项目3域环境的架设及账户管理

1、“十二五十二五”职业教育国家规划教材职业教育国家规划教材2021年10月14日项目项目3 域环境的架设及账户管理域环境的架设及账户管理项目项目3 域环境的架设及账户管理域环境的架设及账户管理岭南信息技术有限公司是一家主要提供信息化建设和维护岭南信息技术有限公司是一家主要提供信息化建设和维护的网络技术服务公司，于的网络技术服务公司，于2010年为某上市公司扩建了集团总年为某上市公司扩建了集团总部内部局域网，该网络覆盖了集团部内部局域网，该网络覆盖了集团5栋办公大楼，涉及栋办公大楼，涉及1000多多个信息点，还拥有各类服务器个信息点，还拥有各类服务器20余台。余台。由于各种网络和硬件设备分布在不同

2、的办公大楼和楼层，由于各种网络和硬件设备分布在不同的办公大楼和楼层，网络的资源和权限管理非常复杂，产生的问题也非常多，管理网络的资源和权限管理非常复杂，产生的问题也非常多，管理员经常疲于处理各类日常网络问题。那么，是否有办法减少管员经常疲于处理各类日常网络问题。那么，是否有办法减少管理员的工作量，实现用户账户、软件、网络的统一管理和控制理员的工作量，实现用户账户、软件、网络的统一管理和控制呢？例如，能否实现在一台服务器上对所有的客户机的桌面或呢？例如，能否实现在一台服务器上对所有的客户机的桌面或者系统的更新升级进行统一部署呢？者系统的更新升级进行统一部署呢？项目项目3 域环境的架设及账户管理域

3、环境的架设及账户管理（1）在公司内部架设域环境，可以实现账户的集中管理，）在公司内部架设域环境，可以实现账户的集中管理，所有账户均存储在域控制器中，方便对账户进行安全策略的所有账户均存储在域控制器中，方便对账户进行安全策略的设置。设置。（2）在公司内部架设域环境，可以实现软件的集中管理，）在公司内部架设域环境，可以实现软件的集中管理，利用组策略分发软件，实现软件的统一部署。利用组策略分发软件，实现软件的统一部署。（3）在公司内部架设域环境，实现环境的集中管理，可）在公司内部架设域环境，实现环境的集中管理，可以根据企业需要统一客户端桌面、以根据企业需要统一客户端桌面、IE等设置。等设置。（4）在

4、公司内部架设域环境，实现对网络的配置、管理）在公司内部架设域环境，实现对网络的配置、管理和监控。和监控。项目项目3 域环境的架设及账户管理域环境的架设及账户管理（1）理解域和活动目录的含义。）理解域和活动目录的含义。（2）学会架设域环境。）学会架设域环境。（3）学会利用对域账户进行管理。）学会利用对域账户进行管理。（4）学会利用组策略实现对域中用户和计算机的）学会利用组策略实现对域中用户和计算机的集中管理和控制。集中管理和控制。项目项目3 域环境的架设及账户管理域环境的架设及账户管理任务任务1 在企业中架设域环境在企业中架设域环境任务任务2 域账户的管理域账户的管理任务任务3 组策略的管理组策

5、略的管理项目项目3 域环境的架设及账户管理域环境的架设及账户管理任务任务1 在企业中架设域环境在企业中架设域环境1任务任务1 1 在企业中架设域环境在企业中架设域环境1工作组中的限制工作组中的限制为计算机安装为计算机安装Windows Server 2008操作系统后，在默认操作系统后，在默认情况下，该计算机属于情况下，该计算机属于Workgroup工作组。工作组是最简单工作组。工作组是最简单的计算机组织形式。的计算机组织形式。对工作组中的计算机没有统一的管理机制，每台计算机的对工作组中的计算机没有统一的管理机制，每台计算机的管理员只能管理本地计算机，例如，对计算机的安全策略进行管理员只能管理

6、本地计算机，例如，对计算机的安全策略进行设置，对本地连接和共享进行管理等。设置，对本地连接和共享进行管理等。任务任务1 1 在企业中架设域环境在企业中架设域环境在账户的管理上，工作组也没有统一的身份验证机制，用在账户的管理上，工作组也没有统一的身份验证机制，用户登录计算机后只能使用该计算机的本地账户，并由本地计户登录计算机后只能使用该计算机的本地账户，并由本地计算机对用户的身份进行验证，当对网络上的共享资源进行访算机对用户的身份进行验证，当对网络上的共享资源进行访问时，必须提供访问共享资源的凭据，因此，用户需要记下问时，必须提供访问共享资源的凭据，因此，用户需要记下访问各不同服务器的账户和密码

7、。访问各不同服务器的账户和密码。工作组中的计算机没有统一的对网络资源进行查找的机制，工作组中的计算机没有统一的对网络资源进行查找的机制，例如，对网络中的共享打印机、用户账户信息以及共享文件例如，对网络中的共享打印机、用户账户信息以及共享文件夹的查找。夹的查找。任务任务1 1 在企业中架设域环境在企业中架设域环境由此可见，工作组的组织形式存在诸多限制，因由此可见，工作组的组织形式存在诸多限制，因此，这种形式仅适应于网络规模较小的应用中。当企此，这种形式仅适应于网络规模较小的应用中。当企业规模不断增大，计算机数量不断增多时，需要有统业规模不断增大，计算机数量不断增多时，需要有统一的管理机制，对用户

