AD基础知识

xingzxzh

Active Directory管理工具简化了目录服务的管理。可使用标准工具或使用Microsoft管理控制台（MMC）来创建专门执行单项管理任务的自定义工具。在Windows Server 2003域控制器上可直接使用的管理工具有3种：
Active Directory 用户和计算机；
Active Directory 域和信任；
Active Directory 站点和服务。
7.2.2  安装Active Directory
部署Active Directory目录服务的关键是安装和配置域控制器，前提是做好Active Directory的规划。
1．规划Active Directory
主要是规划DNS名称空间和域结构，必要时还要规划组织单位或AD站点。
选择域结构的总的原则是应尽可能减少域的数量，微软建议企业网应尽可能使用单一域结构，以简化管理工作。组织单位的规划很重要，在域内可依据多种标准划分组织单位。如果各个分支机构或部门有大量的对象，或者分支机构或部门相对分散独立，或者企业网络分成几个独立部分，就可以考虑创建多个域。对于多域的情况，又有两种选择：域树或林。一般来说，分支机构或部门使用相同的顶层DNS名称空间，层次结构清晰，可创建域树来包含多个域；如果使用不同的顶层DNS名称空间，可创建林来包括多个域树和域。
Active Directory需要先规划名称空间。Active Directory域使用DNS名称来命名。选择DNS名称用于Active Directory域时通常使用现有域名，以企业保留在Internet上使用的已注册DNS域名后缀开始，并将该名称和企业中使用的地理名称或部门名称结合起来，组成Active Directory域的全名。企业可将内部名称空间与外部名称空间保持一样。微软公司建议将两者分离，对DNS域名进行分组，如内部DNS名称使用诸如\"internal.abc.com\"的名称，外部DNS名称使用诸如\"external.abc.com\"的名称。
适当建立站点可以优化复制效率并减少网络的管理开销。站点的数量取决于网络的物理设计和网络连接带宽。多数情况下只需一个AD站点，如一个包含单个子网的局域网，或者以高速主干线连接的多个子网。如果网络分布在多个地理位置并通过广域网连接，应当为每个地理位置建立单独的站点。
2．安装域控制器
域中的服务器要么充当域控制器，要么充当成员服务器。使用Active Directory安装向导，可以在独立服务器上安装域控制器，或者将成员服务器升级至域控制器，也可以将域控制器降级为成员服务器。Windows Server 2003或Windows 2000 Server服务器在Active Directory环境中可分为域控制器、成员服务器和独立服务器3种角色。
使用Active Directory安装向导可安装和配置域控制器。在使用Active Directory安装向导之前，应考虑DNS配置。默认情况下，该安装向导从其已配置的DNS服务器列表中定位新域的权威DNS服务器，该列表将接受服务（SRV）资源记录的动态更新。如果找到可接受动态更新的DNS服务器，则在重新启动域控制器时，所有域控制器的相应记录都自动在DNS服务器上注册。
如果网络上没有DNS服务器，可在安装Active Directory时选择自动安装和配置本地DNS服务器。DNS 服务器将安装在运行Active Directory安装向导的服务器上，该服务器的首选DNS服务器设置将自动配置为使用新的本地DNS服务器。
使用\"配置您的服务器向导\"工具，根据提示将服务器角色选定为\"域控制器（Active Directory）\"，可启动Active Directory安装向导，根据提示进行安装操作即可。也可通过运行dcpromo命令直接启动Active Directory安装向导。具体步骤不再赘述。
3．将计算机添加到域
Active Directory客户端通过LDAP协议向域控制器发送查询，为了定位域控制器，Active Directory客户端查询DNS，Active Directory需要DNS才能工作。域控制器就是一个Active Directory服务器，可由Windows 2000 Server和Windows Server 2003服务器充当，它存储目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。Windows 2000/XP/2003计算机都可作为Active Directory客户端，Windows 2000以前版本的计算机，需要安装Active Directory客户端，才能部分支持Active Directory客户功能。运行Windows 95、Windows 98的计算机可连接到域，在安装附加的Active Directory客户端软件后，可以使用域功能，但是不能加入到域，不能作为计算机账户添加到Active Directory。运行Windows NT 4.0的计算机无需任何更改就可登录到域，只能使用NTLM认证方法。
Windows 2000/XP/2003计算机需要加入到域，才能享用Active Directory的好处。有两种情况，一种是将独立服务器加入到域，另一种是将工作站添加到域。加入到域的计算机可统称为域成员计算机。在安装Windows 2000/XP/2003操作系统时，可以选择加入到域中，或保留在工作组中。也可以将现有的Windows 2000/XP/2003计算机添加到AD域中。这里以Windows Server 2003服务器加入到域为例。
将服务器添加到域
① 以本机系统管理员身份登录到服务器，确认能够连通Active Directory域控制器计算机。
② 将DNS服务器设置为能够解析Active Directory域控制器域名的DNS服务器IP地址。在单域网络中，通常就是域控制器本身。具体的IP设置这里就不介绍了。
③ 右键单击控制面板中的\"系统\"图标，或右键单击\"我的电脑\"图标，在快捷菜单中选择【属性】命令，打开【系统属性】对话框。
④ 切换到【计算机名】选项卡，单击【更改】按钮。
⑤ 打开如图7.2所示的对话框，在【隶属于】区域选中【域】选项，在下面的文本框中输入域名（可以是域的DNS域名，也可是域NetBIOS名称），单击【确定】按钮。
⑥ 出现【计算机名更改】对话框，根据提示输入具有将计算机加入域权限的用户账户的名称和密码，单击【确定】按钮。
⑦ 如无异常情况，将出现欢迎加入某域的提示，单击【确定】按钮。
⑧ 将出现重新启动计算机的提示，单击【确定】按钮。
⑨ 回到【计算机名】对话框，DNS后缀已加入完整的计算机名称。再单击【确定】按钮。
重新启动计算机，使上述更改生效。
此时在域控制器上打开\"Active Directory用户和计算机\"控制台，展开相应的域，单击【Computers】节点，如图7.3所示，将发现新加入域的计算机，说明已自动指派相应计算机账户。


