计算机网络试验4windows网络域的实现

1、实验序号：实验 3计算机网络实验报告实验项目名称： windows 网络域的实现学号姓名专业班级专升本 4 班实验地点指导教师实验时间一、实验目的及要求活动目录的基本概念 活动目录的规划与安装 域控制器的管理 用户账户和计算机账户的管理 组和组织单位的管理 资源发布和域的管理二、实验设备（环境）及要求两台 windows2003 服务器三、实验内容与步骤概述2.1.1 活动目录简介2.1.2 活动目录的三种特性集成性深入性易用性活动目录的逻辑结构1域（ Domain） 域是活动目录中逻辑结构的核心单元，活动目录包含一个或多个域，每个域 均有自己的安全策略以及与其他域的信任关系， 因此，域是网络

2、安全管理的边界 也就是说， 域内的所有对象均处于一个安全管理单位内， 域和域之间的关系是不 同安全管理单位之间的关系。域是复制的单位。每个域均可以有一个或者几个域控制器( Domain Controler)。 所有域控制器可以接收更改信息， 并将这些更改的信息复制到域中的其他域控制 器中，从而保证同一个域内的所有域控制器中的内容完全一致。活动目录的逻辑结构 2域树根据实际要求， 一个网络可能需要包含多个域， 这时，可以将网络设置成域目录 树的结构(层次结构) 。活动目录的逻辑结构 域树中的第一个域称作根域， 相同域树中的其他域为子域， 相同域树中上层的域 称为子域的父域。如图所示为一棵域目录树

3、，其中根域为，一级子域为和，下面 分别还有两个二级子域。具有公用根域的所有域构成连续名称空间。由于活动目录的域名采用DNS 域名的结构进行命名，所以从图中可以看出，该域目录也符合 DNS 域名空间的命名 策略，它们的名称空间是连续的，即：子域的域名包含其父域的域名，如：子域 中包含着父域的域名。在这棵目录树中的所有域， 共享着一个活动目录， 也就是说， 一棵域树只有一个 活动目录。 但是，该活动目录内的数据是分散地存储在各个域内， 具体位置是域 内的域控制器的目录数据库中，当然，每个域中只存储本域内的数据。 活动目录的逻辑结构信任关系是两个域之间安全信息的通信连接， 也就是说， 两个域只有建立

4、了信任 关系后，方可访问对方域内的资源。在 Windows Server 2003 中域的信任关系有 以下特点：l 双向性：如果 A 域信任 B 域，则 B 域就信任 A 域。l 可传递性：如果 A 域信任 B 域，而 B 域又信任 C 域，则 A 域就自动信任 C 域， 那么根据双向性， C域也信任 A域，这样 A域和 C域就自动地建立起双向的信任 关系。活动目录的逻辑结构因此，当一个域加入到某个域目录树后， 它会自动地双向信任当前域目录树的所 有域，这种通过传递性建立起来的双向信任关系， 称为隐含的信任关系。 如图所 设置的一棵域目录树， 各个域之间存在着隐含的信任关系。 假如，现在建立一

5、个 新域，加入到当前域树中，它会与该域树中的所有域自动建立起双向的信任关系， 新域的用户可以访问其他域内的资源（在其权限允许范围内） 。活动目录的逻辑结构3域林域林由多个域目录树构成（而域树可以看成是特殊的域林） ，每个域树有自己的 独立的名称空间， 因此，通常域林中的域并不共享连续的名字空间。 如图所示的 域目林中包含两棵域树：和。创建的第一棵域树的根域就是整个域树的根域，同时该域的域名就是域林的名 称。假设图中的第一棵域树为，那么域就是域林的名称。8.1.2 活动目录的逻辑结构 域林中所有域树中的根域之间， 会自动地建立双向的、 可传递的信任关系， 因此， 域目录林中任何一个域中的用户，都

6、有权限访问其他域目录树中的资源。 服务器的角色1域控制器（ DC）域控制器就是存储活动目录的服务器，它负责活动目录数据库的维护、用户身 份的验证和活动目录的安全性。一个域可以有一个或若干个域控制器， 通常它们的地位是平等的。 在域中， 各域 控制器相互复制活动目录的更改。例如：某个域有两个域控制器 A和 B，在域控 制器 A 上创建了一个用户帐户（ zhangsan）时，这个帐户（ zhangsan）就被建立 在当前域控制器 A 的活动目录中，然后 zhangsan 的相关数据就会自动地复制到 域控制器 B 中。一个域中包含多个域控制器， 可以获得高性能， 提高容错能力。 因为当一台域控 制器

