教学材料《WindowsServer安装与配置》-项目二

任务一活动目录的安装与设置任务描述完成活动目录的安装，并跟随安装向导，配置域控制器、创建子域、竹理活动用户和计算机、创建信任关系等。相关参数设计见实施步骤。下一页返回任务一活动目录的安装与设置实施条件（1）文件系统yi网络I办议。活动b录必须安装在NTFS分区，因此WindowsServer2003所在的分区必须是NTFS文件系统，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP协议。（2）用户要将自己的服务器配置成域控制器，应该首先安装活动目录，以发挥活动目录的作用。上一页下一页返回任务一活动目录的安装与设置实施步骤（1）首先确认“本地连接”属性TCP/IP首选DNS是否指向了本机(本例为然后在“竹理您的服务器”窗口中，选择“添加或删除角色”选项，打开“配置您的服务器向导”对话框，单击“下一步”按钮检测所有的设备、操作系统，并搜索网络连接。搜索完成，在如图2-2所示的“配置选项”选项区域，在其中选中“自定义配置”单选按钮。（2）单击“下一步”按钮，在如图2-3所示的“服务器角色”选项区域中的“服务器角色”列表框中列出了所有可以安装的服务器，选择“域控制器”选项，将该计算机设置为域控制器，并同时安装活动目录。上一页下一页返回任务一活动目录的安装与设置(3)单击“下一步”按钮，弹出“选择总结”对话框，此处说明将“运行ActiveDirectory安装向导来将此服务器设置成域服务器”，直接单击“下一步”按钮，启动如图2-4所示的"ActiveDirectory安装向导，，对话框。(4)单击“下一步”按钮，出现如图2-5所示的“操作系统兼容性”界面，此处对安装活动目录以后的情况进行了简单说明。(5)单击“下一步”按钮，出现如图2-6所小的“域控制器类型”界面，选择此服务器要担任的角色。如果当前服务器未种安装过ActiveDirectory，并A要保留这个服务器上的所有帐户，则建议选中“新域的域控制器”单选按钮。上一页下一页返回任务一活动目录的安装与设置注意:域控制器类似于网络的“看门人”，用于管理所有的网络访问，包括登录服务器、访问共享目录和资源。域控制器存储了所有的域范围内的帐户和策略信息，包括安全策略、用户身份验证信息和帐户信息。在网络中，可以有多台计算机配置为域控制器，以分担用户的登录和访问压力。多个域控制器可以一起工作，自动备份用户帐户和活动目录数据，即使部分域控制器瘫换后，网络访问仍然不受影响，提高了网络安全性和稳定性。

(6)选中“新域的域控制器”单选按钮后，单击“下一步”按钮，出现如图2-7所示的“创建一个新域”界面。如果以前种在该服务器上安装过ActiveDirectory可以选中“在现有的域树中的了域”或“在现有的林中的域树”单选按钮;如果是第一次安装，则建议选中“在新林中的域”单选按钮。上一页下一页返回任务一活动目录的安装与设置(7)选中“在新林中的域”单选按钮后，单击“下一步”按钮，出现如图2-8所小的“新的域名”界面，在“新域的DNS全名”文本框中输入该服务器的DNS全名:“”。如果尚未申请正域名，也应当输入拟申请的域名。注意:此处的域名一定要与网络DNS服务的域名相对应。

(8)单击“下一步”按钮，出现如图2-9所小的“NetBIOS域名”界面，在“域NetBIOS名”文本框中，显小该服务器的新域的NetBIOS名称。NetBIOS名称的意义在于，让其他早期Windows版本的用户可以识别新域。

(9)单击“下一步”按钮，出现如图2-10所示的“数据库和日志文件文件夹”界面，ActiveDirectory数据库默认位于系统盘Windows文件夹下，也可以单击“浏览”按钮更改为其他路径，建议不作更改。其中，数据库文件夹用来存储活动目录数据库，而日志文件夹用来存储活动目录的变化日志，以便于日常竹理和维护。上一页下一页返回任务一活动目录的安装与设置注意:如果当前计算机上安装有多个硬盘，最好将存储活动目录数据库的文件夹与活动目录日志文件夹，分别指定在不同的硬盘内，一方面可以提高响应速率，另一方面也便于故障后的紧急恢复。

