一、域結(jié)構(gòu)簡介1、域的含義：域是由一群以網(wǎng)絡(luò)連接在一起的計算機所組成的，它們將計算機內(nèi)的資源共享給其他人使用。2、與工作組結(jié)構(gòu)網(wǎng)絡(luò)區(qū)別：域內(nèi)所有的計算機共享一個集中式的目錄數(shù)據(jù)庫，它包括整個域內(nèi)的用戶

一、域結(jié)構(gòu)簡介

1、域的含義：

域是由一群以網(wǎng)絡(luò)連接在一起的計算機所組成的，它們將計算機內(nèi)的資源共享給其他人使用。

2、與工作組結(jié)構(gòu)網(wǎng)絡(luò)區(qū)別：

域內(nèi)所有的計算機共享一個集中式的目錄數(shù)據(jù)庫，它包括整個域內(nèi)的用戶與安全數(shù)據(jù)。而工作組結(jié)構(gòu)的網(wǎng)絡(luò)，每臺計算機的位置平等?？梢韵嗷サ墓蚕?。

3、域中的計算機類型：

A 、 域控制器：

只有WIN2000SERVER 或WIN2003才可以做域控制器，域控制器在一個網(wǎng)絡(luò)中可以有多個。一臺的目錄數(shù)據(jù)庫可以自動復(fù)制到別一個域服務(wù)器的目錄數(shù)據(jù)庫中，域可以審核登錄用戶的用戶名和密碼。多臺域服務(wù)器共同審核用戶的登錄可以提高效率。

B 、 成員服務(wù)器：

域內(nèi)的WIN2000服務(wù)器如果不是域控制器，就是成員服務(wù)器，如果不加入域就是獨立服務(wù)器，成員服務(wù)器沒有活動目錄，不能審核域用戶的登錄，但它們都有自己的本地安全數(shù)據(jù)庫。以審核本地用戶。

C 、 其他計算機：

其他計算機可以用來訪問這些計算機的資源。

二、活動目錄定義

1、概述：

目錄：

舉例來說一個電話本：其中有姓名、與姓名相對應(yīng)的又有電話號碼、通訊地址等，這些就是目錄，我可以很容易從找到所需的數(shù)據(jù)。

目錄服務(wù)：

就讓用戶很容易在目錄中查找所要的數(shù)據(jù)。而在WIN2000或WIN2003中，存儲用戶、組、打印機等對象相關(guān)數(shù)據(jù)的位置稱為目錄數(shù)據(jù)庫，負責(zé)提供目錄服務(wù)的組件稱為活動目錄。

2、 適用范圍

應(yīng)用范圍很廣，可以在一臺計算機、一個計算機網(wǎng)絡(luò)，大至數(shù)據(jù)廣域網(wǎng)的組合。

3、 名稱空間

A 、 名稱空間的含義：就是一塊劃好的區(qū)域。在這個區(qū)域內(nèi)，可以利用某個名字來找

到與這個名字有關(guān)的信息。

B 、 WIN2000或WIN2003中的活動目錄就是“名稱空間”，可以利用對象名稱找到相

關(guān)的數(shù)據(jù)。

C 、 WIN2000或WIN2003的名稱結(jié)構(gòu)采用了DNS 的結(jié)構(gòu)。

4、對象與屬性

WIN2000或WIN2003中的資源都是以對象的形式存在，而一個對象通過屬性來描述其特征。如用戶就是一個對象類別。用戶的姓、名、電話，就是用戶的屬性。

5、容量與組織單位

A 、容量與對象相似，也有自己的名稱，也有自己的屬性，但它不是一個實體，而可以一組對象和其它容量。

B 、組織單位，就是一個容量，可以包括其他對象和組織單位。

6、域目錄樹

A 、 域目錄樹：對一個包含多個域的網(wǎng)絡(luò)，則可以將網(wǎng)絡(luò)設(shè)置成域目錄樹的結(jié)構(gòu)，也就

是說這些域以樹狀的形式存在。

B 、域目錄樹中的子域名包含著父域的域名

C 、域目錄樹中的所有的域共享一個活動目錄。但活動目錄中的數(shù)據(jù)分散地存儲在各個域內(nèi)。將各個域內(nèi)的數(shù)據(jù)合并為一個活動目錄。

