語言是由活動(dòng)目錄服務(wù)界面(ADSI，ActiveDirectoryServiceInterfaces)提供的。7)與DNS的集成

活動(dòng)目錄使用域名系統(tǒng)(DNS)作為域的命名服務(wù)。由于活動(dòng)目錄使用DNS，因此Windows的域名就是DNS名。例如，既是DNS名又是Windows2003的域名。Windows2003Server支持DNS分層命名結(jié)構(gòu)，這個(gè)分層結(jié)構(gòu)可反映到DNS和Windows2003域名中。例如，域名可以認(rèn)為是域的名為computer的子域。配置了活動(dòng)目錄的Windows2003Server支持由InternetRFC2136定義的動(dòng)態(tài)DNS，動(dòng)態(tài)DNS能對(duì)已注冊(cè)的計(jì)算機(jī)在啟動(dòng)的時(shí)候動(dòng)態(tài)賦予IP地址。除此之外，動(dòng)態(tài)DNS還能提供動(dòng)態(tài)網(wǎng)絡(luò)服務(wù)，這意味著網(wǎng)絡(luò)服務(wù)能在網(wǎng)絡(luò)上動(dòng)態(tài)地開始，同時(shí)客戶能定位這些網(wǎng)絡(luò)服務(wù)?；顒?dòng)目錄就是能被DNS動(dòng)態(tài)標(biāo)識(shí)和定位的服務(wù)。8)同其他目錄的相互操作

除了DNS外，活動(dòng)目錄支持其他工業(yè)標(biāo)準(zhǔn)，如LDAP的第二版和第三版、名字服務(wù)提供商界面(NSPI，NameServiceProviderInterface)和超文本傳輸協(xié)議(HTTP，HypertextTransferProtocol)。

LDAP是活動(dòng)目錄的核心協(xié)議，可從活動(dòng)目錄中查詢和獲得信息。LDAP是一個(gè)基于工業(yè)標(biāo)準(zhǔn)的服務(wù)協(xié)議，能使活動(dòng)目錄與支持LDAP的其他目錄服務(wù)共享信息。除此以外，活動(dòng)目錄還支持用在Exchange4.0和5.x的客戶機(jī)中的NSPI，以實(shí)現(xiàn)與其他產(chǎn)品的向下兼容。通過對(duì)這些標(biāo)準(zhǔn)的支持，活動(dòng)目錄能越過多個(gè)名字空間來擴(kuò)展它的服務(wù)，可以處理位于Internet上、其他操作系統(tǒng)中和其他目錄里的信息和資源。

3.活動(dòng)目錄的組成

活動(dòng)目錄由以下四個(gè)主要部分組成：

(1)數(shù)據(jù)儲(chǔ)藏室(即目錄)：用來存放在網(wǎng)絡(luò)上發(fā)布對(duì)象的信息。這些對(duì)象主要包括用戶帳號(hào)、計(jì)算機(jī)、打印機(jī)等。

(2)規(guī)則集(即計(jì)劃)：定義了包含在目錄中的對(duì)象及特性、對(duì)象的限制及命名格式。

(3)查詢和索引機(jī)制：使得用戶和應(yīng)用程序可以快速地查找到目錄中的對(duì)象及其特性。

(4)復(fù)制服務(wù)：能復(fù)制目錄數(shù)據(jù)，并讓分布式網(wǎng)絡(luò)中的目錄客戶使用。

活動(dòng)目錄同時(shí)還集成了安全特性，提供了訪問安全性檢查，對(duì)目錄數(shù)據(jù)的查詢和修改都進(jìn)行了訪問檢查，并與Windows2003安全子系統(tǒng)緊密地結(jié)合在一起。1)目錄數(shù)據(jù)儲(chǔ)藏室

活動(dòng)目錄是一個(gè)用來存放網(wǎng)絡(luò)中對(duì)象的數(shù)據(jù)儲(chǔ)藏室，這個(gè)數(shù)據(jù)儲(chǔ)藏室被稱為目錄。目錄包含了對(duì)象(如用戶、組、計(jì)算機(jī)、域、組織單元和安全策略等)的信息，這些信息通過活動(dòng)目錄服務(wù)被用戶和管理員使用。

目錄被存儲(chǔ)在域控制器中，并能被網(wǎng)絡(luò)應(yīng)用或網(wǎng)絡(luò)服務(wù)訪問。在一個(gè)域中可以有一個(gè)或多個(gè)域控制器。每個(gè)域控制器中都有目錄的一個(gè)拷貝。對(duì)目錄的修改會(huì)從原始的域控制器復(fù)制到它所在的域、域目錄樹和域目錄林中的其他域控制器中。目錄復(fù)制使得每個(gè)域控制器中都有一份目錄的拷貝。目錄使用一個(gè)可擴(kuò)展的存儲(chǔ)引擎(SSE，ScalableStorageEngine)存儲(chǔ)目錄數(shù)據(jù)。私有數(shù)據(jù)會(huì)被安全地存儲(chǔ)，只有公有數(shù)據(jù)被存儲(chǔ)在共享系統(tǒng)卷中，公有數(shù)據(jù)會(huì)被復(fù)制到域中的其他域控制器中。目錄由三個(gè)作為命名上下文的子樹組成，其中一個(gè)包含了域數(shù)據(jù)，另一個(gè)包含了配置域目錄樹或域目錄林的描述，第三個(gè)包含了存儲(chǔ)于目錄中的對(duì)象和屬性的定義。2)活動(dòng)目錄客戶

活動(dòng)目錄客戶是指管理活動(dòng)目錄的網(wǎng)絡(luò)客戶軟件。配置有活動(dòng)目錄客戶的計(jì)算機(jī)通過定位域控制器能登錄到網(wǎng)絡(luò)上，然后訪問活動(dòng)目錄中的信息。

含有活動(dòng)目錄客戶的計(jì)算機(jī)包括：

(1)運(yùn)行了Windows2000/2003等服務(wù)器版操作系統(tǒng)的計(jì)算機(jī)。

(2)運(yùn)行了WindowsXP/Vista7等個(gè)人版操作系統(tǒng)的計(jì)算機(jī)。3)活動(dòng)目錄中的DNS

基于Windows2003的計(jì)算機(jī)同樣被組織成域，域的主要作用是定義管理邊界和為用戶提供帳號(hào)，每個(gè)域中必須具有一個(gè)或多個(gè)作為域控制器的計(jì)算機(jī)。Windows2003與Windows2000操作系統(tǒng)相似，域的命名使用DNS名。

4)活動(dòng)目錄對(duì)象的訪問

在Windows2003中，每個(gè)域控制器都包含有該域的活動(dòng)目錄數(shù)據(jù)庫的一個(gè)完整拷貝，活動(dòng)目錄依靠?jī)蓚€(gè)不同的協(xié)議使客戶能查找和訪問這個(gè)數(shù)據(jù)庫中的信息。首先用DNS找到域控制器，然后使用輕目錄訪問協(xié)議LDAP訪問活動(dòng)目錄中的數(shù)據(jù)。

LDAP是一個(gè)用于定義目錄客戶訪問目錄服務(wù)器、

執(zhí)行目錄操作和共享目錄數(shù)據(jù)方法的通信協(xié)議。LDAP定義了如何安全地訪問、查詢和修改目錄中信息的方法，能有效地滿足目錄服務(wù)的各種需要，且沒有其他目錄服務(wù)協(xié)議的復(fù)雜性?；顒?dòng)目錄同時(shí)支持由RFC1777定義的第二版LDAP協(xié)議和由RFC2251定義的第三版LDAP協(xié)議?；顒?dòng)目錄通過使用LDAP完成查詢、修改和管理等任務(wù)；通過使用LDAP，能與Microsoft和其他開發(fā)商的目錄服務(wù)器進(jìn)行互操作。

LDAP運(yùn)行在TCP/IP上，主要定義了客戶如何訪問目錄。同時(shí)，還定義了目錄中數(shù)據(jù)的命名方法以及信息的結(jié)構(gòu)。對(duì)客戶來說，在LDAP數(shù)據(jù)庫中的數(shù)據(jù)是以層次結(jié)構(gòu)的方式組織的，在層次結(jié)構(gòu)中的每個(gè)節(jié)點(diǎn)既可以是容器也可以是樹葉，容器的下面還有其他的節(jié)點(diǎn)，而樹葉則沒有。活動(dòng)目錄的計(jì)劃中包含了大量的對(duì)象類和對(duì)象類中的屬性類型。下面是一些對(duì)象類的例子：

(1)?User：用來定義域中的用戶，其屬性包括公共名、用戶主名、地址、電話號(hào)碼及圖片等。

(2)?Print-Queue：允許客戶尋找打印，其屬性包括位置、打印機(jī)狀態(tài)和打印語言。

(3)Computer：定義域中的計(jì)算機(jī)，在該類中的屬性包括操作系統(tǒng)、操作系統(tǒng)服務(wù)包、域名系統(tǒng)主機(jī)名和機(jī)器規(guī)則(表明機(jī)器是一個(gè)域控制器、一個(gè)普通的成員服務(wù)器還是工作站)等。

(4)?Organizational-Unit(OU)：定義一個(gè)域的分支機(jī)構(gòu)，最重要的屬性是組織單元名，OU在域內(nèi)的信息組織中扮演十分重要的角色?；顒?dòng)目錄中的對(duì)象以及對(duì)象的屬性都有一個(gè)訪問控制列表(ACL，AccessControlLists)，ACL控制了允許哪些用戶訪問對(duì)象或?qū)ο蟮膶傩?，以及確定允許用戶做的事件。例如，一個(gè)對(duì)象的ACL設(shè)置可以允許某個(gè)用戶讀它的所有屬性，而另一個(gè)用戶只可以讀寫其中的某些屬性，而不允許訪問其他屬性。由于訪問控制需要好的審計(jì)支持，因此活動(dòng)目錄隱含地使用了Kerberos驗(yàn)證客戶的身份。事實(shí)上，Kerberos是Windows2003分布安全的核心技術(shù)。5)活動(dòng)目錄對(duì)象的命名