7、出现故障了，其他的域控制器仍然可以提供服务，而用户是感觉不到的。 同样，在域林中， 各域控制器相互之间也把信息自动复制给对方， 从而为用户提 供最新的全局编录，方便了用户在域林中搜索信息。2成员服务器成员服务器是运行 Windows Server2003 的计算机，它是域的成员但不 是域控制器。 因为它不是域控制器， 所以成员服务器不处理账户登录过程， 不参 与活动目录复制，也不存储域安全策略信息。成员服务器一般用作文件服务器、 应用服务器、数据库服务器、 Web 服务器、证书服务器、防火墙以及远程访问 服务器。服务器的角色3独立服务器独立服务器是运行 Windows Server 2003

8、的计算机并且不是 Windows 域的成员。 如果 Windows Server 2003 作为工作组成员安装，则该服务器是独立的服务器。 它可以与网络上的其他计算机共享资源，但是不接受活动目录所提供的任何好 处。4更改服务器角色 使用活动目录安装向导， 可以将成员服务器升级至域控制器， 也可以将域控制器 降级为成员服务器。服务器的角色安装活动目录2.2.1 活动目录的规划 规划 DNS规划域结构规划组织单位结构 规划委派模式2.2.2 安装活动目录（ 1） 安装活动目录具体步骤如下：步骤一，启动 Windows Server 2003系统自动打开“ Server 2003配置服务器”窗 口，

9、或者选择“开始” / “程序” / “管理工具” /“配置服务器”，打开如图 2-1 所示配置服务器向导窗口。步骤二，单击“下一步” ，出现一个配置服务器向导的预备步骤窗口，以确认所 提到的步骤已完成。单击“下一步” ，出现检测网络设置窗口，如图 2-2 所示。 步骤三，接下来出现配置选项窗口，我们选择“自定义配置”选项，单击“下一 步”，出现服务器角色窗口，也就是你想让你的服务器担任的角色，我们从列表 中选择“域控制器”。如图 2-3 所示。单击“下一步”按钮，出现确认窗口，以 确认选择了正确角色。单击“下一步” ，出现“ Active Directory 安装向导窗口” , 如图 2-4

10、所示。也可省去前面步骤，直接通过“开始” / “运行”，打开“运行”对话框，输入 dcpromo 命令，单击“确定”按钮，打开如图 2-4 所示的对话框。图 2-1 “Server 2003配置服务器”窗口图 2-2 显示活动目录内容2.2.2 安装活动目录（ 2）2.2.2 安装活动目录（ 3）步骤四，单击“下一步” ，打开“操作系统兼容性”对话框。其大意是早期的 Windows 版本无法登录 Windows Server 2003 创建的域。图 2-3 服务器角色配置窗口2.2.2 安装活动目录（ 4）步骤五，单击“下一步” ，“Active Directory安装向导”会询问新建的域控制

11、器的 性质，如图 2-2，我们选择“新域的域控制器” 。图 2-4 Active Directory 安装向导窗口2.2.2 安装活动目录（ 2）步骤六，单击“下一步” ，打开如图 2-6 所示的“创建一个新域”对话框，如果 所创建的域为单位的第一个域， 或者希望所创建的新域独立于现有目录林， 可选 择“新林中的域”。如果希望新的域成为现有域的子域，则选择“现有域中的子 域”。如想创建一个与现有域树分开的、 新的域树，则选择“在现有林中的域树” 。 这里我们选择“新林中的域” 。图 2-2 选择域控制器的类型 图 2-6 选择创建域的 类型2.2.2 安装活动目录（ 6） 步骤七，单击“下一步

12、”，打开如图 2-7 所示的指定域名对话框， 在“新域的 DNS 全名”文本框中输入新建域的 DNS全名，例如。步骤八，单击“下一步” ，打开如图 2-8 所示的“ NetBIOS域名”对话框，在“域 NetBIOS名”文本框中输入 NetBIOS 域名，或者接受显示的名称。 NetBIOS域名 是供早期的 Windows 用户用来识别新域的。图 2-7 指定新域名 图 2-8 指定 NetBIOS2.2.2 安装活动目录（ 7） 步骤九，单击“下一步” ，打开如图 2-9 所示的“数据库和日志文件文件夹”对 话框，在“数据库文件夹”文本框中输入保存数据库的位置，或者单击“浏览” 按钮选择路径

