网络工程设计与实践(第二版)第4章InternetIntranet应用的建立课件.ppt

《网络工程设计与实践(第二版)第4章InternetIntranet应用的建立课件.ppt》由会员分享，可在线阅读，更多相关《网络工程设计与实践(第二版)第4章InternetIntranet应用的建立课件.ppt（262页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第4章 Internet/Intranet应用的建立 第4章 Internet/Intranet应用的建立 4.1 活动目录概述活动目录概述 4.2 服务的配置与管理服务的配置与管理 4.3 DHCP的安装与配置的安装与配置4.4 DNS的安装与配置的安装与配置 第4章 Internet/Intranet应用的建立 4.1 活动目录概述活动目录概述4.1.1 活动目录的概念与特点活动目录的概念与特点1.活动目录的概念活动目录的概念1)什么是目录服务简单地说，目录是指用来存储网络中对象的分层信息结构。这里指的目录与我们已熟悉的文件系统中的目录是有区别的，文件目录只能存储一类对象文件对象的信息，事

2、实上，在Windows中文件目录的正式名称是文件夹，而这里所指的目录范围要更加广泛。它可以用来存储包括用户、用户组、打印机、应用程序等多种网络对象。第4章 Internet/Intranet应用的建立 目录服务包括目录数据本身及其对目录所作的服务。目录服务为应用程序、用户和分布式环境中的客户提供了一种命名、存储和重组信息的方法。目录通常由两个主要部分组成：一个是存储目录信息的数据库；另一个是为用户访问存储数据提供服务的一个或多个协议。例如，数据库分布在多个机器上，并通过一个称为计划(Schema)的规则集来定义它能存储的信息类型。目录服务具有丰富的应用价值。例如，可以利用目录服务来查找用户的E

3、-mail地址或者验证E-mail该发往哪台机器；也可以利用目录服务存储用户的帐号信息，如用户名、密码；还可以跟踪有关应用程序的信息，如应用所在的位置、文件的位置等。第4章 Internet/Intranet应用的建立 如果分布式环境中缺乏一个统一的目录服务，那么每个需要目录的应用都需要自己提供一个方案。例如在Windows NT Server 4.0中，Microsoft Exchange使用了一个目录，而用户帐号信息则存于另一个目录中，Microsoft Message Queue(MSMQ)等分布式组件又使用其他的目录，其结果是对同一个问题形成了许多不同的解决方案。较好的方法应该是建立一

4、个公共的目录服务，它提供了存储信息的空间、描述对象属性的公共计划以及命名习惯，并且每个用户和应用都可以使用该目录服务，使用非常方便。第4章 Internet/Intranet应用的建立 第4章 Internet/Intranet应用的建立 2)什么是活动目录活动目录是Windows 2003等服务器版操作系统内置的目录服务。活动目录服务以轻目录访问协议(LDAP，Lightweight Directory Access Protocol)作为基础，支持X.500中定义的目录体系结构，并具有可复制、可分区以及分布式等特点。对于管理员还是对于一般的用户来说，活动目录都是易于使用和管理的，活动目录能

5、够顺利地管理从只有数百个对象的单一服务器到具有数百万个对象的上千个服务器组成的集群系统中的资源。活动目录把过去的Windows的目录结构发展成一种能够满足从企业Intranet到商业Internet各种需求的、可扩展的、具有良好伸缩性的目录服务。第4章 Internet/Intranet应用的建立 活动目录仍采用域(Domain)作为基本管理单位，但增加了许多新的功能。域模式的最大好处就是它的单一网络登录能力，任何用户只要在域中有一个帐户，就可以漫游网络，即域用户可从任意客户机上登录到网络中的域帐号中。由于以前域的信任关系，过分强调安全性会导致可调整性不够。新一代的活动目录服务扩展了域目录树的

6、灵活性，增强了信任关系，把一个域作为一个完整的目录，域之间能够通过一种基于Kerberos认证的可传递的信任关系建立起树状连接，从而使单一帐户在该树状结构中的任何地方都有效，减轻了管理员在网络管理和扩展时的工作量。第4章 Internet/Intranet应用的建立 活动目录在Windows中具有许多不同的用途。操作系统自身使用活动目录存储有关用户帐号、打印机、网络中的计算机等信息；Windows的管理体系利用活动目录来定位应用组件的服务器位置；Microsoft Exchange利用活动目录来存储如用户地址簿和认证证书等信息；利用分布式组件对象模型(DCOM)和Microsoft事务处理服务