每個(gè)Windows2003域都有一個(gè)DNS名，但DNS名不能用來命名活動(dòng)目錄數(shù)據(jù)庫中的對(duì)象，需要用LDAP來定義對(duì)象的名字，一般可以選擇對(duì)象中的某個(gè)屬性作為對(duì)象名，例如對(duì)象可以使用對(duì)象類的Common-Name屬性的值定義，組織單元可以使用Organizational-Unit-Name屬性值定義。

圖4.1給出了Acme公司的一個(gè)簡(jiǎn)單的Windows2003域的目錄結(jié)構(gòu)。假設(shè)Acme公司的產(chǎn)品是各種軟件產(chǎn)品和硬件產(chǎn)品，域的DNS名為。事實(shí)上，每個(gè)活動(dòng)目錄域都將使用組織單元類的對(duì)象細(xì)分它的名字空間。下面域的根有兩個(gè)OU：一個(gè)是給雇員而另一個(gè)是給產(chǎn)品。這兩個(gè)OU的名字是用Organizational-Unit-Name屬性的值。圖4.1一個(gè)簡(jiǎn)單Windows2003域的目錄結(jié)構(gòu)6)域目錄林和域目錄樹

Windows2003域中的目錄數(shù)據(jù)庫中的對(duì)象比Windows2000域中的對(duì)象更多，因此可以將多個(gè)Windows2000的域組織成單個(gè)Windows2003域。但在有些情況下，還是需要為一個(gè)組織創(chuàng)建多個(gè)域，活動(dòng)目錄允許以各種方式組織這些域。

擁有相鄰DNS名的域能被組織到一棵域目錄樹中。圖4.2是一棵域目錄樹的例子，它表明Acme公司分別為其accounting和sales分別創(chuàng)建了不同的域。由于每個(gè)新域都有一個(gè)位于下的DNS名，所以這些域就可組織成一棵域目錄樹。在同一棵域目錄樹中的每個(gè)域必須共享公共的計(jì)劃，它們的DNS名必須形成一個(gè)層級(jí)結(jié)構(gòu)。圖4.2不同的域能夠組織成一個(gè)域目錄樹將域組織成層次結(jié)構(gòu)的好處是什么呢??顯而易見的是，在根域中發(fā)布的查詢也能檢查樹中低層的其他域中的對(duì)象，并且將域組織成域目錄樹能自動(dòng)在域之間建立雙向的信任關(guān)系，從而減輕了管理員的責(zé)任。

也可以將名字不相鄰的域組織成域集合，其結(jié)果就產(chǎn)生了域目錄林。域目錄林組成域組或者域目錄樹。正如域目錄樹一樣，域目錄林中的所有域也都建立了雙向的信任關(guān)系，并共享相同的計(jì)劃。域目錄樹與域目錄林的主要不同點(diǎn)是：域目錄樹中的所有域必須具有相鄰的DNS名，而域目錄林就不必這樣。

7)查找信息：索引和全局編號(hào)

如果客戶知道對(duì)象所在的域，并且知道對(duì)象的可辨認(rèn)名，則可以很方便地使用LDAP訪問這個(gè)對(duì)象。如果客戶知道對(duì)象所在的域和對(duì)象的某些屬性值，但不知道對(duì)象的可辨認(rèn)名，則活動(dòng)目錄可以通過單獨(dú)的屬性進(jìn)行查找。例如，一個(gè)目錄查詢可以找到所有帶有名“Smith”的對(duì)象。但是這種查找方式可能會(huì)很慢，這是因?yàn)樗枰樵兇罅康膶?duì)象。為了加快速度，活動(dòng)目錄允許定義特別的屬性作為索引，這樣就可以更快地找到需要的信息。最壞的情形是客戶知道要查詢的域目錄林，但并不知道域目錄林的哪個(gè)域中包含了所需的對(duì)象。這樣，即使屬性是按索引編排的，對(duì)域目錄林中某個(gè)域的查詢?nèi)孕杌ㄙM(fèi)大量的時(shí)間。為解決此問題，活動(dòng)目錄提供了全局目錄編號(hào)(GC)。域目錄樹或域目錄林中的所有域共享單個(gè)GC，并且GC中包含了域的每一個(gè)對(duì)象的復(fù)制。不過GC中只包含每一對(duì)象的一部分屬性。Microsoft定義了常位于GC中的不同的標(biāo)準(zhǔn)屬性，管理員也可定義自己所需要的屬性。GC中屬性的類型可按索引方式編排，以便查找起來更快。8)復(fù)制

對(duì)目錄數(shù)據(jù)的復(fù)制(將其復(fù)制存儲(chǔ)到多于一個(gè)機(jī)器上)改善了性能，提高了其可用性。正如所有其他目錄服務(wù)一樣，活動(dòng)目錄允許其數(shù)據(jù)的復(fù)制。圖4.3顯示了當(dāng)客戶改變目錄中的入口時(shí)，這種改變就被復(fù)制到域內(nèi)的所有其他域控制器中。但由于LDAP沒有定義復(fù)制協(xié)議，因此活動(dòng)目錄就使用Microsoft所定義的其他協(xié)議來執(zhí)行此操作。圖4.3域控制器的同步復(fù)制過程Windows2003的目錄復(fù)制機(jī)制與Windows2000同樣使用了多主復(fù)制，即每個(gè)域控制器不僅包含了整個(gè)域數(shù)據(jù)庫，而且還可以對(duì)它進(jìn)行讀寫操作。在Windows2003中，客戶可以修改目錄信息的任何一份拷貝，該修改會(huì)自動(dòng)地被傳播到該域的其他域控制器中。如果兩個(gè)不同的客戶同時(shí)在兩個(gè)不同地方修改同一個(gè)對(duì)象中的相同屬性，那么以最后所作的修改為準(zhǔn)。

4.活動(dòng)目錄的管理工具

Windows2003提供了更豐富的目錄服務(wù)。活動(dòng)目錄的管理工具能支持復(fù)雜的目錄服務(wù)，它們簡(jiǎn)化了Windows2003的管理任務(wù)。

對(duì)活動(dòng)目錄的管理，可使用微軟管理控制臺(tái)(MMC)中的為活動(dòng)目錄而設(shè)計(jì)的插件，也可根據(jù)主機(jī)的需要建立一個(gè)使用活動(dòng)目錄服務(wù)界面(ADSl)的腳本程序來管理。Windows2003中自帶的管理插件可以滿足絕大部分用戶的需要?；顒?dòng)目錄管理控制臺(tái)中的插件有：

(1)活動(dòng)目錄用戶和計(jì)算機(jī)管理器：在活動(dòng)目錄中對(duì)用戶、組、聯(lián)系、組織單元等對(duì)象進(jìn)行增加、修改、刪除操作。

(2)活動(dòng)目錄域和信任管理器：對(duì)基于活動(dòng)目錄中的域和域關(guān)系進(jìn)行增加、修改、移走操作。

(3)活動(dòng)目錄站點(diǎn)及服務(wù)管理器：通過位于基于活動(dòng)目錄網(wǎng)絡(luò)站點(diǎn)中的域控制器來增加或修改復(fù)制行為和服務(wù)發(fā)布。(4)活動(dòng)目錄計(jì)劃管理器：創(chuàng)建修改對(duì)象類和屬性、為全局目錄編號(hào)的索引選擇屬性。它是活動(dòng)目錄管理器操作的擴(kuò)展，而活動(dòng)目錄管理器允許管理員操作域數(shù)據(jù)，活動(dòng)目錄計(jì)劃管理器能夠管理計(jì)劃。通過活動(dòng)目錄計(jì)劃管理器，用戶能夠?yàn)g覽編輯類和屬性定義；通過演變和增加新的特性來擴(kuò)展類；創(chuàng)建新的類和特性；瀏覽對(duì)象語法，但語法不能被修改或增加；選擇和修改全局目錄編號(hào)中的對(duì)象索引。4.1.2活動(dòng)目錄的建立

1.域控制器

一個(gè)域控制器是指一臺(tái)運(yùn)行Windows2003并且安裝了活動(dòng)目錄服務(wù)的計(jì)算機(jī)。域控制器管理了活動(dòng)目錄信息以及用戶和域之間的交互，包括用戶登錄、認(rèn)證和目錄查詢。

一個(gè)域中能包含一個(gè)或多個(gè)域控制器。一個(gè)使用單個(gè)的局域網(wǎng)(LAN)的小公司可能只需要兩個(gè)域控制器，而有很多局域網(wǎng)的大公司，在每個(gè)區(qū)域中需要一個(gè)或多個(gè)域控制器，從而提供高可用性和容錯(cuò)能力。

Windows2003中的域控制器通過同步每個(gè)域控制器上的數(shù)據(jù)支持多主的復(fù)制，以確保信息的一致性。一個(gè)域可以包含一個(gè)或多個(gè)域控制器。下面描述域控制器的功能：

(1)每個(gè)域控制器中都存放了該域完整的一份活動(dòng)目錄信息的拷貝，域控制器還負(fù)責(zé)管理信息的變化，并將那些變化復(fù)制到同一個(gè)域中的其他域控制器上。

(2)域控制器會(huì)自動(dòng)將域中的所有對(duì)象復(fù)制給其他域控制器。當(dāng)用戶執(zhí)行了一個(gè)動(dòng)作，導(dǎo)致了活動(dòng)目錄更新時(shí)，用戶實(shí)際上是在一臺(tái)域控制器上做了改動(dòng)。而后，這臺(tái)域控制器會(huì)將這種改動(dòng)復(fù)制到這個(gè)域中的其他所有域控制器上。用戶可以指定復(fù)制發(fā)生的頻率以及進(jìn)行一次復(fù)制的數(shù)據(jù)總量，從而控制域控制器之間的復(fù)制工作的通信量。(3)活動(dòng)目錄使用多主同步復(fù)制，在這種情況下，沒有指定哪一個(gè)域控制器是主域控制器。而是域中的所有域控制器都有一份目錄數(shù)據(jù)庫的拷貝，并且都是可以改寫的。除非所有的域控制器都隨活動(dòng)目錄同步改變，否則，在某個(gè)短時(shí)期內(nèi)，各個(gè)域控制器所存放的信息可能是不同的。

