域与活动目录

单元十二 域与活动目录本单元要点：域、域树和域林活动目录安装域控制器活动目录的管理12.1 域、域树和域林工作组（Work Group ）就是将不同的电脑按功能分别列入不同的组中，以方便管理。工作组名

单元十二 域与活动目录

本单元要点：

域、域树和域林

活动目录

安装域控制器

活动目录的管理

12.1 域、域树和域林

工作组（Work Group ）就是将不同的电脑按功能分别列入不同的组中，以方便管理。工作组名并没有太多的实际意义，只是在“网上邻居”的列表中实现一个分组而已。 “工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网上计算机共享资源的浏览。

在主从式网络中，资源集中存放在一台或者几台服务器上，如果仅仅只有一台服务器，问题就很简单，在服务器上为每一位员工建立一个账户即可，用户只需登录该服务器就可以使用服务器中的资源。然而如果资源分布在多台服务器上呢？如图所示12-1所示，要在每台服务器分别为每一员工建立一个账户（共M ×N 个），用户需要在每台服务器上（共M 台）登录，感觉又回到了对等网的模式。

图12-1

域（Domain ）是一个安全的边界，也可以理解为服务器控制网络上的计算机能否加入的计算机组合。

在使用了域之后，如图12-2所示，服务器和用户的计算机都在同一域中，用户在域中只要拥有一个账户，用账户登录后即取得一个身份，有了该身份便可以在域中漫游，访问域中任一台服务器上的资源。

图12-2

在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller ，简写为DC

）”，它包含

了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

随着网络的不断发展，有的企业的网络大的惊人，当网络有十万个用户甚至更多时，域控制器存放的用户数据量很大，更为关键的是如果用户频繁登录，域控制器可能因此不堪重负。在实际的应用中，我们在网络中划分多个域，每个域的规模控制在一定的范围内，同时也是出于管理上的要求，将大的网络划分成小的网络，每个小的网络管理员管理自己所属的账户，如图12-3所示。

图12-3

为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A 的用户想要访问B 域中的资源，让域B 信任域A 就行了。信任关系分为单向和双向，如图12-4所示。图中①是单向的信任关系，箭头指向被信任的域，即域A 信任域B ，域A 称为信任域，域B 被称为被信任域，因此域B 的用户可以访问域A 中的资源。图中②是双向的信任关系，域A 信任域B 的同时域B 也信任域A ，因此域A 的用户可以访问域B 的资源，反之亦然。

图12-4

微软的网络操作系统是考虑在大型企业构建网络和扩展网络的需要而设计的。在一个企业中可能会有分布在全世界的分公司等，分公司下又有各个部门存在，资源的访问常常可能跨过许多域。在Windows NT 4.0时，域和域之间的信任关系是不可传递的，如果要实现多个域中的用户可以跨域访问资源，必须创建多个双向信任关系：n ×(n-1)/2，如图12-5所示。

图12-5

12.1 域、域树和域林

从Windows 2000 Server 起，域树（Domain Tree ）开始出现，如图12-6所示。域树中的域以树的出现，最上层的域名为abc.com

，是这个域树的根域，根域下有两个子域：

asia.abc.com 和europe.abc.com, 子域下又有自己的子域。在域树中，父域和子域的信任关系是双向可传递的，因此域树中的一个域隐含地信任域树中所有的域。图12-6中共有七个域，所有域相互信任，也只需要六个信任关系，远比图12-5中所示的7×（7－1）/2=21个信任关系要少得多。

图12-6

域和DNS 域的关系非常密切，因为域中的计算机使用DNS 来定位域控制器和服务器以及其它计算机、网络服务等，实际上域的名字就是DNS 域的名字。在图12-6中，企业向Internet 组织申请了一个DNS 域名abc.com ，所以根域就采用了该名。然而，企业可能同时拥有abc.com 和abc.net 两个域名，如果某个域用abc.net 作为域名，abc.net 将无法挂在abc.com 域树中，这个时候只能单独创建另一个域树，如图12-7所示，新的域树根域为abc.net ，这两个域树共同构成了域林（Domain Forest）。

图12-7

12.2 活动目录

12.2.1 活动目录结构

活动目录（Active Directory）是一种目录服务，它存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息，并将结构化数据存储作为目录信息逻辑和分层组织的基础，使管理员比较方便地查找并使用这些网络信息。

活动目录是在Windows 2000 Server 就推出的新技术，它最大的突破性和成功之一也就在于它全新引入了活动目录服务，使 Windows 2000 Server与Internet 上的各项服务和协议更加联系紧密。通过在Windows 2000 Server 的基础上进一步扩展，Windows Server 2003提高了活动目录的多功能性、可管理性及可靠性。

