最全域控安装教程

AD 培训内容讲解（1）活动目录的介绍目录，是一个数据库，存贮了网络资源相关的信息，包括了资源的位置、管理等信息。目录服务 是一种网络服务，目录服务标记管理网络中的所有实体资源(比如计算机、用户、打印

AD 培训内容讲解

（1）活动目录的介绍

目录，是一个数据库，存贮了网络资源相关的信息，包括了资源的位置、管理等信息。

目录服务 是一种网络服务，目录服务标记管理网络中的所有实体资源(比如计算机、用户、打印机、文件、应用等) ，并且提供了命名、描述、查找、访问以及保护这些实体信息的一致的方法，使网络中的所

有用户和应用都能访问到这些资源。

活动目录(Active Directory)

活动目录 是Windows 2000完全实现的目录服务，也是Windows 2000网络体系的基本结构模型，是

Windows 2000网络操作系统的核心支柱，也是中心管理机构。

Microsoft 在Windows 2000中提供的活动目录是一个全面的目录服务管理方案，也是一个企业级的目录服务，具有很好的可伸缩性。活动目录采用了Internet 的标准协议，它与操作系统紧密地集成在一起。活动目录不仅可以管理基本的网络资源，比如计算机对象、用户账户、打印机等，它也充分考虑了现代应用的业务需求，为这些应用提供了基本的管理对象模型，比如用户账户对象具有办公电话、手机、呼机、住址、上司、下属、电子邮件等属性。几乎所有的应用可以直接利用系统提供的目录服务结构，而且活动

目录也具有很好的扩充能力，允许应用程序定制目录中对象的属性或者添加新的对象类型。

活动目录的逻辑结构

活动目录的逻辑结构非常灵活，它为活动目录提供了完全的树状层次结构视图，逻辑结构与前面我们讨论过的名字空间有直接的关系。逻辑结构为用户和管理员查找、定位对象提供了极大的方便。活动目录

中的逻辑单元包括:域、组织单元(Organizational Unit，简称OU) 、域树、域森林。

1、 域(Domain)

域 既是Windows 网络系统的逻辑组织单元，也是Internet 的逻辑组织单元，在Windows 2000系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或

者管理其他的域。每个域都有自己的安全策略，以及它与其他域的安全信任关系。

2、 OU(Organizational Unit)

OU 是一个容器对象，我们可以把域中的对象组织成逻辑组，所以OU 纯粹是一个逻辑概念，它可以帮助我们简化管理工作。OU 可以包含各种对象，比如用户账户、用户组、计算机、打印机，甚至可以包括其他的OU 。所以我们可以利用OU 把域中的对象形成一个完全逻辑上的层次结构，对于一个企业来讲，我们可以按部门把所有的用户和设备组成一个OU 层次结构，也可以按地理位置形成层次结构，还可以按功能和权限分成多个OU 层次结构。由于OU 层次结构局限于域的内部，所以一个域中的OU 层次结构与

另一个域中的OU 层次结构完全独立。

3、 树

当多个域通过信任关系连接起来之后，所有的域共享公共的表结构(schema) 、配置和全局目录(global catalog) ，从而形成 域树 。域树由多个域组成，这些域共享同一个表结构和配置，形成一个连续的名字空

间。树中的域通过信任关系连接起来。活动目录包含一个或多个域树。

4、 森林

域森林 是指一个或多个没有形成连续名字空间的域树。域林中的所有域树共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来，所以每个域树都知道Kerberos 信任关系，

不同域树可以交叉引用其他域树中的对象。

其它

1、 域控制器(Domain Controller)

域控制器是指运行Windows 2000 Server版本的服务器，它保存了活动目录信息的副本。域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其他域控制器上。域控制器也负责用户的登录过程，

以及其他与域有关的操作，比如身份认证、目录信息查找等。

一个域可以有多个域控制器。规模较小的域可以只需要两个域控制器，一个实际使用，另一个用于容

错性检查; 规模较大的域可以使用多个域控制器。

Windows 2000的域结构与Windows NT 4的域结构不同的是，活动目录中的域控制器没有主次之分，活动目录采用了多主机复制方案，每一个域控制器都有一个可写入的目录副本。在某一个时刻，不同的域控制器中的目录信息可能有所不同，一旦活动目录中的所有域控制器执行同步操作之后，最新的变化信息

就会一致。

2、 活动目录与DNS

活动目录使用域名服务DNS 作为它的定位服务，同时也对标准的DNS 作了扩充。在活动目录中使用DNS 的最大好处在于，我们可以使Windows 2000域与Internet 上的域统一起来，即Windows 域名也是

DNS 域名。

3、Active Directory命名规范

(1)辨别名( distinguished name (DN))

活动目录中的每一个对象都会有一个唯一的辨别名DN 。DN 由域名、对象名组成:

DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用户对象James Smith在

contoso.com 域中的Users 组织单元中的Teacher 单元中.