7、器(MTS)所建立的应用依赖活动目录来定位远程对象，活动目录替代了以前在Windows NT 4.0中使用的MSMQ目录服务。由于活动目录所存储的信息类型是可扩展的，因此无论对家用软件开发商还是商用软件开发商，都可以利用它的服务来建立自己的应用。第4章 Internet/Intranet应用的建立 第4章 Internet/Intranet应用的建立 2)基于策略的管理活动目录的目录服务包括数据存储以及逻辑分层结构。作为逻辑结构，为策略应用程序提供上下文分层结构。作为目录，存储指定给特定上下文的策略(又称为组策略)。组策略表达一组业务规则，包含应用于上下文的设置，它可确定：(1)对目录对象和域

8、资源的访问。(2)用户可使用哪些域资源(诸如应用程序)。(3)这些域资源是如何配置的。第4章 Internet/Intranet应用的建立 3)丰富的信息安全服务活动目录与安全性完全集成在一起，不仅可以针对目录中的每个对象定义访问控制，而且可以针对每种属性进行操作。例如，可以授予所有用户查看网络中用户姓名和电话号码的权限，而与此同时却限制对用户对象所有其他属性的访问。活动目录为安全策略提供应用程序的存储和范围。安全策略包括帐户信息(如域宽口令限制或对某特定域资源的权利)。安全策略通过组策略执行。管理员可将某些特殊管理权分派到其他个人和组。这种权限分派明确了谁具有管理部分网络的权限。可以将特殊部

9、分的管理分派给单个管理员，而不必分配过多的管理权限。第4章 Internet/Intranet应用的建立 第4章 Internet/Intranet应用的建立 4)可靠的信息复制在同一个域内，目录信息会被复制到运行活动目录的每一个服务器上。即如果一个域中包含了多个域控制器，则该域的目录信息会被复制到各个服务器上，从而使每个域控制器中都存储并保持了这个域的目录信息的完整副本。复制能带来容错、负载平衡等多方面的好处。在一个域中的所有域控制器都能提供容错和负载平衡，例如，如果域内的某个域控制器的运行速度减慢到某个阈值、停止或者出错，那么域内的其他域控制器就能替换它，其原因是它们包含了相同的目录信息。

10、在一个域内设置多个物理站点(Site)可改善目录性能，这样就能在离客户机最近的服务器上进行目录访问。第4章 Internet/Intranet应用的建立 第4章 Internet/Intranet应用的建立 6)可扩充性活动目录的可扩充性是指管理员能在目录中增加任何类型的对象，并能给现有对象增加属性。例如可在用户对象中增加购买权属性，然后将每个用户的购买权存储到用户帐号中。通过使用活动目录中的计划管理工具或者编写程序，用户能在目录中增加对象和对象属性，也可以写一个命令行脚本来管理活动目录中的对象。书写脚本的脚本语言是由活动目录服务界面(ADSI，Active Directory Service

11、 Interfaces)提供的。第4章 Internet/Intranet应用的建立 7)与DNS的集成活动目录使用域名系统(DNS)作为域的命名服务。由于活动目录使用DNS，因此Windows的域名就是DNS名。例如，既是DNS名又是Windows 2003的域名。Windows 2003 Server支持DNS分层命名结构，这个分层结构可反映到DNS和Windows 2003域名中。例如，域名可以认为是域的名为computer的子域。第4章 Internet/Intranet应用的建立 第4章 Internet/Intranet应用的建立 8)同其他目录的相互操作除了DNS外，活动目录支持

12、其他工业标准，如LDAP的第二版和第三版、名字服务提供商界面(NSPI，Name Service Provider Interface)和超文本传输协议(HTTP，Hypertext Transfer Protocol)。LDAP是活动目录的核心协议，可从活动目录中查询和获得信息。LDAP是一个基于工业标准的服务协议，能使活动目录与支持LDAP的其他目录服务共享信息。除此以外，活动目录还支持用在Exchange 4.0和5.x的客户机中的NSPI，以实现与其他产品的向下兼容。通过对这些标准的支持，活动目录能越过多个名字空间来扩展它的服务，可以处理位于Internet上、其他操作系统中和其他目录

