Windows-Server-2003-域应用和管理

简述

WindowsServer2003域应用及管理内容提要活动目录的概述活动目录的组成活动目录的安装活动目录（ActiveDirectory）是WindowsServer2003系统中提供的目录服务，用于存储网络上各种对象的相关信息，以便于管理员查找和使用。活动目录是企业IT管理的重要组成部分，掌握活动目录对提高WindowsServer2003的管理技能具有非常重要的意义。本章讨论活动目录的基本概念、结构元素和特性，并介绍有关活动目录服务的基本操作。9.1活动目录的概述活动目录（ActiveDirectory）是WindowsServer2003操作系统提供的一种新的目录服务。所谓目录服务其实就是提供了一种按层次结构组织的信息，然后按名称关联检索信息的服务方式。这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企业的管理负担。另外，它还为用户和应用程序提供了对其所包含信息的安全访问。活动目录作为用户、计算机和网络服务相关信息的中心，支持现有的行业标准LDAP（LightweightDirectoryAccessProtocal，轻量目录访问协议），使任何兼容LDAP的客户端都能与之相互协作，可访问存储在活动目录中的信息，如Linux、Novell系统等。9.1.1目录服务的含义目录是一个用于存储用户感兴趣的对象信息的信息库。活动目录（ActiveDirectory）是用于WindowsServer2003的目录服务。它存储着本网络上各种对象的相关信息，并使用一种易于用户查找及使用的结构化的数据存储方法来组织和保存数据。在整个目录中，通过登录验证以及目录中对象的访问控制，将安全性集成到ActiveDirectory中。通过一次登录（SingleSign-On，SSO），管理员可管理整个网络中的目录数据和单位，而且获得授权的网络用户可访问网络上所有的资源。这种基于策略的管理模式大大地减轻了复杂网络的管理复杂度和工作量。9.1.2需要目录服务的原因目录服务可以实现如下的功能：（1）提高管理者定义的安全性来保证信息不受入侵者的破坏；（2）将目录分布在一个网络中的多台计算机上，提高了整个网络系统的可靠性；（3）复制目录可以使得更多用户获得它并且减少使用和管理开销，提高效率；（4）分配一个目录于多个存储介质中使其可以存储规模非常大的对象。目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时，目录服务变得很重要。因此，从这一点上可以将目录服务看做是一个大的分布系统的转换中心，用户可以利用该中心快捷的管理并使用其中的资源。9.1.3活动目录与域Windows域（Domain）是基于NT技术构建的Windows系统组成的计算机网络的独立安全范围，是Windows的逻辑管理单位，也就是说一个域就是一系列的用户账户、访问权限和其他的各种资源的集合。活动目录由一个或多个域构成，一个域可以跨越不止一个物理地点。每一个域都有它自己的安全策略和本域与其他域之间的安全关系。当多个域通过信任关系连接起来并且拥有共同的模式、配置和全局目录时，它们就构成了一个域树。多个域树可以连接起来形成一个树林。活动目录的结构图VMwarevSphereHypervisor是以前的VMwareESXiSingleServer或免费的ESXi（通常简称为“VMwareESXi”）的VMwareESX服务器是在通用环境下分区和整合系统的虚拟主机软件。它是具有高级资源管理功能高效，灵活的虚拟主机平台新名称,除可因兼并服务器减少设备购买及维护成本外，亦可因效能的尖峰离峰需求，以VMotion技术在各服务器或刀片服务器之刀板间弹性动态迁移系统平台，让IT人员做更有效的资源调度，并获得更好且安全周密的防护（虚拟机Vmwareesx&esxi）对象对象（Object）是对某具体事物的命名，如用户、打印机或应用程序等。属性是对象用来识别主题的描述性数据。一个用户的属性可能包括用户的Name、Email和Phone等域域（Domain）是WindowsServer2003活动目录的核心单元，是共享同一活动目录的一组计算机集合。域是安全的边界，在默认的情况下，一个域的管理员只能管理自己的域，一个域的管理员要管理其他的域需要专门的授权。域也是复制单位，一个域可包含多个域控制器，当某个域控制器的活动目录数据库修改以后，会将此修改复制到其他所有域控制器。组织单元组织单元（OU，OrganizationalUnit）是组织、管理一个域内对象的容器，它能包容用户账户、用户组、计算机、打印机和其他的组织单元。很明显，通过组织单元的包容，组织单元具有很清楚的层次结构。使用组织单位可帮助管理员将网络所需的域数量降到最低，组织单位还可以创建缩放到任意规模的管理模型。这种包容结构可以使管理者将组织单元切入到域中来反映出企业的组织结构，同时管理者还可以委派任务与授权。使用组织单位，可以在组织单位中代表逻辑层次结构的域中创建容器，这样就可以根据实际的组织模型管理账户和资源的配置和使用。树树（Tree），又称为域树，用来描述对象及容器的分层结构关系。域树是由若干具有共同的模式、配置的域构成的，形成了一个临近的名字空间。在树中的域也是通过信任关系连接起来的。活动目录是一个或更多树的集合。