计算机网络实验4windows 网络域的实现

.计算机网络实验报告实验序号：实验3实验项目名称：windows 网络域的实现学号姓名专业班级专升本4班实验地点指导教师实验时间一、实验目的及要求活动目录的基本概念l活动目录的规划与安装l域控制器的管理l用户账户和计算机账户的管理l组和组织单位的管理l资源发布和域的管理二、实验设备（环境）及要求两台windows2003服务器三、实验内容与步骤2.1 概 述2.1.1 活动目录简介2.1.2 活动目录的三种特性集成性 深入性 易用性活动目录的逻辑结构1域（Domain）域是活动目录中逻辑结构的核心单元，活动目录包含一个或多个域，每个域均有自己的安全策略以及与其他域的信任关系，因此，域是网络安全管理的边界。也就是说，域内的所有对象均处于一个安全管理单位内，域和域之间的关系是不同安全管理单位之间的关系。域是复制的单位。每个域均可以有一个或者几个域控制器（Domain Controler）。所有域控制器可以接收更改信息，并将这些更改的信息复制到域中的其他域控制器中，从而保证同一个域内的所有域控制器中的内容完全一致。活动目录的逻辑结构2域树根据实际要求，一个网络可能需要包含多个域，这时，可以将网络设置成域目录树的结构（层次结构）。活动目录的逻辑结构域树中的第一个域称作根域，相同域树中的其他域为子域，相同域树中上层的域称为子域的父域。如图8.1所示为一棵域目录树，其中根域为，一级子域为和，下面分别还有两个二级子域。具有公用根域的所有域构成连续名称空间。由于活动目录的域名采用DNS域名的结构进行命名，所以从图中可以看出，该域目录也符合DNS域名空间的命名策略，它们的名称空间是连续的，即：子域的域名包含其父域的域名，如：子域中包含着父域的域名。在这棵目录树中的所有域，共享着一个活动目录，也就是说，一棵域树只有一个活动目录。但是，该活动目录内的数据是分散地存储在各个域内，具体位置是域内的域控制器的目录数据库中，当然，每个域中只存储本域内的数据。活动目录的逻辑结构信任关系是两个域之间安全信息的通信连接，也就是说，两个域只有建立了信任关系后，方可访问对方域内的资源。在Windows Server 2003中域的信任关系有以下特点：l 双向性：如果A域信任B域，则B域就信任A域。l 可传递性：如果A域信任B域，而B域又信任C域，则A域就自动信任C域，那么根据双向性，C域也信任A域，这样A域和C域就自动地建立起双向的信任关系。活动目录的逻辑结构因此，当一个域加入到某个域目录树后，它会自动地双向信任当前域目录树的所有域，这种通过传递性建立起来的双向信任关系，称为隐含的信任关系。如图8.1所设置的一棵域目录树，各个域之间存在着隐含的信任关系。假如，现在建立一个新域，加入到当前域树中，它会与该域树中的所有域自动建立起双向的信任关系，新域的用户可以访问其他域内的资源（在其权限允许范围内）。活动目录的逻辑结构3域林域林由多个域目录树构成（而域树可以看成是特殊的域林），每个域树有自己的独立的名称空间，因此，通常域林中的域并不共享连续的名字空间。如图8.2所示的域目林中包含两棵域树：和。创建的第一棵域树的根域就是整个域树的根域，同时该域的域名就是域林的名称。假设图8.2中的第一棵域树为，那么域就是域林的名称。8.1.2活动目录的逻辑结构域林中所有域树中的根域之间，会自动地建立双向的、可传递的信任关系，因此，域目录林中任何一个域中的用户，都有权限访问其他域目录树中的资源。服务器的角色1域控制器（DC） 域控制器就是存储活动目录的服务器，它负责活动目录数据库的维护、用户身份的验证和活动目录的安全性。一个域可以有一个或若干个域控制器，通常它们的地位是平等的。在域中，各域控制器相互复制活动目录的更改。例如：某个域有两个域控制器A和B，在域控制器A上创建了一个用户帐户（zhangsan）时，这个帐户（zhangsan）就被建立在当前域控制器A的活动目录中，然后zhangsan的相关数据就会自动地复制到域控制器B中。一个域中包含多个域控制器，可以获得高性能，提高容错能力。因为当一台域控制器出现故障了，其他的域控制器仍然可以提供服务，而用户是感觉不到的。同样，在域林中，各域控制器相互之间也把信息自动复制给对方，从而为用户提供最新的全局编录，方便了用户在域林中搜索信息。2成员服务器 成员服务器是运行Windows Server2003的计算机，它是域的成员但不是域控制器。因为它不是域控制器，所以成员服务器不处理账户登录过程，不参与活动目录复制，也不存储域安全策略信息。成员服务器一般用作文件服务器、应用服务器、数据库服务器、Web服务器、证书服务器、防火墙以及远程访问服务器。