13、，在“日志文件夹”文本框中输入保存日志的位置或单击“浏览” 按钮选择路径。注意，基于最佳性和可恢复性的考虑， 最好将活动目录的数据库和日志保存在不 同的硬盘上。步骤十，单击“下一步”，打开如图 2-10所示的“共享的系统卷”对话框，在 Server 2003 中，Sysvol文件夹存放域的公用文件的服务器副本， 它的内容将被复制到域 中的所有域控制器上。在“文件夹位置”文本框中输入 Sysvol文件夹位置，如本 例中对应文件夹为 c:WINNTSYSVO，L 或单击“浏览”按钮选择路径。 步骤十一，单击“下一步” ，会出现“ Active Directory 安装向导”的 DNS注册诊 断程序

14、对话框，如图 2-11。我们选择“在这台计算机上安装并配置 DNS服务器， 并将这台 DNS服务器设为计算机的首选 DNS服务器”。2.2.2 安装活动目录（ 8）图 2-9 指定活动目录的数据库和日志文件的文件夹图 2-10 指定系统卷共享文件夹2.2.2 安装活动目录（ 9）步骤十二，单击“下一步” ，打开如图 2-12 所示的“权限”对话框，为用户和组 选择默认权限，如果单位中还存在或将要用 Windows 2000的以前版本，选择“与 Windows 2000 之前的服务器操作系统兼容的权限” 。否则，选择“只与 Windows 2000 或 Windows Server 2003操作

15、系统兼容的权限” 。图 2-11 DNS注册诊断图 2-12 权限设置2.2.2 安装活动目录（ 10） 步骤十三，单击“下一步” ，打开“目录服务还原模式的管理员密码”对话框， 如图 2-13 所示，输入并牢记该密码，以备将来目录服务还原模式下使用。 步骤十四，单击“下一步” ，打开“摘要”对话框，如图 2-14所示。通过该对话 框，用户可检查并确认设置的各个选项。图 2-13 输入目录服务恢复模式管理员密码 图 2-14 确认选定的选项步骤十五，单击“下一步”，系统开始配置活动目录， 中间将需要 Windows Server 2003 安装光盘，如图 2-12 所示。此时如果将 2003

16、光盘放入光驱，系统会自动 完成对 DNS服务器得配置。 步骤十六，经过几分钟之后，配置完成。同时，打开“完成 Active Directory 安装 向导”对话框，如图 2-16 所示，单击“完成”，即完成活动目录的安装。图 2-12 配置活动目录 图 2-16 完成活动目录 的安装2.2.2 安装活动目录（ 11）2.2.2 安装活动目录（ 12） 活动目录安装完成之后，必须重新启动计算机，活动目录才会生效。 注意：在活动目录安装之后， 不但服务器的开机和关机时间变长， 而且系统的执 行速度变慢。 所以，如果用户对某个服务器没有特别要求或不把它作为域控制器 来使用，可将该服务器上的活动目录删

17、除， 使其降级为成员服务器或独立服务器。 成员服务器是指安装到现有域中的附加域控制器； 独立服务器是指在名称空间目 录树中直接位于另一个域名之下的服务器。 删除活动目录使服务器成为成员服务 器还是独立服务器， 取决于该服务器的域控制器的类型。 如果要删除活动目录的 服务器不是域中的唯一的域控制器， 则删除活动目录将使该服务器成为成员服务 器；如果要删除活动目录的服务器是域中最后一个域控制器， 则删除活动目录将 使该服务器成为独立服务器。要删除活动目录，打开“开始”菜单，选择“运行”命令，打开“运行”对话框， 输入 dcpromo 命令，然后单击“确定”按钮，打开“ Active Directo

