实战活动目录系列之一
活动目录是一个数据库,存放的是域中所有的用户的账号以及安全策略。活动体现了其是一个范围,可以放大和缩小,活动目录又简称域。
域是一个安全边界。
Active Directory(活动目录)是Windows Server 2003域环境中提供目录服务的组件。目录服务在微软平台上从Windows Server 2000开始引入,所以我们可以理解为活动目录是目录服务在微软平台的一种实现方式。当然目录服务在非微软平台上都有相应的实现。
Windows Server 2003有两种网络环境:工作组和域,默认是工作组网络环境。
工作组网络也称为“对等式”的网络,因为网络中每台计算机的地位都是平等的,它们的资源以及管理是分散在每台计算机之上,所以工作组环境的特点就是分散管理,工作组环境中的每台计算机都有自己的“本机安全账户数据库”,称为SAM数据库。这个SAM数据库是干什么用的呢?其实就是平时我们登录电脑时,当我们输入账户和密码后,此时就会去这个SAM数据库验证,如果我们输入的账户存在SAM数据库中,同时密码也正确,SAM数据库就会通知系统让我们登录。而这个SAM数据库默认就存储在C:\WINDOWS\system32\config文件夹中,这便是工作组环境中的登录验证过程。打开注册表也可以看到SAM数据库,只不过默认里面的用户是隐藏的。
假如有500台电脑的一个公司,我们希望某台电脑上的账户BoSS可以访问每台电脑内的资源或者可以在每台电脑上登录。那么在工作组环境中,我们必须要在这500台电脑的各个SAM数据库中创建BoSS这个账户。一旦BoSS想要更换密码,必须要更改500次!这个企业的管理员够受的了,那样的话人人都宁愿干苦力,也不愿当这管理员了。现在只是500台电脑的公司,如果是有50000台电脑或者上万台电脑的公司呢,估计管理员就的是连队了。为了节省人力资源和提高工作效率,这时域环境的应用就必不可少了
域环境的应用是相当广泛的,例如微软服务器级别的产品,比如MOSS、Exchange等都需要活动目录的支持,包裹目前微软在宣传的UC平台都离不开活动目录的支持。
Windows Server 2003的域环境与工作组环境最大的不同是,域内所有的计算机共享一个集中式的目录数据库(又称为活动目录数据库),它包含着整个域内的对象(用户账户、计算机账户、打印机、共享文件等)和安全信息等等,而活动目录负责目录数据库的添加,修改,更新和删除。所以我们要在Windows Server 2003上实现域环境,其实就是要安装活动目录。活动目录为我们实现了目录服务,提供对企业网络环境的集中式管理。比如前面那个例子,在域环境中,只需要在活动目录中创建一次Bob账户,那么就可以在任意200台电脑中的一台上登录Bob,如果要为Bob账户更改密码,只需要在活动目录中更改一次就可以了。
一,安装前的准备
安装活动目录的必备条件:
1,选择操作系统:Windows Server 2003中除了Web版的不支持活动目录外,其他的Standard版,Enterprise版,Datacenter版都支持活动目录。我们这一节用的是Enterprise版。
2,DNS服务器:活动目录与DNS是紧密集成的,活动目录中域的名称的解析需要DNS的支持。而域控制器(装了活动目录的计算机就成为了域控制器)也需要把自己登记到DNS服务器内,以便让其他的计算机通过DNS服务器查找到这台域控制器,所以我们必须要准备一台DNS服务器。同时DNS服务器也必须支持本地服务资源记录(SRV资源记录)和动态更新功能。在域环境中工作的计算机可以相互复制,从而实现统一管理的目的,这比分散管理的工作组要更省力。
3,一个NTFS磁盘分区:安装活动目录过程中,SYSVOL文件夹必须存储在NTFS磁盘分区。SYSVOL文件夹存储着与组策略等有关的数据。所以我们必须要准备一个NTFS分区。当然,我们现在很少碰到非NTFS的分区了(比如FAT,FAT32等)。
4,设置本机静态IP地址和DNS服务器IP地址:大多时候我们安装过程不顺利或者安装不成功,都是因为我们没有在要安装活目录的这台计算机上指定DNS服务器的IP地址以及自身的IP地址。
安装活动目录分两种情况:
情况1,
在某台计算机上安装活动目录的过程中同时安装DNS服务器。那么这台计算机既充当了域控制器的角色,也充当了DNS服务器的角色。情况1是用的最多的方法,但安装前必须要为这台计算机配置静态IP,同时把DNS服务器的IP地址配置为本机的IP地址。
情况2,