服务器的角色3独立服务器独立服务器是运行Windows Server 2003的计算机并且不是Windows 域的成员。如果Windows Server 2003作为工作组成员安装，则该服务器是独立的服务器。它可以与网络上的其他计算机共享资源，但是不接受活动目录所提供的任何好处。4更改服务器角色使用活动目录安装向导，可以将成员服务器升级至域控制器，也可以将域控制器降级为成员服务器。服务器的角色2.2 安装活动目录2.2.1 活动目录的规划规划DNS规划域结构规划组织单位结构规划委派模式2.2.2 安装活动目录（1）安装活动目录具体步骤如下：步骤一，启动Windows Server 2003系统自动打开“Server 2003配置服务器”窗口，或者选择“开始”/“程序”/“管理工具”/“配置服务器”，打开如图2-1所示配置服务器向导窗口。步骤二，单击“下一步”，出现一个配置服务器向导的预备步骤窗口，以确认所提到的步骤已完成。单击“下一步”，出现检测网络设置窗口，如图2-2所示。步骤三，接下来出现配置选项窗口，我们选择“自定义配置”选项，单击“下一步”，出现服务器角色窗口，也就是你想让你的服务器担任的角色，我们从列表中选择“域控制器”。如图2-3所示。单击“下一步”按钮，出现确认窗口，以确认选择了正确角色。单击“下一步”，出现“Active Directory安装向导窗口”,如图2-4所示。也可省去前面步骤，直接通过“开始”/“运行”，打开“运行”对话框，输入dcpromo命令，单击“确定”按钮，打开如图2-4所示的对话框。图2-1 “Server 2003配置服务器”窗口 图2-2 显示活动目录内容2.2.2 安装活动目录（2）2.2.2 安装活动目录（3）步骤四，单击“下一步”，打开“操作系统兼容性”对话框。其大意是早期的Windows版本无法登录Windows Server 2003创建的域。图2-3 服务器角色配置窗口2.2.2 安装活动目录（4）步骤五，单击“下一步”，“Active Directory安装向导”会询问新建的域控制器的性质，如图2-2，我们选择“新域的域控制器”。图2-4 Active Directory安装向导窗口2.2.2 安装活动目录（2）步骤六，单击“下一步”，打开如图2-6所示的“创建一个新域”对话框，如果所创建的域为单位的第一个域，或者希望所创建的新域独立于现有目录林，可选择“新林中的域”。如果希望新的域成为现有域的子域，则选择“现有域中的子域”。如想创建一个与现有域树分开的、新的域树，则选择“在现有林中的域树”。这里我们选择“新林中的域”。 图2-2 选择域控制器的类型 图2-6 选择创建域的类型2.2.2 安装活动目录（6）步骤七，单击“下一步”，打开如图2-7所示的指定域名对话框，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如。步骤八，单击“下一步”，打开如图2-8所示的“NetBIOS域名”对话框，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。 图2-7 指定新域名 图2-8 指定NetBIOS2.2.2 安装活动目录（7）步骤九，单击“下一步”，打开如图2-9所示的“数据库和日志文件文件夹”对话框，在“数据库文件夹”文本框中输入保存数据库的位置，或者单击“浏览”按钮选择路径，在“日志文件夹”文本框中输入保存日志的位置或单击“浏览”按钮选择路径。注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。步骤十，单击“下一步”，打开如图2-10所示的“共享的系统卷”对话框，在Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。在“文件夹位置”文本框中输入Sysvol文件夹位置，如本例中对应文件夹为c:WINNTSYSVOL，或单击“浏览”按钮选择路径。步骤十一，单击“下一步”，会出现“Active Directory安装向导”的DNS注册诊断程序对话框，如图2-11。我们选择“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为计算机的首选DNS服务器”。2.2.2 安装活动目录（8）图2-9 指定活动目录的数据库和日志文件的文件夹图2-10 指定系统卷共享文件夹2.2.2 安装活动目录（9）步骤十二，单击“下一步”，打开如图2-12所示的“权限”对话框，为用户和组选择默认权限，如果单位中还存在或将要用Windows 2000的以前版本，选择“与Windows 2000之前的服务器操作系统兼容的权限”。