7、信任

兩個域之間，必須建立信任關(guān)系，才可以訪問對方域內(nèi)的資源，一個域加入到一個域目錄樹中后，這個域會自動信任其上一層域，并且這些信任關(guān)系具備雙傳遞性。

8、域目錄林

如果一個網(wǎng)絡(luò)設(shè)置成多個域目錄樹的結(jié)構(gòu)，那么可以讓這些域目錄樹合并為一個域目錄林。如Abc.com 域與zyx.com 域。

9、架構(gòu)

在活動目錄內(nèi)的對象類別等數(shù)據(jù)定義在架構(gòu)內(nèi)，如定義了用戶這個對象類別內(nèi)飲食了哪些屬性等。在一個域目錄林中的所有域目錄樹共享一個架構(gòu)。

10、全局編錄

A 、 全局編錄的原因：活動目錄內(nèi)的數(shù)據(jù)分散存儲在各個域內(nèi)，而每一個域只存儲與

些域本身相關(guān)數(shù)據(jù)。WIN2000將存儲在各個域內(nèi)的數(shù)據(jù)合并為一個活動目錄。為了讓W(xué)IN2000用戶可以快速找到其它域內(nèi)的資源，WIN2000才設(shè)計了“全局編錄”。

B 、 “全局編錄”內(nèi)包含著目錄服務(wù)器中的每一個對象，不過只存儲每個對象的部分

屬性，而不是全部屬性。

C 、 “全局編錄”的數(shù)據(jù)存儲在全局編錄服務(wù)器，系統(tǒng)默認第一臺域控制器就是全局編錄服務(wù)器。在域目錄林共享一個全局編錄服務(wù)器。

11、站點

A 、 站點的含義：指的是一個或多個IP 子網(wǎng)，這些子網(wǎng)之間是通過高速（512K ）網(wǎng)絡(luò)

互連的，這些子網(wǎng)就是站點。

B 、 站點與域的區(qū)別：域是實體的分組，而站點是實體的分組，、每個站點可能會包含

多個域，而一個域也可以同時屬于多個站點。

12、名稱

活動目錄內(nèi)，每個對象都有一個名稱，并且利用名稱來識別每個對象。

A 、 可分辨的名稱（ND ）：它包含對象所在的完整路徑，abc.comnorthsalesbobyong.

B 、 相對可分辨的名稱（RDN ）：RDN 是DN 的完整路徑中。

C 、 全局標識符：GUID 是一個128的數(shù)值，所建立的任何一個對象，系統(tǒng)都會自動給

這個對象指定一個唯一的GUID 。GUID 永遠不會改變的。

D 、 用戶主體名稱{VPN}：todayhero@abc.com這是一個用戶的主體名稱。

活動目錄介紹

（一）目錄服務(wù)

目錄，是一個數(shù)據(jù)庫，存貯了網(wǎng)絡(luò)資源相關(guān)的信息，包括了資源的位置、管理等信息。 目錄服務(wù) 是一種網(wǎng)絡(luò)服務(wù)，目錄服務(wù)標記管理網(wǎng)絡(luò)中的所有實體資源（比如計算機、用戶、打印機、文件、應(yīng)用等），并且提供了命名、描述、查找、訪問以及保護這些實體信息的一致的方法，使網(wǎng)絡(luò)中的所有用戶和應(yīng)用都能訪問到這些資源。

（二）活動目錄（Active Directory）

活動目錄 是Windows 2000完全實現(xiàn)的目錄服務(wù)，也是Windows 2000網(wǎng)絡(luò)體系的基本結(jié)構(gòu)模型，是Windows 2000網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心管理機構(gòu)。