13、里的信息和资源。第4章 Internet/Intranet应用的建立 3.活动目录的组成活动目录的组成活动目录由以下四个主要部分组成：(1)数据储藏室(即目录)：用来存放在网络上发布对象的信息。这些对象主要包括用户帐号、计算机、打印机等。(2)规则集(即计划)：定义了包含在目录中的对象及特性、对象的限制及命名格式。(3)查询和索引机制：使得用户和应用程序可以快速地查找到目录中的对象及其特性。(4)复制服务：能复制目录数据，并让分布式网络中的目录客户使用。活动目录同时还集成了安全特性，提供了访问安全性检查，对目录数据的查询和修改都进行了访问检查，并与Windows 2003安全子系统紧密地结合在

14、一起。第4章 Internet/Intranet应用的建立 1)目录数据储藏室活动目录是一个用来存放网络中对象的数据储藏室，这个数据储藏室被称为目录。目录包含了对象(如用户、组、计算机、域、组织单元和安全策略等)的信息，这些信息通过活动目录服务被用户和管理员使用。目录被存储在域控制器中，并能被网络应用或网络服务访问。在一个域中可以有一个或多个域控制器。每个域控制器中都有目录的一个拷贝。对目录的修改会从原始的域控制器复制到它所在的域、域目录树和域目录林中的其他域控制器中。目录复制使得每个域控制器中都有一份目录的拷贝。第4章 Internet/Intranet应用的建立 目录使用一个可扩展的存储引

15、擎(SSE，Scalable Storage Engine)存储目录数据。私有数据会被安全地存储，只有公有数据被存储在共享系统卷中，公有数据会被复制到域中的其他域控制器中。目录由三个作为命名上下文的子树组成，其中一个包含了域数据，另一个包含了配置域目录树或域目录林的描述，第三个包含了存储于目录中的对象和属性的定义。第4章 Internet/Intranet应用的建立 2)活动目录客户活动目录客户是指管理活动目录的网络客户软件。配置有活动目录客户的计算机通过定位域控制器能登录到网络上，然后访问活动目录中的信息。含有活动目录客户的计算机包括：(1)运行了Windows 2000/2003等服务器版

16、操作系统的计算机。(2)运行了Windows XP/Vista7等个人版操作系统的计算机。第4章 Internet/Intranet应用的建立 第4章 Internet/Intranet应用的建立 LDAP是一个用于定义目录客户访问目录服务器、执行目录操作和共享目录数据方法的通信协议。LDAP定义了如何安全地访问、查询和修改目录中信息的方法，能有效地满足目录服务的各种需要，且没有其他目录服务协议的复杂性。活动目录同时支持由RFC1777定义的第二版LDAP协议和由RFC2251定义的第三版LDAP协议。活动目录通过使用LDAP完成查询、修改和管理等任务；通过使用LDAP，能与Microsoft

17、和其他开发商的目录服务器进行互操作。LDAP运行在TCP/IP上，主要定义了客户如何访问目录。同时，还定义了目录中数据的命名方法以及信息的结构。对客户来说，在LDAP数据库中的数据是以层次结构的方式组织的，在层次结构中的每个节点既可以是容器也可以是树叶，容器的下面还有其他的节点，而树叶则没有。第4章 Internet/Intranet应用的建立 活动目录的计划中包含了大量的对象类和对象类中的属性类型。下面是一些对象类的例子：(1)User：用来定义域中的用户，其属性包括公共名、用户主名、地址、电话号码及图片等。(2)Print-Queue：允许客户寻找打印，其属性包括位置、打印机状态和打印语言

18、。(3)Computer：定义域中的计算机，在该类中的属性包括操作系统、操作系统服务包、域名系统主机名和机器规则(表明机器是一个域控制器、一个普通的成员服务器还是工作站)等。(4)Organizational-Unit(OU)：定义一个域的分支机构，最重要的属性是组织单元名，OU在域内的信息组织中扮演十分重要的角色。第4章 Internet/Intranet应用的建立 活动目录中的对象以及对象的属性都有一个访问控制列表(ACL，Access Control Lists)，ACL控制了允许哪些用户访问对象或对象的属性，以及确定允许用户做的事件。例如，一个对象的ACL设置可以允许某个用户读它的所有

19、属性，而另一个用户只可以读写其中的某些属性，而不允许访问其他属性。由于访问控制需要好的审计支持，因此活动目录隐含地使用了Kerberos验证客户的身份。事实上，Kerberos是Windows 2003分布安全的核心技术。第4章 Internet/Intranet应用的建立 第4章 Internet/Intranet应用的建立 图4.1 一个简单Windows 2003域的目录结构第4章 Internet/Intranet应用的建立 6)域目录林和域目录树Windows 2003域中的目录数据库中的对象比Windows 2000域中的对象更多，因此可以将多个Windows 2000的域组织成单