否则，选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”。 图2-11 DNS注册诊断 图2-12 权限设置2.2.2 安装活动目录（10）步骤十三，单击“下一步”，打开“目录服务还原模式的管理员密码”对话框，如图2-13所示，输入并牢记该密码，以备将来目录服务还原模式下使用。步骤十四，单击“下一步”，打开“摘要”对话框，如图2-14所示。通过该对话框，用户可检查并确认设置的各个选项。图2-13 输入目录服务恢复模式管理员密码 图2-14 确认选定的选项步骤十五，单击“下一步”，系统开始配置活动目录，中间将需要Windows Server 2003 安装光盘，如图2-12所示。此时如果将2003光盘放入光驱，系统会自动完成对DNS服务器得配置。步骤十六，经过几分钟之后，配置完成。同时，打开“完成Active Directory安装向导”对话框，如图2-16所示，单击“完成”，即完成活动目录的安装。图2-12 配置活动目录 图2-16 完成活动目录的安装 2.2.2 安装活动目录（11）2.2.2 安装活动目录（12）活动目录安装完成之后，必须重新启动计算机，活动目录才会生效。注意：在活动目录安装之后，不但服务器的开机和关机时间变长，而且系统的执行速度变慢。所以，如果用户对某个服务器没有特别要求或不把它作为域控制器来使用，可将该服务器上的活动目录删除，使其降级为成员服务器或独立服务器。成员服务器是指安装到现有域中的附加域控制器；独立服务器是指在名称空间目录树中直接位于另一个域名之下的服务器。删除活动目录使服务器成为成员服务器还是独立服务器，取决于该服务器的域控制器的类型。如果要删除活动目录的服务器不是域中的唯一的域控制器，则删除活动目录将使该服务器成为成员服务器；如果要删除活动目录的服务器是域中最后一个域控制器，则删除活动目录将使该服务器成为独立服务器。要删除活动目录，打开“开始”菜单，选择“运行”命令，打开“运行”对话框，输入dcpromo命令，然后单击“确定”按钮，打开“Active Directory安装向导”对话框，并沿着向导进行删除，这里不再细述其过程。 2.2.3 检验安装结果在安装完成后，可以通过以下方法检验Active Directory安装是否正确，在安装过程中一项最重要的工作是在DNS数据库中添加服务记录（SRV记录），下面介绍一下如何检查安装结果。1检查DNS文件的SRV记录。用文本编辑器打开%SystemRoot%/system32/config/中的Netlogon.dns文件，察看LDAP服务记录，在本例中为_ldap._. 600 IN SRV 0 100 389 。2验证SRV记录在NSLOOKUP命令工具中运行是否正常。（1）在命令提示行下，输入NSLOOKUP；（2）输入set type=srv；（3）输入_ldap._。如果返回了服务器名和IP地址，说明SRV记录工作正常。 2.3 域控制器管理域（Domain）是活动目录的分区，定义了安全边界，在没经过授权的情况下，不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成，每一个域可以存储上百万个对象，域之间还有层次关系，可以建立域树和域林，如图2-17、2-18所示，进行无限地域扩展。图中的双箭头表示域之间的信任关系，Server 2003中域的信任关系都是双向和可传递的。 图 2-17 域树 图 2-18 域林 2.3.1 设置域控制器属性（1）设置域控制器属性，具体步骤如下：步骤一，选择“开始”/“程序”/“管理工具”/“Active Directory用户与计算机”菜单，打开“Active Directory用户与计算机”管理窗口，如图2-19所示。步骤二，在控制台目录树中，双击展开域节点。单击Domain Controllers子节点。步骤三，在详细资料窗格中，右击要设置属性的域控制器，从弹出的快捷菜单中选择“属性”，打开该控制器的“属性”对话框，如图2-20所示。步骤四，在“常规”选项卡的“描述”文本框中输入对域控制器的一般描述。如果不希望域控制器的可受信任用来作为委派，可禁用“信任计算机作为委派”复选框。步骤五，选择“操作系统”选项卡，在该选项卡中，显示出操作系统的名称、版本以及Service Pack，管理员只能查看并不能修改这些内容。步骤六，选择如图2-21所示的“隶属于”选项卡，要添加组，单击“添加”按钮，打开“选择组”对话框为域控制器选择一个要添加的组；要删除某个已经添加的组，在“成员属于”列表框选择该组，然后单击“删除”按钮即可。