专题四 域与活动目录

专题四 域与活动目录

学习要点

域与活动目录的概念

活动目录的创建与配置

活动目录的备份与恢复

管理组织单元

管理信任关系

管理复制

4.1 域与活动目录 活动目录是 Windows 网络中的目录服务 ,有两方面内容：目录和与目录相关的服务。

4.1.1 活动目录

活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问。既提高了管理效率，又使网络应用更加方便。

域是在 Windows NT/2000/2003 网络环境中组建客户机 /服务器网络的实现方式。所谓域，是由网络管理员定义的一组计算机集合，实际上就是一个网络。在这个网络中，至少有一台称为域控制器的计算机 ,充当服务器角色。

4.1.2 域和域控制器（ DC ）

当需要配置一个包含多个域的网络时，应该将网络配置成域目录树结构。域目录树是一种树型结构。

4.1.3 域目录树

在整个域目录树中，所有域共享同一个活动目录，即整个域目录树中只有一个活动目录。

活动目录的域名仍然采用 DNS 域名的命名规则进行命名。

目录树目录树：共用连续名字空间的域就组成一个域目录树。

（根域）

China.com

Jinan. China.com

Beijing. China.com

子域 子域

域目录树

如果网络的规模比前面提到的域目录树还要大，甚至包含了多个域目录树，这时可以将网络配置为域目录林（也称森林）结构。

4.1.4 域目录林

为了让每一用户能够快速查找到另一个域内的对象，微软设计了全局编录（ Global Catalog ， GC ）。全局编录包含了整个活动目录中每一个对象的最重要属性（即部分属性，而不是全部），这使得用户或者应用程序即使不知道对象位于哪个域内，也可以迅速找到被访问的对象。

4.1.5 全局编录

域目录林 • 目录林是一个或多个目录树的集合。• 目录林中的目录树并不共用相同的连续的名字空间。

（根域）

China.com

Jinan. China.com

Beijing. China.com

（子域） （子域）

域目录树

（根域）

America.com

NewYork. America.com

Washington. America.com

（子域） （子域）

域目录树

域目录林

4.2 活动目录的创建与配置

图 4-3 网络规划拓扑图

4.2.1 创建第一个域

（ 1）首先确认“本地连接”属性 TCP/IP 中首选 DNS 指向了自己。

• 启动 Windows Server 2003 系统，以 Administrator 权限登录 。

Active Directory 安装向导

提示操作系统兼容性

选择域控制器类型

选择创建的域的类型

指定域名

指定域的 NetBIOS 名称

指定放置 Active Directory 数据库和日志文件的文件夹

数据库日志和系统卷设置

DNS 注册诊断

选择兼容模式

设定还原模式管理员密码

安装选项摘要

提示重启计算机以使更改生效

• 安装完成后，需要重启计算机

4.2.2 安装后检查 •1 、计算机名

2. 管理工具中会添加包括“ Active Directory 用户和计算机”、“ Active Directory 站点和服务”、“ Active Directory域和信任关系”等管理工具。

3. 活动目录对象

4. Active Directory 数据库Active Directory数据库文件保存在 %SystemRoot%\Ntds 文件夹中，主要的文件有：

–Ntds.dit ：数据库文件。–Edb.log ：日志文件。–Edb.chk ：检查点文件。–Res1.log 、 Res2.log ：保留的日志文件。–Temp.edb ：临时文件。

•5. DNS 记录

（ 1）首先要在 服务器上检查“本地连接”属性，确认能否正常通信。

4.2.3 安装额外的域控制器

（ 2）运行“ Active Directory”安装向导。 （ 3）将该计算机设置为现有域的额外域控制器。 （ 4）输入拥有将该计算机升级为域控制器权力的用户名和密码。 （ 5）安装向导从原有的域控制器上开始复制活动目录。