20、个Windows 2003域。但在有些情况下，还是需要为一个组织创建多个域，活动目录允许以各种方式组织这些域。拥有相邻DNS名的域能被组织到一棵域目录树中。图4.2是一棵域目录树的例子，它表明Acme公司分别为其accounting和sales分别创建了不同的域。由于每个新域都有一个位于下的DNS名，所以这些域就可组织成一棵域目录树。在同一棵域目录树中的每个域必须共享公共的计划，它们的DNS名必须形成一个层级结构。第4章 Internet/Intranet应用的建立 第4章 Internet/Intranet应用的建立 将域组织成层次结构的好处是什么呢?显而易见的是，在根域中发布的查询也能检查

21、树中低层的其他域中的对象，并且将域组织成域目录树能自动在域之间建立双向的信任关系，从而减轻了管理员的责任。也可以将名字不相邻的域组织成域集合，其结果就产生了域目录林。域目录林组成域组或者域目录树。正如域目录树一样，域目录林中的所有域也都建立了双向的信任关系，并共享相同的计划。域目录树与域目录林的主要不同点是：域目录树中的所有域必须具有相邻的DNS名，而域目录林就不必这样。第4章 Internet/Intranet应用的建立 7)查找信息：索引和全局编号如果客户知道对象所在的域，并且知道对象的可辨认名，则可以很方便地使用LDAP访问这个对象。如果客户知道对象所在的域和对象的某些属性值，但不知道对

22、象的可辨认名，则活动目录可以通过单独的属性进行查找。例如，一个目录查询可以找到所有带有名“Smith”的对象。但是这种查找方式可能会很慢，这是因为它需要查询大量的对象。为了加快速度，活动目录允许定义特别的属性作为索引，这样就可以更快地找到需要的信息。第4章 Internet/Intranet应用的建立 最坏的情形是客户知道要查询的域目录林，但并不知道域目录林的哪个域中包含了所需的对象。这样，即使属性是按索引编排的，对域目录林中某个域的查询仍需花费大量的时间。为解决此问题，活动目录提供了全局目录编号(GC)。域目录树或域目录林中的所有域共享单个GC，并且GC中包含了域的每一个对象的复制。不过GC

23、中只包含每一对象的一部分属性。Microsoft定义了常位于GC中的不同的标准属性，管理员也可定义自己所需要的属性。GC中属性的类型可按索引方式编排，以便查找起来更快。第4章 Internet/Intranet应用的建立 8)复制对目录数据的复制(将其复制存储到多于一个机器上)改善了性能，提高了其可用性。正如所有其他目录服务一样，活动目录允许其数据的复制。图4.3显示了当客户改变目录中的入口时，这种改变就被复制到域内的所有其他域控制器中。但由于LDAP没有定义复制协议，因此活动目录就使用Microsoft所定义的其他协议来执行此操作。第4章 Internet/Intranet应用的建立 图4.

24、3 域控制器的同步复制过程第4章 Internet/Intranet应用的建立 Windows 2003的目录复制机制与Windows 2000同样使用了多主复制，即每个域控制器不仅包含了整个域数据库，而且还可以对它进行读写操作。在Windows 2003中，客户可以修改目录信息的任何一份拷贝，该修改会自动地被传播到该域的其他域控制器中。如果两个不同的客户同时在两个不同地方修改同一个对象中的相同属性，那么以最后所作的修改为准。第4章 Internet/Intranet应用的建立 4.活动目录的管理工具活动目录的管理工具Windows 2003提供了更丰富的目录服务。活动目录的管理工具能支持复杂

25、的目录服务，它们简化了Windows 2003的管理任务。对活动目录的管理，可使用微软管理控制台(MMC)中的为活动目录而设计的插件，也可根据主机的需要建立一个使用活动目录服务界面(ADSl)的脚本程序来管理。Windows 2003中自带的管理插件可以满足绝大部分用户的需要。第4章 Internet/Intranet应用的建立 活动目录管理控制台中的插件有：(1)活动目录用户和计算机管理器：在活动目录中对用户、组、联系、组织单元等对象进行增加、修改、删除操作。(2)活动目录域和信任管理器：对基于活动目录中的域和域关系进行增加、修改、移走操作。(3)活动目录站点及服务管理器：通过位于基于活动目

