第5章 活动目录和域控制器的管理

第5章

活动目录和域控制器的管理

主要内容技能一安装活动目录技能二管理域控制器2页5.1技能一安装活动目录任务一认识活动目录任务二安装活动目录任务三安装额外域控制器任务四删除活动目录3页5.1.1任务一认识活动目录活动目录域控制器域活动目录、域控制器和域的关系4页活动目录活动目录（ActiveDirectory，AD）是Windows2000Server网络提供的目录服务，是运行在域控制器上的数据库，存储着网络对象的信息。5页域控制器域控制器（DomainControlor，DC）是安装了活动目录的一台Windows2000Server计算机，是Windows2000网络域的核心，负责域用户的验证、域的管理和控制。活动目录数据库保存并运行在域控制器上。6页域域（Domain）是由管理员安装活动目录时定义的一个网络环境，是一些计算机的集合，这个集合使用一个目录数据库，并为管理员提供对用户账户、组和计算机等对象的集中管理维护的能力。7页活动目录、域控制器和域的关系活动目录、域控制器、域三者具有相互依存关系。活动目录运行在域控制器上，域控制器是域中的服务器，控制域的活动。8页5.1.2任务二安装活动目录启动Windows2000Server计算机，以系统管理员身份即administrator登录。执行【开始】→【程序】→【管理工具】→【配置服务器】命令，打开“Windows2000配置您的服务器”窗口，单击左侧的【ActiveDirectory】超级链接，在右侧窗格中滚动垂直滚动条，使之显示“启动ActiveDirectory向导”。9页“Windows2000配置您的服务器”窗口10页接上单击【启动】超级连接，打开“欢迎使用ActiveDirectory安装向导”对话框。单击【下一步】按钮，显示“域控制器类型”对话框。该对话框允许选择新建一个域还是在现有域中创建额外的域控制器。对于新创建的域，选择“新建域的域控制器”；对于现有的域，可以选择“现有域的额外域控制器”，以在一个域中创建多个域控制器。这里选择【新域的域控制器】单选按钮，单击【下一步】按钮。11页“ActiveDirectory安装向导”对话框12页“域控制器类型”对话框13页接上出现“创建目录树或子域”对话框，允许选择创建一个新的目录树还是在现有的域目录树中创建一个子域。对于大中型的网络可以在现有的域中创建子域，从而形成一个域树。对于小型网络则只创建一个域即可。这里选择【创建一个新的域目录树】，单击【下一步】按钮。显示“创建或加入目录林”对话框，对于大型网络，如果已经存在域目录林，可选择【将这个新的域目录树放入现有的目录林中】单选按钮。对于小型网络，创建第一个域，则选择【创建新的域目录林】单选按钮。这里选择【创建新的域目录林】单选按钮，单击【下一步】按钮。14页“创建目录树或子域”对话框15页“创建或加入目录林”对话框16页接上出现“新的域名”对话框，在【新域的DNS全名】文本框中输入新域的名称。域名的格式可以是Internet格式，如，也可以是局域网惯用的格式，这里输入Internet格式的域名，如，单击【下一步】按钮。显示“NetBIOS域名”对话框，在【域NetBIOS名】文本框中输入域的NetBIOS名称或使用其默认的名称。这里使用默认名称，单击【下一步】按钮。17页“新的域名”对话框18页“NetBIOS域名”对话框19页接上出现“数据库和日志文件位置”对话框，根据需要选择数据库文件和日志文件的位置。建议将数据库和日志文件放在不同的硬盘上，以改善服务器性能。这里保持默认位置，单击【下一步】按钮。出现“共享的系统卷”对话框，提示输入“Sysvol文件夹”的位置。这里使用默认位置，单击【下一步】按钮。20页“数据库和日志文件位置”对话框21页“共享的系统卷”对话框22页接上由于该域控制器上没有安装DNS服务器，所以会弹出确认安装配置DNS服务器的对话框，单击【确定】按钮。