8、账户、共享资源等进行统一的一的管理机制，对用户账户、共享资源等进行统一的管理。此时，工作组的组织形式不再适应了。管理。此时，工作组的组织形式不再适应了。任务任务1 1 在企业中架设域环境在企业中架设域环境2活动目录概述活动目录概述活动目录（活动目录（Active Directory）是从）是从Windows Server 2003以后的操作系统所提供的一种新的目录服务。而在以后的操作系统所提供的一种新的目录服务。而在Windows Server 2008中，活动目录有了一个新的名称：中，活动目录有了一个新的名称：Active Directory Domain Service（ADDS）。名称的

9、）。名称的改变意味着微软对改变意味着微软对Windows Server 2008的活动目录进的活动目录进行了较大的调整，增加了强大的新特性，例如，新增加行了较大的调整，增加了强大的新特性，例如，新增加了只读域控制器（了只读域控制器（RODC）的域控制器类型、更新的活）的域控制器类型、更新的活动目录域服务安装向导、可重启的活动目录域服务、快动目录域服务安装向导、可重启的活动目录域服务、快照查看以及增强的照查看以及增强的Ntdsutil命令等，并且对原有特性进行命令等，并且对原有特性进行了增强了增强。任务任务1 1 在企业中架设域环境在企业中架设域环境在了解活动目录前，首先需要明确域的概念。在了解

10、活动目录前，首先需要明确域的概念。域（域（Domain）是指将网络中的多台计算机逻辑上组）是指将网络中的多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域，域是组织和存储资源的核心管理单元。境叫做域，域是组织和存储资源的核心管理单元。活动目录由一个或多个域构成，一个域跨越不止一个活动目录由一个或多个域构成，一个域跨越不止一个物理地点。每一个域都有其自己的安全策略和本域与其物理地点。每一个域都有其自己的安全策略和本域与其他域之间的安全关系。当多个域通过信任关系连接起来他域之间的安全关系。当多个域通过信任关系连接起来并且拥有共

11、同的模式、配置和全局目录时，它们就构成并且拥有共同的模式、配置和全局目录时，它们就构成了一个域树。多个域树可以连接起来形成一个树林。了一个域树。多个域树可以连接起来形成一个树林。任务任务1 1 在企业中架设域环境在企业中架设域环境利用活动目录可以对资源进行集中管理，实现便利用活动目录可以对资源进行集中管理，实现便捷的网络资源访问，用户一次登录后就可以访问整捷的网络资源访问，用户一次登录后就可以访问整个网络资源，这些网络主要资源包含用户账户、组、个网络资源，这些网络主要资源包含用户账户、组、共享文件夹以及打印机等。同时，活动目录具有可共享文件夹以及打印机等。同时，活动目录具有可扩展性。扩展性。任

12、务任务1 1 在企业中架设域环境在企业中架设域环境3Active Directory的物理结构的物理结构在活动目录中，物理结构和逻辑结构区别很大，在活动目录中，物理结构和逻辑结构区别很大，它们彼此独立具有不同的概念。逻辑结构侧重于网络它们彼此独立具有不同的概念。逻辑结构侧重于网络资源的管理，而物理结构则侧重于网络的配置和优化。资源的管理，而物理结构则侧重于网络的配置和优化。活动目录的物理结构主要着眼于活动目录信息的复制活动目录的物理结构主要着眼于活动目录信息的复制和用户登录网络时性能的优化。物理结构包括两个重和用户登录网络时性能的优化。物理结构包括两个重要的概念，分别是域控制器和站点。要的概念

13、，分别是域控制器和站点。任务任务1 1 在企业中架设域环境在企业中架设域环境1）域控制器）域控制器域控制器是运行域控制器是运行Active Directory 的的 Windows Server 2008服务器。在域控制器上，服务器。在域控制器上，Active Directory 存储了所有的域范围内的账户和策略信息，存储了所有的域范围内的账户和策略信息，如系统的安全策略、用户身份验证数据和目录搜索。如系统的安全策略、用户身份验证数据和目录搜索。账户信息可以属于用户、服务和计算机账户。由于有账户信息可以属于用户、服务和计算机账户。由于有Active Directory 的存在，域控制器不需要本

14、地安全的存在，域控制器不需要本地安全账户管理器（账户管理器（SAM）。在域中作为服务器的系统可以）。在域中作为服务器的系统可以充当以下两种角色中的任何一种：域控制器或成员服充当以下两种角色中的任何一种：域控制器或成员服务器。务器。任务任务1 1 在企业中架设域环境在企业中架设域环境（1）域控制器。）域控制器。一个域可有一个或多个域控制器。通常单个局域网一个域可有一个或多个域控制器。通常单个局域网（LAN）的用户可能只需要一个域就能够满足要求。由）的用户可能只需要一个域就能够满足要求。由于一个域比较简单，所以整个域也只要一个域控制器。于一个域比较简单，所以整个域也只要一个域控制器。为了获得高可用

15、性和较强的容错能力，具有多个网络位为了获得高可用性和较强的容错能力，具有多个网络位置的大型网络或组织可能在每个部分都需要一个或多个置的大型网络或组织可能在每个部分都需要一个或多个域控制器。这样的设计，使得大型组织的管理非常烦琐，域控制器。这样的设计，使得大型组织的管理非常烦琐，而而Active Directory 支持域中所有域控制器之间目录数支持域中所有域控制器之间目录数据的多宿主复制，从而可以降低管理的复杂程度，提高据的多宿主复制，从而可以降低管理的复杂程度，提高管理效率。管理效率。任务任务1 1 在企业中架设域环境在企业中架设域环境管理员可以更新域中任何域控制器上的管理员可以更新域中任何