(4)在一個(gè)域中設(shè)置多個(gè)域控制器可以提供容錯(cuò)性。如果一個(gè)域控制器掉線了，另外的域控制器就能提供所需的全部功能，例如記錄活動(dòng)目錄的改變。

(5)域控制器管理用戶和域交互的所有方面，例如定位活動(dòng)目錄對(duì)象和驗(yàn)證用戶的登錄嘗試。

2.安裝域控制器

當(dāng)安裝完Windows2003以后，用戶就可以把該計(jì)算機(jī)配置成為域控制器。Windows2003是通過域控制器提供目錄服務(wù)、維護(hù)活動(dòng)目錄數(shù)據(jù)庫、驗(yàn)證用戶的登錄請(qǐng)求并和域中其他的域控制器一起參與目錄備份的。

用戶可以把任意一臺(tái)安裝了Windows2003的獨(dú)立計(jì)算機(jī)或者成員服務(wù)器提升為一個(gè)域控制器。當(dāng)用戶把一臺(tái)服務(wù)器提升為域控制器時(shí)，用戶既可以創(chuàng)建一個(gè)新的域，并將該服務(wù)器作為域的第一個(gè)域控制器，也可以在現(xiàn)存的域中額外創(chuàng)建另一個(gè)域控制器。當(dāng)創(chuàng)建一個(gè)域時(shí)，用戶必須確認(rèn)新域的DNS名稱。當(dāng)為一個(gè)新的域創(chuàng)建第一個(gè)域控制器時(shí)，用戶能夠：

(1)創(chuàng)建一個(gè)新的域目錄樹。當(dāng)用戶創(chuàng)建一個(gè)新的域目錄樹時(shí)，提升一臺(tái)單機(jī)或者成員服務(wù)器成為一個(gè)域控制器，這就創(chuàng)建了新域目錄樹中的第一個(gè)域。這個(gè)新的域成為域目錄樹中最高層的域(即根域)，在這種情況下，創(chuàng)建一個(gè)新的域就創(chuàng)建了一個(gè)新的域目錄樹(包含一個(gè)域)和一個(gè)目錄林(包含一棵樹)。

(2)創(chuàng)建一個(gè)新的子域。要?jiǎng)?chuàng)建一個(gè)新的子域，用戶可以提升單機(jī)或成員服務(wù)器成為一個(gè)新域中的第一個(gè)域控制器，這個(gè)域已經(jīng)加入到一個(gè)現(xiàn)存的域目錄樹(父域)中或已屬于一個(gè)現(xiàn)存的域。在一個(gè)域中的所有的域控制器維護(hù)著活動(dòng)目錄的一個(gè)副本，這些域控制器沒有一個(gè)本地的安全數(shù)據(jù)庫。當(dāng)用戶把一臺(tái)單機(jī)或者成員服務(wù)器提升為一個(gè)域控制器時(shí)，Windows2003就把所有本地的用戶帳號(hào)轉(zhuǎn)換成為域的用戶帳號(hào)。安裝活動(dòng)目錄就把這臺(tái)服務(wù)器的本地?cái)?shù)據(jù)庫升級(jí)到新的或現(xiàn)存的域的活動(dòng)目錄數(shù)據(jù)庫中。

在一個(gè)現(xiàn)存的域中創(chuàng)建另一個(gè)域控制器時(shí)，我們稱加入到一個(gè)現(xiàn)存域中的域控制器為后備域控制器。后備域控制器接收域的活動(dòng)目錄數(shù)據(jù)庫的一個(gè)副本。用戶創(chuàng)建一個(gè)后備域控制器是為了通過提供活動(dòng)目錄的一個(gè)備份副本來提供錯(cuò)誤冗余或通過提供另外一個(gè)域控制器來驗(yàn)證用戶的登錄和響應(yīng)其他用戶的請(qǐng)求是否能夠改善登錄處理的表現(xiàn)性能。

Windows2003使用活動(dòng)目錄安裝向?qū)韯?chuàng)建新的域控制器。

1)創(chuàng)建域控制器的需求條件

在用戶把一臺(tái)單機(jī)或者成員服務(wù)器提升為一個(gè)新的域或者一個(gè)現(xiàn)存的域中的一個(gè)域控制器之前，需要滿足以下條件：

(1)了解Windows2003域相關(guān)的知識(shí)，具體包括：

①活動(dòng)目錄結(jié)構(gòu)。

②域控制器的類型和目錄復(fù)制概念。

③?Windows2003中的域、域目錄樹、目錄林和組織單元。

④?TCP/IP和DNS。(2)注冊(cè)DNS名。因?yàn)閃indows2003采用DNS名稱作為域的名稱，所以用戶在創(chuàng)建一個(gè)新的域時(shí)需要提供一個(gè)完整的DNS名稱，在創(chuàng)建一個(gè)子域或者一個(gè)后備域控制器時(shí)，用戶也必須提供父域或者目標(biāo)的一個(gè)DNS名稱。

(3)驗(yàn)證TCP/IP協(xié)議是否被正確安裝到計(jì)算機(jī)上。

(4)驗(yàn)證是否有一個(gè)DNS服務(wù)器對(duì)此計(jì)算機(jī)是可用的。如果沒有DNS服務(wù)器可用，則需安裝DNS服務(wù)器到此計(jì)算機(jī)上，并作為域控制器。在升級(jí)過程中，Windows2003跟DNS服務(wù)器聯(lián)系的目的是：

①注冊(cè)一個(gè)新的域控制器，這是必要的，這使得在網(wǎng)絡(luò)上的其他計(jì)算機(jī)能夠找到和確定該域控制器。

②當(dāng)用戶創(chuàng)建一個(gè)域控制器時(shí)，找到父域。

③當(dāng)用戶創(chuàng)建一個(gè)后備域控制器時(shí)，找到目標(biāo)域。

(5)在某些情況下還需要驗(yàn)證有無其他可用的域控制器。

①當(dāng)用戶創(chuàng)建一個(gè)新的子域時(shí)，Windows2003必須跟父域中的域控制器聯(lián)系。

②當(dāng)用戶創(chuàng)建一個(gè)后備域控制器時(shí)，Windows2003必須跟目標(biāo)域中的域控制器聯(lián)系。

(6)知道管理員帳號(hào)和密碼。

①當(dāng)用戶創(chuàng)建一個(gè)子域時(shí)，用戶需要擁有父域的管理員特權(quán)。

②當(dāng)用戶創(chuàng)建一個(gè)后備域控制器時(shí)，用戶需要目標(biāo)域的管理員特權(quán)。

(7)在硬盤中有一個(gè)NTFS分區(qū)：域控制器需要一個(gè)安全的空間來存儲(chǔ)活動(dòng)目錄的文件，這些文件將被Windows2003復(fù)制到域中的其他域控制器中去。2)為新的域目錄樹創(chuàng)建域控制器

可以使用活動(dòng)目錄安裝向?qū)戆岩慌_(tái)獨(dú)立的服務(wù)器升級(jí)為新的域目錄樹中的第一個(gè)域控制器，該向?qū)⒅笇?dǎo)用戶完成升級(jí)的處理過程，并為用戶提示關(guān)于怎樣配置這個(gè)新的域控制器的信息。

表4.1描述了這個(gè)提升處理過程，還描述了在一個(gè)新的域目錄樹中創(chuàng)建第一個(gè)域控制器所需要用到的信息。表4.1將單機(jī)服務(wù)器升級(jí)為新的域目錄樹中的第一個(gè)域控制器的過程當(dāng)用戶提供了所有的信息以后，活動(dòng)目錄安裝向?qū)@示帶有用戶所選擇的配置信息的一個(gè)確認(rèn)頁。該向?qū)褂糜脩籼峁┑男畔韴?zhí)行下面的任務(wù)，從而創(chuàng)建這個(gè)域控制器，安裝活動(dòng)目錄的步驟如下：

①創(chuàng)建Sysvol目錄。

②復(fù)制初始的活動(dòng)目錄數(shù)據(jù)庫文件到數(shù)據(jù)庫中。

③創(chuàng)建和配置活動(dòng)目錄的一些默認(rèn)對(duì)象。

④配置適當(dāng)?shù)陌踩O(shè)置使這臺(tái)計(jì)算機(jī)能夠充當(dāng)域控制器進(jìn)行工作。

3)向一個(gè)域中增加復(fù)制域控制器

活動(dòng)目錄安裝向?qū)б灿糜趧?chuàng)建一個(gè)域的復(fù)制，但在運(yùn)行向?qū)е?，必須將目?biāo)計(jì)算機(jī)連接到將被復(fù)制的域中。

(1)創(chuàng)建域的一個(gè)復(fù)制。創(chuàng)建域的一個(gè)復(fù)制的步驟如下：

①使用本地的管理員帳號(hào)登錄并運(yùn)行活動(dòng)目錄安裝向?qū)А?/p>

②單擊“下一步”按鈕。

③選擇“現(xiàn)有域的額外域控制器”，并單擊“下一步”按鈕。

④鍵入域的DNS名的全稱，例如“”，并單擊“下一步”。

⑤鍵入名字、密碼和用戶域，表明用戶對(duì)所要復(fù)制的域的管理權(quán)限，然后單擊“下一步”按鈕。

⑥對(duì)目錄林中的第一個(gè)域的創(chuàng)建也用同樣的方式完成。

當(dāng)重新啟動(dòng)后，該計(jì)算機(jī)即可作為所指定域的復(fù)制域控制器。

(2)在一個(gè)樹中增加一個(gè)子域?；顒?dòng)目錄安裝向?qū)б部捎脕碓谝熏F(xiàn)存樹中創(chuàng)建一個(gè)子域。在運(yùn)行向?qū)е?，必須將機(jī)器連接到有層次關(guān)系的父域中的一個(gè)域中。增加一個(gè)子域的步驟如下：