树可以通过两种途径表示，一种是域之间的关系，另一种是域树的名字空间。域树名字空间的特点（1）一棵树只有一个名字，即位于树根处的域的DNS名字；（2）在根域下面创建的域（子域）的名字总是与根域的名字邻接；（3）一棵树子域的DNS名字是反映该组织机构的。树林树林是一棵或多棵WindowsServer2003活动目录树的集合。各树之间地位相当，由双向传递的信任关系相关联。单个域可以组成一棵单域的树，单棵树可以组成单树的树林。树林与活动目录是同一个概念，也就是说，一个特定的目录服务实例（包括所有的域、所有的配置和模式信息）中的全部目录分区集合组成一片树林。3.2ActiveDirectory的物理结构域控制器站点9.2.1域控制器域控制器是运行ActiveDirectory的WindowsServer2003服务器。由于在域控制器上，ActiveDirectory存储了所有的域范围内的账户和策略信息，如系统的安全策略、用户身份验证数据和目录搜索。账户信息可以属于用户、服务和计算机账户。由于有ActiveDirectory的存在，域控制器不需要本地安全账户管理器（SAM）。在域中作为服务器的系统可以充当以下两种角色中的任何一种：域控制器或成员服务器。1．域控制器一个域可有一个或多个域控制器。通常单个局域网（LAN）的用户可能只需要一个域就能够满足要求。由于一个域比较简单，所以整个域也只要一个域控制器。为了获得高可用性和较强的容错能力，具有多个网络位置的大型网络或组织可能在每个部分都需要一个或多个域控制器。这样的设计，使得大型组织的管理非常的烦琐，而ActiveDirectory支持域中所有域控制器之间目录数据的多宿主复制，从而可以降低管理的复杂程度，提高管理效率。2．成员服务器一个成员服务器是一台运行WindowsServer2003的域成员服务器，由于不是域控制器，因此成员服务器不执行用户身份验证并且不存储安全策略信息，这样可以让成员服务器拥有更高的处理能力来处理网络中的其他服务。所以在网络中，通常使用成员服务器作为专用的文件服务器、应用服务器、数据库服务器或者Web服务器，专门用于为网络中的用户提供一种或几种服务。由于将身份认证和服务分开，这样可以获得较好的效率。9.2.2站点站点定义为由一个或多个IP子网组成的一组连接良好的计算机集合。站点与域不同，站点代表网络的物理结构，一般与地理位置相对应，而域代表组织的逻辑结构。这样的集合会提高工作效率，因为要确保站点内目录信息的有效交换，站点中的计算机需要很好地连接，尤其是不同子网内的计算机，通过站点可以简化ActiveDirectory内的站点之间的复制、身份验证等活动。站点站点在概念上不同于WindowsServer2003的域，因为一个站点可以跨越多个域，而一个域也可以跨越多个站点。站点并不属于域名称空间的一部分，站点控制域信息的复制，并可以帮助确定资源位置的远近。站点反映网络的物理结构，而域通常反映组织的逻辑结构。逻辑结构和物理结构相互独立，具有以下特点：（1）网络的物理结构及其域结构之间没有必要的相关性。（2）ActiveDirectory允许单个站点中有多个域，单个域中有多个站点。（3）站点和域名称空间之间没有必要的连接。9.3域信任关系信任是域之间建立的关系，它可使一个域中的用户由处在另一个域中的域控制器来进行验证。WindowsServer2003域之间信任关系建立在Kerberos安全协议上，Kerberos信任是可传递的、分层次和结构的。WindowsServer2003树林中的所有信任都是可传递的、双向信任的，因此，信任关系中的两个域都是相互受信任的。如图3.4所示，如果域A信任域B并且域B信任域C，则域C中的用户（授予适当权限时）可以访问域A中的资源。只有DomainAdmins组的成员可以管理信任关系。信任关系1．信任协议运行WindowsServer2003的域控制器使用以下两种协议之一来验证用户和应用程序：KerberosV5和NTLM。KerberosV5协议是运行Windows计算机的默认协议。如果事务中所涉及的任何计算机都不支持KerberosV5，则将使用NTLM协议。2．信任类型域和域之间的通信是通过信任发生的。信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证管道。使用“ActiveDirectory安装向导”时，将会创建两个默认信任。默认情况下，当使用“ActiveDirectory安装向导”在域树或林根域中添加新域时，系统会自动创建双向的可传递信任。如表3.1所示，定义了两种默认信任类型。信任类型传递性方向说明父子可传递双向默认情况下，当现有域树中添加新的子域时，将建立一个新的父子信任。来自子域的身份验证请求将通过其父向上传递到信任域中树根可传递双向默认情况下，当现有林中创建新的域树时，将建立一个新的树根信任其他信任类型信任类型传递性方向说明外部不可传递单向或双向使用外部信任可访问域中的资源，或单独（未经林信任连接）的林内某个域中的资源领域可传递或不可传递单向或双向使用领域信任可建立非WindowsKerberos领域和WindowsServer2003域之间的信任关系林可传递单向或双向使用林信任可在各个林之间共享资源。如果林信任是双向信任，则任一个林中的身份验证请求都可以到达另一个林快捷可传递单向或双向使用快捷信任可改善WindowsServer