26、录网络站点中的域控制器来增加或修改复制行为和服务发布。第4章 Internet/Intranet应用的建立(4)活动目录计划管理器：创建修改对象类和属性、为全局目录编号的索引选择属性。它是活动目录管理器操作的扩展，而活动目录管理器允许管理员操作域数据，活动目录计划管理器能够管理计划。通过活动目录计划管理器，用户能够浏览编辑类和属性定义；通过演变和增加新的特性来扩展类；创建新的类和特性；浏览对象语法，但语法不能被修改或增加；选择和修改全局目录编号中的对象索引。第4章 Internet/Intranet应用的建立 4.1.2 活动目录的建立活动目录的建立1.域控制器域控制器一个域控制器是指一台运行

27、Windows 2003并且安装了活动目录服务的计算机。域控制器管理了活动目录信息以及用户和域之间的交互，包括用户登录、认证和目录查询。一个域中能包含一个或多个域控制器。一个使用单个的局域网(LAN)的小公司可能只需要两个域控制器，而有很多局域网的大公司，在每个区域中需要一个或多个域控制器，从而提供高可用性和容错能力。Windows 2003中的域控制器通过同步每个域控制器上的数据支持多主的复制，以确保信息的一致性。第4章 Internet/Intranet应用的建立 一个域可以包含一个或多个域控制器。下面描述域控制器的功能：(1)每个域控制器中都存放了该域完整的一份活动目录信息的拷贝，域控制

28、器还负责管理信息的变化，并将那些变化复制到同一个域中的其他域控制器上。(2)域控制器会自动将域中的所有对象复制给其他域控制器。当用户执行了一个动作，导致了活动目录更新时，用户实际上是在一台域控制器上做了改动。而后，这台域控制器会将这种改动复制到这个域中的其他所有域控制器上。用户可以指定复制发生的频率以及进行一次复制的数据总量，从而控制域控制器之间的复制工作的通信量。第4章 Internet/Intranet应用的建立(3)活动目录使用多主同步复制，在这种情况下，没有指定哪一个域控制器是主域控制器。而是域中的所有域控制器都有一份目录数据库的拷贝，并且都是可以改写的。除非所有的域控制器都随活动目录

29、同步改变，否则，在某个短时期内，各个域控制器所存放的信息可能是不同的。(4)在一个域中设置多个域控制器可以提供容错性。如果一个域控制器掉线了，另外的域控制器就能提供所需的全部功能，例如记录活动目录的改变。(5)域控制器管理用户和域交互的所有方面，例如定位活动目录对象和验证用户的登录尝试。第4章 Internet/Intranet应用的建立 2.安装域控制器安装域控制器当安装完Windows 2003以后，用户就可以把该计算机配置成为域控制器。Windows 2003是通过域控制器提供目录服务、维护活动目录数据库、验证用户的登录请求并和域中其他的域控制器一起参与目录备份的。用户可以把任意一台安装

30、了Windows 2003的独立计算机或者成员服务器提升为一个域控制器。当用户把一台服务器提升为域控制器时，用户既可以创建一个新的域，并将该服务器作为域的第一个域控制器，也可以在现存的域中额外创建另一个域控制器。当创建一个域时，用户必须确认新域的DNS名称。第4章 Internet/Intranet应用的建立 当为一个新的域创建第一个域控制器时，用户能够：(1)创建一个新的域目录树。当用户创建一个新的域目录树时，提升一台单机或者成员服务器成为一个域控制器，这就创建了新域目录树中的第一个域。这个新的域成为域目录树中最高层的域(即根域)，在这种情况下，创建一个新的域就创建了一个新的域目录树(包含一

31、个域)和一个目录林(包含一棵树)。(2)创建一个新的子域。要创建一个新的子域，用户可以提升单机或成员服务器成为一个新域中的第一个域控制器，这个域已经加入到一个现存的域目录树(父域)中或已属于一个现存的域。第4章 Internet/Intranet应用的建立 在一个域中的所有的域控制器维护着活动目录的一个副本，这些域控制器没有一个本地的安全数据库。当用户把一台单机或者成员服务器提升为一个域控制器时，Windows 2003就把所有本地的用户帐号转换成为域的用户帐号。安装活动目录就把这台服务器的本地数据库升级到新的或现存的域的活动目录数据库中。在一个现存的域中创建另一个域控制器时，我们称加入到一个