(10)单击“下一步”按钮，出现如图2-11所小的“共享的系统卷”界面，用来指定作为系统卷共享的SYSVOL文件夹的位置，该文件夹必须在NTFS格式的分区中，默认为系统盘Windows文件夹下，建议不做修改。

(11)单击“下一步”按钮，出现如图2-12所示的“DNS注册诊断”界面，系统会对该服务器进行DNS诊断测试，并显示出诊断结果，直接选中第2个单选按钮即可，如果出现其他提示信息，也可以另外选择合适的选项。

上一页下一页返回任务一活动目录的安装与设置(12)单击“下一步”按钮，会出现如图2-13所示的“权限”界面，选中“只与Windows2000或WindowsServer2003操作系统兼容的权限”单选按钮。

(13)单击“下一步”按钮，出现如图2-14所示的“目录服务还原模式的竹理员密码”界面。目录还原时不在Windows状态下，而是在“目录服务还原模式”状态下，需要输入单独的密码才能进入。该密码和竹理员密码可能不同，所以竹理员一定要牢记该密码。在“还原模式密码”和“确认密码”文本框中分别输入相同的密码，该密码也可以为空。(14)单击“下一步”按钮，出现如图2-15所示的可以单击“上一步”“摘要”界面，列出前面所有的配置信息，如果觉得哪些配置有错误，按钮返回检查并修改。

(15)如果确认无须更改，可以单击“下一步”按钮开始安装。这个过程可能需要儿分钟或更长的时间，所以要耐心等待，完成后会出现如图2-16所示的提示界面，表示至此活动目录安装成功。

上一页返回任务二创建子域

任务描述

WindowsServer2003服务器在域中可以有3种角色:域控制器、成员服务器和独立服务器。（1）当一台WindowsServer2003成员服务器安装了活动目录后，服务器就称为域控制器，域控制器可以对用户的矜录等进行验证。（2）当WindowsServer2003成员服务器可以仅加入到域中，而不安装活动目录，这时服务器的卞要日的是为了提供网络资源，这样的服务器称为成员服务器，也可以称为现有域中的附加域控制器。（3）独立服务器和域没有什么关系，如果服务器不加入到域中也不安装活动目录，就称为独立服务器。下一页返回任务二创建子域实施条件

（1）使用具有充分权限的用户帐户7}录域控制器。被提升为子域的计算机必须是已加入域的)戊员，并A以ActiveDirectory中DomainAdmins组或EnterpriseAdmins组的用户i眼户升录到域控制器，否则将会被提小尤权提升域控制器。（2）操作系统版本的兼容性。被提升为子域控制器的计算机必须安装WindowsServer2003CWindowsServer2003WebEdition外)或Windows2000Serve:操作系统。（3）正确配置DNS服务器:必须将当前计算机的DNS服务器指主域控制器，并且保证域控制器的DNS已经被正确配置，否则将会被提小尤法连接到ActiveDirectory域控制器。（4）域名长度:ActiveDirectory域名最多包含64个字符或155个字节。上一页下一页返回任务二创建子域实施步骤

创建子域的过程和创建卞域控制器的过程基本相似，现将操作步骤提示如下。(1)启动“ActiveDirectory安装向导”，按照上述“安装活动目录”的方法进行直至“创建一个新域”界面出现时，选中“在现有域树中的子域”单选按钮。

(2)单击“下一步”按钮，出现“网络凭据”界面，输入矜录到域控制器的用户名和密码，“域”文本框中会默认显示当前卞域控制器的完整域名，如图2-17所示。

(3)单击“下一步”按钮，出现“子域安装”界面，“父域”文本框中将自动显示当前域控制器的DNS全名，在“子域”文本框中输入子域名称，如abc等，如图2-18所示。上一页下一页返回任务二创建子域(4)单击“下一步”按钮，出现“NetBIOS域名”界面，要求指定子域的NetBIOS名称。建成后的子域虽然仍要接受来自父域的竹理，但是它己经是一台全新的域控制器，其下所有的用户均可直接矜录到该域控制器。

(5)接下来的操作和全新域控制器的安装完全相同，按照向导连续单击“下一步”按钮，直至出现“摘要”界面，此时会发现新的域名中包含父域的域名。单击“上一步”按钮即可返回重新设置。