(2) User Principal Name : 由用户登录名和域名组成，如 JamesS@contoso.com

4、 域运行模式

(1) 混合模式 。混合模式的域既可以有Windows 2000的域控制器，也可以有Windows NT 4的域控制器。这是一个过渡模式，利用这种模式，我们可以对现有的系统逐步升级。但是，在混合模式下，活动

目录中有些功能不能很好地发挥出来。

(2) 准模式 。活动目录的标准模式要求所有的域控制器都必须运行Windows 2000。只有在这个时候，

活动目录的所有功能和特性才能充分体现出来。

在Windows 2003中，各种网络服务以服务器角色出现，方便了用户对网络资源进行分配与管理。应用服务器角色对网络进行管理，均需要有活动目录服务、域名系统服务、动态主机配置协议服务、Windows Internet命名服务的配合与支持。本文将向你重点讲解上述活动目录服务务的实现方法与技巧。

(二)DNS 与活动目录

由于活动目录与DNS(Domain Name System，域名系统) 集成，共享相同的名称空间结构，因此注意两者之间的差异非常重要：

1.DNS 是一种名称解析服务

DNS 客户机向配置的DNS 服务器发送DNS 名称查询。DNS 服务器接收名称查询，然后通过本地存储的文件解析名称查询，或者查询其他DNS 服务器进行名称解析。DNS 不需要活动目录就能运行。

2. 活动目录是一种目录服务

活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol，LDAP)”向活动目录服务器发送查询。要定位活动目录服务器，活动目录客户机将查询DNS 。活动目录需要DNS 才能工作。 即活动目录用于组织资源，而DNS 用于查找资源；只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。DNS 是活动目录的关键组件，如果没有DNS ，活动目录就无法将用户的请求解析成资源的IP 地址，因此在安装和配置活动目录之前，我们必须对DNS 有深入的理解。

(三) 规划活动目录

在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计，让用户和管理员在使用时更为方便。

1. 规划DNS

如果用户准备使用活动目录，则需要首先规划名称空间。当DNS 域名称空间可在Windows 2003中正确执行之前，需要有可用的活动目录结构。所以，从活动目录设计着手并用适当的DNS 名称空间支持它。

在Windows 2003中，用DNS 名称命名活动目录域。选择DNS 名称用于活动目录域时，以保留在Internet 上使用的已注册DNS 域名后缀开始(如microsoft.com) ，并将该名称和单位中使用的地理(部门) 名称结合起来，组成活动目录域的全名。例如，microsoft 的sales 组可能称他们的域为“sales.microsoft.com”。这种命名方法确保每个活动目录域名是全球唯一的。而且，这种命名方法一旦被采用，使用现有名称作为创建其他子域的父名称以及进一步增大名称空间以供单位中的新部门使用的过程将变得非常简单。

2. 规划用户的域结构

最容易管理的域结构就是单域。规划时，用户应从单域开始，并且只有在单域模式不能满足用户的要求时，才增加其他的域。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。在一个域中，可以使用组织单元(OU，Organizational Units) 来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。

3. 规划用户的委派模式

用户可以将权限下派给单位中最底层部门，方法是在每个域中创建组织单元树，并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限，用户不再需要那些定期登录到特定账户的人员，这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组，可以仍保留这些账户以备少数管理员偶尔使用

（2）AD 的安装和配置教程

目前很多公司的网络中的PC 数量均超过10台:按照微软的说法，一般网络中的PC 数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控? 我们现在就动手实践一下:

本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，

我们要做的第一件事就是给这台成员服务器指定一个固定的IP ，在这里指定情况如下:

机器名:Server

IP:192.168.5.1

子网掩码:255.255.255.0

DNS:192.168.5.1(因为我要把这台机器配置成DNS 服务器)

由于Windows Server 2003在默认的安装过程中DNS 是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows 组件”，则可以看到如下画面:

向下搬运右边的滚动条，找到“网络服务”，选中:

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS ，所以把其它的全都去掉了，以后需要的时候再安装:

然后就是点“确定”，一直点“下一步”就可以完成整个DNS 的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需

要手动定位了。

安装完DNS 以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”

在这里直接点击“下一步”:

这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”:

在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:

既然是第一台域控，那么当然也是选择“在新林中的域”:

在这里我们要指定一个域名，我在这里指定的是demo.com ，

这里是指定NetBIOS 名，注意千万别和下面的客户端冲突，也就是说整个网络里不能