32、现存域中的域控制器为后备域控制器。后备域控制器接收域的活动目录数据库的一个副本。用户创建一个后备域控制器是为了通过提供活动目录的一个备份副本来提供错误冗余或通过提供另外一个域控制器来验证用户的登录和响应其他用户的请求是否能够改善登录处理的表现性能。第4章 Internet/Intranet应用的建立 Windows 2003使用活动目录安装向导来创建新的域控制器。1)创建域控制器的需求条件在用户把一台单机或者成员服务器提升为一个新的域或者一个现存的域中的一个域控制器之前，需要满足以下条件：(1)了解Windows 2003域相关的知识，具体包括：活动目录结构。域控制器的类型和目录复制概念。Wi

33、ndows 2003中的域、域目录树、目录林和组织单元。TCP/IP和DNS。第4章 Internet/Intranet应用的建立(2)注册DNS名。因为Windows 2003采用DNS名称作为域的名称，所以用户在创建一个新的域时需要提供一个完整的DNS名称，在创建一个子域或者一个后备域控制器时，用户也必须提供父域或者目标的一个DNS名称。(3)验证TCP/IP协议是否被正确安装到计算机上。(4)验证是否有一个DNS服务器对此计算机是可用的。如果没有DNS服务器可用，则需安装DNS服务器到此计算机上，并作为域控制器。第4章 Internet/Intranet应用的建立 在升级过程中，Wind

34、ows 2003跟DNS服务器联系的目的是：注册一个新的域控制器，这是必要的，这使得在网络上的其他计算机能够找到和确定该域控制器。当用户创建一个域控制器时，找到父域。当用户创建一个后备域控制器时，找到目标域。(5)在某些情况下还需要验证有无其他可用的域控制器。当用户创建一个新的子域时，Windows 2003必须跟父域中的域控制器联系。当用户创建一个后备域控制器时，Windows 2003必须跟目标域中的域控制器联系。第4章 Internet/Intranet应用的建立(6)知道管理员帐号和密码。当用户创建一个子域时，用户需要拥有父域的管理员特权。当用户创建一个后备域控制器时，用户需要目标域的

35、管理员特权。(7)在硬盘中有一个NTFS分区：域控制器需要一个安全的空间来存储活动目录的文件，这些文件将被Windows 2003复制到域中的其他域控制器中去。第4章 Internet/Intranet应用的建立 2)为新的域目录树创建域控制器可以使用活动目录安装向导来把一台独立的服务器升级为新的域目录树中的第一个域控制器，该向导将指导用户完成升级的处理过程，并为用户提示关于怎样配置这个新的域控制器的信息。表4.1描述了这个提升处理过程，还描述了在一个新的域目录树中创建第一个域控制器所需要用到的信息。第4章 Internet/Intranet应用的建立 表表4.1 将单机服务器升级为新的域目录

36、树中的第一个域控制器的过程将单机服务器升级为新的域目录树中的第一个域控制器的过程第4章 Internet/Intranet应用的建立 第4章 Internet/Intranet应用的建立 当用户提供了所有的信息以后，活动目录安装向导将显示带有用户所选择的配置信息的一个确认页。该向导使用用户提供的信息来执行下面的任务，从而创建这个域控制器，安装活动目录的步骤如下：创建Sysvol目录。复制初始的活动目录数据库文件到数据库中。创建和配置活动目录的一些默认对象。配置适当的安全设置使这台计算机能够充当域控制器进行工作。第4章 Internet/Intranet应用的建立 3)向一个域中增加复制域控制器

37、活动目录安装向导也用于创建一个域的复制，但在运行向导之前，必须将目标计算机连接到将被复制的域中。(1)创建域的一个复制。创建域的一个复制的步骤如下：使用本地的管理员帐号登录并运行活动目录安装向导。单击“下一步”按钮。选择“现有域的额外域控制器”，并单击“下一步”按钮。键入域的DNS名的全称，例如“”，并单击“下一步”。第4章 Internet/Intranet应用的建立 键入名字、密码和用户域，表明用户对所要复制的域的管理权限，然后单击“下一步”按钮。对目录林中的第一个域的创建也用同样的方式完成。当重新启动后，该计算机即可作为所指定域的复制域控制器。第4章 Internet/Intranet应

