第9章 域和活動目錄（一）9.1 win2003支持的網(wǎng)絡(luò)結(jié)構(gòu)1、工作組結(jié)構(gòu)圖的網(wǎng)絡(luò)（對等式網(wǎng)絡(luò)）網(wǎng)絡(luò)上沒有專門的服務(wù)器，沒有集中的數(shù)據(jù)庫所有的資源分散在不同的計算機 網(wǎng)絡(luò)上的計算

第9章 域和活動目錄（一）

9.1 win2003支持的網(wǎng)絡(luò)結(jié)構(gòu)

1、工作組結(jié)構(gòu)圖的網(wǎng)絡(luò)（對等式網(wǎng)絡(luò)）

網(wǎng)絡(luò)上沒有專門的服務(wù)器，沒有集中的數(shù)據(jù)庫所有的資源分散在不同的計算機 網(wǎng)絡(luò)上的計算機都由本機的本地用戶安全數(shù)據(jù)庫審核。

2、 域結(jié)構(gòu)的網(wǎng)絡(luò)

域是管理員定義的一組對象的集合（計算機、用戶和組），域是一個安全邊界，

是由網(wǎng)絡(luò)上的計算機組成，域中的資源存放在集中數(shù)據(jù)庫內(nèi)，便于用戶的查找和使用，便于管理員的管理。

● 域中計算機的角色

1. 域控制器

1) 在win2000域內(nèi)，只有win2000 server 才可做域控制器；win2003內(nèi)只有WEB 版不可以做DC ；

2) DC 內(nèi)存儲了該域的AD 數(shù)據(jù)庫，它負(fù)責(zé)審核域用戶的登錄、域中資源的管理等；

3) 域內(nèi)可以有多臺域控制器，它們的地位是平等的；

4) 多臺DC 之間按照一定的頻率相互復(fù)制數(shù)據(jù)庫保持同步（即保持地位平等）；

5) NT 域內(nèi)也有多臺域控制器，但只能有一臺PDC 管理域，其余為BDC 注：額外域控制器的輔助功能：

1） 容錯功能；

2） 相互減輕負(fù)擔(dān)；

3） 提高用戶的訪問效率。

2. 成員服務(wù)器

1）具有服務(wù)器版本的操作系統(tǒng)；

2）屬于某個域中；

3）沒有存儲AD 數(shù)據(jù)庫的稱為成員服務(wù)器。

注：服務(wù)器級的操作系統(tǒng):

windows NT服務(wù)器操作系統(tǒng)

win2000server 以上版本

win2003所有版本

3. 其它成員

1） 本身加入某個域中

2） 是非服務(wù)器版本的操作系統(tǒng)

