《《计算机网络操作系统——Windows 2000 Server管理与配置》电子教案 第6章 活动目录》由会员分享,可在线阅读,更多相关《《计算机网络操作系统——Windows 2000 Server管理与配置》电子教案 第6章 活动目录(77页珍藏版)》请在金锄头文库上搜索。
1、第6章 活动目录,本章主要讲解Windows 2000中活动目录(Active Directory,AD)的基本知识和使用技巧。通过本章学习,读者应该掌握以下内容:,活动目录的基本概念 活动目录的规划与安装 域控制器的管理 用户账户和计算机账户的管理 组和组织单位的管理 资源发布和域的管理,本章学习目标,6.1 概 述(1),6.1.1 活动目录简介 活动目录(Active Directory)是一种目录服务,它存储有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息,并使管理员和用户可以方便地查找和使用这些网络信息。 域(domain)仍然是Windows 2000目录服务的
2、基本管理单位,但增加了许多新的功能。 活动目录服务把域详细划分成组织单位,组织单位是一个逻辑单位,它是域中一些用户和组、文件与打印机等资源对象的集合。 活动目录服务把DNS作为其定位服务,增强其与Inter-net的融合。,6.1 概 述(2),6.1.2 活动目录的三种特性 1集成性 用户和资源管理、基于目录的网络服务和基于网络的应用管理。 2深入性 深入性主要体现在其企业级的可伸缩性、安全性、互操作性、编程能力和升级能力上。 3易用性 简易的安装和管理 。,6.2 安装活动目录,活动目录的规划 安装活动目录 检验安装结果,6.2.1 活动目录的规划(1),一、规划DNS 选择DNS名称用于
3、Active Directory域时,以单位保留在Internet上使用的已注册DNS域名后缀开始,并将该名称和单位中使用的地理名称或部门名称结合起来,组成Active Directory域的全名。 二、规划域结构 从单域开始,只有在单域模式不能满足要求时,才增加其他的域。一个域可跨越多个站点并且包含数百万个对象。 下列情形下才建议创建多个域: 1部门之间不同的密码要求。 2大量的对象。 3不同的Internet域名。 4对复制进行更多的控制。 5分散的网络管理。,6.2.1 活动目录的规划(2),三、规划组织单位结构 组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。 通常
4、创建的组织单位应能反映部门的职能或商务结构。 每个域都可以实现自己的组织单位层次结构。 四、规划委派模式 将部分组织单位子树的权利派给其他用户或组。,6.2.1 活动目录的规划(3),还要注意以下几点: 1使用的域越少越好,因为在Windows 2000中单个域的容量已被大大扩展了。 2限制组织单位的层次,以提高在Active Directory搜索对象的运行效率。 3限制组织单位中的对象个数,有利于高效的查找特定资源。 4可以将管理权限分配到组织单位级,这样既提高了管理效率,又降低了管理员的负荷。,6.2.2 安装活动目录(1),安装活动目录具体步骤: 1.启动Windows 2000 Se
5、rver系统自动打开“Windows 2000配置服务器”窗口,或者选择“开始”/“程序”/“管理工具”/“配置服务器”,打开如图6-1所示配置服务器窗口。,图6-1 “Windows 2000配置服务器”窗口,6.2.2 安装活动目录(2),2. 在左边的列表中单击“Active Directory”超级链接,并拖动右边的滚动条到窗口底部,如图6-2所示。,图6-2 显示活动目录内容,6.2.2 安装活动目录(3),3.单击“启动”链接,打开“Active Directory安装向导”对话框,如图6-3所示。 也可省去前面三步,直接通过“开始”/“运行”,打开“运行”对话框,输入dcprom
6、o命令,单击“确定”按钮,打开如图6-3所示的对话框。,图6-3 Active Directory安装向导,6.2.2 安装活动目录(4),4.单击“下一步”,打开如图6-4所示的选择“域控制器类型”对话框。若安装的服务器是域中的第一个域控制器,选择“新域的域控制器”。如果网上已有域控制器,可选择“现有域的额外域控制器”。,图6-4 选择域控制器类型,6.2.2 安装活动目录(5),5.单击“下一步”,打开如图6-5所示的“创建目录树或子域”对话框,如果用户不想让新域成为现有域的子域,可选择“创建一个新的域目录树”。如果用户希望新域成为现有域的子域,可选择“在现有域目录树中创建一个新的子域”。
7、这里,选择“创建一个新的域目录树”。,图6-5 创建目录树或子域,6.2.2 安装活动目录(6),6.单击“下一步”,打开如图6-6所示的“创建或加入目录林”对话框,如果所创建的域为单位的第一个域,或者希望所创建的新域独立于现有目录林,可选择“创建新的域或目录树”。如果希望新的域目录树中的用户可访问现有域目录树中的资源,或希望现有域目录树中的用户访问新域目录树中的资源,,图6-6 创建或加入目录林,可选择“将这个新的域目录树放入现有的目录林中”。这里,选择“创建新的域目录树”。,6.2.2 安装活动目录(7),7.单击“下一步”,打开如图6-7所示的指定域名对话框,在“新域的DNS全名”文本框
8、中输入新建域的DNS全名,例如。,图6-7 指定新域名,6.2.2 安装活动目录(8),8.单击“下一步”,打开如图6-8所示的“NetBIOS域名”对话框,在“域NetBIOS名”文本框中输入NetBIOS域名,或者接受显示的名称。NetBIOS域名是供早期的Windows用户用来识别新域的。,图6-8 指定NetBIOS,6.2.2 安装活动目录(9),9.单击“下一步”,打开如图6-9所示的“数据库和日志文件位置”对话框,在“数据库位置”文本框中输入保存数据库的位置,或者单击“浏览”按钮选择路径,在“日志位置”文本框中输入保存日志的位置或单击“浏览”按钮选择路径。,图6-9 指定活动目录