①使用本地的管理員帳號(hào)登錄并運(yùn)行活動(dòng)目錄安裝向?qū)А?/p>

②單擊“下一步”按鈕。

③選擇“創(chuàng)建一個(gè)新的域目錄樹”，并單擊“下一步”按鈕。

④選擇“創(chuàng)建一個(gè)新的子域”，并單擊“下一步”按鈕。

⑤鍵入現(xiàn)存的作為父域的域的DNS全名稱，例如“”。

⑥鍵入新子域的簡(jiǎn)略名字，例如“l(fā)ab”，父域的名字附加在此名字上，以創(chuàng)建子域的DNS全名，如“”。

⑦單擊“下一步”按鈕。向?qū)Ⅱ?yàn)證此名字是否已在使用中。

⑧向?qū)榇擞蚪ㄗh一個(gè)NetBIOS名字。接受缺省的或者鍵入一個(gè)名字，再單擊“下一步”按鈕。

⑨鍵入用戶名字、密碼和域帳號(hào)，以標(biāo)明對(duì)父域的管理權(quán)限，再單擊“下一步”按鈕。

⑩以相同的方式完成目錄林中第一個(gè)域的安裝向?qū)А?/p>

當(dāng)計(jì)算機(jī)重新啟動(dòng)后，就在新子域中創(chuàng)建了第一個(gè)域控制器。

(3)在目錄林中增加一個(gè)樹。利用活動(dòng)目錄安裝向?qū)б材軌蛟诂F(xiàn)存的目錄林中創(chuàng)建一個(gè)新樹。在目錄林中增加一棵樹的步驟如下：

①使用本地的管理員帳號(hào)登錄并運(yùn)行活動(dòng)目錄安裝向?qū)А?/p>

②單擊“下一步”按鈕。

③選擇“創(chuàng)建一個(gè)新的域目錄樹”，并單擊“下一步”按鈕。

④選擇“創(chuàng)建新域目錄樹”，并單擊“下一步”按鈕。

⑤選擇將新的域目錄樹加入現(xiàn)有的目錄林中，并單擊“下一步”按鈕。

⑥鍵入目錄林根域的DNS全名，例如“”。

⑦鍵入新樹的DNS全名，例如“”，所鍵入的名字不能是目錄林中現(xiàn)存樹的次一級(jí)或上一級(jí)名字。

⑧單擊“下一步”按鈕。向?qū)Ⅱ?yàn)證此名字是否已在使用中。

⑨向?qū)榇擞蚪ㄗh一個(gè)NetBIOS名字。接受缺省的或者鍵入一個(gè)名字，再單擊“下一步”按鈕。

⑩鍵入用戶名字、密碼和域帳號(hào)，以標(biāo)明對(duì)父域的管理權(quán)限，再單擊“下一步”按鈕。

11以相同的方式完成目錄林中第一個(gè)域的安裝向?qū)А?/p>

當(dāng)重新啟動(dòng)后，該計(jì)算機(jī)即可作為新樹中的第一個(gè)域控制器工作。

4)加入域

在Windows2003的目錄服務(wù)中，將服務(wù)器和工作站加入到域中的方法與Windows2000是相同的。在用戶把一臺(tái)運(yùn)行有Windows?2003計(jì)算機(jī)加入到一個(gè)域之前，必須先滿足下面的條件：

①在用戶把計(jì)算機(jī)添加到域之前或在加入過程中，要?jiǎng)?chuàng)建一個(gè)計(jì)算機(jī)帳號(hào)。要把一個(gè)計(jì)算機(jī)帳號(hào)添加到目標(biāo)域中，用戶必須具有這個(gè)域的管理特權(quán)。

②要確保網(wǎng)絡(luò)上至少有一臺(tái)DNS服務(wù)器在線可用。這臺(tái)DNS服務(wù)器能夠讓要加入到域中的那臺(tái)計(jì)算機(jī)找到目標(biāo)域中的一個(gè)域控制器。

在執(zhí)行過程中會(huì)發(fā)生表4.2說明的兩種情況中的一種。表4.2將運(yùn)行Windows2003的計(jì)算機(jī)加入到一個(gè)域中可能發(fā)生的情況將Windows2003服務(wù)器或者工作站連接到域中的步驟如下：

①將Windows2003服務(wù)器或者工作站連接到一個(gè)域中。

②單擊“開始”，打開“控制面板”。

③雙擊“系統(tǒng)”，打開“系統(tǒng)屬性”對(duì)話框(另外，可右擊桌面上的“我的電腦”，再單擊“屬性”項(xiàng))。

④在系統(tǒng)屬性對(duì)話框中單擊“計(jì)算機(jī)名”標(biāo)簽。

⑤在“隸屬于”選擇框內(nèi)單擊“域”選項(xiàng)。

⑥在“域”選項(xiàng)下的編輯框中，鍵入需連接的域的DNS全名，例如“”。

⑦單擊“確定”按鈕。

⑧鍵入有足夠的權(quán)限將計(jì)算機(jī)加入到域中的域帳號(hào)的名字和密碼。單擊“確定”按鈕以提交信任。

⑨單擊“是”按鈕，重啟動(dòng)計(jì)算機(jī)。

當(dāng)機(jī)器重啟動(dòng)后，該計(jì)算機(jī)就加入到所指定的域中。

4.1.3利用活動(dòng)目錄管理對(duì)象

1.活動(dòng)目錄對(duì)象

在前面的章節(jié)中我們已經(jīng)介紹過，活動(dòng)目錄中可以包含用戶、計(jì)算機(jī)等各種網(wǎng)絡(luò)對(duì)象。這些對(duì)象根據(jù)它們的創(chuàng)建時(shí)機(jī)分為兩類：一類是在活動(dòng)目錄安裝過程中被自動(dòng)創(chuàng)建的對(duì)象；另一類是通過使用活動(dòng)目錄管理工具創(chuàng)建的對(duì)象。表4.3描述了在活動(dòng)目錄安裝過程中被自動(dòng)創(chuàng)建的對(duì)象。表4.3在活動(dòng)目錄安裝過程中被自動(dòng)創(chuàng)建的對(duì)象通過使用活動(dòng)目錄管理工具能在活動(dòng)目錄中創(chuàng)建表4.4中的對(duì)象。表4.4利用活動(dòng)目錄管理工具創(chuàng)建的對(duì)象

2.活動(dòng)目錄管理器

在Windows2003中，活動(dòng)目錄管理器被稱為“ActiveDirectory用戶和計(jì)算機(jī)”，它是一種Microsoft管理控制臺(tái)的插件，可以從它自己的控制臺(tái)啟動(dòng)。它可以滿足用戶和計(jì)算機(jī)的日常管理需要，其功能包括在組織單元和組內(nèi)添加、刪除及移動(dòng)用戶帳號(hào)和計(jì)算機(jī)帳號(hào)。還可用“ActiveDirectory用戶和計(jì)算機(jī)”修改目錄對(duì)象的屬性，諸如用戶與計(jì)算機(jī)帳號(hào)、組、組織單位及共享網(wǎng)絡(luò)資源的安全屬性。啟動(dòng)活動(dòng)目錄管理器的方法是：

(1)作為管理員登錄。如果登錄時(shí)使用的帳號(hào)不具有管理權(quán)限，可能無法管理活動(dòng)目錄。

(2)啟動(dòng)“ActiveDirectory用戶和計(jì)算機(jī)”插件。對(duì)此活動(dòng)目錄管理器插件的啟動(dòng)，有以下幾種方法：

①從活動(dòng)目錄樹管理器插件中調(diào)用活動(dòng)目錄管理器。

②從管理工具菜單中啟動(dòng)插件。單擊“開始”按鈕，指向“程序”，然后單擊“管理工具”，再單擊“ActiveDirectory用戶和計(jì)算機(jī)”以啟動(dòng)插件。

3.管理活動(dòng)目錄對(duì)象

1)創(chuàng)建活動(dòng)目錄對(duì)象

當(dāng)給網(wǎng)絡(luò)添加新資源時(shí)，例如用戶帳號(hào)、組或打印機(jī)等，用戶即創(chuàng)建代表了資源的新的活動(dòng)目錄對(duì)象。要?jiǎng)?chuàng)建新對(duì)象，用戶必須具有響應(yīng)的權(quán)限。在默認(rèn)情況下，Administrators組的成員具有在域中任意位置添加對(duì)象的權(quán)限。

當(dāng)用戶創(chuàng)建對(duì)象時(shí)：

(1)用戶所使用的規(guī)劃、向?qū)Щ虿寮囊?guī)則限制了用戶能夠創(chuàng)建的對(duì)象。

(2)不是所有的屬性都可以被定義。如果要對(duì)所有屬性全部進(jìn)行定義，用戶必須先創(chuàng)建，然后再對(duì)對(duì)象進(jìn)行修改。創(chuàng)建活動(dòng)目錄對(duì)象的步驟如下：

(1)打開“ActiveDirectory用戶和計(jì)算機(jī)”插件。

(2)在控制臺(tái)目錄樹中右擊要在其中創(chuàng)建對(duì)象的域或組織單元，并指向“新建”項(xiàng)，出現(xiàn)Action菜單。

(3)在Action菜單中選擇要?jiǎng)?chuàng)建的對(duì)象并單擊。

2)定位活動(dòng)目錄對(duì)象

活動(dòng)目錄的對(duì)象可以利用“ActiveDirectory用戶和計(jì)算機(jī)”定位。定位活動(dòng)目錄對(duì)象的步驟如下：

(1)打開“ActiveDirectory用戶和計(jì)算機(jī)”插件。

(2)在控制臺(tái)目錄樹中右擊要在其中定位對(duì)象的域或組織單元，然后單擊“查找”按鈕，出現(xiàn)查找對(duì)象的對(duì)話框。

(3)在查找對(duì)象的對(duì)話框中輸入要查找的用戶、聯(lián)系人或組。

查找對(duì)話框提供了一些選項(xiàng)，可以搜索全局目錄表，定位用戶帳號(hào)、組和聯(lián)系人，如表4.5所示。可以使用屬性來查找對(duì)象，但前提是必須先定義了這些屬性。表4.5查找對(duì)話框中的選項(xiàng)3)移動(dòng)對(duì)象

