活动目录系列之一……活动目录简介及部署

                                            

实战活动目录系列之一

 

活动目录是一个数据库，存放的是域中全部的用户的帐号以及安全策略。活动体现了其是一个范围，能够放大和缩小，活动目录又简称域。

域是一个安全边界。

Active Directory（活动目录）是Windows Server 2003域环境中提供目录服务的组件。目录服务在微软平台上从Windows Server 2000开始引入，因此咱们能够理解为活动目录是目录服务在微软平台的一种实现方式。固然目录服务在非微软平台上都有相应的实现。

Windows Server 2003有两种网络环境：工做组和域，默认是工做组网络环境。

工做组网络也称为“对等式”的网络，由于网络中每台计算机的地位都是平等的，它们的资源以及管理是分散在每台计算机之上，因此工做组环境的特色就是分散管理，工做组环境中的每台计算机都有本身的“本机安全帐户数据库”，称为SAM数据库。这个SAM数据库是干什么用的呢？其实就是平时咱们登陆电脑时，当咱们输入帐户和密码后，此时就会去这个SAM数据库验证，若是咱们输入的帐户存在SAM数据库中，同时密码也正确，SAM数据库就会通知系统让咱们登陆。而这个SAM数据库默认就存储在C:\WINDOWS\system32\config文件夹中，这即是工做组环境中的登陆验证过程。打开注册表也能够看到SAM数据库，只不过默认里面的用户是隐藏的。

假若有500台电脑的一个公司，咱们但愿某台电脑上的帐户BoSS能够访问每台电脑内的资源或者能够在每台电脑上登陆。那么在工做组环境中，咱们必需要在这500台电脑的各个SAM数据库中建立BoSS这个帐户。一旦BoSS想要更换密码，必需要更改500次!这个企业的管理员够受的了，那样的话人人都宁愿干苦力，也不肯当这管理员了。如今只是500台电脑的公司，若是是有50000台电脑或者上万台电脑的公司呢，估计管理员就的是连队了。为了节省人力资源和提升工做效率，这时域环境的应用就必不可少了

域环境的应用是至关普遍的，例如微软服务器级别的产品，好比MOSS、Exchange等都须要活动目录的支持，包裹目前微软在宣传的UC平台都离不开活动目录的支持。

Windows Server 2003的域环境与工做组环境最大的不一样是，域内全部的计算机共享一个集中式的目录数据库（又称为活动目录数据库），它包含着整个域内的对象（用户帐户、计算机帐户、打印机、共享文件等）和安全信息等等，而活动目录负责目录数据库的添加，修改，更新和删除。因此咱们要在Windows Server 2003上实现域环境，其实就是要安装活动目录。活动目录为咱们实现了目录服务，提供对企业网络环境的集中式管理。好比前面那个例子，在域环境中，只须要在活动目录中建立一次Bob帐户，那么就能够在任意200台电脑中的一台上登陆Bob，若是要为Bob帐户更改密码，只须要在活动目录中更改一次就能够了。

 

 

一，安装前的准备

 

安装活动目录的必备条件：

 

1，选择操做系统：Windows Server 2003中除了Web版的不支持活动目录外，其余的Standard版，Enterprise版，Datacenter版都支持活动目录。咱们这一节用的是Enterprise版。

2，DNS服务器：活动目录与DNS是紧密集成的，活动目录中域的名称的解析须要DNS的支持。而域控制器（装了活动目录的计算机就成为了域控制器）也须要把本身登记到DNS服务器内，以便让其余的计算机经过DNS服务器查找到这台域控制器，因此咱们必需要准备一台DNS服务器。同时DNS服务器也必须支持本地服务资源记录(SRV资源记录)和动态更新功能。在域环境中工做的计算机能够相互复制，从而实现统一管理的目的，这比分散管理的工做组要更省力。

 

3，一个NTFS磁盘分区：安装活动目录过程当中，SYSVOL文件夹必须存储在NTFS磁盘分区。SYSVOL文件夹存储着与组策略等有关的数据。因此咱们必需要准备一个NTFS分区。固然，咱们如今不多碰到非NTFS的分区了（好比FAT,FAT32等）。

4，设置本机静态IP地址和DNS服务器IP地址：大多时候咱们安装过程不顺利或者安装不成功，都是由于咱们没有在要安装活目录的这台计算机上指定DNS服务器的IP地址以及自身的IP地址。

 

安装活动目录分两种状况：

 

状况1，

在某台计算机上安装活动目录的过程当中同时安装DNS服务器。那么这台计算机既充当了域控制器的角色，也充当了DNS服务器的角色。状况1是用的最多的方法，但安装前必需要为这台计算机配置静态IP，同时把DNS服务器的IP地址配置为本机的IP地址。

 