图7.2  设置域名


图7.3  查看计算机账户
如果要退出Active Directory域，只需将域成员计算机重新加入工作组即可。
至于Windows 2000、Windows XP计算机作为工作站加入到域的操作步骤与独立服务器基本相同，只是操作界面有点差别。
4．域成员计算机登录到域
启动域成员计算机（服务器或工作站），按〖Ctrl〗+〖Alt〗+〖Delete〗组合键，以UPN用户名“用户名@域名”和密码登录到域，也可以SAM账户名称和密码登录到域。
注释：SAM是安全账户管理的意思，这种账户是为了与Windows NT域兼容，域内的每个用户都有一个惟一的SAM账户名称。以SAM账户登录时，可在登录界面中单击【选项】按钮展开，在【登录到】框中设置要登录的域名（域NetBIOS名称），在【用户名】框中输入用于Windows 2000以前版本的用户登录名。
登录到域后，可通过“网上邻居”窗口来查看网络中的域及其中的计算机
7.2.3  管理和使用Active Directory对象
在Active Directory中应对各类Active Directory对象进行合理的组织和管理。
1．Active Directory对象类别
主要的Active Directory对象类别如下。
用户（User）：作为安全主体，被授予安全权限，可登录到域中。
计算机（Computer）：表示网络中的计算机实体，加入到域的Windows NT/2000/XP/2003计算机都可创建相应的计算机账户。
联系人（Contact）：一种个人信息记录。联系人没有任何安全权限，不能登录网络，主要用于通过电子邮件联系的外部用户。
组（Group）：某些用户、联系人、计算机的分组，用于简化大量对象的管理。
组织单位（Organization Unit）：将域细分的Active Directory容器。
打印机（Printer）：在Active Directory中发布的打印机。
共享文件夹（Shared Folder）：在Active Directory中发布的共享文件夹。
InterOrgPersion：标准的用户对象类，对于Windows Server 2003域功能级别来说，可以作为安全主体。
这些对象主要是通过“Active Directory用户和计算机”控制台来管理的。如图7.4所示，默认情况下，展开域节点时，控制台树中将显示以下容器。


图7.4  “Active Directory用户和计算机”控制台
Builtin：用来存放默认内置组（如Account Operators或Administrators）对象。
Computers：包含Windows 2000、Windows XP和Windows Server 2003计算机对象。
Domain Controllers：运行Windows 2000或Windows Server 2003的域控制器的计算机对象。
ForeignSecurityPrincipals：存储有信任关系的域的对象。
Users：包含域内用户账户和组。
选中【查看】菜单上的【高级功能】命令时，还将显示LostAndFound和System两个文件夹。LostAndFound包含在创建对象的同时，其容器被删除的对象。System包含各种系统服务容器和对象的内置系统设置。

duanxk_de

{:4_374:}