2.3.1 设置域控制器属性（2）图2-19 Active Directory用户和计算机窗口2.3.1 设置域控制器属性（3）步骤七，当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。要设置主要组，在“隶属于”列表框中选择要设置的主要组，一般为Domain Controllers，也可为Cert Publishers，然后单击“设置主要组”按钮即可。 步骤八，选择“位置”选项卡，可以设置域控制器的位置。步骤九，选择“管理者”选项卡，要更改域控制器的管理者，可单击“更改”按钮，打开“选择用户或联系人”对话框，选择新的管理人即可。要删除管理者，可单击“清除”按钮来删除；要查看和修改管理者属性，可单击“查看”按钮，打开该管理者属性对话框来进行操作。 步骤十，域控制器设置完毕，单击“确定”按钮保存设置。 2.3.1 设置域控制器属性（4）图2-20 设置域控制器属性 图2-21 设置成员组 2.3.2 查找域控制器目录内容（1）要查找目录内容，可参照如下步骤：步骤一，在“Active Directory用户和计算机”窗口的控制台目录树中，鼠标右击域节点，在弹出的快捷菜单中选择“查找”命令，打开“查找用户联系人及组”对话框，如图2-22所示。步骤二，在“查找”下拉列表框中可以选择要查找的目录内容，包括“用户、联系人及组”、“计算机”、“打印机”、“共享文件夹”、“组织单位”、“自定义搜索”等。例如，在列表中选择“计算机”，如图2-23所示。在“范围”下拉列表框中选择查找范围，如整个目录。步骤三，在“计算机”选项卡中，设置查找条件。例如，在“计算机”文本框中输入要查找的计算机名，在“所有者”文本框中输入计算机的用户名，在“作用”下拉列表框中选择计算机在网络中作用。步骤四，单击“高级”选项卡，要设置高级查找条件，单击“字段”按钮，从弹出的快捷菜单中选择设置条件的选项，然后在“条件”下拉列表框和“值”文本框中设置查询条件。2.3.2 查找域控制器目录内容（2）步骤五，高级条件设置好之后，单击“添加”按钮，将条件添加到下面的文本框中。如果要继续添加高级条件，可按照上面步骤继续添加。步骤六，所有查找条件设置完毕，单击“开始查找”按钮即开始查找，并将查找结果列出，如图2-23下面窗口所示。图2-22 “查找用户联系人及组”对话框图图2-23 列出查找结果 2.3.3 连接到其他域在一个多域的网络中，用户经常需要将当前域连接到其他域，这样可使当前域中的用户和计算机访问其他域中的资源，也可将当前域控制器的部分操作主机功能传送给其他域控制器，甚至可将当前域控制器更改为其他域中的域控制器。要连接到网络中其他域，在控制台目录树中，鼠标右击“Active Directory用户和计算机”根结点，从弹出的快捷菜单中选择“连接到域”命令，打开如图2-24所示的“连接到域”对话框，在“域”文本框中输入要连接的域的名称；或者单击“浏览”，打开“浏览域”对话框选择要连接的域，单击“确定”即可建立连接。图2-24 连接到其他域 注意：一般情况下，一个域网络中至少应有两个域控制器（一个域控制器和一个附加域控制器），以便在当前域控制器出现故障时，可使用附加域控制器来代替当前域控制器，保证网络的正常运行。2.3.4 更改域控制器要更改域控制器，在控制台目录树中，鼠标右击“Active Directory用户和计算机”根节点，从弹出的快捷菜单中选择“连接到域控制器”，打开如图2-22所示的“连接到域控制器”对话框。在“输入另一个域控制器的名称”文本框中输入要连接的域控制器；或者从域控制器列表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控制器，可选择“任何可写的域控制器”选项，系统会根据网络连接情况自动选择可用的域控制器。要连接的域控制器选定之后，单击“确定”按钮完成连接。 图2-22 连接到域控制器2.6 资源发布和域的管理 2.6.1 资源发布的管理一、资源的发布1公布共享文件夹的步骤如下：（1）运行“管理工具”/“Active Directory域和信任关系”管理应用程序；（2）在控制台树中，鼠标双击“域节点”；（3）鼠标右键单击想在其中添加共享文件夹的文件夹，指向“新建”并单击“共享文件夹”对话框，如图2-40所示；（4）键入文件夹的名称和网络路径；（2）单击“确定”按钮完成操作。2公布打印机的步骤如下：（1）打开“Active Directory用户和计算机”；（2）在控制台树中，鼠标双击“域节点”；（3）在控制台树中，鼠标右键单击想在其中公布打印机的文件夹，指向“新建”，并单击“打印机”；（4）键入网络路径，如图2-41所示。（2）单击“确定”按钮完成操作。 