16、域控制器上的Active Directory。由于域控制器为域存储了所有用户账户。由于域控制器为域存储了所有用户账户的信息，管理员在一个域控制器上对域中的信息进的信息，管理员在一个域控制器上对域中的信息进行修改后，会自动传递到网络中其他的域控制器中。行修改后，会自动传递到网络中其他的域控制器中。任务任务1 1 在企业中架设域环境在企业中架设域环境（2）成员服务器。）成员服务器。一个成员服务器是一台运行一个成员服务器是一台运行Windows Server 2008的域成员服务器，由于不是域控制器，因此成的域成员服务器，由于不是域控制器，因此成员服务器不执行用户身份验证并且不存储安全策略信员服务器

17、不执行用户身份验证并且不存储安全策略信息，这样可以让成员服务器拥有更高的处理能力来处息，这样可以让成员服务器拥有更高的处理能力来处理网络中的其他服务。所以在网络中，通常使用成员理网络中的其他服务。所以在网络中，通常使用成员服务器作为专用的文件服务器、应用服务器、数据库服务器作为专用的文件服务器、应用服务器、数据库服务器或者服务器或者Web服务器，专门用于为网络中的用户服务器，专门用于为网络中的用户提供一种或几种服务。由于将身份认证和服务分开，提供一种或几种服务。由于将身份认证和服务分开，所以可以获得较高的效率。所以可以获得较高的效率。任务任务1 1 在企业中架设域环境在企业中架设域环境2）站点

18、）站点站点由一个或多个站点由一个或多个IP子网组成，这些子网通过高子网组成，这些子网通过高速网络设备进行连接。通常，子网之间的信息传输速网络设备进行连接。通常，子网之间的信息传输速度必须很快且稳定才能符合站点的需要，否则，速度必须很快且稳定才能符合站点的需要，否则，应该将它们分别划为不同的站点。站点往往由企业应该将它们分别划为不同的站点。站点往往由企业的物理位置分布情况来决定，可以根据站点结构配的物理位置分布情况来决定，可以根据站点结构配置活动目录的访问和复制拓扑关系，从而使网络连置活动目录的访问和复制拓扑关系，从而使网络连接更有效、复制策略更合理、用户登录更快速。接更有效、复制策略更合理、用

19、户登录更快速。任务任务1 1 在企业中架设域环境在企业中架设域环境活动目录中的站点和域是两个完全独立的概念，活动目录中的站点和域是两个完全独立的概念，站点是物理的分组，而域则是逻辑的分组。因此，站点是物理的分组，而域则是逻辑的分组。因此，一个站点可以有多个域，多个站点也可以位于同一一个站点可以有多个域，多个站点也可以位于同一域中。域中。如果一个域的域控制器是分布在不同的站点内，如果一个域的域控制器是分布在不同的站点内，而且这些站点之间是低速链接，由于各个域控制器而且这些站点之间是低速链接，由于各个域控制器必须将自己内部的必须将自己内部的Active Directory数据复制到其他数据复制到其

20、他的域控制器，因此，必须小心地规划执行复制的时的域控制器，因此，必须小心地规划执行复制的时段，也就是尽量设定成在非高峰期执行复制工作，段，也就是尽量设定成在非高峰期执行复制工作，同时，复制的频率也不能太高，以避免复制占用了同时，复制的频率也不能太高，以避免复制占用了两个站点之间的链接带宽，从而影响站点之间其他两个站点之间的链接带宽，从而影响站点之间其他数据的传输效率。数据的传输效率。任务任务1 1 在企业中架设域环境在企业中架设域环境对于同一个站点内的域控制器，由于是通过快速、对于同一个站点内的域控制器，由于是通过快速、稳定的网络连接，因此，在复制稳定的网络连接，因此，在复制Active Di

21、rectory数据数据时，可以有效、快速地复制。时，可以有效、快速地复制。Active Directory会设定会设定让同一个站点内、隶属于同一个域的域控制器之间自让同一个站点内、隶属于同一个域的域控制器之间自动执行复制操作，且其预设的复制频率也比不同站点动执行复制操作，且其预设的复制频率也比不同站点之间的高。之间的高。为了避免占用两个站点之间链接的带宽，影响其他为了避免占用两个站点之间链接的带宽，影响其他数据的传输效率，位于不同站点的域控制器在执行复数据的传输效率，位于不同站点的域控制器在执行复制操作时，其所传送的数据会被压缩，而同一个站点制操作时，其所传送的数据会被压缩，而同一个站点内的域

22、控制器之间进行复制时，数据不会被压缩。内的域控制器之间进行复制时，数据不会被压缩。任务任务1 1 在企业中架设域环境在企业中架设域环境4DNS服务器在域环境中的作用服务器在域环境中的作用在企业中，可以在同一台服务器上部署活动目录在企业中，可以在同一台服务器上部署活动目录和和DNS，客户端计算机使用，客户端计算机使用DNS服务就能方便对域服务就能方便对域控制器进行定位。由于控制器进行定位。由于DNS是使用最广泛的定位服是使用最广泛的定位服务，因此，不仅在务，因此，不仅在Internet上，甚至在许多规模较大上，甚至在许多规模较大的企业中，其内部网络也使用的企业中，其内部网络也使用DNS作为定位服