2003林内的两个域之间的用户登录时间。当两个域被两个域树分隔开时，这是很有用的委托委托是活动目录最重要的安全特性之一，委托使得较高级的管理员对个人或组授予对容器和子树特定的管理权。这样就通过取消大部分用户组的权利而消除了对“域管理员”的需求。继承继承是授予用户或组权限的对象自由访问控制列表（DACL）中的一个项目，也是对象的系统访问控制列表（SACL）中的项目，该列表指定用户或组要审核的安全事件，访问控制项也被称为ACE。继承使得一个给定的ACE可以从它应用的容器传播到其所有子孙的容器。继承可以与委托相结合，从而保证对目录中整个子树的某一单一操作的管理权。复制活动目录提供多主版本复制。多主版本复制意味着给定分区的所有拷贝都是可写的，这就使得给定分区的任意拷贝的更新都可以完成。活动目录复制系统将一个给定拷贝的改变传递给所有其他拷贝。复制是自动且透明的。可传递的双向信任当一个域加入一个WindowsServer2003域树中时，在加入域与该树中父代之间的可传递双向信任关系就自动建立了。由于信任是可传递的和双向的，所以树成员之间的其他附加信任关系是不需要的。9.4ActiveDirectory的安装9.4.1活动目录的规划一、规划DNS选择DNS名称用于ActiveDirectory域时，以单位保留在Internet上使用的已注册DNS域名后缀开始，并将该名称和单位中使用的地理名称或部门名称结合起来，组成ActiveDirectory域的全名。二、规划域结构

从单域开始，只有在单域模式不能满足要求时，才增加其他的域。一个域可跨越多个站点并且包含数百万个对象。

下列情形下才建议创建多个域：1．部门之间不同的密码要求。2．大量的对象。3．不同的Internet域名。4．对复制进行更多的控制。5．分散的网络管理。

9.4.1活动目录的规划三、规划组织单位结构

组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。

通常创建的组织单位应能反映部门的职能或商务结构。

每个域都可以实现自己的组织单位层次结构。

四、规划委派模式

将部分组织单位子树的权利派给其他用户或组。注意：1．使用的域越少越好，因为在Windows2003中单个域的容量已被大大扩展了。2．限制组织单位的层次，以提高在ActiveDirectory搜索对象的运行效率。3．限制组织单位中的对象个数，有利于高效的查找特定资源。4．可以将管理权限分配到组织单位级，这样既提高了管理效率，又降低了管理员的负荷。9.4.2域控制器的安装1．从WindowsServer2003的【管理您的服务器】安装（1）单击“开始|程序|管理工具|管理您的服务器”。点击“添加或删除角色”。（2）在服务器角色列表中选择“域控制器（ActiveDirectory）”，并单击“下一步”按钮启动ActiveDirectory安装向导，如图所示。9.4.2域控制器的安装2．使用命令行手工安装单击“开始|运行”按钮，输入“DCPROMO”，然后单击“确定”按钮。点击“下一步”按钮，弹出“操作系统兼容性”向导页新域类型

默认，系统会使用DNS名称中最前面的部分作为NetBIOS名，如果该名称已经在网络中使用，系统会自动在该名称后加一个字符作为新域的NetBIOS名。也可根据自己的需要手工指定另外一个名称。AD文件存储位置

出于安全性的考虑，最好不要将活动目录数据库和日志放在同一个分区，且要确保活动目录日志所在的分区必须有足够的剩余空间SYSVOL存储域公共文件服务器副本的共享文件夹，它们在域中所有的域控制器之间复制。