图2-41 设置共享打印机路径 图2-40 设置共享文件夹2.6.1 资源发布的管理二、资源的查找若要进行自定义搜索，可参照如下步骤：（1）运行“管理工具”/“Active Directory域和信任关系”管理应用程序；（2）在控制台树中用鼠标右键单击“域节点”，然后单击“查找”；（3）在“查找”中单击“自定义搜索”；（4）鼠标单击“字段”，选择要搜索的对象种类，然后单击要为其指定搜索值的对象的属性；（2）在“条件”中单击搜索的条件；（6）在“值”中键入要应用搜索条件的属性值；（7）单击“添加”，将该搜索条件添加至自定义搜索；（8）重复第（4）步至第（7）步，直到添加完所需的全部搜索条件为止； （9）单击“开始查找”按钮。 2.6.2 域的管理 1提升域功能级别Windows Server 2003中有四个域功能级别，下表列出了域功能级别及其所支持的域控制器。默认情况下，域以Windows 2000混合功能级别操作。表2-1 域功能级别与其支持的域控制器2.6.2 域的管理根据网络的实际需要，可以提升域功能级别，提升域功能级别的具体步骤如下：步骤一，运行“管理工具”/“Active Directory域和信任关系”管理应用程序；步骤二，鼠标右键单击你想要管理的域的“域节点”，然后单击“提升域功能级别”；步骤三，在打开如图2-42所示窗口中，我们可以在“选一个可用的域功能级别”的下拉菜单中选择一种模式。 图2-42 更改域模式 2. 创建明确的域信任创建明确的域信任具体步骤如下：步骤一，运行“管理工具”/“Active Directory域和信任关系”管理应用程序；步骤二，在控制台树中，鼠标右键单击要管理的域节点，然后单击“属性”；步骤三，单击“信任”选项卡，如图2-43所示；步骤四，根据需要，单击“新建信任”按钮，打开“新建信任向导”窗口，输入一个信任域的名称。步骤五，单击“下一步”，打开的窗口会询问信任方向，我们选择“双向”；单击“下一步”，窗口询问创建信任关系域的范围，我们选择“只是这个域”；步骤六，单击“下一步”，打开如图2-44所示窗口，我们选择“全域性身份验证”；单击“下一步”打开“信任密码”窗口，输入密码；步骤七，单击“下一步”，给出我们所配置的信息，在以后的步骤中我们使用默认设置，最后单击“完成”按钮，完成配置，如图2-42所示。注意：密码必须是信任域和被信任域双方都接受的。 图2-44 单击“编辑”后的对话框选项 图2-43 “信任”选项卡3. 验证信任关系信任关系建立之后，可以验证信任关系的创建情况。验证信任关系具体步骤如下：步骤一，运行“管理工具”/“Active Directory域和信任关系”管理应用程序；步骤二，在控制台树中，鼠标右键单击要验证的信任关系所涉及的一个域，然后单击“属性”对话框；步骤三，单击“信任”选项卡，在“受此域信任的域”或“信任此域的域”中，单击要验证的信任关系，然后单击“属性”，其结果如图2-46所示；步骤四，单击“验证”按钮即可。 4. 撤销信任关系如果不再需要已建立的信任关系，可以撤销信任关系。撤销信任关系的具体步骤如下：步骤一，运行“管理工具”/“Active Directory域和信任关系”管理应用程序；步骤二，在控制台树中，鼠标右键单击要撤销的信任关系所涉及的一个域节点，然后单击“属性”对话框；步骤三，单击“信任”选项卡，在“受此域信任的域”或“信任此域的域”中，单击要撤销的信任关系，然后单击“删除”按钮即可；步骤四，对于此信任关系中涉及的其他域，重复该过程。 2-42 “信任”选项卡 2-46 信任域属性窗口本章小结活动目录（Active Directory）的引入，方便了管理员在统一的环境下管理全网的各种资源，保证了系统的良好扩展性和可管理性。本章主要讲述活动目录的基本概念、管理模式、安装方法以及对用户和计算机账户的管理、组和组织单位的管理、域和域控制器的管理等内容。 思考题1Active Directory的优点是什么？如何安装Active Directory？2在Active Directory安装结束后，如何检验Active Directory安装是否正确？3不同的组对网络性能具有哪些影响？4如何限制用户由某台客户机在某个特定时段登录？2组织单位的委派控制有何意义？6如何实现域间信任？ 7将用户账户、计算机账户添加到组中作用有何不同？ 实训题目：Windows Server 2003 活动目录的安装与配置内容与要求：1安装Windows Server 2003活动目录。2设置域控制器属性、连接到其他域、更改域控制器。3使用“Active Directory用户和计算机”窗口管理用户和计算机账户，包括账户的创建、删除、停用、移动等。4管理组和组织单位。