38、用的建立(2)在一个树中增加一个子域。活动目录安装向导也可用来在已现存树中创建一个子域。在运行向导之前，必须将机器连接到有层次关系的父域中的一个域中。增加一个子域的步骤如下：使用本地的管理员帐号登录并运行活动目录安装向导。单击“下一步”按钮。选择“创建一个新的域目录树”，并单击“下一步”按钮。选择“创建一个新的子域”，并单击“下一步”按钮。键入现存的作为父域的域的DNS全名称，例如“”。第4章 Internet/Intranet应用的建立 键入新子域的简略名字，例如“lab”，父域的名字附加在此名字上，以创建子域的DNS全名，如“”。单击“下一步”按钮。向导将验证此名字是否已在使用中。向导将为

39、此域建议一个NetBIOS名字。接受缺省的或者键入一个名字，再单击“下一步”按钮。键入用户名字、密码和域帐号，以标明对父域的管理权限，再单击“下一步”按钮。以相同的方式完成目录林中第一个域的安装向导。当计算机重新启动后，就在新子域中创建了第一个域控制器。第4章 Internet/Intranet应用的建立(3)在目录林中增加一个树。利用活动目录安装向导也能够在现存的目录林中创建一个新树。在目录林中增加一棵树的步骤如下：使用本地的管理员帐号登录并运行活动目录安装向导。单击“下一步”按钮。选择“创建一个新的域目录树”，并单击“下一步”按钮。选择“创建新域目录树”，并单击“下一步”按钮。选择将新的域

40、目录树加入现有的目录林中，并单击“下一步”按钮。键入目录林根域的DNS全名，例如“”。第4章 Internet/Intranet应用的建立 键入新树的DNS全名，例如“”，所键入的名字不能是目录林中现存树的次一级或上一级名字。单击“下一步”按钮。向导将验证此名字是否已在使用中。向导将为此域建议一个NetBIOS名字。接受缺省的或者键入一个名字，再单击“下一步”按钮。键入用户名字、密码和域帐号，以标明对父域的管理权限，再单击“下一步”按钮。11 以相同的方式完成目录林中第一个域的安装向导。当重新启动后，该计算机即可作为新树中的第一个域控制器工作。第4章 Internet/Intranet应用的建

41、立 4)加入域在Windows 2003的目录服务中，将服务器和工作站加入到域中的方法与Windows 2000是相同的。在用户把一台运行有Windows2003计算机加入到一个域之前，必须先满足下面的条件：在用户把计算机添加到域之前或在加入过程中，要创建一个计算机帐号。要把一个计算机帐号添加到目标域中，用户必须具有这个域的管理特权。要确保网络上至少有一台DNS服务器在线可用。这台DNS服务器能够让要加入到域中的那台计算机找到目标域中的一个域控制器。在执行过程中会发生表4.2说明的两种情况中的一种。第4章 Internet/Intranet应用的建立 表表4.2 将运行将运行Windows 2

42、003的计算机加入到一个域中可能发生的情况的计算机加入到一个域中可能发生的情况第4章 Internet/Intranet应用的建立 将Windows 2003服务器或者工作站连接到域中的步骤如下：将Windows 2003服务器或者工作站连接到一个域中。单击“开始”，打开“控制面板”。双击“系统”，打开“系统属性”对话框(另外，可右击桌面上的“我的电脑”，再单击“属性”项)。在系统属性对话框中单击“计算机名”标签。在“隶属于”选择框内单击“域”选项。在“域”选项下的编辑框中，键入需连接的域的DNS全名，例如“”。单击“确定”按钮。第4章 Internet/Intranet应用的建立 键入有足够

43、的权限将计算机加入到域中的域帐号的名字和密码。单击“确定”按钮以提交信任。单击“是”按钮，重启动计算机。当机器重启动后，该计算机就加入到所指定的域中。4.1.3 利用活动目录管理对象利用活动目录管理对象1.活动目录对象活动目录对象在前面的章节中我们已经介绍过，活动目录中可以包含用户、计算机等各种网络对象。这些对象根据它们的创建时机分为两类：一类是在活动目录安装过程中被自动创建的对象；另一类是通过使用活动目录管理工具创建的对象。表4.3描述了在活动目录安装过程中被自动创建的对象。第4章 Internet/Intranet应用的建立 表表4.3 在活动目录安装过程中被自动创建的对象在活动目录安装过

44、程中被自动创建的对象第4章 Internet/Intranet应用的建立 通过使用活动目录管理工具能在活动目录中创建表4.4中的对象。表表4.4 利用活动目录管理工具创建的对象利用活动目录管理工具创建的对象第4章 Internet/Intranet应用的建立 2.活动目录管理器活动目录管理器在Windows 2003中，活动目录管理器被称为“Active Directory用户和计算机”，它是一种Microsoft管理控制台的插件，可以从它自己的控制台启动。它可以满足用户和计算机的日常管理需要，其功能包括在组织单元和组内添加、删除及移动用户帐号和计算机帐号。还可用“Active Directo