18、ry 安装向导” 对话框，并沿着向导进行删除，这里不再细述其过程。2.2.3 检验安装结果在安装完成后， 可以通过以下方法检验 Active Directory 安装是否正确， 在安装过 程中一项最重要的工作是在 DNS数据库中添加服务记录（ SRV记录），下面介绍 一下如何检查安装结果。1检查 DNS文件的 SRV记录。用文本编辑器打开 %SystemRoot%/system3/2config/ 中的文件，察看 LDAP 服务记 录，在本例中为 600 IN SRV 0 100 389。2验证 SRV记录在 NSLOOKUP命令工具中运行是否正常。（ 1）在命令提示行下，输入 NSLOOKU

19、；P（ 2）输入 set type=srv；（3）输入。 如果返回了服务器名和 IP 地址，说明 SRV记录工作正常。域控制器管理域（ Domain）是活动目录的分区，定义了安全边界，在没经过授权的情况下， 不允许其他域中的用户访问本域中的资源。 活动目录可由一个或多个域组成， 每 一个域可以存储上百万个对象， 域之间还有层次关系， 可以建立域树和域林， 如 图 2-17、2-18 所示，进行无限地域扩展。图中的双箭头表示域之间的信任关系， Server 2003中域的信任关系都是双向和可传递的。图 2-17 域树 图 2-18 域林2.3.1 设置域控制器属性（ 1） 设置域控制器属性，具体

20、步骤如下： 步骤一，选择“开始” /“程序” /“管理工具” /“Active Directory 用户与计算机” 菜单，打开“ Active Directory 用户与计算机”管理窗口，如图 2-19 所示。 步骤二，在控制台目录树中，双击展开域节点。单击 Domain Controllers 子节点。 步骤三，在详细资料窗格中， 右击要设置属性的域控制器， 从弹出的快捷菜单中 选择“属性”，打开该控制器的“属性”对话框，如图 2-20 所示。 步骤四，在“常规”选项卡的“描述”文本框中输入对域控制器的一般描述。如 果不希望域控制器的可受信任用来作为委派， 可禁用“信任计算机作为委派” 复

21、选框。 步骤五，选择“操作系统”选项卡，在该选项卡中，显示出操作系统的名称、版 本以及 Service Pack，管理员只能查看并不能修改这些内容。步骤六，选择如图 2-21 所示的“隶属于”选项卡，要添加组，单击“添加”按 钮，打开“选择组”对话框为域控制器选择一个要添加的组；要删除某个已经添 加的组，在“成员属于”列表框选择该组，然后单击“删除”按钮即可。2.3.1 设置域控制器属性（ 2）图 2-19 Active Directory 用户和计算机窗口2.3.1 设置域控制器属性（ 3） 步骤七，当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。 要设置主要组，在“隶属于”列

22、表框中选择要设置的主要组，一般为 Domain Controllers，也可为 Cert Publishers，然后单击“设置主要组”按钮即可。 步骤八，选择“位置”选项卡，可以设置域控制器的位置。步骤九，选择“管理者”选项卡，要更改域控制器的管理者，可单击“更改”按 钮，打开“选择用户或联系人”对话框，选择新的管理人即可。要删除管理者， 可单击“清除”按钮来删除；要查看和修改管理者属性，可单击“查看”按钮， 打开该管理者属性对话框来进行操作。步骤十，域控制器设置完毕，单击“确定”按钮保存设置。2.3.1 设置域控制器属性（ 4）图 2-20 设置域控制器属性 图 2-21 设置成员组2.3.

23、2 查找域控制器目录内容（ 1） 要查找目录内容，可参照如下步骤： 步骤一，在“ Active Directory 用户和计算机”窗口的控制台目录树中，鼠标右击 域节点，在弹出的快捷菜单中选择“查找”命令，打开“查找用户联系人及组” 对话框，如图 2-22 所示。步骤二，在“查找”下拉列表框中可以选择要查找的目录内容，包括“用户、联 系人及组”、“计算机”、“打印机”、“共享文件夹”、“组织单位”、“自定义搜索” 等。例如，在列表中选择“计算机” ，如图 2-23 所示。在“范围”下拉列表框中选择 查找范围，如整个目录。步骤三，在“计算机”选项卡中，设置查找条件。例如，在“计算机”文本框中 输