四、实验结果与数据处理2.2.2 安装活动目录（1）安装活动目录具体步骤如下：步骤一，启动Windows Server 2003系统自动打开“Server 2003配置服务器”窗口，或者选择“开始”/“程序”/“管理工具”/“配置服务器”，打开如图2-1所示配置服务器向导窗口。步骤二，单击“下一步”，出现一个配置服务器向导的预备步骤窗口，以确认所提到的步骤已完成。单击“下一步”，出现检测网络设置窗口，如图2-2所示。步骤三，接下来出现配置选项窗口，我们选择“自定义配置”选项，单击“下一步”，出现服务器角色窗口，也就是你想让你的服务器担任的角色，我们从列表中选择“域控制器”。如图2-3所示。单击“下一步”按钮，出现确认窗口，以确认选择了正确角色。单击“下一步”，出现“Active Directory安装向导窗口”,如图2-4所示。也可省去前面步骤，直接通过“开始”/“运行”，打开“运行”对话框，输入dcpromo命令，单击“确定”按钮 2.2.2 安装活动目录（2）2.2.2 安装活动目录（3）步骤四，单击“下一步”，打开“操作系统兼容性”对话框。其大意是早期的Windows版本无法登录Windows Server 2003创建的域。2.2.2 安装活动目录（4）步骤五，单击“下一步”，“Active Directory安装向导”会询问新建的域控制器的性质，如图2-2，我们选择“新域的域控制器”。图2-4 Active Directory安装向导窗口2.2.2 安装活动目录（2）步骤六，单击“下一步”，打开如图2-6所示的“创建一个新域”对话框，如果所创建的域为单位的第一个域，或者希望所创建的新域独立于现有目录林，可选择“新林中的域”。如果希望新的域成为现有域的子域，则选择“现有域中的子域”。如想创建一个与现有域树分开的、新的域树，则选择“在现有林中的域树”。这里我们选择“新林中的域”。2.2.2 安装活动目录（6）步骤七，单击“下一步”，打开如图2-7所示的指定域名对话框，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如。步骤八，单击“下一步”，打开如图2-8所示的“NetBIOS域名”对话框，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。 步骤九，单击“下一步”，打开如图2-9所示的“数据库和日志文件文件夹”对话框，在“数据库文件夹”文本框中输入保存数据库的位置，或者单击“浏览”按钮选择路径，在“日志文件夹”文本框中输入保存日志的位置或单击“浏览”按钮选择路径。注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。步骤十，单击“下一步”，打开如图2-10所示的“共享的系统卷”对话框，在Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。在“文件夹位置”文本框中输入Sysvol文件夹位置，如本例中对应文件夹为c:WINNTSYSVOL，或单击“浏览”按钮选择路径。步骤十一，单击“下一步”，会出现“Active Directory安装向导”的DNS注册诊断程序对话框，如图2-11。我们选择“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为计算机的首选DNS服务器”。步骤十二，单击“下一步”，打开如图2-12所示的“权限”对话框，为用户和组选择默认权限，如果单位中还存在或将要用Windows 2000的以前版本，选择“与Windows 2000之前的服务器操作系统兼容的权限”。否则，选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”。2.2.2 安装活动目录（10）步骤十三，单击“下一步”，打开“目录服务还原模式的管理员密码”对话框，如图2-13所示，输入并牢记该密码，以备将来目录服务还原模式下使用。步骤十四，单击“下一步”，打开“摘要”对话框，如图2-14所示。通过该对话框，用户可检查并确认设置的各个选项。步骤十五，单击“下一步”，系统开始配置活动目录，中间将需要Windows Server 2003 安装光盘，如图2-12所示。此时如果将2003光盘放入光驱，系统会自动完成对DNS服务器得配置。步骤十六，经过几分钟之后，配置完成。同时，打开“完成Active Directory安装向导”对话框，如图2-16所示，单击“完成”，即完成活动目录的安装。活动目录安装完成之后，必须重新启动计算机，活动目录才会生效。注意：在活动目录安装之后，不但服务器的开机和关机时间变长，而且系统的执行速度变慢。