1概述

活動目錄服務是Windows 2000 Server最重要的新功能之一,它可將網路中各種對象組合起來進行管理,方便了網路對象的查找,加強了網路的安全性,並有利於用戶對網路的管理。活動目錄是一種目錄服務,它存儲有關網路對象的信息,例如用戶、組、計算機、共享資源、印表機和聯繫人等信息,並使管理員和用戶可以方便的查找和使用這些網路信息。通過Windows 2000 Server的活動目錄,用戶可以對用戶與計算機、域、信任關係,以及站點與服務進行管理。活動目錄具有可擴展性與可調整性。
域仍然是Windows 2000 Server的基本管理單位,域模式的最大好處就是單一的網路登錄能力,用戶只要在域中有一個賬戶,就可以在整個網路中漫遊。活動目錄服務增強了信任關係,擴展了域目錄樹的靈活性。活動目錄把一個域作為一個完整的目錄,域之間能夠通過一種基於Kerberos認證的可傳遞的信任關係建立起樹狀連接,從而使單一賬戶在該樹狀結構中的任何地方都有效,這樣在網路管理和擴展時就比較輕鬆。
同時,活動目錄服務把域又詳細劃分成組織單元。組織單元是一個邏輯單元,它是域中一些用戶和組、文件與印表機等資源對象的集合。組織單元中還可以再劃分下級組織單元,下級組織單元能夠繼承父單元的訪問許可權。每一個組織單元可以有自己單獨的管理員並指定其管理許可權,它們都管理著不同的任務,從而實現了對資源和用戶的分級管理。活動目錄服務通過這種域內的組織單元樹和域之間的可傳遞信任樹來組織其信任對象,為動態活動目錄的管理和擴展帶來了極大的方便。
另外,在Windows 2000網路中,所有的域控制器之間都是平等的關係,不再區分主域控制器與備份域控制器。Windows 2000 Server在進行目錄複製時,不是沿用一般目錄服務的主從方式,而是採用多主複製方式。Windows 2000 Server在複製目錄庫時,對各個對象的修改順序數進行比較,判斷它們被修改的先後順序,結果最新修改的對象屬性被保留,舊的屬性就被新的屬性所取代,這就保證每個域控制器上的目錄服務資料庫都是最新的。