23、务。作为定位服务。任务任务1 1 在企业中架设域环境在企业中架设域环境在活动目录中，最基本的单位是域，通过父域和在活动目录中，最基本的单位是域，通过父域和子域的模式将域组织起来形成树，父域和子域之间是子域的模式将域组织起来形成树，父域和子域之间是完全双向的信任关系，并且这种信任是可以传递的，完全双向的信任关系，并且这种信任是可以传递的，其组织结构和其组织结构和DNS系统非常类似。在活动目录中，命系统非常类似。在活动目录中，命名策略基本按照名策略基本按照Internet的标准实现，根据的标准实现，根据DNS和和LDAP 3.0的标准，活动目录中的域和的标准，活动目录中的域和DNS系统中的系统中的

24、域使用的是完全一样的命名方式，即活动目录中的域域使用的是完全一样的命名方式，即活动目录中的域名就是名就是DNS的域名。因此，在活动目录中，就可以依的域名。因此，在活动目录中，就可以依赖赖DNS作为定位服务，实现将名称解析为作为定位服务，实现将名称解析为IP地址。所地址。所以，当使用以，当使用Windows Server 2008构建活动目录时，构建活动目录时，必须同时安装配置相应的必须同时安装配置相应的DNS服务，无论用户实现服务，无论用户实现IP地址解析还是登录验证，都可以利用地址解析还是登录验证，都可以利用DNS在活动目录在活动目录中的定位服务器。中的定位服务器。任务任务1 1 在企业中架

25、设域环境在企业中架设域环境5活动目录与活动目录与DNS的区别的区别活动目录和活动目录和DNS的相似之处很多，两者的主要区别的相似之处很多，两者的主要区别如下。如下。（1）存储的对象不同。）存储的对象不同。在在DNS和活动目录中，各自存储不同的数据，因此，和活动目录中，各自存储不同的数据，因此，两者管理不同的对象。两者管理不同的对象。DNS存储其区域和资源记录，活存储其区域和资源记录，活动目录存储域和域中的对象。动目录存储域和域中的对象。任务任务1 1 在企业中架设域环境在企业中架设域环境（2）解析所用的数据库不同。）解析所用的数据库不同。DNS是一种名称解析服务，通过是一种名称解析服务，通过D

26、NS服务器接受服务器接受请求、查询请求、查询DNS数据库，从而把域或计算机解析为对数据库，从而把域或计算机解析为对应的应的IP地址。地址。DNS客户发送客户发送DNS名称查询到它们设定名称查询到它们设定的的DNS服务器，服务器，DNS服务器接受请求后，可以通过本服务器接受请求后，可以通过本地地DNS数据库解析名称或者查询数据库解析名称或者查询Internet上的上的DNS数数据库来解析名称。据库来解析名称。DNS不需要活动目录就可以发挥其不需要活动目录就可以发挥其功能。功能。任务任务1 1 在企业中架设域环境在企业中架设域环境活动目录则是一种目录服务，通过域控制器接受请活动目录则是一种目录服务

27、，通过域控制器接受请求、查询活动目录数据库，从而把域对象名称解析为对求、查询活动目录数据库，从而把域对象名称解析为对象记录。活动目录用户通过象记录。活动目录用户通过LADP协议向活动目录服务协议向活动目录服务器发送请求，为了定位活动目录数据库，需要借助器发送请求，为了定位活动目录数据库，需要借助DNS，也就是说，活动目录将也就是说，活动目录将DNS作为定位服务，将活动目录作为定位服务，将活动目录服务器解析为服务器解析为IP地址，活动目录不能没有地址，活动目录不能没有DNS的帮助。的帮助。DNS可以独立于活动目录，但是活动目录必须有可以独立于活动目录，但是活动目录必须有DNS的帮助才能发挥功能。

28、为了保证活动目录正常工作，的帮助才能发挥功能。为了保证活动目录正常工作，DNS服务器必须支持服务定位（服务器必须支持服务定位（SRV）资源记录，资源）资源记录，资源记录把服务名称映射为提供服务的服务器名称。活动目记录把服务名称映射为提供服务的服务器名称。活动目录客户和域控制器使用录客户和域控制器使用SRV资源记录决定域控制器的资源记录决定域控制器的IP地址。地址。任务任务1 1 在企业中架设域环境在企业中架设域环境1任务实施拓扑结构任务实施拓扑结构在企业中实现域环境拓扑图如图在企业中实现域环境拓扑图如图3.1所示。所示。图3.1 在企业中实现域环境拓扑图需要注意的是：需要注意的是：如果使用虚拟

29、机进行实验，域控制器和域成员在配置网卡时，均设置为桥接模式。任务任务1 1 在企业中架设域环境在企业中架设域环境2安装活动目录安装活动目录在进行活动目录安装前，必须对计算机的在进行活动目录安装前，必须对计算机的“本地连接本地连接”进行基本设置，其方法是：以管理员身份登录到进行基本设置，其方法是：以管理员身份登录到PUMA计算计算机，其位置静态机，其位置静态IP地址为地址为192.168.2.2，子网掩码为，子网掩码为25.255.255.0，默认网关为，默认网关为192.168.2.1，首选，首选DNS服务器为服务器为192.168.2.2，保证首选，保证首选DNS指向本机。指向本机。任务任务

