4. 在 Windows Server 2003 中管理 Active Directory

资源描述

《4. 在 Windows Server 2003 中管理 Active Directory》由会员分享，可在线阅读，更多相关《4. 在 Windows Server 2003 中管理 Active Directory（16页珍藏版）》请在金锄头文库上搜索。

1、Active Directory 管理分步指南本指南向您介绍如何管理 Windows Server 2003 Active Directory 服务和“Active Directory 用户和计算机”管理单元。本页内容简介概述使用“Active Directory 域和信任关系”管理单元使用“Active Directory 用户和计算机”管理单元其他资源简介逐步式指南Microsoft Windows Server 2003 部署分步指南提供了许多关于常见的操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构：安装 Windows Server 2003；配置 Activ

2、e Directory；安装 Windows XP Professional 工作站并最后将此工作站添加到域中。后续分步指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构，则在使用这些指南时需要进行适当的修改。通用网络结构要求完成以下指南。l 第一部分：将 Windows Server 2003 安装为域控制器l 第二部分：安装 Windows XP Professional 工作站并将其连接到域上在配置完通用网络结构后，就可以使用任何其他分步指南了。注意，某些分步指南除需要有通用网络结构外，可能还需要满足额外的先决条件。任何额外的要求都将列在特定的分步指南中。Microsoft

3、Virtual PC可以在物理实验室环境中或通过虚拟化技术（如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005）来实施 Windows Server 2003 部署分步指南。借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。Windows Server 2003 部署分步指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不需修改就可以应用于虚拟环

4、境。这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。重要说明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，我们决无意影射，任何人也不应由此臆猜，任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。此通用基础结构是为在专用网络上使用而设计的。此通用基础结构中使用的虚拟公司名称和域名系统 (DNS) 名称并没有为在 Internet 上使用而进行注册。您不应在公共网络或 Internet 上使用此名称。此通用基础结构的 Active Directory 服务结构用于说明“Windows Server 2003 更改和配

5、置管理”如何与 Active Directory 配合使用。不能将其作为任何组织进行 Active Directory 配置时都可以使用的模型。概述本指南向您介绍如何管理 Windows Server 2003 Active Directory 服务。Active Directory 管理工具简化了目录服务管理。您可以使用标准工具或 Microsoft 管理控制台 (MMC)，创建侧重于完成单项管理任务的自定义工具。您可以将几个工具组合到一个控制台中。您也可以为各个具有特定管理职责的管理员分配自定义工具。您只能从能够访问域的计算机上使用 Active Directory 管理工具。“管理工具”

6、菜单上提供了下列 Active Directory 管理工具： Active Directory 用户和计算机Active Directory 域和信任关系Active Directory 站点和服务您也可以从一台不是域控制器的计算机上远程管理 Active Directory，例如一台运行 Windows XP Professional 的计算机。为此，您必须安装 Windows Server 2003 管理工具包。“Active Directory 架构”管理单元是一个用于管理架构的 Active Directory 管理工具。默认情况下，“管理工具”菜单上没有该管理单元，必须手动添加它。

7、高级管理员和网络支持专家可以使用很多命令行工具来配置和管理 Active Directory 以及对其进行故障排除。您也可以创建使用 Active Directory Service Interfaces (ADSI) 的脚本。操作系统安装媒体上提供了一些示例脚本。先决条件第一部分：将 Windows Server 2003 安装为域控制器第二部分：安装 Windows XP Professional 工作站并将其连接到域上安装其他域控制器的分步指南指南要求要执行本文中的过程，您必须以具有管理权限的用户身份登录。如果您是在某个域控制器上进行操作，则可能无法安装“Active Directory

8、架构”管理单元。要安装该管理单元，请执行以下操作：在命令提示符下，键入 regsvr32 schmmgmt.dll现在，就可以在 MMC 内使用“Active Directory 架构”管理单元了。在基于 Windows Server 2003 的独立服务器或 Windows XP Professional 工作站上，Active Directory 管理工具是可选的。您可以从“控制面板”中的“添加/删除程序”安装这些工具（使用 Windows 组件向导），也可以从 Windows Server 2003 CD 上的 ADMINPAK 进行安装。使用“Active Directory 域和信