Microsoft 在Windows 2000中提供的活動目錄是一個全面的目錄服務(wù)管理方案，也是一個企業(yè)級的目錄服務(wù)，具有很好的可伸縮性?；顒幽夸洸捎昧薎nternet 的標準協(xié)議，它與操作系統(tǒng)緊密地集成在一起?；顒幽夸洸粌H可以管理基本的網(wǎng)絡(luò)資源，比如計算機對象、用戶賬戶、打印機等，它也充分考慮了現(xiàn)代應(yīng)用的業(yè)務(wù)需求，為這些應(yīng)用提供了基本的管理對象模型，比如用戶賬戶對象具有辦公電話、手機、呼機、住址、上司、下屬、電子郵件等屬性。幾乎所有的應(yīng)用可以直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動目錄也具有很好的擴充能力，允許應(yīng)用程序定制目錄中對象的屬性或者添加新的對象類型。

（三）活動目錄的用處

利用AD 的優(yōu)點：

● 簡化管理 提供對用戶、應(yīng)用程序和設(shè)備的單一、一致性的管理點。

● 加強安全性 向用戶提供單一的網(wǎng)絡(luò)資源登錄，為管理員提供強大、一致性的工具

以使他們能夠管理為內(nèi)部臺式機用戶、遠程撥號用戶以及外部電子商務(wù)客戶提供

的安全服務(wù)。

● 擴展的互操作性 向所有活動目錄特性提供基于標準的存取方式以及對通用目錄

的同步支持。

（四）活動目錄的邏輯結(jié)構(gòu)

活動目錄的邏輯結(jié)構(gòu)非常靈活，它為活動目錄提供了完全的樹狀層次結(jié)構(gòu)視圖，邏輯結(jié)構(gòu)與前面我們討論過的名字空間有直接的關(guān)系。邏輯結(jié)構(gòu)為用戶和管理員查找、定位對象提供了極大的方便。活動目錄中的邏輯單元包括：域、組織單元（Organizational Unit，簡稱OU ）、域樹、域森林。

1、 域（Domain ）

域 既是Windows 網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，也是Internet 的邏輯組織單元，在Windows 2000系統(tǒng)中，域是安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問或者管理其他的域。每個域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。

2、 OU(Organizational Unit)

OU 是一個容器對象，我們可以把域中的對象組織成邏輯組，所以O(shè)U 純粹是一個邏輯概念，它可以幫助我們簡化管理工作。OU 可以包含各種對象，比如用戶賬戶、用戶組、計算機、打印機，甚至可以包括其他的OU 。所以我們可以利用OU 把域中的對象形成一個完全邏輯上的層次結(jié)構(gòu)，對于一個企業(yè)來講，我們可以按部門把所有的用戶和設(shè)備組成一個OU 層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個OU 層次結(jié)構(gòu)。由于OU 層次結(jié)構(gòu)局限于域的內(nèi)部，所以一個域中的OU 層次結(jié)構(gòu)與另一個域中的OU 層次結(jié)構(gòu)完全獨立。

3、 樹

當多個域通過信任關(guān)系連接起來之后，所有的域共享公共的表結(jié)構(gòu)(schema) 、配置和全局目錄(global catalog) ，從而形成 域樹 。域樹由多個域組成，這些域共享同一個表結(jié)構(gòu)和配置，形成一個連續(xù)的名字空間。樹中的域通過信任關(guān)系連接起來。活動目錄包含一個或多個域樹。

4、 森林

域森林 是指一個或多個沒有形成連續(xù)名字空間的域樹。域林中的所有域樹共享同一個表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹通過Kerberos 信任關(guān)系建立起來，所以每個域樹都知道Kerberos 信任關(guān)系，不同域樹可以交叉引用其他域樹中的對象。

（五）其它

（1）域控制器(Domain Controller)