24、入要查找的计算机名， 在“所有者” 文本框中输入计算机的用户名， 在“作用” 下拉列表框中选择计算机在网络中作用。步骤四，单击“高级”选项卡，要设置高级查找条件，单击“字段”按钮，从弹 出的快捷菜单中选择设置条件的选项，然后在“条件”下拉列表框和“值”文本 框中设置查询条件。2.3.2 查找域控制器目录内容（ 2） 步骤五，高级条件设置好之后，单击“添加”按钮，将条件添加到下面的文本框 中。如果要继续添加高级条件，可按照上面步骤继续添加。步骤六，所有查找条件设置完毕，单击“开始查找”按钮即开始查找，并将查找 结果列出，如图 2-23 下面窗口所示。图 2-22 “查找用户联系人及组”对话框图图

25、 2-23 列出查找结果2.3.3 连接到其他域在一个多域的网络中， 用户经常需要将当前域连接到其他域， 这样可使当前域中 的用户和计算机访问其他域中的资源， 也可将当前域控制器的部分操作主机功能 传送给其他域控制器，甚至可将当前域控制器更改为其他域中的域控制器。 要连接到网络中其他域，在控制台目录树中，鼠标右击“ Active Directory 用户和 计算机”根结点，从弹出的快捷菜单中选择“连接到域”命令，打开如图 2-24 所示的“连接到域”对话框，在“域”文本框中输入要连接的域的名称；或者单击“浏览”，打开“浏览域”对话框选择要连接的域，单击“确定”即可建立连接。图 2-24 连接到

26、其他域注意：一般情况下， 一个域网络中至少应有两个域控制器 （一个域控制器和一个 附加域控制器），以便在当前域控制器出现故障时，可使用附加域控制器来代替 当前域控制器，保证网络的正常运行。2.3.4 更改域控制器要更改域控制器， 在控制台目录树中， 鼠标右击“Active Directory 用户和计算机” 根节点，从弹出的快捷菜单中选择 “连接到域控制器”，打开如图 2-22 所示的“连 接到域控制器”对话框。在“输入另一个域控制器的名称” 文本框中输入要连接的域控制器； 或者从域控 制器列表中选择一个要连接的域控制器。 如果在域中没有列出其他可用的域控制 器，可选择“任何可写的域控制器”选

27、项，系统会根据网络连接情况自动选择可 用的域控制器。要连接的域控制器选定之后，单击“确定”按钮完成连接。 图 2-22 连接到域控制器资源发布和域的管理2.6.1 资源发布的管理一、资源的发布1公布共享文件夹的步骤如下：（1）运行“管理工具” / “Active Directory域和信任关系”管理应用程序；（ 2）在控制台树中，鼠标双击“域节点” ；（ 3）鼠标右键单击想在其中添加共享文件夹的文件夹， 指向“新建”并单击“共 享文件夹”对话框，如图 2-40 所示；（4）键入文件夹的名称和网络路径；（2）单击“确定”按钮完成操作。2公布打印机的步骤如下：1）打开“ Active Direct

28、ory 用户和计算机”； （ 2）在控制台树中，鼠标双击“域节点” ；（ 3）在控制台树中， 鼠标右键单击想在其中公布打印机的文件夹， 指向“新建”， 并单击“打印机”；（4）键入网络路径，如图 2-41 所示。 （2）单击“确定”按钮完成操作。图 2-41 设置共享打印机路径图 2-40 设置共享文件夹2.6.1 资源发布的管理二、资源的查找 若要进行自定义搜索，可参照如下步骤：（1）运行“管理工具” / “Active Directory域和信任关系”管理应用程序；（ 2）在控制台树中用鼠标右键单击“域节点” ，然后单击“查找”；（ 3）在“查找”中单击“自定义搜索” ；（4）鼠标单击“字

29、段”，选择要搜索的对象种类，然后单击要为其指定搜索值的 对象的属性；（2）在“条件”中单击搜索的条件； （6）在“值”中键入要应用搜索条件的属性值； （7）单击“添加”，将该搜索条件添加至自定义搜索；（ 8）重复第（ 4）步至第（ 7）步，直到添加完所需的全部搜索条件为止； （9）单击“开始查找”按钮。2.6.2 域的管理1提升域功能级别Windows Server 2003 中有四个域功能级别，下表列出了域功能级别及其所支持 的域控制器。默认情况下，域以 Windows 2000 混合功能级别操作。表 2-1 域功能级别与其支持的域控制器2.6.2 域的管理 根据网络的实际需要，可以提升域功