23页接上出现“配置DNS”对话框，选择【是，在这台计算机安装和配置DNS（推荐）】单选按钮，并单击【下一步】按钮。出现“权限”对话框，提示为用户和组对象选择默认权限，根据需要进行选择。这里选择【只与Windows2000服务器相兼容的权限】，单击【下一步】按钮。24页“配置DNS”对话框25页“权限”对话框26页接上出现“目录服务恢复模式的管理员密码”对话框，在【密码】和【确认密码】文本框中两次输入密码（该密码不是系统管理员的登录密码），单击【下一步】按钮。出现“摘要”对话框，可检查并确认各个选项，如果有误，可单击【上一步】按钮，回退后重新设置。检查无误后，单击【下一步】按钮。27页“摘要”对话框28页“目录服务恢复模式的管理员密码”对话框29页接上弹出“正在配置ActiveDirectory”对话框，需耐心等待。注意，这里不要点击“取消”按钮，否则会前功尽弃。当进行到配置DNS的步骤时，会弹出“插入磁盘”对话框，提示插入Windows2000Server安装文件所在的光盘，插入光盘后，单击【确定】按钮。弹出“所需文件”对话框，按提示输入或单击【浏览】按钮选择安装文件所在目录“i386”的位置，单击【确定】按钮，继续进行配置。30页“正在配置ActiveDirectory”对话框31页“插入磁盘”提示32页“所需文件”对话框33页“配置DNS服务”对话框34页接上配置完成后，显示“完成ActiveDirectory安装向导”对话框，单击【完成】按钮。弹出对话框，提示“必须重新启动Windows，ActiveDirectory安装向导所做的改动才能生效”。单击【立即重新启动】按钮，系统重新启动。启动成功后，ActiveDirectory安装、配置生效。至此，活动目录安装完毕。35页“完成ActiveDirectory安装向导”对话框36页“重新启动”对话框37页说明安装活动目录以后，计算机发生了很大的变化。首先计算机由独立服务器或成员服务器提升成为域控制器，该计算机上的本地用户和组也转化为域用户和组。因此在该计算机的“计算机管理”工具中，“本地用户和组”工具被禁用。计算机的管理员转变为网络管理员，现有的本地用户账户转变为域（全局）用户账户。为了保证网络系统的安全，Windows2000不再允许普通用户在域控制器上交互式登录。“管理工具”中增加了许多与活动目录有关的工具，如“ActiveDirectory用户和计算机”、“ActiveDirectory域和信任关系”、“ActiveDirectory站点和服务”、“域安全策略”、“域控制器安全策略”、“DNS”等。由于安装了活动目录，计算机启动速度明显减慢。在创建了域的网络的使用过程中，域控制器需要先于客户机开机或长期保持正常运行状态，才能保证客户机可以随时登录到域使用域中的资源，保证网络的正常运行。38页相关知识链接域模式单域模式单主域模式多主域模式完全委托域模式域成员独立服务器39页5.1.3任务三安装额外域控制器在一台运行Windows2000Server的计算机上以管理员身份登录，设置“Internet协议（TCP/IP）”的属性。鼠标右键单击桌面上的【网上邻居】图标，选择【属性】命令；在打开的“网络和拨号连接”窗口中，鼠标右键单击【本地连接】选项，选择【属性】命令；在弹出的“本地连接属性”对话框中，选择“Internet协议（TCP/IP）”，单击【属性】按钮，弹出“Internet协议（TCP/IP）属性”对话框。在“Internet协议(TCP/IP)属性”对话框中，输入IP地址（如2）、子网掩码（如）和首选DNS服务器的IP地址（如1），然后单击【确定】按钮。40页“Internet协议(TCP/IP)属性”对话框41页接上运行“ActiveDirectory安装向导”，安装额外域控制器。执行【开始】→【运行】选项，输入：dcpromo，单击【确定】按钮。