域控制器是指運行Windows 2000 Server版本的服務(wù)器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個域中的其他域控制器上。域控制器也負責(zé)用戶的登錄過程，以及其他與域有關(guān)的操作，比如身份認證、目錄信息查找等。 一個域可以有多個域控制器。規(guī)模較小的域可以只需要兩個域控制器，一個實際使用，另一個用于容錯性檢查；規(guī)模較大的域可以使用多個域控制器。

Windows 2000的域結(jié)構(gòu)與Windows NT 4的域結(jié)構(gòu)不同的是，活動目錄中的域控制器沒有主次之分，活動目錄采用了多主機復(fù)制方案，每一個域控制器都有一個可寫入的目錄副本。在某一個時刻，不同的域控制器中的目錄信息可能有所不同，一旦活動目錄中的所有域控制器執(zhí)行同步操作之后，最新的變化信息就會一致。

（2）活動目錄與DNS

活動目錄使用域名服務(wù)DNS 作為它的定位服務(wù)，同時也對標準的DNS 作了擴充。在活動目錄中使用DNS 的最大好處在于，我們可以使Windows 2000域與Internet 上的域統(tǒng)一起來，即Windows 域名也是DNS 域名。

（3）Active Directory命名規(guī)范

a. 辨別名( distinguished name (DN))

活動目錄中的每一個對象都會有一個唯一的辨別名DN 。DN 由域名、對象名組成：

DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用戶對象James Smith在contoso.com 域中的Users 組織單元中的Teacher 單元中．

b. User Principal Name : 由用戶登錄名和域名組成，如 。

（4）域運行模式

（1） 混合模式 ?；旌夏Ｊ降挠蚣瓤梢杂蠾indows 2000的域控制器，也可以有Windows

NT 4的域控制器。這是一個過渡模式，利用這種模式，我們可以對現(xiàn)有的系統(tǒng)逐步升級。但是，在混合模式下，活動目錄中有些功能不能很好地發(fā)揮出來。

（2）準模式 ?；顒幽夸浀臉藴誓Ｊ揭笏械挠蚩刂破鞫急仨氝\行Windows 2000。

只有在這個時候，活動目錄的所有功能和特性才能充分體現(xiàn)出來。

活動目錄的安裝

運行 Active Directory 安裝向?qū)?Windows 2000 Server 計算機升級為域控制器會創(chuàng)建一

個新域或者向現(xiàn)有的域添加其他域控制器。創(chuàng)建域控制器可以：

§ 創(chuàng)建網(wǎng)絡(luò)中的第一個域。

§ 在樹林中創(chuàng)建其他的域。

§ 提高網(wǎng)絡(luò)可用性和可靠性。

§ 提高站點之間的網(wǎng)絡(luò)性能。

要創(chuàng)建 Windows 2000 域，必須在該域中至少創(chuàng)建一個域控制器。創(chuàng)建域控制器也將創(chuàng)建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域，則必須為每個附加的域至少創(chuàng)建一個域控制器。樹林中的附加域可以是：新的子域、新域樹的根。 安裝步驟示例

1、安裝域中第一臺域控制器

在安裝 Active Directory 前首先確定DNS 服務(wù)正常工作，下面用戶來安裝根域為 nt2000.com 的域中第一臺域控制器。

步驟1 利用配置服務(wù)器啟動位于 Systemrootsystem32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe 。

如圖1單擊" 下一步"

步驟2 由于用戶所建立的是域中的第一臺域控制器所以選擇" 新域的域控制器" 單擊" 下一步"

步驟3 選擇" 創(chuàng)建一個新域的域目錄樹" ,單擊" 下一步"

步驟4 選擇" 創(chuàng)建一個新域的域目錄林", 單擊" 下一步"

步驟5 在" 新域的 DNS 全名" 中輸入要創(chuàng)建得域名，nt2000.com 如圖 2單擊" 下一步

"