30、能级别，提升域功能级别的具体步骤如下： 步骤一，运行“管理工具” / “Active Directory域和信任关系”管理应用程序； 步骤二，鼠标右键单击你想要管理的域的“域节点” ，然后单击“提升域功能级 别”； 步骤三，在打开如图 2-42 所示窗口中，我们可以在“选一个可用的域功能级别” 的下拉菜单中选择一种模式。图 2-42 更改域模式2. 创建明确的域信任 创建明确的域信任具体步骤如下： 步骤一，运行“管理工具” / “Active Directory域和信任关系”管理应用程序； 步骤二，在控制台树中，鼠标右键单击要管理的域节点，然后单击“属性” ； 步骤三，单击“信任”选项卡，如图

31、 2-43 所示； 步骤四，根据需要，单击“新建信任”按钮，打开“新建信任向导”窗口，输入 一个信任域的名称。步骤五，单击“下一步” ，打开的窗口会询问信任方向，我们选择“双向” ；单击 “下一步”，窗口询问创建信任关系域的范围，我们选择“只是这个域” ； 步骤六，单击“下一步”，打开如图 2-44 所示窗口，我们选择“全域性身份验证” ； 单击“下一步”打开“信任密码”窗口，输入密码；步骤七，单击“下一步” ，给出我们所配置的信息，在以后的步骤中我们使用默 认设置，最后单击“完成”按钮，完成配置，如图 2-42 所示。 注意：密码必须是信任域和被信任域双方都接受的。图 2-44 单击“编辑”

32、后的对话框选项图 2-43 “信任”选项卡3. 验证信任关系 信任关系建立之后， 可以验证信任关系的创建情况。 验证信任关系具体步骤如下： 步骤一，运行“管理工具” / “Active Directory域和信任关系”管理应用程序； 步骤二，在控制台树中， 鼠标右键单击要验证的信任关系所涉及的一个域， 然后 单击“属性”对话框； 步骤三，单击“信任”选项卡，在“受此域信任的域”或“信任此域的域”中， 单击要验证的信任关系，然后单击“属性” ，其结果如图 2-46 所示； 步骤四，单击“验证”按钮即可。4. 撤销信任关系 如果不再需要已建立的信任关系，可以撤销信任关系。 撤销信任关系的具体步骤如

33、下：步骤一，运行“管理工具” / “Active Directory域和信任关系”管理应用程序； 步骤二，在控制台树中，鼠标右键单击要撤销的信任关系所涉及的一个域节点， 然后单击“属性”对话框； 步骤三，单击“信任”选项卡，在“受此域信任的域”或“信任此域的域”中， 单击要撤销的信任关系，然后单击“删除”按钮即可； 步骤四，对于此信任关系中涉及的其他域，重复该过程。2-42 “信任”选项卡 2-46 信 任域属性窗口 本章小结活动目录( Active Directory )的引入，方便了管理员在统一的环境下管理全网的 各种资源， 保证了系统的良好扩展性和可管理性。 本章主要讲述活动目录的基本

34、概念、管理模式、 安装方法以及对用户和计算机账户的管理、 组和组织单位的管 理、域和域控制器的管理等内容。思考题1Active Directory 的优点是什么如何安装 Active Directory2在 Active Directory 安装结束后，如何检验 Active Directory 安装是否正确 3不同的组对网络性能具有哪些影响4如何限制用户由某台客户机在某个特定时段登录 2组织单位的委派控制有何意义6如何实现域间信任7将用户账户、计算机账户添加到组中作用有何不同实训题目： Windows Server 2003 活动目录的安装与配置内容与要求：1安装 Windows Serve

35、r 2003 活动目录。 2设置域控制器属性、连接到其他域、更改域控制器。3使用“ Active Directory 用户和计算机”窗口管理用户和计算机账户，包括账 户的创建、删除、停用、移动等。4管理组和组织单位。四、实验结果与数据处理2.2.2 安装活动目录（ 1） 安装活动目录具体步骤如下： 步骤一，启动 Windows Server 2003系统自动打开“ Server 2003配置服务器”窗 口，或者选择“开始” / “程序” / “管理工具” /“配置服务器”，打开如图 2-1 所示配置服务器向导窗口。步骤二，单击“下一步” ，出现一个配置服务器向导的预备步骤窗口，以确认所 提到的