9、任关系”管理单元“Active Directory 域和信任关系”管理单元为林中的所有域树提供一个图形视图。使用此工具，管理员可以管理林中的每个域；管理域之间的信任关系；配置每个域的操作模式（纯模式或混合模式）；并为林配置其他用户主体名称 (UPN) 后缀。启动“Active Directory 域和信任关系”管理单元要启动该管理单元，请按照以下步骤操作：1.在“HQ-CON-DC-01”上，单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 域和信任关系”。此时将出现“Active Directory 域和信任关系”管理单元（如图 1 所示）。图

10、 1. “Active Directory 域和信任关系”管理单元用户主体名称 (UPN) 为用户登录到 Active Directory 提供了易于使用的命名样式。UPN 的样式基于 Internet 标准 RFC 822，有时将其称为“邮件地址”。默认 UPN 后缀是林 DNS 名称，它是林中第一个树中第一个域的 DNS 名称。在本指南和本系列的其他分步指南中，默认 UPN 后缀是“”。您可以添加其他的 UPN 后缀，这可以提高登录安全性。您也可以为所有用户提供单一 UPN 后缀以简化用户登录名称。UPN 后缀仅在 Windows Server 2003 域中使用，而且不一定是有效的 DN

11、S 域名。要添加其他 UPN 后缀，请按照以下步骤操作：1.在左窗格上部选中并用右键单击“Active Directory 域和信任关系”，然后单击“属性”。2.在“其他 UPN 后缀”框中，输入您想用的任何其他 UPN 后缀，然后单击“添加”。3.单击“确定”关闭窗口。更改域和林功能Windows Server 2003 Active Directory 中引入的域和林功能提供了一种在网络环境中启用全域或全林 Active Directory 功能的方法。根据您的网络环境，您可以使用不同级别的域功能和林功能。如果域或林中的所有域控制器均运行 Windows Server 2003，并且将功能

12、级别设置为 Windows Server 2003，则可以使用所有的全域和全林功能。如果域或林中不但包括运行 Windows Server 2003 的域控制器，还包括运行 Windows NT 4.0 或 Windows 2000 的域控制器，则您只能使用一部分 Active Directory 全域和全林功能。在 Windows 2000 混合模式和纯模式下，允许在 Active Directory 中启用其他功能。混合模式域可以包含 Windows NT 4.0 备份域控制器，但不能使用通用安全组、组嵌套和安全 ID (SID) 历史记录功能。如果将域设置为纯模式，则可以使用通用安全组、

13、组嵌套和 SID 历史记录功能。运行 Windows2000 Server 的域控制器不支持域和林功能。警告：在提升域功能级别后，不能将运行早期版本操作系统的域控制器加入该域。例如，如果将域功能级别提升为 Windows Server 2003，则不能将运行 Windows 2000 Server 的域控制器添加到该域中。域功能启用的功能会影响整个域，而且只能影响该域。可以使用四种域功能级别：Windows 2000 混合模式（默认）、Windows 2000 纯模式、Windows Server 2003 过渡和 Windows Server 2003。默认情况下，域在 Windows 20

14、00 混合功能级别运行。要提升域功能，请按照以下步骤操作：1.右键单击域对象（本例中为“”），然后单击“提升域功能级别”。2.从“选择一个可用的域功能级别”下拉列表中，选择“Windows Server 2003”，然后单击“提升。3.在出现警告信息时，单击“确定”以提升域功能。再次单击“确定”完成此过程。4.关闭“Active Directory 域和信任关系”窗口。使用“Active Directory 用户和计算机”管理单元要启动“Active Directory 用户和计算机”管理单元，请按照以下步骤操作：1.单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active

15、 Directory 用户和计算机”。2.单击“+”号展开“C”。图 2 显示了“Active Directory 用户和计算机”管理单元的关键组件。图 2. “Active Directory 用户和计算机”管理单元认识 Active Directory 对象下表中描述的对象是在 Active Directory 的安装过程中创建的。图标文件夹说明域管理单元的根节点，表示所管理的域。Computers包含所有加入域且基于 Windows NT、Windows 2000、Windows XP 和 Windows Server 2003 的计算机。这包括运行 Windows NT 3.51 和 4.0 版本的计算机。如果您从旧版本进行升级，Active Directory 会将计算机帐户迁移到该文件夹。您可以移动这些对象。System包含 Active Directory 系统和服务信息。Users包含域中的所有用户。在升级过程中，将迁移先前域中的所有用户。像计算机一样，您可以移动用户对象。您可以使用 Active Directory 创建下列对象。图标对象说明用户用户对象是目录中的一个安全主体。用户可以使用这些凭据登录到网络上，并且可以为用户授予访问

展开阅读全文