第3章windows 2000 server架构服务器

第3章windows2000server架构服务器

3.1域控制器与域控制器的安装

3.2用户账号

3.3用户组

3.4DHCP月艮务器

3.5DNS服务器

3.6WWW服务器

3.7FTP服务器

3.8E—mail月艮务器

3.9代理服务器

3.1域控制器与域控制器的安装

3.1.1活动目录

活动目录（ActiveDirectory）是

Windows2000Server使用的目亲服务，是

Windows2000分布式网络的基础，它扩展

了以前基于WindowsNT的目录服务的功能,

并增加了一些全新的功能。活动目录存储

着有关网络对象的信息，其中包括域节点、

计算机帐户、用户帐户的信息（如名称、

密码、电话号码等）、组、组织单位和共

享的网络资源（如文件夹和打印机等）

3.1域控制器与域控制器的安装

1Windows2000Server目录服务具有下列功能：

1）数据存储

2）制定一套规则，即架构

3）包含目录中每个对象信息的全局编录

4）建立查询和索引机制

5）通过网络分发目录数据的复制服务

6）与网络安全登录过程的安全子系统的集成，以及

对目录数据查询和数据修改的访问控制。

7）为获得活动目录的所有功能，通过网络访问活动

目录的计算机必须运行正确的客户软件。

3」域控制器与域控制器的安装

2.活动目录逻辑结构

1)对象

2)组织单元

3)域

4)目录树

5)目录林

3.1域控制器与域控制器的安装

3.域间信任关系

(1)单向

⑵双向

(3)可传递

(4)不可传递

(5)外部信任

(6)快捷信任

windows2000中所有信任关系都是可

传递的而且是双向的

3.1.2域控制器

i.域控制器

•包含指定域内的用户帐户和其他ActiveDirectory数

据的副本

2.成员服务器

-属于某个域，但不含有ActiveDirectory数据的副本。

因为不是域控制器，所以成员服务器不处理帐户登录

过程。

3.独立服务器

-该服务器属于工作组不属于域。这种服务器可以提供

本地的共享资源，但不能提供活动目录服务。

3.1.2域控制器

关于域控制器

-要创建域，用户必须将一台或更多的运行Windows2000

Server/AdvancedServer的计算机升级为域控制器。

-单个域可以包括一台或多台配置为域控制器的计算机，每台域控制器的

地位都是平等的。它们各存储着一份相同的ActiveDirectoryo

-ActiveDirectory支持域中所有域控制器之间目录数据的多主机复制。

-如果任何一台域控制器内添加了一个用户帐户后，该帐号被建立在该台

域控制器的ActiveDirectory数据库内，这份数据会定期自动地被复制到

其它域控制器的ActiveDirectory数据库内，以便让所有域控制器内的

ActiveDirectory数据都能保持同步。

-当用户从域上的某台试计算机登录时，就会由其中的任一台域控制器负

责审核用户的帐号与密码。

-使用单个局域网的小公司可能需要一个或更多的域控制器，而拥有多个

网络位置的大型公司在每个位置都需要更多的域控制器以提供高可用性

和容错性。

3.1.3域控制器的安装

1.域控制器安装条件

1）计算机运行的操作系统是Windows2000Server>Windows2000

AdvancedServer或Windows2000DatacenterServer0

2）活动目录数据库至少需要200MB的磁盘空间，此外活动目录数据库的

事件日志还需要额外的50MB空间。当然,活动目录数据库及其日志

文件的实际大小，最终依赖于域中对象的种类和数量。如果该域控

制器同时还是全局编目服务器，则需要更大的磁盘容量。

3）拥有一个NTFS文件系统的分区或卷用于存放SYSVOL文件夹。

4）服务器需要安装配置TCP/IP协议，并且在网络中需要有该服务器可以

配置使用的DNS服务器。

5）需要有在现有网络或域中创建域控制器的特权。

3.1.3域控U器的安装

域控制器安装步骤

Windows2000配置您的JR务署二I」的ActiveDirectory安装向导X.

欢迎使用ActiveDirectory安装向

2000导

向导帮助您在这台服务器上安装ActiveDirectory

主页

网落上已有域控制器-将修的服务器设置为额外域控制需服务，使其成为域控制器.