36、步骤已完成。单击“下一步” ，出现检测网络设置窗口，如图 2-2 所示。 步骤三，接下来出现配置选项窗口，我们选择“自定义配置”选项，单击“下一 步”，出现服务器角色窗口，也就是你想让你的服务器担任的角色，我们从列表 中选择“域控制器”。如图 2-3 所示。单击“下一步”按钮，出现确认窗口，以 确认选择了正确角色。单击“下一步” ，出现“ Active Directory 安装向导窗口” , 如图 2-4 所示。也可省去前面步骤，直接通过“开始” / “运行”，打开“运行”对话框，输入 dcpromo 命令，单击“确定”按钮2.2.2 安装活动目录（ 2）2.2.2 安装活动目录（ 3）步骤四

37、，单击“下一步” ，打开“操作系统兼容性”对话框。其大意是早期的Windows 版本无法登录 Windows Server 2003 创建的域。2.2.2 安装活动目录（ 4） 步骤五，单击“下一步” ，“Active Directory安装向导”会询问新建的域控制器的 性质，如图 2-2，我们选择“新域的域控制器” 。图 2-4 Active Directory 安装向导窗口2.2.2 安装活动目录（ 2） 步骤六，单击“下一步” ，打开如图 2-6 所示的“创建一个新域”对话框，如果 所创建的域为单位的第一个域， 或者希望所创建的新域独立于现有目录林， 可选 择“新林中的域”。如果希望新的

38、域成为现有域的子域，则选择“现有域中的子 域”。如想创建一个与现有域树分开的、 新的域树，则选择“在现有林中的域树” 。 这里我们选择“新林中的域” 。2.2.2 安装活动目录（ 6） 步骤七，单击“下一步”，打开如图 2-7 所示的指定域名对话框， 在“新域的 DNS 全名”文本框中输入新建域的 DNS全名，例如。步骤八，单击“下一步” ，打开如图 2-8 所示的“ NetBIOS域名”对话框，在“域 NetBIOS名”文本框中输入 NetBIOS 域名，或者接受显示的名称。 NetBIOS域名 是供早期的 Windows 用户用来识别新域的。步骤九，单击“下一步”，打开如图 2-9 所示的

39、“数据库和日志文件文件夹”对话框，在“数据库文件夹”文本框中输入保存数据库的位置，或者单击“浏览”按钮选择路径，在“日志文件夹”文本框中输入保存日志的位置或单击“浏览”按钮选择路径。注意，基于最佳性和可恢复性的考虑， 最好将活动目录的数据库和日志保存在不 同的硬盘上。步骤十，单击“下一步”，打开如图 2-10所示的“共享的系统卷”对话框，在 Server 2003 中，Sysvol文件夹存放域的公用文件的服务器副本， 它的内容将被复制到域 中的所有域控制器上。在“文件夹位置”文本框中输入Sysvol文件夹位置，如本例中对应文件夹为 c:WINNTSYSVO，L 或单击“浏览”按钮选择路径。 步

40、骤十一，单击“下一步” ，会出现“ Active Directory 安装向导”的 DNS注册诊 断程序对话框，如图 2-11。我们选择“在这台计算机上安装并配置 DNS服务器， 并将这台 DNS服务器设为计算机的首选 DNS服务器”。步骤十二，单击“下一步” ，打开如图 2-12 所示的“权限”对话框，为用户和组 选择默认权限，如果单位中还存在或将要用 Windows 2000的以前版本，选择“与 Windows 2000 之前的服务器操作系统兼容的权限” 。否则，选择“只与 Windows 2000 或 Windows Server 2003操作系统兼容的权限” 。2.2.2 安装活动目录

41、（ 10）步骤十三，单击“下一步” ，打开“目录服务还原模式的管理员密码”对话框， 如图 2-13 所示，输入并牢记该密码，以备将来目录服务还原模式下使用。步骤十四，单击“下一步” ，打开“摘要”对话框，如图 2-14所示。通过该对话框，用户可检查并确认设置的各个选项。步骤十五，单击“下一步”，系统开始配置活动目录， 中间将需要 Windows Server 2003 安装光盘，如图 2-12 所示。此时如果将 2003 光盘放入光驱，系统会自动 完成对 DNS服务器得配置。步骤十六，经过几分钟之后，配置完成。同时，打开“完成 Active Directory 安装 向导”对话框，如图 2-1