(6)单击“下一步”按钮即可开始安装子域，同样需要儿分钟或者更长的时间，并目安装完成后需要重新启动计算机。注意:重新启动计算机将会使用安装子域时设定的密码登录到子域。依次选择“开始”一“管理工具”一“ActiveDirectory域和信任关系”命令后，需要展开“"，方可显示该子域。上一页返回任务三活动目录用户和计算机任务描述

活动目录结构卞要是指网络中所有用户、计算机以及其他网络资源的层次关系，就像是一幢大楼内的各套公寓，每个公寓所住的用户都不一样，通常情况下活动目录的结构可以分为逻辑结构和物理结构。活动目录的逻辑结构:包括域、域树、域林和组织单元。组织单元(OrganizationalUnitOU)是一个容器对象，可以把域中的对象组织成逻辑组，以简化竹理工作。组织单元可以包含各种对象，比如用户帐户、用户组、计算机、打印机等，甚至可以包括其他的组织单元，所以可以利用组织单元把域中的对象组成一个完全逻辑上的层次结构。对于企业来讲，可以按部门把所有的用户和设备组成一个组织单元层次结构，也可以按地理位置形成层次结构，还可以按功能和权限分成多个组织层次结构。下一页返回任务三活动目录用户和计算机实施条件服务器正确安装了活动目录。上一页下一页返回任务三活动目录用户和计算机实施步骤

活动用户和计算机的竹理具体操作步骤如下。

(1)选择“开始”一“管理工具”一“ActiveDirectory用户和计算机”命令，可以打开“ActiveDirectory用户和计算机”窗口，如图2-19所示。

(2)在图2-19所示窗口的左部，选择“Computers可以显示当前域中的计算机，即成员服务器和工作站，如图2-20所示，因为此域是新域，所以无成员服务器和工作站。

(3)在图2-19所小窗口的左部，选择“DomainControllers”，可以显示当前域中的域控制器，如图2-21所示。上一页下一页返回任务三活动目录用户和计算机

(4)在图2-19所小窗口的左部，选择“Users”或“BUlltin，可以显示域中的用户或组等情况，如图2-22所小，有关用户和组的内容详见本书的后面章节。

(5)组织单元可以用来逻辑地组织用户、组、计算机等，反映了企业行政竹理的实际框架，创建的方法为:在图2-22窗口左部的域树中，选中，右击，在弹出的快捷菜单中选择“新建”一“组织单位”命令，在“新建对象一组织单位”对话框中，输入组织单元名称，单击“确定”按钮即可。上一页返回任务四创建信任关系

任务描述当网络中有多个不同的域，想要让每个用户都可以自由访问网络中的每台服务器(不管用户是否属于这个域)时，域之间需要创建信任关系。下一页返回任务四创建信任关系实施条件

前面已创建了一个域，卞域计算机名为abcserver，TCP/IP地址为:现在再创建一个域，卞域计算机名为abcserver-02，TCP/IP地址为:下面就以这两个域为例，介绍信任关系的创建。上一页下一页返回任务四创建信任关系实施步骤

创建信任关系时，在abcserver-02计算机上进行操作，具体的操作步骤如下。

(1)选择“开始”一“竹理工具”一“ActiveDirectory域和信任关系”命令，从卞窗口中右击域名，从弹出的快捷菜单中选择“属性”命令，打开“域属性”对话框，接着单击“信任”标签，打开如图2-23所示的“信任”选项卡。由于当前域尚未与其他任何域建立信任关系，所以此时列表为空。

(2)单击“新建信任”按钮，打开“新建信任向导”对话框，单击“下一步”按钮，出现如图2-24所示的“信任名称”界面。在“名称”文本框中输入要与之建立信任关系的NetBIOS名称或者DNS名称，这单为“”。

上一页下一页返回任务四创建信任关系(3)单击“下一步”按钮，出现如图2-25所示的“信任方向”界面，选择信任关系的方向，可以是“双向”、“单向:内传”、“单向:外传”。双向的信任关系实际上是由两个单向的信任关系组成的，因此也可以通过分别建立两个单向的信任关系来建立双向信任有关系。这单为了方便，选中“双向”单选按钮，单击“下一