在活動(dòng)目錄中，用戶可以將對(duì)象從一個(gè)組織單元移到另一個(gè)組織單元中，這種移動(dòng)一般是發(fā)生在組織單元的成員需要調(diào)整時(shí)。例如，當(dāng)一個(gè)雇員從一個(gè)部門調(diào)到另一個(gè)部門時(shí)，就需要將對(duì)象從一個(gè)位置移動(dòng)到另一個(gè)位置。

在組織單元之間移動(dòng)對(duì)象時(shí)，以下條件將會(huì)起作用：

(1)直接指定給那個(gè)對(duì)象的權(quán)限將保持不變。

(2)對(duì)象將從新的組織單元繼承權(quán)限。從以前那個(gè)組織單元中繼承來的權(quán)限將不再起作用。

(3)可以同時(shí)移動(dòng)多個(gè)對(duì)象。

移動(dòng)對(duì)象的方法是：在“ActiveDirectory用戶和計(jì)算機(jī)”中選擇要移動(dòng)的對(duì)象，然后在Action菜單上單擊“移動(dòng)”按鈕。并在移動(dòng)對(duì)話框中選擇要將對(duì)象移動(dòng)到的目的組織單元。

為了簡(jiǎn)化給打印機(jī)指定權(quán)限的工作，可以將位于不同打印機(jī)服務(wù)器上而又需要相同權(quán)限的打印機(jī)都移動(dòng)到一個(gè)組織單元中來。打印機(jī)放在打印機(jī)服務(wù)器的computer對(duì)象中。要查看打印機(jī)，可單擊“ActiveDirectory用戶和計(jì)算機(jī)”插件主窗口中的“查看”菜單，然后單擊“Users、Groups和computers作為容器”。

4)控制對(duì)象訪問

Windows2003使用基于對(duì)象的安全模型來實(shí)現(xiàn)對(duì)所有活動(dòng)目錄對(duì)象的訪問控制。

每個(gè)活動(dòng)目錄對(duì)象都有一個(gè)安全描述信息，它定義了哪些人有權(quán)訪問這個(gè)對(duì)象，以及允許進(jìn)行哪些類型的訪問。Windows2003使用這些安全描述信息來控制對(duì)對(duì)象的訪問。

為了降低管理開銷，你可以把具有相同安全要求的對(duì)象分組放置到一個(gè)組織單元之中。然后，給這個(gè)組織單元及其所容納的所有對(duì)象指定權(quán)限就可以了。

活動(dòng)目錄權(quán)限為資源提供了安全保護(hù)，它控制了對(duì)象或?qū)傩缘脑L問人員以及訪問類型。(1)活動(dòng)目錄權(quán)限的作用。活動(dòng)目錄權(quán)限可以判斷哪些人有權(quán)對(duì)對(duì)象進(jìn)行訪問，以及允許進(jìn)行哪些類型的訪問。在用戶訪問對(duì)象之前，管理員或者對(duì)象的所有者必須為對(duì)象指定權(quán)限。Windows2003為每個(gè)活動(dòng)目錄對(duì)象存放了用戶訪問權(quán)限列表，這個(gè)表稱為訪問控制表(ACL，AccessControlList)。對(duì)象的ACL會(huì)列出能夠訪問這個(gè)對(duì)象的人和各個(gè)用戶在這個(gè)對(duì)象上所能執(zhí)行的特定動(dòng)作。

用戶可以在不指定控制其他活動(dòng)目錄對(duì)象的管理權(quán)限的情況下，使用權(quán)限來為用戶或組指定對(duì)組織單元、組織單元層次或單獨(dú)的對(duì)象的管理特權(quán)。(2)對(duì)象權(quán)限。對(duì)象的類型決定了用戶能選擇的權(quán)限。權(quán)限會(huì)隨對(duì)象類型的不同而變化。例如，可以給一個(gè)用戶對(duì)象指定重置密碼的權(quán)限，但對(duì)于打印機(jī)對(duì)象則不行。

同一個(gè)用戶可以是屬于多個(gè)組的成員，而每個(gè)組又可以具有不同的權(quán)限，這樣就提供對(duì)對(duì)象的不同層次的訪問權(quán)。當(dāng)你給用戶指定了一種權(quán)限，而那個(gè)用戶同時(shí)又屬于一個(gè)具有不同權(quán)限的組時(shí)，用戶的有效權(quán)限將是用戶權(quán)限和組權(quán)限的綜合。例如，如果用戶具有讀權(quán)限，同時(shí)又是具有寫權(quán)限的組的成員，那么用戶的有效權(quán)限將是讀和寫。可以允許權(quán)限，也可以否定權(quán)限。否定權(quán)限比用其他任何方法允許給用戶帳號(hào)和組的權(quán)限都優(yōu)先。如果否定了一個(gè)用戶對(duì)某個(gè)對(duì)象的訪問權(quán)，那么這個(gè)用戶將無法具有訪問權(quán)限了，即使授予用戶所在的組以相應(yīng)的權(quán)限也不行。只有在必須否定一個(gè)屬于具有權(quán)限的組的成員的權(quán)限時(shí)，才應(yīng)該使用否定權(quán)限。

(3)標(biāo)準(zhǔn)權(quán)限和特殊權(quán)限。對(duì)象的權(quán)限分為標(biāo)準(zhǔn)權(quán)限和特殊權(quán)限。標(biāo)準(zhǔn)權(quán)限是最常用的權(quán)限，它們是由特殊權(quán)限組成的。特殊權(quán)限為用戶提供了對(duì)對(duì)象訪問權(quán)的更精細(xì)的控制手段。例如，標(biāo)準(zhǔn)的寫權(quán)限是由寫所有屬性、添加/刪除成員和讀權(quán)限組成的。表4.6列出了大多數(shù)對(duì)象都能使用的標(biāo)準(zhǔn)對(duì)象權(quán)限(某些對(duì)象可能還有額外的權(quán)限可供利用)和各類權(quán)限所允許的訪問類型。表4.6對(duì)象權(quán)限描述

4.域用戶帳號(hào)的創(chuàng)建和管理

1)創(chuàng)建新的域用戶帳號(hào)

使用“ActiveDirectory用戶和計(jì)算機(jī)”這個(gè)插件來創(chuàng)建新的域用戶帳號(hào)。在創(chuàng)建域用戶帳號(hào)時(shí)，這個(gè)帳號(hào)總是在微軟管理控制臺(tái)(MMC)第一個(gè)聯(lián)系到的可用的域控制器上創(chuàng)建，而后，這個(gè)用戶帳號(hào)將被復(fù)制到所有域控制器上。

在創(chuàng)建域用戶帳號(hào)時(shí)，一般需要選擇用來創(chuàng)建新帳號(hào)的組織單元。當(dāng)然也可以在域中直接創(chuàng)建，但這不符合活動(dòng)目錄分層原則。用戶可在默認(rèn)的Users組織單元中創(chuàng)建域用戶帳號(hào)，也可以在用來存放用戶帳號(hào)的組織單元中進(jìn)行創(chuàng)建。創(chuàng)建新的用戶帳號(hào)的步驟如下：

(1)打開“ActiveDirectory用戶和計(jì)算機(jī)”。

(2)在左邊的控制臺(tái)目錄樹中展開域節(jié)點(diǎn)。

(3)在詳細(xì)資料窗格中，右擊需要增加用戶的組織單元。

(4)在Action菜單中指向“新建”并單擊“用戶”，輸入用戶名(包括名和姓)和用戶登錄名。

(5)單擊“下一步”按鈕，輸入并確認(rèn)密碼，并選擇合適的帳號(hào)選項(xiàng)。

(6)接收確認(rèn)對(duì)話框。

在創(chuàng)建域用戶帳號(hào)時(shí)，應(yīng)根據(jù)需要配置選項(xiàng)，如表4.7所示。表4.7選項(xiàng)描述2)為用戶帳號(hào)設(shè)置屬性

在創(chuàng)建域用戶帳號(hào)時(shí)，系統(tǒng)會(huì)提供一組與用戶帳號(hào)相關(guān)的默認(rèn)屬性。但在活動(dòng)目錄中，可以利用域用戶帳號(hào)的屬性來搜索用戶。例如，用用戶的姓來搜尋該用戶的電話號(hào)碼、辦公室位置和經(jīng)理的姓名。出于這個(gè)原因，在創(chuàng)建了域用戶帳號(hào)后應(yīng)該為它提供詳細(xì)的屬性定義。在創(chuàng)建完域用戶帳號(hào)之后，用戶可以為其配置屬性(包括個(gè)人屬性、帳號(hào)屬性、登錄選項(xiàng)、撥入設(shè)置和終端服務(wù)設(shè)置等)。這些屬性的設(shè)置都在帳號(hào)的屬性對(duì)話框中進(jìn)行。

打開帳號(hào)屬性對(duì)話框的步驟如下：

(1)打開“ActiveDirectory用戶和計(jì)算機(jī)”。

(2)在左邊的控制臺(tái)目錄樹中展開域節(jié)點(diǎn)。

(3)單擊用戶帳號(hào)所在文件夾。

(4)右擊用戶帳號(hào)所在文件夾，單擊隨后出現(xiàn)的Action菜單中的“屬性”項(xiàng)，可以對(duì)用戶的個(gè)人屬性、帳號(hào)屬性、登錄時(shí)間、用戶可登錄計(jì)算機(jī)、撥入配置等進(jìn)行設(shè)置。3)管理域用戶帳號(hào)