30、1 1 在企业中架设域环境在企业中架设域环境安装活动目录时，可使用命令安装活动目录时，可使用命令“dcpromo”打开打开“Active Directory向导向导”安装活动目录，具体步骤如下。安装活动目录，具体步骤如下。（1）打开）打开“Active Directory安装安装”对话框。以本地管理对话框。以本地管理员账户登录到需要安装活动目录的计算机上，单击员账户登录到需要安装活动目录的计算机上，单击“开始开始运行运行”，在打开的对话框中输入命令，在打开的对话框中输入命令“dcpromo”，单击，单击“确定确定”按钮，出现如图按钮，出现如图3.2所示的界面，开始安装所示的界面，开始安装Act

31、ive Directory域服务二进制文件。域服务二进制文件。任务任务1 1 在企业中架设域环境在企业中架设域环境图3.2 安装Active Directory域服务二进制文件任务任务1 1 在企业中架设域环境在企业中架设域环境（2）Active Directory域服务二进制文件安装完之后，域服务二进制文件安装完之后，将打开如图将打开如图3.3所示的所示的“Active Directory域服务安装向域服务安装向导导”，通过该向导把当前计算机配置为域控制器。，通过该向导把当前计算机配置为域控制器。（3）操作系统兼容性。单击）操作系统兼容性。单击“下一步下一步”按钮，出现按钮，出现如图如图3.

32、4所示所示“操作系统兼容性操作系统兼容性”对话框。该对话框中简对话框。该对话框中简要介绍了要介绍了Windows Server 2008域控制器和以前版本的域控制器和以前版本的Windows之间有可能存在兼容性问题，可以了解一下相之间有可能存在兼容性问题，可以了解一下相关知识。关知识。任务任务1 1 在企业中架设域环境在企业中架设域环境 图3.3 Active Directory域服务安装向导任务任务1 1 在企业中架设域环境在企业中架设域环境图3.4 “操作系统兼容性”对话框任务任务1 1 在企业中架设域环境在企业中架设域环境（4）设置域控制器类型。单击）设置域控制器类型。单击“下一步下一步

33、”按钮，出现按钮，出现“选择某一部署配置选择某一部署配置”对话框，在该对话框中可以为现有对话框，在该对话框中可以为现有林或新林创建域控制器。如果以前曾在该服务器上安装过林或新林创建域控制器。如果以前曾在该服务器上安装过Active Directory，可以选择，可以选择“现有林现有林”下的下的“向现有域添向现有域添加域控制器加域控制器”或或“在现有林中新建域在现有林中新建域”选项；如果是第一选项；如果是第一次安装，则建议选择次安装，则建议选择“在新林中创建域在新林中创建域”。这里选择。这里选择“在在新林中创建域新林中创建域”，如图，如图3.5所示。所示。任务任务1 1 在企业中架设域环境在企业

34、中架设域环境图3.5 设置域控制器类型任务任务1 1 在企业中架设域环境在企业中架设域环境注意：如果单击注意：如果单击“下一步下一步”按钮出现如图按钮出现如图3.6所示的所示的对话框，可以单击对话框，可以单击“开始开始运行运行”，在打开的对话框中，在打开的对话框中输入命令输入命令net user administrator/passwordreq:yes。图3.6 安装过程中出现错误界面任务任务1 1 在企业中架设域环境在企业中架设域环境（5）设置域名。单击）设置域名。单击“下一步下一步”按钮，出现按钮，出现“命名林命名林根域根域”对话框，在对话框，在“目录林根级域的目录林根级域的FQDN”中

35、输入新域中输入新域的名称为的名称为“”，如图，如图3.7所示。所示。注意：注意：FQDN全名为全名为Fully Qualified Domain Name，表示完全合格的域名。表示完全合格的域名。（6）设置林功能级别。单击）设置林功能级别。单击“下一步下一步”按钮，出现按钮，出现“设置林功能级别设置林功能级别”对话框。在该对话框中可以选择多个对话框。在该对话框中可以选择多个不同的林功能级别：不同的林功能级别：“Windows 2000”、“Windows Server 2003”和和“Windows Server 2008”。考虑到网络。考虑到网络中有低版本中有低版本Windows系统计算机，

36、这里选择系统计算机，这里选择“Windows 2000”，如图，如图3.8所示。所示。任务任务1 1 在企业中架设域环境在企业中架设域环境图3.7 设置域名任务任务1 1 在企业中架设域环境在企业中架设域环境图3.8 设置林功能级别任务任务1 1 在企业中架设域环境在企业中架设域环境（7）设置域功能级别。单击）设置域功能级别。单击“下一步下一步”按钮，出现按钮，出现“设置域功能级别设置域功能级别”对话框。在该对话框中可以选择多对话框。在该对话框中可以选择多个不同的域功能级别：个不同的域功能级别：“Windows 2000纯模式纯模式”、“Windows Server 2003”和和“Windo

37、ws Server 2008”，考虑到网络中有低版本考虑到网络中有低版本Windows系统计算机，这里选择系统计算机，这里选择“Windows 2000纯模式纯模式”，如图，如图3.9所示。所示。注意：注意：林和域的功能级别越高，其兼容性越差，但林和域的功能级别越高，其兼容性越差，但是能获得更多域的功能，因此，在进行设计时，因综合是能获得更多域的功能，因此，在进行设计时，因综合考虑兼容性和实用性。考虑兼容性和实用性。任务任务1 1 在企业中架设域环境在企业中架设域环境图3.9 设置域功能级别任务任务1 1 在企业中架设域环境在企业中架设域环境（8）设置其他域控制器。单击）设置其他域控制器。单击

