複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/活動目錄服務/927529
複製
複製成功

活動目錄服務

鎖定
活動目錄服務是Windows 2000 Server最重要的新功能之一,它可將網絡中各種對象組合起來進行管理,方便了網絡對象的查找,加強了網絡的安全性,並有利於用户對網絡的管理。活動目錄是一種目錄服務,它存儲有關網絡對象的信息,例如用户、組、計算機、共享資源、打印機和聯繫人等信息,並使管理員和用户可以方便的查找和使用這些網絡信息。通過Windows 2000 Server的活動目錄,用户可以對用户與計算機、域、信任關係,以及站點與服務進行管理。活動目錄具有可擴展性與可調整性。
中文名
活動目錄服務
來    源
Windows 2000 Server
性    質
重要的新功能
用    途
方便了網絡對象的查找等

目錄

  1. 1 背景介紹
  2. 2 安裝

活動目錄服務背景介紹

域仍然是Windows 2000 Server的基本管理單位,域模式的最大好處就是單一的網絡登錄能力,用户只要在域中有一個賬户,就可以在整個網絡中漫遊。活動目錄服務增強了信任關係,擴展了域目錄樹的靈活性。活動目錄把一個域作為一個完整的目錄,域之間能夠通過一種基於Kerberos認證的可傳遞的信任關係建立起樹狀連接,從而使單一賬户在該樹狀結構中的任何地方都有效,這樣在網絡管理和擴展時就比較輕鬆。
同時,活動目錄服務把域又詳細劃分成組織單元。組織單元是一個邏輯單元,它是域中一些用户和組、文件與打印機等資源對象的集合。組織單元中還可以再劃分下級組織單元,下級組織單元能夠繼承父單元的訪問許可權。每一個組織單元可以有自己單獨的管理員並指定其管理權限,它們都管理着不同的任務,從而實現了對資源和用户的分級管理。活動目錄服務通過這種域內的組織單元樹和域之間的可傳遞信任樹來組織其信任對象,為動態活動目錄的管理和擴展帶來了極大的方便。
另外,在Windows 2000網絡中,所有的域控制器之間都是平等的關係,不再區分主域控制器備份域控制器。Windows 2000 Server在進行目錄複製時,不是沿用一般目錄服務的主從方式,而是採用多主複製方式。Windows 2000 Server在複製目錄庫時,對各個對象的修改順序數進行比較,判斷它們被修改的先後順序,結果最新修改的對象屬性被保留,舊的屬性就被新的屬性所取代,這就保證每個域控制器上的目錄服務數據庫都是最新的。