4.2.5 安装额外的域控制器 • 在一个域中可以有多台域控制器。 • 在安装额外的 DC时，需要将活动目录数据库由现有的域控制器复制到这台新的 DC上。

（ 1）在要升级为域控制器的独立服务器上，设置“本地连接”属性。

（ 2）运行活动目录安装向导。 （ 3）选择“新域的域控制器”单选按钮，单击“下一步”按钮；选择“在现有域树中的子域”单选按钮，单击“下一步”按钮。

（ 4）输入父域的域名以及管理员的账户、密码等。

（ 5）接着输入子域的 NetBIOS 名。 （ 6）重新启动计算机，用管理员登录到域中。

1. 创建 DNS 域

4.2.5 创建域林中的第二棵域树

（ 1）展开 DNS 管理窗口左部的列表，右击“正向查找区域”，选择“新建区域”命令。

1. 创建 DNS 域

4.2.5 创建域林中的第二棵域树

（ 3）选择如何复制 DNS区域数据。

1. 创建 DNS 域 （ 4）输入 DNS区域名称，选择“只允许安全的动态更新”或者“允许非安全和安全动态更新”单选按钮。 （ 5）单击“完成”按钮。

2. 安装 smile.com域树的域控制器（ 1）确认服务器上“本地连接”属性中的 TCP/IP的首选 DNS 指向。（ 2）运行活动目录安装向导。（ 3）选择“新域的域控制器” 。

2. 安装域树的域控制器下一步选择“在现有的林中的域树” 。

2. 安装域树的域控制器（ 4）输入已有域树的根域的域名和管理员的账户、密码。（ 5）接着输入新域的 NetBIOS 名 ,按照原步骤继续设置，直到完成。

2. 安装域树的域控制器 （ 6 ）重新启动计算机，用管理员账户登录，单击“开始”→“管理工具”→“ Active Directory 域和信任关系”菜单项，可以看到 smile.com 域已经存在了。

4.2.6 成员服务器和独立服务器

域控制器

独立服务器 成员服务器

安装活动目录 安装活动目录

卸载活动目录

加入到域

从域中脱离

1．域控制器降级为成员服务器。 具体步骤： 1 ）删除活动目录注意要点

2 ）删除活动目录

2．独立服务器提升为成员服务器

3．成员服务器降级为独立服务器

1．域控制器降级为成员服务器。 具体步骤： 1 ）删除活动目录注意要点

4.2.6 成员服务器和独立服务器

2 ）删除活动目录

2．独立服务器提升为成员服务器

3．成员服务器降级为独立服务器

删除活动目录

• 删除时要注意以下三点：（ 1）如果该域内还有其他域控制器，则该域会被降级

为该域的成员服务器。（ 2）如果这个域控制器是该域的最后一个域控制器，

则被降级后，该域内将不存在任何域控制器了。因此，该域控制器被删除，而该计算机被降级为独立服务器。

（ 3）如果这台域控制器是“全局编录”，则将其降级后，它将不再担当“全局编录”的角色，因此请先确定网络上是否还有其他的“全局编录”域控制器。

Active Directory 安装向导

全局编录确认

删除域控制器

应用程序目录分区

确认删除

管理员密码

2．独立服务器提升为成员服务器

3．成员服务器降级为独立服务器

（ 1） Windows 备份

4.3 活动目录的备份与恢复1. 活动目录的备份

（ 1） Windows 备份

1. 活动目录的备份

（ 2）命令行备份

“若要将活动目录以 backup.bkf” 为文件 “名备份到 D:\backup.bkf” 文件夹下，可以在

命令提示符下输入：

ntbackup backup systemstate /J “Backup Job 1” /F “D:\backup.bkf”

2. 活动目录的恢复

活动目录的恢复应用在下面的三种情况。 （ 1）网络中只有一台域控制器，在重新安装系统后，必须恢复活动目录。 （ 2）如果服务器发生故障，借助于备份文件恢复。 （ 3）利用备份的数据，快速安装新的额外的域外控制器。