38、“下一步下一步”按钮，出现按钮，出现“其他域控制器选项其他域控制器选项”对话框，可以对域控制器的其他方对话框，可以对域控制器的其他方面进行设置。系统会检测是否有已安装好的面进行设置。系统会检测是否有已安装好的DNS，由于没，由于没有安装其他的有安装其他的DNS服务器，系统会自动选择服务器，系统会自动选择“DNS服务器服务器”复选框，一并安装好复选框，一并安装好DNS服务，使得该域控制器同时也作服务，使得该域控制器同时也作为一台为一台DNS服务器。该域的服务器。该域的DNS区域及该区域的授权会被区域及该区域的授权会被自动创建。由于林中的第一台域控制器必须是全局编录服自动创建。由于林中的第一台域控

39、制器必须是全局编录服务器，且不能是只读域控制器（务器，且不能是只读域控制器（RODC），所以这两项为），所以这两项为不可选状态，如图不可选状态，如图3.10所示。所示。任务任务1 1 在企业中架设域环境在企业中架设域环境图3.10 设置其他域控制选项任务任务1 1 在企业中架设域环境在企业中架设域环境单击单击“下一步下一步”按钮，出现如图按钮，出现如图3.11所示的信息提示。所示的信息提示。单击单击“是是”按钮继续安装，之后在活动目录的安装过程中，按钮继续安装，之后在活动目录的安装过程中，将在这台计算机上自动安装和配置将在这台计算机上自动安装和配置DNS服务，并且自动配服务，并且自动配置自己为

40、首选置自己为首选DNS服务器。服务器。图3.11 信息提示任务任务1 1 在企业中架设域环境在企业中架设域环境（9）设置数据库和日志文件保存路径。单击）设置数据库和日志文件保存路径。单击“下一步下一步”按钮，出现按钮，出现“数据库、日志文件和数据库、日志文件和SYSVOL的位置的位置”对话对话框。在该对话框中可指定活动目录数据库、日志文件和框。在该对话框中可指定活动目录数据库、日志文件和SYSVOL文件夹的存储位置，这里选择默认位置即可，如文件夹的存储位置，这里选择默认位置即可，如图图3.12所示。所示。（10）单击）单击“下一步下一步”按钮，出现按钮，出现“目录服务还原模目录服务还原模式的式

41、的Administrator密码密码”对话框。在对话框中输入密码，对话框。在对话框中输入密码，用以创建目录服务还原模式的超级用户账户密码，如图用以创建目录服务还原模式的超级用户账户密码，如图3.13所示。所示。任务任务1 1 在企业中架设域环境在企业中架设域环境图3.12 设置其他域控制选项任务任务1 1 在企业中架设域环境在企业中架设域环境图3.13 创建目录还原模式的账户密码任务任务1 1 在企业中架设域环境在企业中架设域环境（11）单击）单击“下一步下一步”按钮，出现按钮，出现“摘要摘要”对话框，对话框，可以查看并检查所有的配置信息，如图可以查看并检查所有的配置信息，如图3.14所示。单

42、击所示。单击“下一步下一步”按钮，安装向导将自动进行活动目录的安装按钮，安装向导将自动进行活动目录的安装和配置，如图和配置，如图3.15所示。整个过程大概需要几分钟时间，所示。整个过程大概需要几分钟时间，安装完成后将出现如图安装完成后将出现如图3.16所示的所示的“完成完成Active Directory域服务安装向导域服务安装向导”对话框，此时，单击对话框，此时，单击“完成完成”按钮，重新启动计算机后，即可完成活动目录的安装。按钮，重新启动计算机后，即可完成活动目录的安装。任务任务1 1 在企业中架设域环境在企业中架设域环境图3.14 摘要信息任务任务1 1 在企业中架设域环境在企业中架设域

43、环境 图3.15 活动目录配置过程任务任务1 1 在企业中架设域环境在企业中架设域环境图3.16 “完成Active Directory域服务安装向导”对话框任务任务1 1 在企业中架设域环境在企业中架设域环境（12）登录到域控制器。重新启动计算机后，该计算）登录到域控制器。重新启动计算机后，该计算机将以域控制器的角色出现在网络中，登录界面如图机将以域控制器的角色出现在网络中，登录界面如图3.17所示，输入密码将登录到域控制器上，原来的本地用户账所示，输入密码将登录到域控制器上，原来的本地用户账户现在都已经升级为域用户账户。户现在都已经升级为域用户账户。（13）验证域控制器是否安装成功。单击）

44、验证域控制器是否安装成功。单击“开始开始所所有程序有程序管理工具管理工具DNS”，打开如图，打开如图3.18所示的所示的“DNS管理器管理器”窗口，可以看到该窗口内已经添加了信窗口，可以看到该窗口内已经添加了信息，选择息，选择“正向查找区域正向查找区域”选项，可以见到和域控制器集选项，可以见到和域控制器集成的正向查找区域的多个子目录，这意味着域控制器安装成的正向查找区域的多个子目录，这意味着域控制器安装成功。成功。任务任务1 1 在企业中架设域环境在企业中架设域环境图3.17 登录界面任务任务1 1 在企业中架设域环境在企业中架设域环境图3.18 “DNS管理器”窗口任务任务1 1 在企业中架

45、设域环境在企业中架设域环境3将客户机加入域环境将客户机加入域环境域控制器创建完成后，可以将其他计算机加入到域，域控制器创建完成后，可以将其他计算机加入到域，这里以操作系统为这里以操作系统为Windows 7的客户机为例进行说明，的客户机为例进行说明，具体步骤如下。具体步骤如下。1）设置客户机首选）设置客户机首选DNS服务器服务器单击单击“开始开始控制面板控制面板网络和网络和Internet”，打开如，打开如图图3.19所示的对话框，选择所示的对话框，选择“网络和共享中心网络和共享中心”，在弹出，在弹出的对话框中选择的对话框中选择“查看网络状态和任务查看网络状态和任务”，单击，单击“查看活查看活