在Windows中管理用戶帳號(hào)的手段和工具包括：

(1)修改用戶帳號(hào)屬性。

(2)創(chuàng)建移動(dòng)用戶配置文件。

(3)設(shè)置用戶主目錄。

(4)使用組策略。

要成功地完成用戶帳號(hào)屬性的修改、創(chuàng)建移動(dòng)用戶配置文件以及分配主目錄的任務(wù)，用戶必須具有管理用戶帳號(hào)所在的組織單元的權(quán)限。在用戶帳號(hào)設(shè)置完成之后，如果需要修改一個(gè)用戶帳號(hào)，就要對(duì)活動(dòng)目錄中的用戶對(duì)象進(jìn)行修改。帳號(hào)的修改可能是由人員、公司或者網(wǎng)絡(luò)的變更而引起的。這些修改包括用戶密碼的重新設(shè)置以及用戶帳號(hào)的解鎖在內(nèi)的某些修改可能會(huì)影響到一個(gè)用戶對(duì)計(jì)算機(jī)或者網(wǎng)絡(luò)的登錄以及對(duì)任務(wù)的執(zhí)行。其他修改是基于人員變更或者個(gè)人信息的。這些修改包括用戶帳號(hào)的禁止、啟用、重新命名和刪除。

Windows2003極大地增強(qiáng)了組策略的功能，利用它可完成桌面外觀和應(yīng)用程序的設(shè)置、指定登錄或退出計(jì)算機(jī)時(shí)需要執(zhí)行的腳本、管理連入網(wǎng)絡(luò)中工作站的應(yīng)用軟件安裝等。對(duì)用戶帳號(hào)管理的功能包括：

(1)重新設(shè)置用戶密碼和解鎖用戶帳號(hào)。

(2)禁用、啟用、重命名和刪除用戶帳號(hào)。除重設(shè)用戶密碼和解鎖帳號(hào)外，管理員可能還要執(zhí)行一些附加的修改。這些修改任務(wù)包括：

①禁用和啟用用戶帳號(hào)。

②重新命名用戶帳號(hào)。

③刪除用戶帳號(hào)。

④移動(dòng)用戶帳號(hào)。(3)移動(dòng)用戶帳號(hào)。用戶可從某域中的一組織單元移到另一組織單元，或者移到另外的域。

(4)設(shè)置用戶配置文件和主目錄。在運(yùn)行Windows2003的計(jì)算機(jī)上，用戶配置文件可以自動(dòng)創(chuàng)建和配置用戶的桌面工作環(huán)境。用戶配置文件包括默認(rèn)用戶配置文件(也被稱為本地用戶配置文件)、漫游用戶配置文件和永久用戶配置文件，當(dāng)用戶第一次登錄Windows2003時(shí)，系統(tǒng)為該用戶建立了一個(gè)默認(rèn)的用戶環(huán)境文件，以后用戶對(duì)桌面環(huán)境的改變會(huì)被保存在默認(rèn)的用戶環(huán)境文件中，漫游用戶配置文件和永久用戶配置文件則需要由管理員根據(jù)需要為用戶設(shè)置。

上述功能的實(shí)現(xiàn)均可在Action菜單的屬性中實(shí)現(xiàn)。

4)計(jì)算機(jī)帳號(hào)管理

加入到域中的Windows計(jì)算機(jī)必須有計(jì)算機(jī)帳號(hào)，計(jì)算機(jī)帳號(hào)提供了物理計(jì)算機(jī)訪問網(wǎng)絡(luò)的審計(jì)和認(rèn)識(shí)手段。創(chuàng)建計(jì)算機(jī)對(duì)象的步驟如下：

(1)打開“ActiveDirectory用戶和計(jì)算機(jī)”。

(2)右鍵單擊需創(chuàng)建計(jì)算機(jī)對(duì)象的組織單元，在Action菜單中單擊“新建”，然后單擊“計(jì)算機(jī)”。

(3)在計(jì)算機(jī)名的文本框中鍵入計(jì)算機(jī)名。

隱含的域策略只允許DomainAdmins組的成員將計(jì)算機(jī)帳號(hào)加到域中，單擊“更改”按鈕可以定義其他允許將計(jì)算機(jī)帳號(hào)加到域中的用戶和組。當(dāng)創(chuàng)建計(jì)算機(jī)對(duì)象后，管理員就需要遠(yuǎn)程管理此計(jì)算機(jī)以便進(jìn)行診斷服務(wù)、查詢事件瀏覽器等。遠(yuǎn)程管理計(jì)算機(jī)的步驟如下：

(1)打開“ActiveDirectory用戶和計(jì)算機(jī)”。

(2)右鍵單擊計(jì)算機(jī)對(duì)象，然后單擊“管理”。

(3)選擇所需的計(jì)算機(jī)，計(jì)算機(jī)管理插件將啟動(dòng)。

5.發(fā)布資源

網(wǎng)絡(luò)管理的一個(gè)主要挑戰(zhàn)之一是如何向網(wǎng)絡(luò)上的用戶提供安全和可選擇的網(wǎng)絡(luò)資源，另一個(gè)挑戰(zhàn)是使網(wǎng)絡(luò)上信息的查找更為方便?；顒?dòng)目錄通過存儲(chǔ)網(wǎng)絡(luò)對(duì)象信息，提供快速的信息獲取，以及控制訪問的安全機(jī)制來解決這些挑戰(zhàn)?？梢栽诨顒?dòng)目錄上發(fā)布的資源包括用戶、計(jì)算機(jī)、打印機(jī)、文件和網(wǎng)絡(luò)服務(wù)。

發(fā)布用戶和計(jì)算機(jī)。網(wǎng)絡(luò)中用戶和計(jì)算機(jī)的信息由ActiveDirectory用戶和計(jì)算機(jī)插件發(fā)布。它允許管理員管理安全權(quán)限和存儲(chǔ)相關(guān)信息。發(fā)布共享資源。發(fā)布打印機(jī)和文件可以使網(wǎng)絡(luò)中這些資源的查找更為方便，Windows的網(wǎng)絡(luò)打印機(jī)在用Printing安裝時(shí)會(huì)被發(fā)布。而文件則需要使用ActiveDirectory用戶和計(jì)算機(jī)插件發(fā)布。

發(fā)布網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)服務(wù)也可以在活動(dòng)目錄中發(fā)布，這樣管理員可以用活動(dòng)目錄的站點(diǎn)和服務(wù)插件查詢和管理服務(wù)。在活動(dòng)目錄中發(fā)布服務(wù)的關(guān)鍵是服務(wù)管理模型，通過發(fā)布服務(wù)，管理員就可以集中管理服務(wù)，而不管是哪一種計(jì)算機(jī)提供訪問。通過使用活動(dòng)目錄的程序設(shè)計(jì)界面，其他服務(wù)或應(yīng)用也可以在活動(dòng)目錄中發(fā)布。

1)發(fā)布共享文件夾

任何共享的網(wǎng)絡(luò)文件夾(包括分布文件系統(tǒng)(DFS)文件夾)，都能在目錄中被發(fā)布。在目錄中創(chuàng)建一個(gè)共享文件夾對(duì)象，它并不是自動(dòng)地就變成共享的。在目錄中發(fā)布共享文件夾有兩個(gè)步驟：首先將此文件夾變?yōu)楣蚕?，然后再在目錄中發(fā)布。

設(shè)置共享文件夾的步驟如下：

(1)在Windows資源管理器中右鍵單擊文件夾名后，單擊“屬性”，單擊“共享”，并單擊“共享該文件夾”。

(2)在共享名文本框中鍵入共享名。

(3)單擊“確定”按鈕。在目錄中發(fā)布共享文件夾的步驟如下：

(1)在“ActiveDirectory用戶和計(jì)算機(jī)”插件中，右鍵單擊組織單元，在Action菜單中單擊“新建”，再單擊“共享文件夾”。

(2)在“共享的文件夾名稱”中鍵入文件夾的共享名。

(3)?\\yourmachinename\文件夾的共享名。例如，鍵入\\\ShareFiles。

(4)單擊“確認(rèn)”按鈕。

這時(shí)，當(dāng)用戶瀏覽“目錄”時(shí)就能看到此共享文件夾。

2)發(fā)布打印機(jī)

運(yùn)行Windows2003的計(jì)算機(jī)所共享的打印機(jī)可通過使用打印機(jī)屬性窗口中的“共享表”來發(fā)布打印機(jī)。缺省時(shí)，“列在目錄中”的選項(xiàng)是起作用的(這意味著缺省時(shí)共享打印機(jī)是可被發(fā)布的)。打印機(jī)是在活動(dòng)目錄下相應(yīng)的計(jì)算機(jī)容器中被發(fā)布的，因而被稱為<server>-<printername>。打印子系統(tǒng)會(huì)自動(dòng)地將打印機(jī)屬性的改變(位置、描述、紙的裝載等)傳播到目錄中。共享并發(fā)布Windows2003打印機(jī)的步驟如下：

(1)單擊“開始”按鈕，指向“設(shè)置”，單擊“打印機(jī)”，然后單擊“增加打印機(jī)”，再根據(jù)屏幕上的提示創(chuàng)建打印機(jī)。

(2)創(chuàng)建了打印機(jī)后，打開剛創(chuàng)建的打印機(jī)的屬性對(duì)話框，并選擇共享選項(xiàng)卡，打印機(jī)對(duì)象就在其所屬的計(jì)算機(jī)對(duì)象下被發(fā)布。

用戶可以使用“ActiveDirectory用戶和計(jì)算機(jī)”插件來發(fā)布非Windows2003服務(wù)器上的打印機(jī)，其步驟如下：

(1)右鍵單擊組織單元，單擊“新建”后再單擊“打印機(jī)”。

(2)在“要發(fā)行的下層打印機(jī)服務(wù)器的UNC路徑”處鍵入打印機(jī)的路徑。當(dāng)打印機(jī)被發(fā)布后，用戶就能夠在目錄中瀏覽被發(fā)布的打印機(jī)和提交到打印機(jī)上的作業(yè)，甚至可以直接從服務(wù)器上安裝打印機(jī)驅(qū)動(dòng)程序。