子城，新潼域目录树,或新建林目录.

现在注册

ActiveDirectory

要成为ActiveDirectory壬机，您需要格式化为HTFS照于Windows

文件服务序2000)的分区.

打印服务器小心要继续，请单击“下一步

请增信您熟悉ActiveDirectory,并在进行处理之前确知将会对该服务器有

何影响.

hb/媒体服务器

基也关于ActiveDirwtory和域控制器的信息,从而确定例是

?要安装ActiveDirectory*

启动Activ*Directory向导

高级

完成向导后，您的服务图将重新启动，配置服务困屏茸将会出现,

ActiveDirectory屏科，首理您的计算机和用户帐户.

域控制等类型创建目录树或子域

指定想要这个服务器担任的角色,您可创建一个新城目录树或新的子域

选择此选项来创建新的子域、新的域目录树或新的目录林.此服务器将成

为新域中的第一个域控制器.

在现有域目录树中创建一个新的子域(£)

如果您想使新城成为现有域的子域，请选择此选项,

名为headquarters,example.microsofLcom的融，

example,microsoft.com域的孑域.

“线辞力的件或—应该在鲍之前解密

取消上一步国”下一步国)>|

3.1.3域控制器的安装

2.域控制器安装步骤

您要创建新的目录林还是要加入现有目录林？请输入新城的DNS全名.

@电建新的峨苴聚秫©?驾器雪景单位巳羽一个在工命名颁发机构注册的DNS域名,则可使

而第遂至■箪莅面话一个域，或您希望所创建的新城独立于您的现有目录

林，诗选择此选成・

节域的DMS全名卫）：

|yh.hxu-tu.edu.cn

C将这个新的域目录树敌入现有的目录林中也）

如果您想要新的域目景树中的用尸访问现有域目录树的资涯，或想要现有

域目录树的用户访问新的域目录树的资源，请选择此选项.

<上一步也“迂:三芝:®二M取消

《上一步集”下一步国）>1取消

|ActiveDirectory安装向导〔ActiveDirectory安装言辱

■etBIOS核名数据库和日器文件位置

为新城J旨定一个NetBIOS名称.请指定ActiveDirectory数据度和曰志文件的位置.

萱畲禽薯猿父霸患蔡本的用户用来识别所域的•单击“下一步”接受基于最隹性能和对恢复:性的考虑•道将数据库和日志存放在不同的硬盘上.

您抵望在哪里保存ActiveDirectory数据库？

域NetBIOS名①）：|YH'

激据库位置也）:

\wnnrr\NTDS|浏览®».

傅希望在哪里保存ActiveDirectory日志？

日志位置g

jCWINNT\NTDS谢苑@>

〈上一步也“下一步）

<上一步集）IT-^CH：I>j取消CB"取消

3.1.3域控制器的安装

2.域控制器安装步骤

〔ActiveDirectory安装向导xj

目录事务诙复模式的营理员交码

指定营理员密码，在“目录服务恢复模式”下启动计算机时使用.

输入并确认您想给这个服务需管理员帐户的密码，当计算机在目录服务恢复模

式下启动时，会用到此密吗.

******

确U峦码(£)F*****i

<上一步也"下—®»>]取消

酬Ac间tiv.eDirectory.根据您所选的选项，.也此过客程礴可F能要

西

开始.

3.1.4域控制器的降级

・域控制器的降级（自动识别安装或删除）

1.用ActiveDirectory安装向导

2.在“开始一＞运行"中执行命令：dcpromo

3.2域中的用户账号

•在Windows2000中用户可以使用“Active

Directory用户和计算机”管理工具来实现建立用

户帐号、计算机帐号、组、安全策略等功能

1.用户帐号

•用户帐号能够让用户以授权的身份登录到计算机和域

中，并访问其中资源。它也可以作为某些软件的服务

帐号

1)域用户帐号(DomainUserAccounts)

2)本地用户帐号(LocalUserAccounts)

3)内置的用户帐号

Administrator

Guest

3.2.2创建域用户帐户

(1)域用户的创建步骤:

包商创建在yh.hxirtu.edu.cn/Vsers

21个对象

8ActiveDirectory用户和计苴机(]姓&)

@CAdministrator部计篁机城砌置,

JButin国CettPublishers安全纲-全局企业认证和票办代理名9：英文缩写d)

ffi-口Computers®DHCPAdministrators安全姐•本地域对DHCP服务明有管理.姓名3

宅国DomainCorttolers0DHCPUsers安全纲，本地域对DHCP服务器只有只.