46、动网络动网络”中的中的“本地连接本地连接”，打开如图，打开如图3.20所示的对话框，所示的对话框，进行进行IP地址的配置，其中，在地址的配置，其中，在“首选首选DNS服务器服务器”中输中输入域控制器的入域控制器的IP地址地址“192.168.2.2”。任务任务1 1 在企业中架设域环境在企业中架设域环境图3.19 “网络和Internet”对话框任务任务1 1 在企业中架设域环境在企业中架设域环境图3.20 设置“首选DNS服务器”任务任务1 1 在企业中架设域环境在企业中架设域环境2）将客户机加入到域中）将客户机加入到域中单击单击“开始开始控制面板控制面板系统和安全系统和安全系统系统”，在，

47、在“查看有关计算机的基本信息查看有关计算机的基本信息”对话框中选择对话框中选择“计算机计算机名称、域和工作组设置名称、域和工作组设置”中的中的“更改设置更改设置”，打开，打开“系系统属性统属性”对话框，如图对话框，如图3.21所示，可以看到计算机当前所示，可以看到计算机当前已经加入到工作组已经加入到工作组“WORKGROUP”中。中。单击单击“更改更改”按钮，打开按钮，打开“计算机名计算机名/域更改域更改”对话对话框，在框，在“隶属于隶属于”区域中选择区域中选择“域域”选项，并在其栏目选项，并在其栏目中输入需要加入的域名中输入需要加入的域名“”，如图，如图3.22所示。所示。任务任务1 1 在

48、企业中架设域环境在企业中架设域环境图3.21 “系统属性”对话框任务任务1 1 在企业中架设域环境在企业中架设域环境图3.22 “计算机名/域更改”对话框任务任务1 1 在企业中架设域环境在企业中架设域环境单击单击“确定确定”按钮，出现按钮，出现“Windows安全安全”对话框，对话框，在该对话框中可以指定将该计算机加入域的账户和密码，在该对话框中可以指定将该计算机加入域的账户和密码，如图如图3.23所示。所示。单击单击“确定确定”按钮，身份验证成功后出现如图按钮，身份验证成功后出现如图3.24所所示的信息，显示该计算机已经加入到域中。单击示的信息，显示该计算机已经加入到域中。单击“确定确定”

49、按钮，重新启动该计算机后就可以完成加入域的操作。按钮，重新启动该计算机后就可以完成加入域的操作。任务任务1 1 在企业中架设域环境在企业中架设域环境图3.23 输入加入域的账户和密码图3.24 欢迎加入域的信息任务任务1 1 在企业中架设域环境在企业中架设域环境4删除域控制器删除域控制器在实际应用中，有时候需要更改域控制器的角色，因在实际应用中，有时候需要更改域控制器的角色，因此，必须删除域控制器，其操作步骤如下。此，必须删除域控制器，其操作步骤如下。利用利用“dcpromo”命令启动命令启动“Active Directory域服域服务安装向导务安装向导”对话框，如图对话框，如图3.25所示，

50、运行之后，若本机所示，运行之后，若本机已经是域控制器，将提示如图已经是域控制器，将提示如图3.26图图3.28所示的删除所示的删除Active Directory的界面，最后提示重新启动计算机，即的界面，最后提示重新启动计算机，即可完全删除可完全删除Active Directory域控制器。域控制器。任务任务1 1 在企业中架设域环境在企业中架设域环境图3.25 “Active Directory域服务安装向导”对话框任务任务1 1 在企业中架设域环境在企业中架设域环境图3.26 应用程序目录分区信息任务任务1 1 在企业中架设域环境在企业中架设域环境图3.27 删除所有应用程序分区任务任务1

51、 1 在企业中架设域环境在企业中架设域环境图3.28 输入具有删除域的账户和密码项目项目3 3 域环境的架设及账户管理域环境的架设及账户管理任务任务2 域账户的管理域账户的管理2任务任务2 2 域账户的管理域账户的管理1域用户账户域用户账户Active Directory用户账户和计算机账户代表物理用户账户和计算机账户代表物理实体，如人或计算机。用户账户也可用做某些应用程实体，如人或计算机。用户账户也可用做某些应用程序的专用服务账户。用户账户和计算机账户以及组也序的专用服务账户。用户账户和计算机账户以及组也称为安全主体。安全主体是被自动指派了安全标识符称为安全主体。安全主体是被自动指派了安全标

52、识符（SID）的目录对象。用户或计算机账户在系统中可）的目录对象。用户或计算机账户在系统中可以用于以下几个方面以用于以下几个方面。任务任务2 2 域账户的管理域账户的管理1）验证用户或计算机的身份）验证用户或计算机的身份用户账户使用户能够利用经域验证后的标识登录用户账户使用户能够利用经域验证后的标识登录到计算机和域。登录到网络的每个用户应有自己的到计算机和域。登录到网络的每个用户应有自己的唯一账户和密码。在高安全等级的网络中，要避免唯一账户和密码。在高安全等级的网络中，要避免多个用户共享同一个账户登录，确保每个账户都是多个用户共享同一个账户登录，确保每个账户都是只有唯一的使用人。只有唯一的使用