從客戶機(jī)上安裝服務(wù)器上被發(fā)布的打印機(jī)驅(qū)動(dòng)程序的步驟如下：

(1)打開“網(wǎng)絡(luò)鄰居”。

(2)順序單擊“目錄”、“域名”和發(fā)布打印機(jī)的組織“單元”。

(3)右鍵單擊發(fā)布的打印機(jī)名，然后單擊“安裝”以安裝其為本地打印機(jī)或單擊“打開”以瀏覽當(dāng)前打印機(jī)隊(duì)列。 4.2WWW和FTP服務(wù)的配置與管理

4.2.1IIS簡(jiǎn)介

IIS是Microsoft內(nèi)置在Windows各版本操作系統(tǒng)中的網(wǎng)絡(luò)文件和應(yīng)用程序服務(wù)器，是Windows中的一個(gè)組件。IIS支持標(biāo)準(zhǔn)的信息協(xié)議，通過使用Internet服務(wù)器應(yīng)用程序編程接口(ISAPI)和公共網(wǎng)關(guān)接口(CGI)可以使其得到極大的擴(kuò)展。IIS為Internet、Intranet和Extranet站點(diǎn)提供服務(wù)器解決方案。它集成了安裝向?qū)?、集成的安全性和身份?yàn)證實(shí)用程序、Web發(fā)布工具和對(duì)其他基于Web的應(yīng)用程序的支持等附加特性，可以提高Internet的整體性能。IIS是在Windows上構(gòu)建Internet或Intranet的基本組件，與Windows完全集成。而正是這種緊密的集成，可以充分利用Windows中NTFS文件系統(tǒng)內(nèi)置的安全性來保護(hù)IIS。

利用IIS可以使用可擴(kuò)展的服務(wù)器應(yīng)用程序來建立和管理最新的Web內(nèi)容。IIS完全支持MicrosoftVisualBasic編程系統(tǒng)、VBScript、MicrosoftJScript開發(fā)軟件和Java組件，也支持基于Web程序中的CGI應(yīng)用程序、ISAPI擴(kuò)展和過濾器。4.2.2IIS6.0的安裝

1.配置Windows2003

要在Windows2003上安裝具有全部功能的IIS，首先要在操作系統(tǒng)上配置好TCP/IP協(xié)議，TCP/IP提供了從Internet上檢索數(shù)據(jù)和在Internet上建立和管理站點(diǎn)所需的Internet連接性。

建議在安裝IIS的分區(qū)上使用WindowsNTFS文件系統(tǒng)，利用NTFS可以限制Windows2003上的文件和文件夾的權(quán)限。這是維持一個(gè)安全的Internet服務(wù)器的關(guān)鍵因素，而且是SMTP服務(wù)所必須的組成部分。

2.?Windows2003安全特性

由于IIS與Windows2003是緊密集成的，因此可以使用內(nèi)置于操作系統(tǒng)之中的所有安全性選項(xiàng)來幫助保護(hù)IIS的安裝。但要利用Windows2003的這些安全性選項(xiàng)，需要在以下方面加以考慮：

(1)將NTFS作為文件系統(tǒng)。

(2)使用復(fù)雜的密碼機(jī)制。

(3)維護(hù)嚴(yán)格的帳號(hào)制度，如禁止Guest帳號(hào)或嚴(yán)格限制其存取范圍。

(4)限制管理組的成員。

(5)僅運(yùn)行系統(tǒng)所要求的服務(wù)和協(xié)議。

(6)檢查網(wǎng)絡(luò)共享的權(quán)限。

(7)啟用審核功能。

3.?InternetInformationService6.0的安裝

由于IIS與Windows2003是緊密集成的，因此IIS6.0的安裝也就由集成的安裝向?qū)砉芾怼?/p>

IIS已默認(rèn)安裝在Windows2003上，但還可在“控制面板”中用“添加/刪除程序”刪除IIS或選擇其他組件。

安裝IIS、添加組件或刪除組件，需要的操作步驟如下：

(1)單擊“開始”，指向“設(shè)置”，單擊“控制面板”，再啟動(dòng)“添加/刪除程序”。

(2)選擇“添加/刪除Windows組件”，然后再按照屏幕上的提示來安裝、刪除或給IIS添加組件。4.2.3服務(wù)器管理

1.關(guān)于Web和FTP站點(diǎn)

1)?Web和FTP站點(diǎn)

不管是在Intranet上還是在Internet上，一臺(tái)運(yùn)行Windows2003的計(jì)算機(jī)上創(chuàng)建一個(gè)或多個(gè)Web或FTP站點(diǎn)，可以通過給IP地址追加端口號(hào)、使用多個(gè)適配器卡分別綁定多個(gè)IP地址、給一塊使用主機(jī)標(biāo)頭名的網(wǎng)絡(luò)適配器卡賦予多個(gè)域名和IP地址的方法實(shí)現(xiàn)。下面的例子中描述了一個(gè)Intranet樣板，其中管理員在公司的服務(wù)器上安裝了帶有IIS的Windows2003，產(chǎn)生了一個(gè)默認(rèn)Web站點(diǎn)http://CompanyServer。管理員然后又創(chuàng)建了兩個(gè)Web站點(diǎn)Marketing和HumanResource，分別給兩個(gè)部門：市場(chǎng)部和人事部。

雖然宿主在同一臺(tái)計(jì)算機(jī)上，但CompanyServer、Marketing和HumanResource所表現(xiàn)的都是一個(gè)獨(dú)特的站點(diǎn)。這些部門站點(diǎn)具有在不同計(jì)算機(jī)上安裝時(shí)一樣的安全性，因?yàn)槊總€(gè)站點(diǎn)都有它自己的存取和管理許可設(shè)置。另外，管理任務(wù)還可分布到每個(gè)部門的成員中。

但當(dāng)要?jiǎng)?chuàng)建一個(gè)很大數(shù)目的站點(diǎn)時(shí)，應(yīng)當(dāng)要考慮硬件的限制并在必要時(shí)升級(jí)硬件。2)站點(diǎn)上的屬性與屬性繼承

屬性是指可在站點(diǎn)上設(shè)置的值。比如，用IIS插件可將賦予給默認(rèn)Web站點(diǎn)的TCP端口號(hào)從80改到其他的端口號(hào)。賦予站點(diǎn)的屬性在屬性頁中顯示，并且被存儲(chǔ)在一個(gè)叫做元數(shù)據(jù)庫(metabase)的數(shù)據(jù)庫中。

在IIS的安裝過程中，默認(rèn)值被賦予給了屬性頁中的各種屬性。用戶可以使用IIS中的默認(rèn)設(shè)置，或者也可自定義這些設(shè)置以滿足發(fā)布的需要。屬性可在站點(diǎn)級(jí)、目錄級(jí)以及文件級(jí)上設(shè)置。在更高級(jí)別上的設(shè)置(比如在站點(diǎn)級(jí))被較低級(jí)(如目錄級(jí))自動(dòng)使用或繼承，但這些屬性還可在較低級(jí)上進(jìn)行編輯。一旦屬性在一個(gè)站點(diǎn)、目錄或文件上修改時(shí)，以后對(duì)主默認(rèn)的修改將不會(huì)覆蓋私有設(shè)置。相反，你會(huì)收到一條警告消息，詢問你是否要修改私有站點(diǎn)、目錄或文件設(shè)置，以匹配新的默認(rèn)值。

某些屬性擁有一個(gè)列表形式的值。例如，當(dāng)用戶沒有在URL上指定一個(gè)文件時(shí)，默認(rèn)文檔的值可能是一列等待加載的文檔。自定義錯(cuò)誤消息、TCP/IP存取控制、腳本映射和MIME映射是另外一些以列表格式存取的屬性。雖然這些列表有多個(gè)入口,但I(xiàn)IS卻只將整個(gè)列表作為一個(gè)屬性看。如果在一個(gè)目錄上編輯一個(gè)列表，并隨后在站點(diǎn)級(jí)上做全局的更改，則目錄級(jí)上的列表會(huì)被完全地用站點(diǎn)級(jí)上的新列表替換。過濾器以列表格式顯示，但不被當(dāng)作一個(gè)列表。如果在站點(diǎn)級(jí)上添加過濾器，則新的過濾器將與Master級(jí)上的過濾器表合并。如果兩個(gè)過濾器有同樣的優(yōu)先權(quán)設(shè)置，那么Master級(jí)上的過濾器表將在站點(diǎn)級(jí)的過濾器之前被加載。

如果默認(rèn)屬性值需要修改而且用戶正在創(chuàng)建幾個(gè)Web或FTP站點(diǎn)，則可編輯該默認(rèn)值，這樣所創(chuàng)建的每個(gè)站點(diǎn)就可繼承用戶的自定義值。

3)?Web站點(diǎn)的Operators

Web站點(diǎn)的Operators是一個(gè)專門的用戶組，它在私有的Web站點(diǎn)上具有有限的管理特權(quán)。Operators可以管理那些只影響其相應(yīng)站點(diǎn)的屬性。它們不存取那些影響IIS、宿主IIS的Windows服務(wù)器計(jì)算機(jī)或網(wǎng)絡(luò)的屬性。4)遠(yuǎn)程管理站點(diǎn)

因?yàn)橐谶\(yùn)行IIS的計(jì)算機(jī)上完成管理任務(wù)并不總是很方便的，因此有兩種遠(yuǎn)程管理方法可供選擇。如果通過Internet或代理連接服務(wù)器，可使用基于瀏覽器的InternetServiceManager(HTML)來更改站點(diǎn)上的屬性。如果通過Intranet連接，就可使用InternetServiceManager(HTML)或者宿主在管理控制臺(tái)(MMC)上的InternetInformationService插件來更改站點(diǎn)上的屬性。雖然InternetServiceManager提供與該插件同樣的特征，但需要與Windows實(shí)用程序協(xié)調(diào)的屬性更改，如證書映射，就不能用InternetServiceManager(HTML)完成。InternetServiceManager(HTML)使用一個(gè)列表為AdministrationWebSite的Web站點(diǎn)存取IIS屬性。當(dāng)安裝IIS時(shí)，會(huì)隨機(jī)選擇一個(gè)2000～9999的端口號(hào)賦予該Web站點(diǎn)。該站點(diǎn)會(huì)為所有安裝在該計(jì)算機(jī)上的域名響應(yīng)瀏覽器請(qǐng)求，即在地址后提供一個(gè)端口號(hào)，如果使用的是Basic審核，則當(dāng)?shù)竭_(dá)站點(diǎn)時(shí)，管理員還會(huì)要求提供用戶名和口令。只有WindowsAdministrator組的成員才能使用該站點(diǎn)。Web站點(diǎn)的Operator也可遠(yuǎn)程地管理Web站點(diǎn)。