状况2，

首先准备一台DNS服务器，能够是已经存在的DNS服务器或者是咱们刚刚安装好的，意思就是先安装好DNS服务器，而后再安装活动目录。此时无论咱们是再找一台计算机安装活动目录，仍是在已是DNS服务器的计算机上安装活动目录，咱们都须要在DNS中建立一个正向查找区域并启用“动态更新”功能。同时这个正向查找区域的名称必须和咱们要安装的域的名称同样，好比我要安装一个域名为itat.com的域，那么这个正向查找区域的名字也必须为itat.com。同时在安装前必需要为这台要安装活动目录的计算机配置静态IP，同时把这台计算机的DNS服务器的IP地址配置为已经存在的DNS服务器的IP地址。

 

二，安装活动目录

 

咱们首先演示状况1的安装过程，由于这种比较经常使用。

首先咱们准给一台安装了Windows Server 2003企业版的计算机，计算机名为perth。接着为这台计算机配置静态IP，并把DNS服务器IP地址指向本身。以下图

 

而后咱们开始创建咱们的第一个域（要安装活动目录了）。

 

步骤1：开始->运行->输入“dcpromo”命令，启动Active Directory安装向导。

也能够CMD打开命令提示符，运用该命令，以下图

 

 

 

 

步骤2：在“欢迎使用Active Directory安装向导”对话框中单击“下一步”按钮。以下图

 

 

步骤3：显示了一些安全设置，不用管它，直接单击“下一步”按钮。以下图

步骤4：这里咱们选择“新域的域控制器”。因为咱们是第一次建立域环境，因此必须选择这一项。单击“下一步”按钮。以下图

 

 

步骤5：这里咱们选择“在新林中的域”，和步骤四的缘由同样。而后单击“下一步”按钮。以下图

 

 

步骤6：在对话框中输入新域的域名，这个域名必须符合DNS的命名格式，咱们这里输入“itat.com”。固然你能够abc.com等，若是是企业的实际生产环境，这里最好指定你在公网注册的域名.而后单击“下一步”按钮。此时会稍微等一下才会跳到下一个对话框，由于安装向导会花费时间来检查此域名是否已经存在于网络中，若存在，安装程序会要求从新设置一个新的域名。以下图

步骤7：安装向导自动帮咱们设置了NETBIOS名。它取的是域名的前半段文字。NETBIOS名支持那些不支持DNS域名的早期版本的操做系统利用NETBIOS域名来访问域内的资源。此名称能够修改，但不能超过15个字符。等咱们讲到计算机加入域的时候，咱们会利用也能找到域控制器。单击“下一步”按钮。以下图

 

 

这里系统检查咱们的新域名没问题时会自动显示相应域名的NETBIOS域名

 

 

 

步骤8：选择活动目录数据库和日志文件的存放位置，建议最好不要存在一个地方，这样能够减小磁盘的I/O，从而提升效率。这里使用的是默认值。而后单击“下一步”按钮。以下图

 

 

 

 

步骤9：选择SYSVOL文件夹的存放位置，这里使用的是默认值。此文件夹必须位于NTFS磁盘分区中。而后单击“下一步”按钮。以下图

 

 

 

步骤10：因为咱们采用的是状况1来安装活动目录，此时咱们必须选择“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机的首选DNS服务器”。由于咱们尚未DNS服务器，此时咱们必须在安装活动目录的过程当中安装DNS服务器。而后单击“下一步”按钮。  

 

 

 

步骤11：我选择第2个单选按钮，不启用匿名读取。而后单击“下一步”按钮。以下图

 

步骤12：设定“目录服务还原模式”的密码，什么是目录服务还原模式，其实就是计算机启动时，咱们不停的按F8进去，有一项就是“目录服务还原模式”，在Windows Server 2003中，这里咱们能够不设置密码也能够设置密码，我这里设置了密码。可是Windows Server 2008中这里必需要设置密码。J 而后单击“下一步”按钮。以下图

 

 

 

步骤13：检查咱们之前设置的各个值，确认无误后，而后单击“下一步”按钮。以下图

 

 

步骤14：开始安装活动目录了，以下图

 

 

 

 

 

 

安装过程当中会出现DNS安装画面，以下图

 

步骤15：安装成功，单击“完成”按钮，以下图

 

 

 

 

步骤16：此时会弹出从新启动对话框。咱们单击“当即从新启动”。

 

 

 

步骤17：从新启动以后，咱们发现登陆时已是域环境了，此时咱们就能够登陆itat.com域了。以下图

 

 

 

 

至此，活动目录就安装完成了。若是不出现意外的话，此时已经算是成功了，固然咱们最好登陆进去仔细的检查下。打开个人电脑属性---计算机名  能够看perth到摇身一变已是域了。

 

 

 

 

其实很简单嘛，经过本文的部署这台计算机的工做功能会有大的提升，下一篇博文将继续介绍活动目录，一块儿来嘛！