第14章活动目录和域

WindowsServer2008教程课件

电子工业出版社

课件制作人声明本课件共18个Powerpoint文件（每章一个）。教师可根据教学要求自由修改此课件（增加或删减内容），但不能自行出版销售。对于课件中出现的缺点和错误，欢迎读者提出宝贵意见，以便及时修订。第14章活动目录和域14.1活动目录介绍14.2搭建域环境14.3管理域成员14.4域和林功能级别14.1活动目录介绍在规模较小的企业环境中，计算机可以使用工作组的形式来组织和管理。但是，如果企业的网络规模较大、地理位置分散，并且网络中的计算机和服务器数量较多，就需要使用域的形式来组织，以便进行集中的管理和集中的用户身份验证。工作组缺点工作组”对计算机的管理有如下缺点：工作组中的计算机没有统一的管理机制，每台计算机的管理员只能管理本地计算机，即只能设置本地计算机的安全策略、本地连接和共享等。工作组中的计算机也没有对用户帐户的统一的身份验证机制，用户登录计算机只能使用该计算机的本地用户帐户，由本地计算机来验证用户的身份。当访问网络上的共享资源时，则需要提供访问网络资源的凭据。用户需要记住访问各个服务器用的帐户和密码。工作组的计算机也没有统一查找网络资源的机制，这些网络资源包括网络中的共享的打印机、企业的用户帐户信息和共享文件夹等。域功能和特点活动目录有以下特点集中管理，可以集中地管理企业中成千上万分布于异地的计算机和用户。便捷的网络资源访问，能够很容易地定位到域中的资源。用户一次登录就可访问整个网络资源，即集中的身份验证。可扩展性，既可以适用于几十台计算机的小规模网络，也可以适用于跨国公司。DNS服务器在域环境中的作用DNS服务器在域环境中所起的作用如下：域名解析DNS服务器通过其A记录将域名解析成IP地址。定位活动目录服务客户机通过DNS服务器上SRV记录定位目录服务。14.2搭建域环境域是一种层次结构的组织形式，我们可以根据公司规模的大小，搭建合适的域环境。即，如果公司有分公司或子公司，我们可以在域的基础上创建该域的子域，也可以在子域的基础上创建子域的子域。同时，我们也可以将多个域进行合并，成为一个“林”，从而可以对林中的所有计算机进行统一管理。我们首先搭建一个单域环境，掌握活动目录的基础功能。在后续章节中，将详细介绍子域等知识。安装活动目录和DNS服务安装活动目录后的检查强制域控制器注册SRV记录SRV记录注册不成功的可能原因14.3管理域成员将计算机加入域时会自动在活动目录中创建该计算机帐户。不管是运行WindowsNT、Windows2000、WindowsXP或WindowsVista的计算机，还是运行WindowsServer2003、WindowsServer2008的服务器，在加入域时都会在域中创建一个计算机帐户。与用户帐户类似，计算机帐户对访问网络和域资源提供了一种身份验证和审核方式。域中的每个计算机帐户必须是唯一的。默认计算机帐户存储在域中computers中。当然我们可以根据需要将计算机帐户移动到别的组织单元，也可以先在域中特定的组织单元中创建计算机帐户，然后再把计算机加入到域。将计算机加入到域禁用计算机帐号将计算机退出域域环境中计算机名称解析14.4域和林功能级别从WindowsNT到Windows2000Server、WindowsServer2003、WindowsServer2008都提供活动目录功能，然而不同的操作系统运行的域提供不同功能的服务，即在域内由不同类型的操作系统组合而成的域，支持不同的功能和服务，我们称之为不同的域的功能级别。同理在林中也存在林的功能级别这个概念。例如，在WindowsServer2003的ActiveDirectory中提供了比Windows2000ServerActiveDirectory更高的功能级别，称为Windows2003临时模式和Windows2003模式。只有把所有的域控制器都升级到Windows2003模式，整个林才能被提升到Windows2003模式。域功能级别域功能级别只影响该域和该域的功能。WindowsServer20008域环境支持5种功能级别：Windows2000混合级别（默认）该级别下，域中的DC可以是使用Windows2000和WindowsNT的任意系统，即Windows2000域控制器和WindowsNT4.0备份域控制器可以在同一个域中无缝共存而不会出现任何问题。激活的功能包括本地与全局组并支持全局编录。Windows2000本机级别该级别下，域中所有域控制器可以运行Windows2000或Windows2003系统。激活的功能包括组嵌套、通用组、Sidhistory、安全组与通讯组之间的转换。域功能级别（续）WindowsServer2003临时级别该级别下，允许WindowsServer2003域控制器和WindowsNT4.0域控制器混合使用。但不能与Windows2000域控制器混合使用。即支持的域控制器为WindowsServer2003和WindowsNT4.0。此级别内没有域范围的激活功能。该模式只在将NT4.0的域控制器升级到WindowsServer2003域控制器时使用。WindowsServer2003级别该级别下，域中所有域控制器只能是WindowsServer2003和WindowsServer2008。WindowsServer2008级别该级别是目前为止所有域功能级别中的最高级别，支持所有WindowsServer2003域功能级别，此外还支持以下功能：SYSVOL的分布式文件系统复制支持，可提供SYSVOL内容的更稳健更详细的复制。Kerberos协议的高级加密服务（AES128和256）支持。上次交互式登录信息，将显示用户上次成功交互式登录的时间、来自什么工作站，以及自上次登录失败的登录尝试次数。域功能级别评估Windows2000混合级别对于没有完全淘汰WindowsNT域控制器的企业最为合适。Windows2000本机级别如果已经部署了从WindowsNT到Windows2000的AD迁移，那么这个功能级别显然最合适，而且这种模式也仅仅适合从NT域环境升级到Windows2000。WindowsServer2003临时级别对那些直接从WindowsNT域控制器升级到WindowsServer2003的企业最为合适。但是此种模式不支持Windows2000。域功能级别评估（续）WindowsServer2003级别该级别要求域中所有域控制器为WindowsServer2003或WindowsServer2008。WindowsServer2008级别这是目前最高级别，要求所有域控制器都是WindowsServer2008。林功能级别林功能级别主要分为三种：Windows2000级别该级别支持所有默认的ActiveDirectory功能。WindowsServer2003级别该级别支持所有默认的ActiveDirectory功能及林信任、部署运行WindowsSever2008RODC、在域目录分区