在弹出的“欢迎使用ActiveDirectory安装向导”对话框中，单击【下一步】按钮。在弹出的“域控制器类型”对话框中选择【现有域的额外域控制器】单选按钮，单击【下一步】按钮。出现“网络凭据”对话框，输入有权创建域控制器的用户名（如administrator）及其密码，并输入现有域的域名（如），单击【下一步】按钮。42页接上弹出“额外的域控制器”对话框，输入现有域的DNS全名，或单击【浏览】按钮，在弹出“浏览域”对话框中选择域名，并单击【确定】按钮，返回“额外域控制器”对话框。然后单击【下一步】按钮。如果使用默认设置，则只需单击【下一步】按钮。经过自动配置，最后弹出完成向导对话框，单击【完成】按钮，完成安装。43页“运行”对话框44页“网络凭据”对话框45页“额外域控制器”对话框46页“浏览域”对话框47页“正在配置ActiveDirectory”对话框48页5.1.4任务四删除活动目录在域控制器上以管理员身份登录，执行【开始】→【运行】选项，输入：dcpromo，单击【确定】按钮，弹出“ActiveDirectory安装向导”对话框，提示删除活动目录，单击【下一步】按钮。弹出“删除ActiveDirectory”对话框，如果要删除的是域中剩下的最后一个域控制器，则选中【这个服务器是域中的最后一个域控制器】复选框，否则不要选中该复选框。单击【下一步】按钮。显示“管理员密码”对话框，输入并确认管理员密码，该密码用于降级后，管理员登录计算机时使用。单击【下一步】按钮。49页“删除ActiveDirectory”对话框50页“管理员密码”对话框51页接上出现“摘要”对话框，可以检查并确认选择的选项，如果有误，可单击【上一步】按钮返回，重新设置。单击【下一步】按钮，弹出“正在配置ActiveDirectory”对话框，并进行配置，待配置完成后，弹出“完成ActiveDirectory安装向导”对话框，单击【完成】按钮即可。52页5.2技能二管理域控制器任务一查看和设置域控制器属性任务二委派控制53页5.2.1任务一查看和设置域控制器属性以管理员身份登录到域控制器，执行【开始】→【程序】→【管理工具】→【ActiveDirectory用户和计算机】选项，打开“ActiveDirectory用户和计算机”窗口，这个窗口是Windows2000活动目录的管理控制台，在这里可以完成域控制器、域用户、计算机、组和组织单元等对象的一系列管理工作。54页“ActiveDirectory用户和计算机”窗口55页接上在左侧的控制台目录树中双击域名节点“”或单击其前面的“+”号，展开该域，选定【DomainControllers】子节点。在右侧列表中右键单击要管理的域控制器计算机名，如“W2KS11”，选择【属性】命令，打开域控制器属性对话框。56页域控制器属性对话框中的“常规”选项卡57页接上在“常规”选项卡中可以查看到计算机名、DNS名、角色等信息。在【描述】文本框中可以输入该域控制器的有关描述，对域控制器加以说明。单击【操作系统】选项卡，可查看该计算机安装的操作系统的版本等信息。58页“操作系统”选项卡59页接上单击【成员属于】选项卡，可将此域控制器加入到其他组中（组是管理计算机和用户的单位，参见第8章）。单击【添加】按钮，弹出“选择组”对话框，在上部的列表中选择要加入的组，单击【添加】按钮，最后单击【确定】返回。60页“成员属于”选项卡61页“选择组”对话框62页接上单击【位置】选项卡，可在【位置】文本框中输入域控制器的位置。单击【管理者】选项卡，可查看管理者有关信息。单击【更改】按钮，可更改管理者；单击【查看】按钮可查看管理者的属性信息；单击【清除】按钮，可删除管理者。设置完成后，单击【确定】按钮。63页域控制器位置选项卡64页“管理者”选项卡65页5.2.2任务二委派控制以管理员身份登录域控制器，执行【开始】→【程序】→【管理工具】→【ActiveDirectory用户和计算机】选项，打开“Active