所以，如果用户对某个服务器没有特别要求或不把它作为域控制器来使用，可将该服务器上的活动目录删除，使其降级为成员服务器或独立服务器。成员服务器是指安装到现有域中的附加域控制器；独立服务器是指在名称空间目录树中直接位于另一个域名之下的服务器。删除活动目录使服务器成为成员服务器还是独立服务器，取决于该服务器的域控制器的类型。如果要删除活动目录的服务器不是域中的唯一的域控制器，则删除活动目录将使该服务器成为成员服务器；如果要删除活动目录的服务器是域中最后一个域控制器，则删除活动目录将使该服务器成为独立服务器。要删除活动目录，打开“开始”菜单，选择“运行”命令，打开“运行”对话框，输入dcpromo命令，然后单击“确定”按钮，打开“Active Directory安装向导”对话框，并沿着向导进行删除，这里不再细述其过程。 2.2.3 检验安装结果在安装完成后，可以通过以下方法检验Active Directory安装是否正确，在安装过程中一项最重要的工作是在DNS数据库中添加服务记录（SRV记录），下面介绍一下如何检查安装结果。1检查DNS文件的SRV记录。用文本编辑器打开%SystemRoot%/system32/config/中的Netlogon.dns文件，察看LDAP服务记录，在本例中为_ldap._. 600 IN SRV 0 100 389 。2验证SRV记录在NSLOOKUP命令工具中运行是否正常。（1）在命令提示行下，输入NSLOOKUP；（2）输入set type=srv；（3）输入_ldap._。如果返回了服务器名和IP地址，说明SRV记录工作正常。 2.3 域控制器管理域（Domain）是活动目录的分区，定义了安全边界，在没经过授权的情况下，不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成，每一个域可以存储上百万个对象，域之间还有层次关系，可以建立域树和域林，如图2-17、2-18所示，进行无限地域扩展。图中的双箭头表示域之间的信任关系，Server 2003中域的信任关系都是双向和可传递的。2.3.1 设置域控制器属性（1）设置域控制器属性，具体步骤如下：步骤一，选择“开始”/“程序”/“管理工具”/“Active Directory用户与计算机”菜单，打开“Active Directory用户与计算机”管理窗口，如图2-19所示。步骤二，在控制台目录树中，双击展开域节点。单击Domain Controllers子节点。步骤三，在详细资料窗格中，右击要设置属性的域控制器，从弹出的快捷菜单中选择“属性”，打开该控制器的“属性”对话框，如图2-20所示。步骤四，在“常规”选项卡的“描述”文本框中输入对域控制器的一般描述。如果不希望域控制器的可受信任用来作为委派，可禁用“信任计算机作为委派”复选框。步骤五，选择“操作系统”选项卡，在该选项卡中，显示出操作系统的名称、版本以及Service Pack，管理员只能查看并不能修改这些内容。步骤六，选择如图2-21所示的“隶属于”选项卡，要添加组，单击“添加”按钮，打开“选择组”对话框为域控制器选择一个要添加的组；要删除某个已经添加的组，在“成员属于”列表框选择该组，然后单击“删除”按钮即可。2.3.1 设置域控制器属性（2）图2-19 Active Directory用户和计算机窗口2.3.1 设置域控制器属性（3）步骤七，当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。要设置主要组，在“隶属于”列表框中选择要设置的主要组，一般为Domain Controllers，也可为Cert Publishers，然后单击“设置主要组”按钮即可。 步骤八，选择“位置”选项卡，可以设置域控制器的位置。步骤九，选择“管理者”选项卡，要更改域控制器的管理者，可单击“更改”按钮，打开“选择用户或联系人”对话框，选择新的管理人即可。要删除管理者，可单击“清除”按钮来删除；要查看和修改管理者属性，可单击“查看”按钮，打开该管理者属性对话框来进行操作。 步骤十，域控制器设置完毕，单击“确定”按钮保存设置。 2.3.1 设置域控制器属性（4）图2-20 设置域控制器属性 图2-21 设置成员组2.3.2 查找域控制器目录内容（1）要查找目录内容，可参照如下步骤：步骤一，在“Active Directory用户和计算机”窗口的控制台目录树中，鼠标右击域节点，在弹出的快捷菜单中选择“查找”命令，打开“查找用户联系人及组”对话框，如图所示。步骤二，在“查找”下拉列表框中可以选择要查找的目录内容，包括“用户、联系人及组”、“计算机”、“打印机”、“共享文件夹”、“组织单位”、“自定义搜索”等。例如，在列表中选择“计算机”，如图2-23所示。