而DnsAdrohs

_JForagnSecurityPrinopals安全胆-本地域DNS管理员姻用户登录名QD

^DnsUpdateProxy安全组•全局允评替其它客户(如DH

香海控制…|zhanghua)|@yh.hnrtu.edu.cn.

f^DotnanAdrrans安全姐-毓指定的蝇理员

碎①“用尸登录名Windows2000以前版本)(W)

fSDomainComputers安全组-全局加入嬲中的所有工作

新建回计算机EDornanControters安全姐•全局域中所有域控制质|zhanghua

所有任务的殿人EDofftanGuests安全组一线域的所有来宾

口DomainUsers安全组-全局所有域用尸

§1(V)

打印机EEnterpriseAdfrins安全组•全局企业的指定系统管理员

从这里婕窗口(也

PolcyO/zn&s安全组-全局这个组中的成员可以解

W(E)共享冰快供来官访问计算机或访.

导出列表Q)…•..；」!F，［下一步Qp〉［

屉性但)

〔新建对象用户

-用尸

创建在yh.hnrtu.edu.cn/Vsers

创建在yh.imrtu.edu.cn/Users

您单击“完成”后，下列对象将被创建:

确久密码《)全称：张华

用尸登录名zhanghuafiyh.hnrtu.edu_cn

17殂m下次鞭更须更设重理⑥}

用户下次登录时须更改密码.

r用户不能更改密码⑤)

r密码永不过期量)

「株尸已停用(Q)

＜上一步c&)|下一步建)》|取消《上一步童)|匚二完成二二|取消

3.2.2创建域用户帐尸

（2）用户属性配置：基本数据、登录时间、

登录工作站、组属性

[4ActiveDirectory用户和计■机

.龙制司Q国口侬强加）

拨入I环境I会话］远程控制।终端服务配置文件

鸟蚂型_上“回施X旨©j国J?法瑞▽&1?常规|地址|帐户］配置文件|电话|单位|成员属于

利|Users22个对馥

因弊iveDi«doty用户和计I类型I卷送号张华

n尊0Adrrtnistfdtof用户管理计宜机（域功内置…

口BuhinkertPuWishets全局企业认证槌办代超

E口ComputersSDHCPAdirinistrators安全姐本地竦对DHCP账务§§有管理…

/曲DcmanControlers[DHCPUsers安全姐本地域对DHCP版条罟只有只…

LJForesgnSeantyPrlr以DnsAdnre安全盥本地域。防管理员担

fJOnslipdateProxy安全纲全局允许替其它容尸（?0DH...

@DomnAdmhs复俅o指定飙售理员

KDonwinCanputers郴旗添摊渊⑥…加入到域中的所有工作…

aDo3nCcrtrcflws停用帐户⑤域中所有域控制88

或DomainGuests重设密码①…域的所有来宾

建DomainUsers移动所百域用户

圆ErtetpiseAdmins打开主页（由企业的指定系批管理员

fBcroupPokyCreatorOwners发送邮件更I）这脩中的成员可以修…

给Guest供来克访问计苴机或访…

所寄任务也）

CIUSR_YH01匿名访自Internet僖息…

CIWAM_YM01鹤8启动迸程之外的应用程…

fekrbtgt重命名回密钥发行中心报务假户

@RASandIASServers

例E）这个组中的服芬器可以…

aSchemaAdrm架构的指定系获翻员

CTslrtemeWser这个用户帐户嘏?端服…

@"【祐Use污______________Wtj)对WINS账务器仅有只…

2J

对象的屉性喉I取涓

3.2.2创建域用户帐尸

（2）用户属性配置：基本数据、登录时间、

登录工作站、组属性

I张华星性21XI张华的葺录时段凶

捷人|环境I会话|远程控制|货端辗务配置文件