活動目錄服務安裝

以在運行Windows Server 2003系統的服務器中安裝活動目錄服務為例介紹方法:
第1步,在開始菜單中依次單擊“管理工具”→“配置您的服務器嚮導”菜單項,打開“配置您的服務器嚮導”對話框。在歡迎對話框中單擊依次單擊“下一步”→“下一步”按鈕。
第2步,配置嚮導檢測網絡設置和網絡連接是否正常,如果沒有發現問題則打開“服務器角色”對話框。在“服務器角色”列表中選中“域控制器(Active Directory)”選項,並單擊“下一步”按鈕。
第3步,在打開的“選擇總結”對話框中直接單擊“下一步”按鈕。如果在當前服務器中安裝了終端服務,則會提示用户安裝Active Directory將改變終端服務器的安全策略。單擊“確定”按鈕即可。
第4步,打開“Active Directory安裝嚮導”對話框,在歡迎對話框中單擊“下一步”按鈕。  小提示:用户也可以在“運行”對話框中輸入Dcpromo命令並按回車鍵來打開Active Directory安裝嚮導。
第5步,在打開的“操作系統兼容性”對話框中,提示用户運行舊版本Windows 系統的客户端將無法登錄到Windows Server 2003(SP1)系統域中。單擊“下一步”按鈕。
第6步,打開“域控制器類型”對話框,在該對話框中需要指定這台Windows Server 2003(SP1)系統服務器擔任的角色。如果要創建一個全新的域,則必須選中“新域的域控制器單選框,並單擊“下一步”按鈕。
第7步,在打開的“創建一個新域”對話框中,AD可以把域組織成域樹,然後把域樹組織成森林。如果要創建新域樹中的第一個域(也是新森林中的第一個域樹),則需要選中“在新林中的域”單選框,並單擊“下一步”按鈕。
第8步,打開“新的域名”對話框,在“新域的DNS全名”編輯框中輸入要使用的域名,並單擊“下一步”按鈕。
第9步,在打開的“NetBIOS域名”對話框中,需要為新域指定一個NetBIOS域名。因為在企業的局域網中可能運行着Windows 2000系統以前的版本(如Windows 9X系統),這些系統無法識別這樣的域名。因此AD域為這些系統準備了一個它們能夠識別的域名,即“NetBIOS域名”。默認情況下,安裝嚮導會將域名中分隔符最左邊的部分作為NetBIOS域名。用户可以保留默認值,並單擊“下一步”按鈕。
如果默認設置的NetBIOS域名與網絡中其他計算機的名稱相同,會提示計算機名稱衝突,並自動重新設置NetBIOS域名。
第10步,打開“數據庫和日誌文件文件夾”對話框,在這裏需要設置兩個文件夾的路徑。AD域把AD數據庫存儲為兩部分,一部分是AD數據庫文件本身,另一部分是事務日誌。如果將AD數據庫文件存儲在NTFS分區中,可以獲得明顯優於FAT分區的性能。而如果將事務日誌文件存儲在跟AD數據文件不同的物理硬盤上(且使用不同的IDE通道),則可以實現AD數據庫和日誌的同時更新,所獲得的性能提高同樣非常明顯。如果計算機中只安裝一塊硬盤系統,則可以保持默認路徑,並單擊“下一步”按鈕。
第11步,在打開的“共享的系統卷”對話框中,需要為Sysvol文件夾選擇一個NTFS格式的分區路徑。Sysvol文件夾中存儲有AD域中重要的用户配置和控制信息文件(如“系統策略文件”、“默認配置文件”和“登錄腳本”等),並且該文件夾會自動地被複制到其他的DC中,實現域信息的同步更新。但是系統對Sysvol文件夾的自動複製需要NTFS分區的支持,這也是在表8-1中所提到的需要一個NTFS分區的原因。本例中硬盤的C區是一個NTFS分區,因此保持默認路徑並單擊“下一步”按鈕。
第12步,稍等一段時間會打開“DNS註冊診斷”對話框,在列出的診斷結果中可以看到出錯提示。這是因為這台服務器未正確配置DNS服務,因此這裏選中“在這台計算機上安裝並配置DNS服務器,並將這台DNS服務器設為這台計算機的首選DNS服務器”單選框。單擊“下一步”按鈕。
DNS是AD域的基礎,AD會把域控制器和全局目錄服務器列表存儲在DNS中,因此在網絡中存在一台DNS服務器是必需的。當然也可以在安裝AD的過程中讓安裝嚮導在DC上自動設置DNS服務器,這種方式比較適合對DNS和AD域不熟悉者使用。
第13步,在打開的“權限”對話框中,需要設定用户和組對象的默認權限。其實這裏所説的權限主要涉及到RAS(Remote Access Server,遠程訪問能服務器)的匿名登錄問題。因為在NT4域中,RAS在沒有匿名登錄的域中是無法工作的。如果確信企業網絡中的服務器系統均在Windows 2000 Server以上,則建議選中“只與Windows 2000或Windows Server 2003系統操作系統兼容的權限”複選框。因為該選項將關閉RAS服務器的匿名登錄,從而提高安全性。單擊“下一步”按鈕。
第14步,打開“目錄服務還原模式的管理員密碼”對話框,設置一組還原密碼。在Windows 2000 Server和Windows Server 2003(SP1)系統的啓動過程中,有一個選項可以用來重建被損壞的AD數據庫,並把它恢復到內部一致的一個較早期版本。然而這是一把雙刃劍,因為重建數據庫與破壞數據庫在破壞者眼中是一個道理,因此設置還原密碼很有必要。單擊“下一步”按鈕。
設置的還原密碼應該符合密碼策略,在用户更改或創建密碼時會被強制執行該策略。密碼策略主要包括以下兩個方面:
★不包含全部或部分的用户賬户名;
★長度至少為六個字符,必須同時包含英文大寫字母(從A到Z)、英文小寫字母(從a到z)、10個基本數字(從0到9)和非字母字符(例如,!、$、#、%)四個類別中的三個字母。
第15步,在“摘要”對話框中確認所做的設置正確無誤,單擊“下一步”按鈕開始安裝AD。在安裝過程中會打開“Windows安裝程序”對話框安裝DNS服務器,並要求插入Windows Server 2003(SP1)系統安裝光盤或指定系統安裝源文件。AD的安裝過程較漫長,一般需要20~30分鐘的時間。
第16步,安裝結束後單擊“完成”按鈕,並根據提示重新啓動計算機即可。 [1] 
參考資料