步驟6 安裝向?qū)ё詣訉⒂蚩刂破鞯?NetBIOS 名設(shè)置為 "nt2000" ,單擊" 下一步"

步驟7 顯示數(shù)據(jù)庫、目錄文件 及Sysvol 文件的保存位置，一般不必作修改。單擊" 下一步"

步驟8 配置 DNS 服務(wù), 單擊" 下一步", （如果在安裝 Active Directory 之前未配置 DNS 服務(wù)器可以在此讓安裝向?qū)渲?DNS ，推薦使用這種方法。）

步驟9 為用戶和組選擇默認權(quán)限，考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本，所以選擇" 與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限"

如圖 3單擊" 下一步"

步驟10 輸入以目錄恢復(fù)模式下的管理員密碼, 單擊" 下一步"

步驟11 安裝向?qū)э@示摘要信息, 單擊" 下一步" 開始安裝如圖

4

步驟12 安裝完成之后，重新啟動計算機。

檢驗安裝結(jié)果

在安裝完成后，可以通過以下方法檢驗 Active Directory 安裝正確，在安裝過程中一項最重要的工作是在 DNS 數(shù)據(jù)庫中添加服務(wù)記錄( SRV 記錄) 。

1．檢查 DNS 文件的SRV 記錄

用文本編輯器打開 systemroot/system32/config/ 中的 Netlogon.dns 文件，察看 LDAP 服務(wù)記錄，在本例中為

_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.

2. 驗證 SRV 記錄在 NSLOOKUP 命令工具中運行正常

步驟1 在命令提示行下，輸入 NSLOOKUP

步驟2 輸入 set type=srv

步驟3 輸入 _ldap._tcp.nt2000.com

如果返回了服務(wù)器名和 IP 地址，說明 SRV 記錄工作正常

2、安裝第二臺域控制器

在安裝完第一臺域控制器后其域名為 nt2000.com ,在上例中該服務(wù)器用于總公司，如果由于公司擴展的需要為其新建的工廠建立自己的域名和域控制器，則用戶將工廠的域名定義為 man.nt2000.com ，由于此域名與 nt2000.com 是連續(xù)的域名，所以他們組成了一個目錄樹，今后隨著工廠的發(fā)展用戶還可以在這個目錄樹下繼續(xù)逐級添加子域（如：accounting.man.nt2000.com ），如果需要添加的域名與該目錄樹不連續(xù)（如：nt3000.com ）則用戶就需要建立一個新的目錄樹，這樣由多個目錄樹組成了域目錄林。

在安裝第二臺域控制器之前，首先檢驗它的IP 設(shè)置和DNS 設(shè)置，以保證可以訪問域控制器（n2k_server.nt2000.com）。

步驟1 利用配置服務(wù)器啟動位于 Systemrootsystem32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe 。如上圖1擊" 下一步"

步驟2 由于用戶所建立的是域中的一臺域控制器所以選擇" 新域的域控制器" 單擊" 下一步" 步驟3 選擇" 在現(xiàn)有域目錄樹中創(chuàng)建一個新的子域" ,單擊" 下一步"

步驟4 在" 網(wǎng)絡(luò)憑據(jù)" 對話框中輸入上一級域的域名及具有管理員權(quán)限的用戶名和密碼, 單擊" 下一步"

步驟5 在" 子域安裝" 對話框中輸入父域域名（nt2000.com ）和子域域名（man ）, 在下方的子域完整域名中會自動顯示 man.nt2000.com, 單擊" 下一步"

步驟6 安裝向?qū)ё詣訉⒂蚩刂破鞯?NetBIOS 名設(shè)置為"man", 用戶也可以進行修改 , 單擊" 下一步"