在安装过程中需要提供WindowsServer2003的安装文件，此时可将安装系统的镜像文件装入光驱，确定。继续安装。安装DNS（DHCP）DNS动态名称解析服务正向及反向（arp及rarp）Tcp三次握手协议（DoS\flood）3．域控制器的删除单击下一步按钮，开始活动目录的删除过程，与安装过程的“写”操作相反，删除活动目录的过程是“擦除”。删除完成后会出现“已从这台计算机上删除ActiveDirectory”。单击“完成”，重新启动计算机。9.4.3将计算机加入到域1、哪些计算机能成为WindowsServer2003域的成员？WindowsServer2003的域可以管理微软以前版本的操作系统主机。包括：WindowsNTWindows2000WindowsXPWindowsServer20032、把计算机加入到域（1）在需要添加进域的计算机上，鼠标右键单击“我的电脑”，然后单击“属性”按钮。（2）单击“计算机名”选项卡，可以打开如图所示的界面。（3）记录下完整的计算机名称信息（备用）。加入到域的步骤（4）单击“更改”按钮启动“计算机名称更改”对话框，在“隶属于”选项区域中选中“域”单选按钮，在空白处输入要加入域的DNS名称。这里可以输入刚建好的域名。然后单击“确定”按钮在客户端加入到域之前，应首先设置客户端的TCP/IP属性，保证客户端的DNS指向和DC的DNS指向保持一致(客户端DNS服务器地址与DC的DNS一致)。（5）提示输入拥有加入该域权限的用户名称和密码。从windows2000起，域中的普通用户就可以把计算机加入到域，但一个普通用户最多只能把10台计算机加入到域，而Administrator没有限制。（6）单击“确定”按钮，身份验证成功后，会出现加入域的操作成功的对话框。单击确定，将提示重新启动计算机以便使用所做的改动。9.4.4安装现有域的额外的域控制器有两种方法：1、利用网络安装2、利用磁盘复制安装1、利用网络安装现有域的额外域控制器（1）在要作为额外DC的计算机上，开始|运行，输入dcpromo命令，开始活动目录安装过程。在“域控制器类型”向导页中选中“现有域的额外域控制器”单选按钮。（2）单击“下一步”，在“网络凭据”向导页中输入具有安装活动目录权限的用户名称和密码。（3）单击“下一步”，在“额外的域控制器”向导页中输入现有域的DNS全名。（4）连续单击“下一步”，选择活动目录数据库和日志的安装位置、SYSVOL文件夹的位置、活动目录还原模式的密码等信息，最后出现摘要信息。（5）单击下一步，开始安装过程。会从当前的域控制器复制域的信息。（6）安装完成后重新启动计算机。2、利用磁盘复制安装现有域的额外的域控制器（1）利用系统备份工具，对“系统状态”做备份。（2）将备份好的系统状态文件复制到要作为额外DC的计算机上。（3）在该计算机上打开“备份工具—【还原和管理媒体】”对话框，还原“系统状态文件”。此时，选择将文件还原到“单个文件夹”，并在备用位置处选择一个物理位置。如C:\ntdsrestore。（4）还原后，在【运行】中输入“dcpromo/adv”命令，单击确定，开始安装活动目录，在“域控制器类型”中选中“现有域的额外域控制器”单选按钮。（5）单击下一步，在“复制域信息”处选中“从这些恢复的备份文件”单选框，单击“浏览”按钮指定刚刚设定的还原文件的物理位置（如上C:\ntdsrestore）。（6）单击“下一步”，出现“全局编录”向导页，在此选择是否将这台DC设置为全局编录服务器。为了平衡登录验证和查询的流量，建议在每个地点设置一个全局编录服务器。（7）单击下一步，在“网络凭据”向导页中输入具有安装活动目录权限的用户名称和密码，然后依次选择活动目录数据库和日志的安装位置、SYSVOL文件夹的位置、活动目录还原模式的密码等信息，开始安装活动目录。安装完成后这台计算机就成为域中的额外的域控制器了。

一、创建域用户账户创建域用户账户，必须在WindowsServer

2003域控制器上使用“ActiveDirectory用户和计算机”为创建用户账户，普通的客户机不能创建域用户账户。

9.5域账户管理二、管理域用户账户

当客户机以指定的用户账户登录域后，在共享网络资源的同时，还接受WindowsServer2003服务器的统一管理。

1．设置用户账户属性

2．重设用户账户密码

3．查找用户账户

4．禁用/启用账户

5．删除用户账户

一、域中组账户简介在WindowsServer2003域中，可以将组分为通讯组和安全组两种类型。1．通讯组使用通讯组可以创建电子邮件通讯组列表，只有在电子邮件应用程序（如Exchange）中，才能使用