2安裝活動目錄服務

以在運行Windows Server 2003系統的伺服器中安裝活動目錄服務為例介紹方法:
第1步,在開始菜單中依次單擊「管理工具」→「配置您的伺服器嚮導」菜單項,打開「配置您的伺服器嚮導」對話框。在歡迎對話框中單擊依次單擊「下一步」→「下一步」按鈕。
第2步,配置嚮導檢測網路設置和網路連接是否正常,如果沒有發現問題則打開「伺服器角色」對話框。在「伺服器角色」列表中選中「域控制器(Active Directory)」選項,並單擊「下一步」按鈕。
第3步,在打開的「選擇總結」對話框中直接單擊「下一步」按鈕。如果在當前伺服器中安裝了終端服務,則會提示用戶安裝Active Directory將改變終端伺服器的安全策略。單擊「確定」按鈕即可。
第4步,打開「Active Directory安裝嚮導」對話框,在歡迎對話框中單擊「下一步」按鈕。  小提示:用戶也可以在「運行」對話框中輸入Dcpromo命令並按回車鍵來打開Active Directory安裝嚮導。
第5步,在打開的「操作系統兼容性」對話框中,提示用戶運行舊版本Windows 系統的客戶端將無法登錄到Windows Server 2003(SP1)系統域中。單擊「下一步」按鈕。
第6步,打開「域控制器類型」對話框,在該對話框中需要指定這台Windows Server 2003(SP1)系統伺服器擔任的角色。如果要創建一個全新的域,則必須選中「新域的域控制器」單選框,並單擊「下一步」按鈕。
第7步,在打開的「創建一個新域」對話框中,AD可以把域組織成域樹,然後把域樹組織成森林。如果要創建新域樹中的第一個域(也是新森林中的第一個域樹),則需要選中「在新林中的域」單選框,並單擊「下一步」按鈕。
第8步,打開「新的域名」對話框,在「新域的DNS全名」編輯框中輸入要使用的域名,並單擊「下一步」按鈕。
第9步,在打開的「NetBIOS域名」對話框中,需要為新域指定一個NetBIOS域名。因為在企業的區域網中可能運行著Windows 2000系統以前的版本(如Windows 9X系統),這些系統無法識別這樣的域名。因此AD域為這些系統準備了一個它們能夠識別的域名,即「NetBIOS域名」。默認情況下,安裝嚮導會將域名中分隔符最左邊的部分作為NetBIOS域名。用戶可以保留默認值,並單擊「下一步」按鈕。
如果默認設置的NetBIOS域名與網路中其他計算機的名稱相同,會提示計算機名稱衝突,並自動重新設置NetBIOS域名。
第10步,打開「資料庫和日誌文件文件夾」對話框,在這裡需要設置兩個文件夾的路徑。AD域把AD資料庫存儲為兩部分,一部分是AD資料庫文件本身,另一部分是事務日誌。如果將AD資料庫文件存儲在NTFS分區中,可以獲得明顯優於FAT分區的性能。而如果將事務日誌文件存儲在跟AD數據文件不同的物理硬碟上(且使用不同的IDE通道),則可以實現AD資料庫和日誌的同時更新,所獲得的性能提高同樣非常明顯。如果計算機中只安裝一塊硬碟系統,則可以保持默認路徑,並單擊「下一步」按鈕。
第11步,在打開的「共享的系統卷」對話框中,需要為Sysvol文件夾選擇一個NTFS格式的分區路徑。Sysvol文件夾中存儲有AD域中重要的用戶配置和控制信息文件(如「系統策略文件」、「默認配置文件」和「登錄腳本」等),並且該文件夾會自動地被複制到其他的DC中,實現域信息的同步更新。但是系統對Sysvol文件夾的自動複製需要NTFS分區的支持,這也是在表8-1中所提到的需要一個NTFS分區的原因。本例中硬碟的C區是一個NTFS分區,因此保持默認路徑並單擊「下一步」按鈕。
第12步,稍等一段時間會打開「DNS註冊診斷」對話框,在列出的診斷結果中可以看到出錯提示。這是因為這台伺服器未正確配置DNS服務,因此這裡選中「在這台計算機上安裝並配置DNS伺服器,並將這台DNS伺服器設為這台計算機的首選DNS伺服器」單選框。單擊「下一步」按鈕。
DNS是AD域的基礎,AD會把域控制器和全局目錄伺服器列表存儲在DNS中,因此在網路中存在一台DNS伺服器是必需的。當然也可以在安裝AD的過程中讓安裝嚮導在DC上自動設置DNS伺服器,這種方式比較適合對DNS和AD域不熟悉者使用。
第13步,在打開的「許可權」對話框中,需要設定用戶和組對象的默認許可權。其實這裡所說的許可權主要涉及到RAS(Remote Access Server,遠程訪問能伺服器)的匿名登錄問題。因為在NT4域中,RAS在沒有匿名登錄的域中是無法工作的。如果確信企業網路中的伺服器系統均在Windows 2000 Server以上,則建議選中「只與Windows 2000或Windows Server 2003系統操作系統兼容的許可權」複選框。因為該選項將關閉RAS伺服器的匿名登錄,從而提高安全性。單擊「下一步」按鈕。
第14步,打開「目錄服務還原模式的管理員密碼」對話框,設置一組還原密碼。在Windows 2000 Server和Windows Server 2003(SP1)系統的啟動過程中,有一個選項可以用來重建被損壞的AD資料庫,並把它恢復到內部一致的一個較早期版本。然而這是一把雙刃劍,因為重建資料庫與破壞資料庫在破壞者眼中是一個道理,因此設置還原密碼很有必要。單擊「下一步」按鈕。
設置的還原密碼應該符合密碼策略,在用戶更改或創建密碼時會被強制執行該策略。密碼策略主要包括以下兩個方面:
★不包含全部或部分的用戶賬戶名;
★長度至少為六個字元,必須同時包含英文大寫字母(從A到Z)、英文小寫字母(從a到z)、10個基本數字(從0到9)和非字母字元(例如,!、$、#、%)四個類別中的三個字母。
第15步,在「摘要」對話框中確認所做的設置正確無誤,單擊「下一步」按鈕開始安裝AD。在安裝過程中會打開「Windows安裝程序」對話框安裝DNS伺服器,並要求插入Windows Server 2003(SP1)系統安裝光碟或指定系統安裝源文件。AD的安裝過程較漫長,一般需要20~30分鐘的時間。
第16步,安裝結束后單擊「完成」按鈕,並根據提示重新啟動計算機即可。
上一篇[方奇珍]  

相關評論

同義詞:暫無同義詞