遠(yuǎn)程管理站點(diǎn)時(shí)，還可使用在線文檔。要看該文檔，可啟動(dòng)瀏覽器并鍵入http://servername/iishelp/iis/misc/default.asp，其中servername指的是運(yùn)行IIS的計(jì)算機(jī)名。

5)?FTP重啟

FTP重啟可以找出下載文件時(shí)丟失網(wǎng)絡(luò)連接的問題所在。支持FTP重啟的客戶只需用REST命令重新建立FTP連接，文件傳輸就會(huì)從斷開的位置重新開始。

2.啟動(dòng)和中止站點(diǎn)

站點(diǎn)在服務(wù)器重啟時(shí)默認(rèn)是自動(dòng)啟動(dòng)的。啟動(dòng)、中止或暫停一個(gè)站點(diǎn)的步驟如下：

(1)在IIS插件中選擇想要啟動(dòng)、中止或暫停的站點(diǎn)。

(2)在工具欄上單擊“啟動(dòng)”、“中止”或“暫?！卑粹o。

3.添加站點(diǎn)

添加站點(diǎn)可在同一臺(tái)計(jì)算機(jī)上啟動(dòng)用于添加新站點(diǎn)的站點(diǎn)向?qū)?。要添加一個(gè)新站點(diǎn)的步驟如下：

(1)在IIS插件中選擇計(jì)算機(jī)或站點(diǎn)，并單擊“操作”菜單。

(2)單擊“新建”，再單擊“Web站點(diǎn)”或“FTP站點(diǎn)”以啟動(dòng)站點(diǎn)向?qū)А?/p>

(3)按照屏幕上的提示信息為新站點(diǎn)賦予標(biāo)識(shí)信息，必須提供端口地址和Home目錄的路徑。如果通過用主機(jī)標(biāo)頭，給一個(gè)IP地址添加額外的站點(diǎn)，則在創(chuàng)建新站點(diǎn)之后還得賦予一個(gè)主機(jī)標(biāo)頭名。

4.設(shè)置FTP消息和目錄輸出式樣

當(dāng)設(shè)置一個(gè)FTP站點(diǎn)時(shí)，可給用戶發(fā)送描述該站點(diǎn)的詳盡消息，還可指定一條用戶現(xiàn)在已到達(dá)了最大數(shù)目的連接的消息。設(shè)置FTP歡迎、發(fā)送、退出或最大連接消息的步驟如下：

(1)在IIS插件中選擇要為其設(shè)置消息的FTP站點(diǎn)。

(2)右鍵單擊站點(diǎn)并選擇“屬性”。

(3)選擇“消息”屬性頁。

(4)在相應(yīng)的文本框中分別鍵入歡迎、退出以及最大連接消息。還可設(shè)置FTP站點(diǎn)的目錄輸出式樣。目錄輸出式樣可以是MS-DOS或Unix格式。默認(rèn)的目錄輸出式樣是MS-DOS。設(shè)置FTP站點(diǎn)的目錄輸出式樣的步驟如下：

(1)在IIS插件中選擇要為其設(shè)置目錄輸出式樣的站點(diǎn)。

(2)右鍵單擊站點(diǎn)并選擇“屬性”。

(3)選擇“Home目錄”屬性頁。

(4)在“目錄列表式樣”下，選擇MS-DOS或Unix。

但是，某些客戶不能顯示MS-DOS風(fēng)格的列表，因此，選擇Unix風(fēng)格的列表將可保證最大的兼容性。

5.重啟IIS

在IIS6.0中，可從IIS插件中中止或重啟所有Internet服務(wù)，這樣，即使在應(yīng)用程序不可用或不能按要求運(yùn)行時(shí)，也不必重啟計(jì)算機(jī)。重啟IIS的步驟如下：

(1)在IIS插件中，在內(nèi)容面板中選擇“計(jì)算機(jī)”圖標(biāo)。

(2)單擊“操作”并選擇“重啟IIS”。

(3)從下拉式菜單中，選擇“重啟Internet服務(wù)”、“中止Internet服務(wù)”、“啟動(dòng)Internet服務(wù)”或“重啟計(jì)算機(jī)名”。

對(duì)于按日程重啟，或與第三方或自定義工具集成，還可使用MMC重啟特征的命令行形式：iisreset．exe。其用法和參數(shù)如下所示：

iisreset[computername]4.2.4Web站點(diǎn)管理

1.?Web站點(diǎn)的管理

1)創(chuàng)建站點(diǎn)

如果在沒有創(chuàng)建特別的目錄結(jié)構(gòu)，而且文件全都在運(yùn)行IIS的計(jì)算機(jī)的同一個(gè)硬盤的情況下，就開始創(chuàng)建站點(diǎn)的話，可通過將Web文件拷貝到默認(rèn)的Home目錄，即C:\Inetpub\wwwroot(對(duì)于FTP站點(diǎn)，將文件拷貝到C:\Inetpub\ftproot)發(fā)布文檔。這時(shí)，用戶只需鍵入U(xiǎn)RL：http://ServerName/FileName即可訪問這些文件。

2)定義Home目錄

每個(gè)Web或FTP站點(diǎn)必須有一個(gè)Home目錄。Home目錄在發(fā)布頁面的中心位置。比如，如果站點(diǎn)的Intenet域名是，而Home目錄是C:\Website\lab，那么瀏覽器使用URL“”就可存取Home目錄下的文件。在Intranet上，如果服務(wù)器名為Server1，那么瀏覽器使用URL“http://Server1”就可訪問Home目錄中的文件。

默認(rèn)Home目錄在安裝IIS以及創(chuàng)建一個(gè)新的Web站點(diǎn)時(shí)就創(chuàng)建好了。但用戶可對(duì)該Home目錄進(jìn)行更改。3)虛擬目錄

虛擬目錄是指未包含在Home目錄，但在客戶瀏覽器看來卻像在Home目錄一樣的目錄。

虛擬目錄擁有一個(gè)別名，這是一個(gè)Web瀏覽器用于存取該目錄的名字。因?yàn)閯e名通常比目錄的路徑名要短，所以用戶輸入更方便。別名也更安全，因?yàn)橛脩羧绻恢牢募诜?wù)器上的物理位置，也就無法用該信息修改文件。使用別名在站點(diǎn)內(nèi)移動(dòng)目錄更容易一些，無須為該目錄更改URL，只要更改別名與目錄的物理位置之間的映射就可以了。

例如，假定要為公司Intranet的市場(chǎng)部門設(shè)置一個(gè)Web站點(diǎn)。表4.8列出了文件的物理位置與存取這些文件的URL之間的映射。表4.8文件物理位置與對(duì)應(yīng)URL之間的映射虛擬目錄和物理目錄(沒有別名的目錄)都會(huì)出現(xiàn)在“Internet服務(wù)管理器”中。虛擬目錄文件夾的角上有一個(gè)地球圖標(biāo)。

對(duì)于一個(gè)簡(jiǎn)單的Web站點(diǎn)，不需要使用虛擬目錄，只需將所有文件放到站點(diǎn)的Home目錄就可以了。如果擁有的是一個(gè)復(fù)雜站點(diǎn)，或是要為站點(diǎn)的不同部分指定不同的URL，則可以按需要添加虛擬目錄。

4)用重定向?qū)φ?qǐng)求重新路由

當(dāng)瀏覽器在Web站點(diǎn)上請(qǐng)求一個(gè)頁面時(shí)，Web服務(wù)器找到該URL確定的頁面，并將其返回給瀏覽器。當(dāng)客戶在站點(diǎn)上移動(dòng)一個(gè)頁面后，為了保證瀏覽器在新的URL上能夠找到該頁面，需要指導(dǎo)Web服務(wù)器給瀏覽器以新的URL，隨后瀏覽器將再次以新的URL請(qǐng)求該頁面。此過程被稱為“重定向一個(gè)瀏覽器請(qǐng)求”或“重定向到另一個(gè)URL”。為一個(gè)頁面重定向請(qǐng)求類似于郵政部門使用轉(zhuǎn)寄地址。轉(zhuǎn)寄地址保證了按原先住址郵寄來的信件和包裹能夠到達(dá)你的新住址。5)其他有用的工具

很常見的是Web內(nèi)容在被請(qǐng)求之后，在其返回到瀏覽器之前對(duì)其進(jìn)行動(dòng)態(tài)修改是很有用的。IIS有兩項(xiàng)特征可提供這項(xiàng)功能：服務(wù)方包含SSI(Server-SideIncludes)和ASP(MicrosoftActiveServerPages)。使用SSI，可實(shí)現(xiàn)對(duì)整個(gè)主機(jī)的Web站點(diǎn)管理行為從添加動(dòng)態(tài)時(shí)間戳到每次一個(gè)文件被請(qǐng)求時(shí)運(yùn)行一條專門的Shell命令。SSI命令在設(shè)計(jì)時(shí)被添加到了Web頁上。當(dāng)一個(gè)頁面被請(qǐng)求時(shí)，Web服務(wù)就會(huì)分析它在Web頁上找到的所有命令，然后再執(zhí)行它們。一條常用的SSI命令插入或包含(Include)一個(gè)文件的內(nèi)容到一個(gè)Web頁中。這樣，如果需要不斷地更新一個(gè)Web頁公告，可用SSI將該公告的HTML源包括進(jìn)Web頁中。為了