步驟7 顯示數(shù)據(jù)庫、目錄文件及 Sysvol 文件的保存位置，一般不必作修改。單擊" 下一步" 步驟8 為用戶和組選擇默認權(quán)限，考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本，所以選擇" 與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限", 單擊" 下一步" 步驟9 單擊" 下一步" 開始安裝，在重新啟動后，在 n2k_server.nt2000.com 的" Active Directory 域和信任關(guān)系" 中將顯示新建的子域 man.nt2000.com 如圖

5

DHCP 服務(wù)管理

在一個使用TCP/IP協(xié)議的網(wǎng)絡(luò)中，每一臺計算機都必須至少有一個IP 地址，才能與其他計算機連接通信。為了便于統(tǒng)一規(guī)劃和管理網(wǎng)絡(luò)中的IP 地址，DHCP （Dynamic Host Configure Protocol ，動態(tài)主機配置協(xié)議）應(yīng)運而生了。這種網(wǎng)絡(luò)服務(wù)有利于對校園網(wǎng)絡(luò)中的客戶機IP

地址進行有效管理，而不需要一個一個手動指定IP 地址。

（一）DHCP 服務(wù)的安裝

DHCP 指的是由服務(wù)器控制一段IP 地址范圍，客戶機登錄服務(wù)器時就可以自動獲得服務(wù)器分配的IP 地址和子網(wǎng)掩碼。首先，DHCP 服務(wù)器必須是一臺安裝有Windows 2000 Server/Advanced Server系統(tǒng)的計算機；其次，擔(dān)任DHCP 服務(wù)器的計算機需要安裝TCP/IP協(xié)議，并為其設(shè)置靜態(tài)IP 地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)等內(nèi)容。默認情況下，DHCP 作為Windows 2000 Server的一個服務(wù)組件不會被系統(tǒng)自動安裝，必須把它添加進來：

1. 依次點擊“開始→設(shè)置→控制面板→添加/刪除程序→添加/刪除Windows 組件”，打開相應(yīng)的對話框。

2. 用鼠標左鍵點擊選中對話框的“組件”列表框中的“網(wǎng)絡(luò)服務(wù)”一項，單擊[詳細信息]按鈕，出現(xiàn)帶有具體內(nèi)容的對話框。

3. 在對話框“網(wǎng)絡(luò)服務(wù)的子組件”列表框中勾選“動態(tài)主機配置協(xié)議（DHCP ）”，單擊[確定]按鈕，根據(jù)屏幕提示放入Windows 2000安裝光盤，復(fù)制所需要的程序。

4. 重新啟動計算機后，在“開始→程序→管理工具”下就會出現(xiàn)“DHCP ”一項，說明DHCP 服務(wù)安裝成功。

（二）DHCP 服務(wù)器的授權(quán)

出于對網(wǎng)絡(luò)安全管理的考慮，并不是在Windows 2000 Server中安裝了DHCP 功能后就能直接使用，還必須進行授權(quán)操作，未經(jīng)授權(quán)操作的服務(wù)器無法提供DHCP 服務(wù)。對DHCP 服務(wù)器授權(quán)操作的過程如下：

1. 依次點擊“開始→程序→管理工具→DHCP ”，打開DHCP 控制臺窗口。

2. 在控制臺窗口中，用鼠標左鍵點擊選中服務(wù)器名，然后單擊右鍵，在快捷菜單中選中“授權(quán)”，此時需要幾分鐘的等待時間。注意：如果系統(tǒng)長時間沒有反應(yīng)，可以按F5鍵或選擇菜單工具中的“操作”下的“刷新”進行屏幕刷新，或先關(guān)閉DHCP 控制臺，在服務(wù)器名上用鼠標右鍵點擊。如果快捷菜單中的“授權(quán)”已經(jīng)變?yōu)椤俺废跈?quán)”，則表示對DHCP 服務(wù)器授權(quán)成功。此時，最明顯的標記是服務(wù)器名前面紅色向上的箭頭變成了綠色向下的箭頭。這樣，這臺被授權(quán)的DHCP 服務(wù)器就有分配IP 的權(quán)利了。