在“范围”下拉列表框中选择查找范围，如整个目录。步骤三，在“计算机”选项卡中，设置查找条件。例如，在“计算机”文本框中输入要查找的计算机名，在“所有者”文本框中输入计算机的用户名，在“作用”下拉列表框中选择计算机在网络中作用。步骤四，单击“高级”选项卡，要设置高级查找条件，单击“字段”按钮，从弹出的快捷菜单中选择设置条件的选项，然后在“条件”下拉列表框和“值”文本框中设置查询条件。2.3.2 查找域控制器目录内容（2）步骤五，高级条件设置好之后，单击“添加”按钮，将条件添加到下面的文本框中。如果要继续添加高级条件，可按照上面步骤继续添加。步骤六，所有查找条件设置完毕，单击“开始查找”按钮即开始查找，并将查找结果列出，如图2-23下面窗口所示。图2-22 “查找用户联系人及组”对话框图图2-23 列出查找结果 2.3.3 连接到其他域在一个多域的网络中，用户经常需要将当前域连接到其他域，这样可使当前域中的用户和计算机访问其他域中的资源，也可将当前域控制器的部分操作主机功能传送给其他域控制器，甚至可将当前域控制器更改为其他域中的域控制器。要连接到网络中其他域，在控制台目录树中，鼠标右击“Active Directory用户和计算机”根结点，从弹出的快捷菜单中选择“连接到域”命令，打开如图2-24所示的“连接到域”对话框，在“域”文本框中输入要连接的域的名称；或者单击“浏览”，打开“浏览域”对话框选择要连接的域，单击“确定”即可建立连接。注意：一般情况下，一个域网络中至少应有两个域控制器（一个域控制器和一个附加域控制器），以便在当前域控制器出现故障时，可使用附加域控制器来代替当前域控制器，保证网络的正常运行。2.3.4 更改域控制器要更改域控制器，在控制台目录树中，鼠标右击“Active Directory用户和计算机”根节点，从弹出的快捷菜单中选择“连接到域控制器”，打开如图2-22所示的“连接到域控制器”对话框。在“输入另一个域控制器的名称”文本框中输入要连接的域控制器；或者从域控制器列表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控制器，可选择“任何可写的域控制器”选项，系统会根据网络连接情况自动选择可用的域控制器。要连接的域控制器选定之后，单击“确定”按钮完成连接。 2.6 资源发布和域的管理 2.6.1 资源发布的管理一、资源的发布1公布共享文件夹的步骤如下：（1）运行“管理工具”/“Active Directory域和信任关系”管理应用程序；（2）在控制台树中，鼠标双击“域节点”；（3）鼠标右键单击想在其中添加共享文件夹的文件夹，指向“新建”并单击“共享文件夹”对话框，如图2-40所示；（4）键入文件夹的名称和网络路径；（6）单击“确定”按钮完成操作。2公布打印机的步骤如下：（1）打开“Active Directory用户和计算机”；（2）在控制台树中，鼠标双击“域节点”；（3）在控制台树中，鼠标右键单击想在其中公布打印机的文件夹，指向“新建”，并单击“打印机”；（4）键入网络路径，如图2-41所示。（2）单击“确定”按钮完成操作。 2.6.1 资源发布的管理二、资源的查找若要进行自定义搜索，可参照如下步骤：（1）运行“管理工具”/“Active Directory域和信任关系”管理应用程序；（2）在控制台树中用鼠标右键单击“域节点”，然后单击“查找”；（3）在“查找”中单击“自定义搜索”；（4）鼠标单击“字段”，选择要搜索的对象种类，然后单击要为其指定搜索值的对象的属性；（2）在“条件”中单击搜索的条件；（6）在“值”中键入要应用搜索条件的属性值；（7）单击“添加”，将该搜索条件添加至自定义搜索；（8）重复第（4）步至第（7）步，直到添加完所需的全部搜索条件为止； （9）单击“开始查找”按钮。 2.6.2 域的管理 1提升域功能级别Windows Server 2003中有四个域功能级别，下表列出了域功能级别及其所支持的域控制器。默认情况下，域以Windows 2000混合功能级别操作。表2-1 域功能级别与其支持的域控制器2.6.2 域的管理根据网络的实际需要，可以提升域功能级别，提升域功能级别的具体步骤如下：步骤一，运行“管理工具”/“Active Directory域和信任关系”管理应用程序；步骤二，鼠标右键单击你想要管理的域的“域节点”，然后单击“提升域功能级别”；步骤三，在打开如图2-42所示窗口中，我们可以在“选一个可用的域功能级别”的下拉菜单中选择一种模式。 2. 创建明确的域信任创建明确的域信任具体步骤如下：设置DNS的转发器步骤一，运行“管理工具”/“Active Directory域和信任关系”管理应用