ad域管理
实现域网络管理模式之建立AD域
域指的是一组服务器和工作站的集合。域将计算机账户和用户及账户密码集中放在一个共享数据库内,使得用户可以只使用一个账户名和密码就能够访问网络中的计算机。
建立一个AD域的过程大致可以分为两步,首先需要在作为服务器的计算机上安装AD,使这台计算机成为DC(Domain Controller,域控制器);然后为用户创建用户账户使其能够登录到AD域中,而将网络中的其它计算机加入到AD域中使其成为域成员计算机也是必不可少的步骤。
一、准备工作
首先网络中需要有一台运行着Windows Server 2003的服务器,目前的主流硬件配置均可以满足安装AD 域的需要,因此无需过多考虑。不过有一点需要注意,那就是硬盘中必须有一个NTFS文件格式的分区
以备后用。
二、建立AD域
域控制器(DC)是AD域的核心,建立AD域的过程从一定意义上也可以说是将Windows Server 2003服务器升级为域控制器的过程。Windows Server 2003中提供了AD安装向导,以方便用户的安装,具体的
安装步骤如下所述:
第1步依次单击“开始/管理工具/配置您的服务器向导”,在打开的“配置您的服务器”向导欢迎页中依次单击“下一步”按钮。打开“服务器角色”向导页,在服务器角色列表中单击选中“域控制器(Active Directory)”选项,并依次单击“下一步”按钮打开“Active Directory安装向导”,单击
“下一步”按钮,如图1。
图1 选择计划时间
第2步打开“操作系统兼容性”选项页,该选项页提示用户运行Windows 95的客户端将无法登录到基于Windows Server 2003的AD域中。就目前的实际情况而言,Windows 95的身影基本上已经消失殆尽
了,因此直接单击“下一步”按钮。
第3步在打开的“域控制器类型”选项页中需要指定该Windows Server 2003服务器担任的角色。如果要创建一个全新的域,则保持“新域的域控制器”单选框的选中状态。本文实例属于这种情况,直接
单击“下一步”按钮即可,如图2。
图2 登陆工作站
第4步打开“创建一个新域”向导页,AD(活动目录)可以把域组织成域树,然后再把域树组织成森林。在本例中要创建的域是一个新域树中的第一个域,同时也是新森林中的第一个域树,因此保持“在新林中的域”单选框的选中状态,并单击“下一步”按钮。
第5步在打开的“新的域名”向导页中需要为该域指定一个域名,在“新域的DNS全名”编辑框中键入准备使用的域名(如“https://www.360docs.net/doc/4112855818.html,”),并单击“下一步”按钮,如图3。
图3 指定域名
第6步打开“NetBIOS域名”向导页,在这里可以为新域指定一个NetBIOS域名。在默认情况下,安装向导会将域名中小圆点最左边的部分作为NetBIOS域名。可以(建议)保留这个默认值,并单击“下一
步”按钮。
NetBIOS域名在很多情况下很有用,例如在某些网络中除了Windows 2000及以上版本的操作系统以外,可能还存在比较旧的Windows 98系统,而Windows 98系统是无法识别如“Cce.com.cn”这种形式的域名的。正是基于此问题,AD域为这些旧系统准备了一个它们所能识别的域名,即“NetBIOS 域名”。
第7步在打开的“数据库和日志文件文件夹”向导页中,可以为AD数据库和事物日志文件指定存储路
径。本例保持默认的路径并单击“下一步”按钮。
AD域把AD数据库存储为两部分,一部分是AD数据库文件本身,另一部分是事务日志。如果将AD数据库文件存储在NTFS分区中,可以获得明显优于FAT 分区的性能。而如果将事务日志文件存储在跟AD 数据文件不同的物理硬盘上(且使用不同的EIDE通道),则可以实现AD数据库和日志的同时更新,所
获得的性能提高同样非常明显。
第8步打开“共享的系统卷”向导页,在该向导页中需要指定“Sysvol”文件夹的存储路径,而该路径必须指向NTFS格式的分区。单击“浏览”按钮定位至合适的路径,并单击“下一步”按钮,如图4。
图4 指定sysvol文件夹存储路径
“Sysvol”文件夹中存储有AD域中重要的用户配置和控制信息文件(如“系统策略文件”、“默认配置文件”和“登录脚本”等),并且该文件夹会自动地被复制到其它的DC中,实现域信息的同步更新。但是系统对“Sysvol”文件夹的自动复制需要NTFS分区的支持,这也是我们在“系统要求”部分所提
到的需要一个NTFS分区的原因。
第9步在打开的“DNS注册诊断”向导页中,会根据服务器的DNS配置给出相应的诊断结果。如果服务器未正确安装和配置DNS服务,则可以点选“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器”单选框,并单击“下一步”按钮。
第10步打开“权限”向导页,在这里需要设定用户和组对象的默认权限。一般情况下采用默认设置即可,并单击“下一步”按钮。该向导页中所提到的权限主要涉及到RAS(远程访问服务)服务器的匿名登录问题。因为在NT4域中,RAS在没有匿名登录的域中是无法工作的。
如果确信公司网络中的服务器系统均在Windows 2000 Server以上,则建议选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”选项。因为该选项将关闭RAS服务器的匿名登录,从而
提高安全性。
第11步在打开的“目录服务还原模式的管理员密码”向导页中,用户可以设置一组还原密码。单击“下一步”按钮。在Windows 2000 Server和Windows Server 2003系统的启动过程中,有一个选项可以用来重建被损坏的AD数据库,并把它还原到内部一致的一个较早期版本。为了防止未经授权的还原操作
破坏AD数据库,才有了设置还原密码的设计。
第12步最后打开“摘要”向导页,通过对照摘要信息确认前面所做的设置正确无误,并单击“下一步”
按钮开始AD的安装配置过程。根据服务器的硬件配置,安装配置所需要的时间不尽相同(大概需要10~
20分钟)。
在安装配置过程中会提示安装DNS服务,根据提示插入Windows Server 2003的安装光盘(或者指定安装源文件路径)即可自动完成。AD安装结束后连续单击“完成”按钮关闭“配置您的服务器向导”。然后重新启动计算机,则该服务器已经升级为域控制器了。