42、6 所示，单击“完成”，即完成活动目录的安装。成员服务器是指安装到现有域中的附加域控制器； 独立服务器是指在名称空间目 录树中直接位于另一个域名之下的服务器。 删除活动目录使服务器成为成员服务 器还是独立服务器， 取决于该服务器的域控制器的类型。 如果要删除活动目录的 服务器不是域中的唯一的域控制器， 则删除活动目录将使该服务器成为成员服务 器；如果要删除活动目录的服务器是域中最后一个域控制器， 则删除活动目录将 使该服务器成为独立服务器。 要删除活动目录，打开“开始”菜单，选择“运行”命令，打开“运行”对话框， 输入 dcpromo 命令，然后单击“确定”按钮，打开“ Active Dire

43、ctory 安装向导” 对话框，并沿着向导进行删除，这里不再细述其过程。2.2.3 检验安装结果在安装完成后， 可以通过以下方法检验 Active Directory 安装是否正确， 在安装过 程中一项最重要的工作是在 DNS数据库中添加服务记录（ SRV记录），下面介绍 一下如何检查安装结果。1检查 DNS文件的 SRV记录。用文本编辑器打开 %SystemRoot%/system3/2config/ 中的文件，察看 LDAP 服务记录，在本例中为 600 IN SRV 0 100 389。2验证 SRV记录在 NSLOOKUP命令工具中运行是否正常。（ 1）在命令提示行下，输入 NSLOO

44、KU；P（ 2）输入 set type=srv；（3）输入。如果返回了服务器名和 IP 地址，说明 SRV记录工作正常。域控制器管理域（ Domain）是活动目录的分区，定义了安全边界，在没经过授权的情况下， 不允许其他域中的用户访问本域中的资源。 活动目录可由一个或多个域组成， 每 一个域可以存储上百万个对象， 域之间还有层次关系， 可以建立域树和域林， 如 图 2-17、2-18 所示，进行无限地域扩展。图中的双箭头表示域之间的信任关系， Server 2003中域的信任关系都是双向和可传递的。2.3.1 设置域控制器属性（ 1）设置域控制器属性，具体步骤如下： 步骤一，选择“开始” /“

45、程序” /“管理工具” /“Active Directory 用户与计算机” 菜单，打开“ Active Directory 用户与计算机”管理窗口，如图 2-19 所示。步骤二，在控制台目录树中，双击展开域节点。单击 Domain Controllers 子节点步骤三，在详细资料窗格中， 右击要设置属性的域控制器， 从弹出的快捷菜单中 选择“属性”，打开该控制器的“属性”对话框，如图 2-20 所示。步骤四，在“常规”选项卡的“描述”文本框中输入对域控制器的一般描述。如 果不希望域控制器的可受信任用来作为委派， 可禁用“信任计算机作为委派” 复 选框。步骤五，选择“操作系统”选项卡，在该选项

46、卡中，显示出操作系统的名称、版 本以及 Service Pack，管理员只能查看并不能修改这些内容。步骤六，选择如图 2-21 所示的“隶属于”选项卡，要添加组，单击“添加”按 钮，打开“选择组”对话框为域控制器选择一个要添加的组；要删除某个已经添 加的组，在“成员属于”列表框选择该组，然后单击“删除”按钮即可。1IMDOIS2003 屋性常规I操作系抚 隶属于|位置I管理者I拨入隶属于追):名称Active Directory 文件夹Domain Cwitr wgcde edu cii/UsersBofria.ixi Userswgcde. edu. cn/Users主要组：Donain C

47、ontroilers设置主要鲍I确定 I 取消 I应用)2.3.1 设置域控制器属性（ 2）图 2-19 Active Directory 用户和计算机窗口2.3.1 设置域控制器属性（ 3） 步骤七，当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。 要设置主要组，在“隶属于”列表框中选择要设置的主要组，一般为 Domain Controllers，也可为 Cert Publishers，然后单击“设置主要组”按钮即可。步骤八，选择“位置”选项卡，可以设置域控制器的位置步骤九，选择“管理者”选项卡，要更改域控制器的管理者，可单击“更改”按 钮，打开“选择用户或联系人”对话框，选择新的