例如：win2000 pro、win99、winNT workstation 等

注：獨立服務(wù)器

1）本身是服務(wù)器版本操作系統(tǒng)；

2）不屬于任何域的計算機。

9.2 活動目錄地相關(guān)概念（一）

活動目錄是微軟目錄服務(wù)的一種機制，它是用來存儲網(wǎng)絡(luò)上的用戶賬戶、計算

機、打印機等資源信息，方便用戶的查找和使用。 活動目錄指的是用戶在使用資源時不需要了解該資源存放在哪臺計算機上和哪臺計算機上有哪些資源！

1、 名稱空間

所謂的名稱空間，實際是劃分好的區(qū)域，在該區(qū)域可以通過名稱查找

到與該名稱相關(guān)的信息。

win2000/2003的AD 與DNS 緊密地整合在一起，其名稱空間采用的是

DNS 架構(gòu)，其域名也采用DNS 格式，如:abc.com,xyz.com等！

2、 對象及其屬性

Win2003 的AD 數(shù)據(jù)庫將所有資源都當(dāng)作對象來處理，如用戶、計算

機、打印機等都是對象，屬性是用于描述對象信息提，如用戶對象的電

話號碼，電子郵件等。

3、 OU|組織單元

OU 是一種比較特殊的容器，類似于文件夾，用于存放對象和其他OU ，

還具有“組策略”的功能。

4、 域

域是管理員定義的一組對象的集合（計算機、用戶和組），域是一個

安全邊界，是由網(wǎng)絡(luò)上的計算機組成，域中的資源存放在集中數(shù)據(jù)庫內(nèi)，

便于用戶的查找和使用，便于管理員的管理。

5、 域樹

是多個域按照一定的層次排列，構(gòu)成倒置的樹狀結(jié)構(gòu)，且共享一個連

續(xù)的名稱空間。其中最上層的是這棵域樹的根域，下一層稱為它的子域。

域樹內(nèi)的所有域共享一個AD ，此AD 內(nèi)的數(shù)據(jù)分散地存儲在各個域

內(nèi)，且每一個域內(nèi)只存儲該域內(nèi)的數(shù)據(jù)。

6、 信任關(guān)系

兩個域之間必須建立了“信任關(guān)系”之后，才可以訪問對方的資源。

1） 單向信任：如果A 域的用戶可以訪問B 域的資源，但B 域的用

戶不可以訪問A 域的資源，稱為單向信任；

2） 雙向信任：如果A 域的用戶可以訪問B 域的資源，B 域的用戶

也可以訪問A 域的資源，稱雙向信任；

3） 可傳遞信任：如果A 域信任B 域，B 域信任C 域，則A 域也信

任C 域，則稱此信任具有可傳遞性。而因傳遞得到的信任關(guān)系稱

為隱性的信任關(guān)系。

注：win2003的域樹上，父域和子域之間具備雙向的、可傳遞的信任

關(guān)系。實際上，同一棵域樹上的任意兩個域之間都是雙向的信任關(guān)

系。這個信任的功能是通過Kerberos 安全協(xié)議來實現(xiàn)的，因此也被

稱為Kerberos 信任。

7、 域林

由一個域樹或多個域樹組成，它們各自有著獨立的名稱空間。第一個

域樹的根域就是整個樹林的根域，同時其名稱也是這個樹林的名稱。

注：Win2003的域樹林中，同一個樹林內(nèi)的域樹的根域之間具有雙向的、可

傳遞的信任關(guān)系。實際上，同一個域林上的任意兩個域之間都是雙向的信任

關(guān)系。

實踐：1、創(chuàng)建一個新域的域控制器

創(chuàng)建一個新域DC 時應(yīng)注意的幾個問題；

1）選定要創(chuàng)建域的計算機，管理員身份登錄；

2）設(shè)置靜態(tài)IP 地址；

3）設(shè)置DNS 服務(wù)器；

4）至少要有一個NTFS 分區(qū)；

5）適當(dāng)?shù)目臻g大小，至少300M ；

6）取一個符合DNS 結(jié)構(gòu)的域名。

步驟：

1）開始——運行——輸入dcpromo ，啟動AD 安裝向?qū)В?/p>

1）在“域控制器類型”窗口中，選擇“新域的域控制器”；

2）在“創(chuàng)建一個新域”窗口中，選擇“新林中的域”；

3）在新的域名頁面中，輸入域的完整合法域名；

4）在“NETBIOS ”域名 窗口中確認(rèn)Netbios ；

5）在“數(shù)據(jù)庫和日志文件文件夾”窗口，接受數(shù)據(jù)庫和日志文件夾的默認(rèn)位置，或者單擊“瀏覽”選擇另一個位置；

6）在“共享的系統(tǒng)卷”窗口中，接受Sysvol 文件夾的位置，或者單擊“瀏覽”選擇另外一個位置；

7）在“DNS 注冊診斷”窗口，確認(rèn)是否一個現(xiàn)有的DNS 服務(wù)器負(fù)責(zé)該林，或者如果不存在DNS 服務(wù)器，選擇在這臺計算機上安裝并配置DNS 服務(wù)器；

9）在“權(quán)限”窗口中，選擇一個權(quán)限選項（取決于將要訪問該域控制器的客戶端的

windows 版本）；

9）檢查“總結(jié)”窗口，如果需要修改某些地方，單擊“上一步”重新配置。如果一

切正常，單擊“下一步”開始安裝。所有文件復(fù)制到硬盤驅(qū)動器之中，重新啟動

計算機。

2、創(chuàng)建額外DC 、成員服務(wù)器、成員、子域、加入域樹林的準(zhǔn)備工作

1） PING DC 、DNS 的IP 地址；

2） PING 域名

A. 能通，可以進一步操作；

B. 不能通，則按以下步驟操作：

C ：>net stop netlogon

C ：>net start netlogon

C ．

釋放緩存：

C:>ipconfig /flushdns

顯示緩存：

C:>ipconfig /displaydns

3、創(chuàng)建額外DC 、成員服務(wù)器、成員、子域、加入域樹林