9、的数据库和日志文件位置,注意,基于最佳性和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上。,6.2.2 安装活动目录(10),10.单击“下一步”,打开如图6-10所示的“共享的系统卷”对话框,在Windows 2000中,Sysvol文件夹存放域的公用文件的服务器副本,它的内容将被复制到域中的所有域控制器上。在“文件夹位置”文本框中输入Sysvol文件夹位置,如本例中对应文件夹为c:WINNTSYSVOL,或单击“浏览”按钮选择路径。,图6-10 指定系统卷共享文件夹,6.2.2 安装活动目录(11),11.单击“下一步”,如果用户没有配置名称为的DNS服务器,则系统会提示用
10、户配置DNS服务器,单击“确定”按钮,即可打开“配置DNS”对话框,如图6-11所示。,图6-11 配置DNS,12.如果通过向导为新域安装和配置DNS服务器,选择“是,在这台计算机上安装和配置DNS(推荐)”。如果要在安装活动目录之后再安装和配置DNS,可选择“否,我将自己安装并配置”。,6.2.2 安装活动目录(12),13.单击“下一步”,打开如图6-12所示的“权限”对话框,为用户和组选择默认权限,如果单位中还存在或将要用Windows 2000的以前版本,选择“与Windows 2000服务器之前的版本相兼容的权限”。否则,选择“只与Windows 2000服务器相兼容的权限”。,图
11、6-12 权限设置,6.2.2 安装活动目录(13),14单击“下一步”,打开“目录服务恢复模式的管理员密码”对话框,如图6-13所示,输入并牢记该密码,以备将来目录服务恢复模式下使用。,图6-13 输入目录服务恢复模式管理员密码,6.2.2 安装活动目录(14),15. 单击“下一步”,打开“摘要”对话框,如图6-14所示。通过该对话框,用户可检查并确认设置的各个选项。,图6-14 确认选定的选项,6.2.2 安装活动目录(15),16. 单击“下一步”,系统开始配置活动目录,如图6-15所示。,图6-15 配置活动目录,6.2.2 安装活动目录(16),17. 经过几分钟之后,配置完成。同
12、时,打开“完成Active Directory安装向导”对话框,如图6-16所示,单击“完成”,即完成活动目录的安装。 活动目录安装完成之后,必须重新启动计算机,活动目录才会生效。,图6-16 完成活动目录的安装,要删除活动目录,打开“开始”菜单,选择“运行”命令,打开“运行”对话框,输入dcpromo命令,然后单击“确定”按钮,打开“ Active Directory安装向导”对话框,并沿着向导进行删除,这里不再细述其过程。,6.2.3 检验安装结果,在安装完成后,可以通过以下方法检验Active Directory安装是否正确,在安装过程中一项最重要的工作是在DNS数据库中添加服务记录(S
13、RV记录),下面介绍一下如何检查安装结果。 1检查DNS文件的SRV记录。 用文本编辑器打开%systemroot%/system32/config/中的Netlogon.dns文件,察看LDAP服务记录,在本例中为_ldap._.600 IN 0 100 389 。 2验证SRV记录在NSLOOKUP命令工具中运行是否正常。 (1)在命令提示行下,输入NSLOOKUP; (2)输入set type=srv; (3)输入_ldap._。 如果返回了服务器名和IP地址,说明SRV记录工作正常。,6.3 域控制器管理,域(Domain)是活动目录的分区,定义了安全边界,在没经过授权的情况下,不允许
14、其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成,每一个域可以存储上百万个对象,域之间还有层次关系,可以建立域树和域林,如图6-17、6-18所示,进行无限地域扩展。图中的双箭头表示域之间的信任关系,Windows 2000中域的信任关系都是双向和可传递的。,图 6-17 域树,图 6-18 域林,6.3.1 设置域控制器属性(1),管理员通过设置域控制器属性,不但可以确定域控制器的位置、操作系统和常规属性,而且还可设置域控制器的组和管理员。设置域控制器属性,具体步骤如下: 1.选择“开始”/“程序”/“管理工具”/“配置服务器”命令,打开“Windows 2000配置服务器”窗口
15、,单击左边的列表中的Active Directory链接,使右边的,图6-19 Active Directory用户和计算机窗口,窗格中列出相应的内容,然后单击“管理”超级连接,打开“Active Directory用户与计算机”管理窗口,如图6-19所示。,6.3.1 设置域控制器属性(2),2.在控制台目录树中,双击展开域节点。单击Domain Computers子节点。,图6-20 设置域控制器属性,3.在详细资料窗格中,右击要设置属性的域控制器,从弹出的快捷菜单中选择“属性”,打开该控制器的“属性”对话框,如图6-20所示。,6.3.1 设置域控制器属性(3),4.在“常规”选项卡的“
16、描述”文本框中输入对域控制器的一般描述。如果不希望域控制器的可受信任用来作为委派,可禁用“信任计算机作为委派”复选框。 5.选择“操作系统”选项卡,在该选项卡中,显示出操作系统的名称,版本以及Service Pack,管理员只能查看并不能修改这些内容。,6.3.1 设置域控制器属性(4),6.选择如图6-21所示的“成员属于”选项卡,要添加组,单击“添加”按钮,打开“选择组”对话框为域控制器选择一个要添加的组;要删除某个已经添加的组,在“成员属于”列表框选择该组,然后单击“删除”按钮即可。,图6-21 设置成员组,6.3.1 设置域控制器属性(5),7.当管理员为域控制器添加多个组时,还可为域控制器设置一个主要组。要设置主要组,在“成员属于”列表框中选择要设置的主要组,一般为Domain Cont