首先准备一台DNS服务器,可以是已经存在的DNS服务器或者是我们刚刚安装好的,意思就是先安装好DNS服务器,然后再安装活动目录。此时不管我们是再找一台计算机安装活动目录,还是在已经是DNS服务器的计算机上安装活动目录,我们都需要在DNS中创建一个正向查找区域并启用“动态更新”功能。同时这个正向查找区域的名称必须和我们要安装的域的名称一样,比如我要安装一个域名为itat.com的域,那么这个正向查找区域的名字也必须为itat.com。同时在安装前必须要为这台要安装活动目录的计算机配置静态IP,同时把这台计算机的DNS服务器的IP地址配置为已经存在的DNS服务器的IP地址。
二,安装活动目录
我们首先演示情况1的安装过程,因为这种比较常用。
首先我们准给一台安装了Windows Server 2003企业版的计算机,计算机名为perth。接着为这台计算机配置静态IP,并把DNS服务器IP地址指向自己。如下图
然后我们开始建立我们的第一个域(要安装活动目录了)。
步骤1:开始->运行->输入“dcpromo”命令,启动Active Directory安装向导。
也可以CMD打开命令提示符,运用该命令,如下图
步骤2:在“欢迎使用Active Directory安装向导”对话框中单击“下一步”按钮。如下图
步骤3:显示了一些安全设置,不用管它,直接单击“下一步”按钮。如下图
步骤4:这里我们选择“新域的域控制器”。由于我们是第一次创建域环境,所以必须选择这一项。单击“下一步”按钮。如下图
步骤5:这里我们选择“在新林中的域”,和步骤四的原因一样。然后单击“下一步”按钮。如下图
步骤6:在对话框中输入新域的域名,这个域名必须符合DNS的命名格式,我们这里输入“itat.com”。当然你可以abc.com等,如果是企业的实际生产环境,这里最好指定你在公网注册的域名.然后单击“下一步”按钮。此时会稍微等一下才会跳到下一个对话框,因为安装向导会花费时间来检查此域名是否已经存在于网络中,若存在,安装程序会要求重新设置一个新的域名。如下图
步骤7:安装向导自动帮我们设置了NETBIOS名。它取的是域名的前半段文字。NETBIOS名支持那些不支持DNS域名的早期版本的操作系统利用NETBIOS域名来访问域内的资源。此名称可以修改,但不能超过15个字符。等我们讲到计算机加入域的时候,我们会利用也能找到域控制器。单击“下一步”按钮。如下图
这里系统检查我们的新域名没问题时会自动显示相应域名的NETBIOS域名
步骤8:选择活动目录数据库和日志文件的存放位置,建议最好不要存在一个地方,这样可以减少磁盘的I/O,从而提高效率。这里使用的是默认值。然后单击“下一步”按钮。如下图
步骤9:选择SYSVOL文件夹的存放位置,这里使用的是默认值。此文件夹必须位于NTFS磁盘分区中。然后单击“下一步”按钮。如下图
步骤10:由于我们采用的是情况1来安装活动目录,此时我们必须选择“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器”。因为我们还没有DNS服务器,此时我们必须在安装活动目录的过程中安装DNS服务器。然后单击“下一步”按钮。
步骤11:我选择第2个单选按钮,不启用匿名读取。然后单击“下一步”按钮。如下图
步骤12:设定“目录服务还原模式”的密码,什么是目录服务还原模式,其实就是计算机启动时,我们不停的按F8进去,有一项就是“目录服务还原模式”,在Windows Server 2003中,这里我们可以不设置密码也可以设置密码,我这里设置了密码。但是Windows Server 2008中这里必须要设置密码。J 然后单击“下一步”按钮。如下图
步骤13:检查我们以前设置的各个值,确认无误后,然后单击“下一步”按钮。如下图
步骤14:开始安装活动目录了,如下图
安装过程中会出现DNS安装画面,如下图
步骤15:安装成功,单击“完成”按钮,如下图
步骤16:此时会弹出重新启动对话框。我们单击“立即重新启动”。
步骤17:重新启动之后,我们发现登录时已经是域环境了,此时我们就可以登录itat.com域了。如下图
至此,活动目录就安装完成了。如果不出现意外的话,此时已经算是成功了,当然我们最好登录进去仔细的检查下。打开我的电脑属性---计算机名 可以看perth到摇身一变已经是域了。
其实很简单嘛,通过本文的部署这台计算机的工作功能会有大的提高,下一篇博文将继续介绍活动目录,一起来嘛!
本文转自shenleigang 51CTO博客,原文链接:http://blog.51cto.com/shenleigang/145502
,如需转载请自行联系原作者