45、ry用户和计算机”修改目录对象的属性，诸如用户与计算机帐号、组、组织单位及共享网络资源的安全属性。第4章 Internet/Intranet应用的建立 启动活动目录管理器的方法是：(1)作为管理员登录。如果登录时使用的帐号不具有管理权限，可能无法管理活动目录。(2)启动“Active Directory用户和计算机”插件。对此活动目录管理器插件的启动，有以下几种方法：从活动目录树管理器插件中调用活动目录管理器。从管理工具菜单中启动插件。单击“开始”按钮，指向“程序”，然后单击“管理工具”，再单击“Active Directory用户和计算机”以启动插件。第4章 Internet/Intrane

46、t应用的建立 3.管理活动目录对象管理活动目录对象1)创建活动目录对象当给网络添加新资源时，例如用户帐号、组或打印机等，用户即创建代表了资源的新的活动目录对象。要创建新对象，用户必须具有响应的权限。在默认情况下，Administrators组的成员具有在域中任意位置添加对象的权限。当用户创建对象时：(1)用户所使用的规划、向导或插件的规则限制了用户能够创建的对象。(2)不是所有的属性都可以被定义。如果要对所有属性全部进行定义，用户必须先创建，然后再对对象进行修改。第4章 Internet/Intranet应用的建立 创建活动目录对象的步骤如下：(1)打开“ActiveDirectory用户和计

47、算机”插件。(2)在控制台目录树中右击要在其中创建对象的域或组织单元，并指向“新建”项，出现Action菜单。(3)在Action菜单中选择要创建的对象并单击。第4章 Internet/Intranet应用的建立 2)定位活动目录对象活动目录的对象可以利用“Active Directory用户和计算机”定位。定位活动目录对象的步骤如下：(1)打开“ActiveDirectory用户和计算机”插件。(2)在控制台目录树中右击要在其中定位对象的域或组织单元，然后单击“查找”按钮，出现查找对象的对话框。(3)在查找对象的对话框中输入要查找的用户、联系人或组。查找对话框提供了一些选项，可以搜索全局目录

48、表，定位用户帐号、组和联系人，如表4.5所示。可以使用属性来查找对象，但前提是必须先定义了这些属性。第4章 Internet/Intranet应用的建立 表表4.5 查找对话框中的选项查找对话框中的选项第4章 Internet/Intranet应用的建立 3)移动对象在活动目录中，用户可以将对象从一个组织单元移到另一个组织单元中，这种移动一般是发生在组织单元的成员需要调整时。例如，当一个雇员从一个部门调到另一个部门时，就需要将对象从一个位置移动到另一个位置。在组织单元之间移动对象时，以下条件将会起作用：(1)直接指定给那个对象的权限将保持不变。(2)对象将从新的组织单元继承权限。从以前那个组织

49、单元中继承来的权限将不再起作用。第4章 Internet/Intranet应用的建立(3)可以同时移动多个对象。移动对象的方法是：在“Active Directory用户和计算机”中选择要移动的对象，然后在Action菜单上单击“移动”按钮。并在移动对话框中选择要将对象移动到的目的组织单元。为了简化给打印机指定权限的工作，可以将位于不同打印机服务器上而又需要相同权限的打印机都移动到一个组织单元中来。打印机放在打印机服务器的computer对象中。要查看打印机，可单击“ActiveDirectory用户和计算机”插件主窗口中的“查看”菜单，然后单击“Users、Groups和computers作

50、为容器”。第4章 Internet/Intranet应用的建立 4)控制对象访问Windows 2003使用基于对象的安全模型来实现对所有活动目录对象的访问控制。每个活动目录对象都有一个安全描述信息，它定义了哪些人有权访问这个对象，以及允许进行哪些类型的访问。Windows 2003使用这些安全描述信息来控制对对象的访问。为了降低管理开销，你可以把具有相同安全要求的对象分组放置到一个组织单元之中。然后，给这个组织单元及其所容纳的所有对象指定权限就可以了。活动目录权限为资源提供了安全保护，它控制了对象或属性的访问人员以及访问类型。第4章 Internet/Intranet应用的建立(1)活动目录