4.4 活动目录的管理

OU是组织单元，在活动目录（ Active Directory， AD ）中扮演特殊的角色，它是一个当普通边界不能满足要求时创建的边界。 OU 把域中的对象组织成逻辑管理组， 而不是安全组或代表地理实体的组。OU是可以应用组策略和委派责任的最小单位。

4.4.1 在活动目录中使用 OU

组织单元是包含在活动目录中的容器对象。创建组织单元的目的是对活动目录对象进行分类。

1 ．组织单元

创建组织单元有如下好处： （ 1）可以分类组织对象，使所有对象结构更清晰。 （ 2）可以对某些对象配置组策略，实现对这些对象的管理和控制。 （ 3）可以委派管理控制权，如管理员可以给不同部门的网络主管授权 ,让他们管理本部门的账号。

●谨慎添加 OU：只在必要的时候才添加 OU，不要建太多的 OU, 建议不要为个别用户创建 OU。● 保持层次简单：不要一开始就创建多层OU，也不要使 OU的层次太深。● OU与组的区别：真正的差别在于安全模型 -组策略与权限。

2 ．使用 OU 注意要点

（ 1）在左窗格中右击该 OU的父对象。如果是第一个 OU，域将是父对象。 （ 2）从快捷菜单中选择“新建”→“组织单位”，打开“新建对象 -组织单位”对话框。 （ 3）为新 OU输入名称。 （ 4）单击“确定”完成 OU创建。

3 ．使用 OU 的步骤

（ 1）在左窗格中右击 OU对象，并从快捷菜单中选择“委派控制”。打开“控制委派向导”，单击“下一步” （ 2）单击“添加”打开“选择用户、计算机或组” 对话框。使用对话框中的选项选择委派对象的对象类型 和位置。

4.4.2 委派 OU的管理

1 ．操作步骤

（ 3）在接下来的窗口中，选择想要委派的任务。

（ 1）在“ Active Directory用户和计算机”的菜单栏中选择“查看”→“高级功能”。

（ 2）启用了“高级功能”之后，右击某个 OU，选择“属性”，就可以看见“安全”选项卡了。

2. 查看 OU 的安全属性

1．信任关系 信任关系是网络中不同域之间的一种内在联系。

4.4.3 活动目录域和信任关系

2．域林中的信任 子域和父域的双向、可传递的信任关系是在安装域控制器时就自动建立的，同时由于域林中的信任关系是可传递的，因此同一域林中的所有域都显式或者隐式地相互信任。3．创建新的信任关系

1．信任关系 信任关系是网络中不同域之间的一种内在联系。2．域林中的信任 子域和父域的双向、可传递的信任关系是在安装域控制器时就自动建立的，同时由于域林中的信任关系是可传递的，因此同一域林中的所有域都显式或者隐式地相互信任。3．创建新的信任关系

1．信任关系 信任关系是网络中不同域之间的一种内在联系。2．域林中的信任 子域和父域的双向、可传递的信任关系是在安装域控制器时就自动建立的，同时由于域林中的信任关系是可传递的，因此同一域林中的所有域都显式或者隐式地相互信任。3．创建新的信任关系

1．信任关系 信任关系是网络中不同域之间的一种内在联系。

2．域林中的信任 子域和父域的双向、可传递的信任关系是在安装域控制器时就自动建立的，同时由于域林中的信任关系是可传递的，因此同一域林中的所有域都显式或者隐式地相互信任。

3．创建新的信任关系

3．创建新的信任关系

Smile.com China.long.com

信任域

传出信任

被信任域

传入信任

3．创建新的信任关系

3．创建新的信任关系

3．创建新的信任关系

3．创建新的信任关系

3．创建新的信任关系

3．创建新的信任关系

活动目录站点复制服务，就是将同一 Active Directory 站点的数据内容，保存在网络中不同的位置，以便于所有用户的快速调用，同时还可以起到备份的目的。

4.4.4 活动目录站点复制服务

1．站点间的复制 2．站点内的复制

3．管理复制