53、人。2）授权或拒绝访问域资源）授权或拒绝访问域资源一旦用户已经过身份验证，则用该账户登录的用一旦用户已经过身份验证，则用该账户登录的用户就可以根据指派给该用户的关于资源的显式权限，户就可以根据指派给该用户的关于资源的显式权限，授予或拒绝该用户访问域资源。授予或拒绝该用户访问域资源。任务任务2 2 域账户的管理域账户的管理3）管理其他安全主体）管理其他安全主体Active Directory 在本地域中创建外部安全主体对在本地域中创建外部安全主体对象，用以表示信任的外部域中的每个安全主体。象，用以表示信任的外部域中的每个安全主体。4）审核使用用户或计算机账户执行的操作）审核使用用户或计算机账户执

54、行的操作审核有助于监视账户的安全性，了解账户的网络审核有助于监视账户的安全性，了解账户的网络行为。在行为。在Windows Server 2008中，对于不同的应用中，对于不同的应用场合，又有不同类型的实体。对于这些账户各有什么场合，又有不同类型的实体。对于这些账户各有什么特色，能完成什么任务，下面分别加以讨论。特色，能完成什么任务，下面分别加以讨论。任务任务2 2 域账户的管理域账户的管理（1）Active Directory用户账户。在用户账户。在Active Directory中，每个用户账户都有一个用户登录名、一中，每个用户账户都有一个用户登录名、一个个Windows 2000以前版本

55、的用户登录名和一个用户主以前版本的用户登录名和一个用户主要名称后缀。要名称后缀。用户主要名称是由用户登录名、用户主要名称是由用户登录名、号和用户主要名号和用户主要名称后缀组合而成的。但是，要注意的是，不要在用户称后缀组合而成的。但是，要注意的是，不要在用户登录名或用户主要名称中加入登录名或用户主要名称中加入号。号。任务任务2 2 域账户的管理域账户的管理在在Active Directory中，默认的用户主要名称后缀中，默认的用户主要名称后缀是域树中根域的是域树中根域的DNS名。通常情况下，此名称可能是名。通常情况下，此名称可能是在在Internet上注册为企业的域名。本章的例子并没有使上注册为

56、企业的域名。本章的例子并没有使用标准的域名，而是使用用标准的域名，而是使用hunau.local，但在实际的应，但在实际的应用中可以使用其注册的域名，如用中可以使用其注册的域名，如。使用备。使用备用域名作为用户主要名称后缀可以提供附加的登录安用域名作为用户主要名称后缀可以提供附加的登录安全性，并简化用于登录到树林中另一个域的名称。全性，并简化用于登录到树林中另一个域的名称。任务任务2 2 域账户的管理域账户的管理例如，某单位使用由部门和区域组成的深层域树，例如，某单位使用由部门和区域组成的深层域树，则域名可能会很长。对于该域中的用户，默认的用户则域名可能会很长。对于该域中的用户，默认的用户主要

57、名称可能是主要名称可能是client.hunau.local，该域中用户默，该域中用户默认的登录名可能是认的登录名可能是 userclient.hunau.local。创建。创建主要名称后缀主要名称后缀“hunau”，让同一用户使用更简单的，让同一用户使用更简单的登录名登录名userhunau.local即可登录。即可登录。任务任务2 2 域账户的管理域账户的管理在在Active Directory用户和计算机中的用户和计算机中的“Users”容器中有容器中有3个内置用户账户：个内置用户账户：Administrator、Guest和和HelpAssistant。创建域时将自动创建这些内置的用。

58、创建域时将自动创建这些内置的用户账户，每个内置账户均有不同的权利和权限组合。户账户，每个内置账户均有不同的权利和权限组合。Administrator 账户对域具有最高等级的权利和权限，账户对域具有最高等级的权利和权限，是内置的管理账户，而是内置的管理账户，而Guest账户只有极其有限的权利账户只有极其有限的权利和权限。如表和权限。如表3.1所示，列出了所示，列出了Windows Server 2008 的域控制器上的默认用户账户和特性。的域控制器上的默认用户账户和特性。任务任务2 2 域账户的管理域账户的管理默认用户账户特性Administrator账户Administrator 账户是使用“

59、Active Directory 安装向导”设置新域时创建的第一个账户。该账户具有对域的完全控制权，可以为其他域用户指派用户权利和访问控制权限。该账户是系统的管理账户，具有最高权限，因此必须为此账户设置强密码Administrator 账户是Active Directory中Administrators、Domain Admins等几个默认组的默认成员。虽然无法从 Administrators 组中删除此账户，但是可以重命名或禁用此账户。当它被禁用时，仍然可用于在安全模式下访问域控制器Guest账户Guest 账户是为该域中没有实际账户的人临时使用的内置账户，没有为其设置密码。尽管可以像设置任

60、何用户账户一样设置来宾账户的权利和权限，但默认情况下，Guest 账户是被禁用的，它是内置 Guests 组和 Domain Guests 全局组的成员，它允许用户登录到域任务任务2 2 域账户的管理域账户的管理（2）保护）保护Active Directory用户账户。内置账户的权利和权用户账户。内置账户的权利和权限不是由网络管理员来修改或禁用的，但是恶意用户或程序就可限不是由网络管理员来修改或禁用的，但是恶意用户或程序就可以通过使用以通过使用Administrator或或Guest身份非法登录到域中，进而身份非法登录到域中，进而使用这些权利。为了提高系统的安全性，最佳安全操作是重命名使用这些