活动目录结构主要是指网络中所有用户、计算机以及其他网络资源的层次关系，就像是一个大型仓库中分出若干个小的储藏间，每一个小储藏间分别用来存放不同的东西一样，通常情况下活动目录的结构可以分为逻辑结构和物理结构。

活动目录的逻辑结构：包括域、域树、域林和组织单元。

组织单元(Organizational Unit，OU) 是一个容器对象，可以把域中的对象组织成逻辑组，以简化管理工作。组织单元可以包含各种对象，比如用户账户、用户组、计算机、打印机等，甚至可以包括其它的组织单元，

所以可以利用组织单元把域中的对象组成一个完全逻

辑上的层次结构。对于企业来讲，可以按部门把所有的用户和设备组成一个组织单元层次结构，也可以按地理位置形成层次结构，还可以按功能和权限分成多个组织层次结构。

活动目录的物理结构与逻辑结构有很大不同，它们是彼此独立的两个概念。逻辑结构侧重于网络资源的管理，而物理结构则侧重于网络的配置和优化。活动目录的物理结构，主要着眼于活动目录信息的复制和用户登录网络时的性能优化。物理结构的两个重要概念是站点和域控制器。

站点由一个或多个IP 子网组成，这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定，可以依据站点结构配置活动目录的访问和复制拓扑关系，这样能使得网络更有效地连接，并且可使复制策略更合理，用户登录更快速。活动目录中的站点与域是两个完全独立的概念，一个站点中可以有多个域，多个站点也可以位于同一域中。

域控制器是指运行Windows Server 2003的服务器，它保存了活动目录信息的副本。域控 制器管理目录信息的变化，并把这些变化复制到同一个域中的其它域控制器上，使各域控制器上的目录信息同步。域控制器也负责用户的登录过程以及其它与域有关的操作，比如身份鉴定、目录信息查找等。

活动目录支持多主机复制方案，然而由于复制引起的通信流量以及网络潜在的冲突，变化的传播并不一定能够顺利进行，因此有必要在域控制器中指定全局目录服务器以及操作主机。

全局目录是一个信息仓库，包含活动目录中所有对象的一部分属性，往往是在查 询过程中访问最为频繁的属性。利用这些信息，可以定位到任何一个对象实际所在的位置。

12.3 活动目录的设置

12.3.1 安装活动目录前的准备

文件系统和网络协议：活动目录必须安装在NTFS 分区，因此Windows Server 2003所

在的分区必须是NTFS 文件系统，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP协议。

域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。选择根域最为关键，根域名字的选择可以有以下几种方案：

● 使用一个已经注册的DNS 域名作为活动目的根域名，使得企业的公共网络和私有网

络使用同样的DNS 名字。

● 使用一个已经注册的DNS 域名的子域名作为活动目录的根域名。

● 活动目录使用与已经注册的DNS 域名完全不同的域名，使企业网络在内部和互联网

上呈现出两种完全不同的命名结构。

域名策划：目录域名通常是该域的完整DNS 名称，如“abc.net ”。同时，为了确保向下兼容，每个域还应当有一个与Windows 2000 Server 以前版本相兼容的名称，如“abc ”。

注意：在TCP/IP网络中，DNS 是用来解决计算机名字和IP 地址的映射关系的。活动目录和DNS 密不可分，它使用DNS 服务器来登记域控制器的IP 、各种资源的定位等，因此在一个域林中至少要有一个DNS 服务器存在。Windows Server 2003中的域也是采用DNS 的格式来命名的。

图

12-8

为了说明的方便，以图12-8中的拓扑为样本，该拓扑的域林有两个域树：cninfo.com 和information.com ，其中cninfo.com 域树下有hb.cninfo.com 子域，在cninfo.com 域中有两个域控制器；因hb.cninfo.com 域中除了一个域控制器外，还有一个成员服务器。

12.3.2 安装活动目录

用户要将自己的服务器配置成域控制器，应该首先安装活动目录，以发挥活动目录的作用。安装活动目录具体步骤如下：

1）首先确认“本地连接”属性TCP/IP首选DNS 是否指向了本机（本例为192.168.1.7），然后在“管理您的服务器”窗口中，单击“添加或删除角色”超级链接，启动“配置您的服务器向导”，单击“下一步”按钮检测所有的设备、操作系统，并搜索网络连接。搜索完成，弹出 “配置选项”窗口，选择“自定义配置”单选按钮。

2）单击“下一步”按钮，弹出 “服务器角色”窗口，在“服务器角色”列表框中列出了所有可以安装的服务器，选择“域控制器”选项，将该计算机设置为域控制器，并同时安装活动目录。

3）单击“下一步”按钮，显示“选择总结”窗口，此处说明将“运行Active Directory 安装向导来将此服务器设置成域服务器”，直接单击“下一步”按钮，启动 “Active Directory 安装向导”窗口。

4）单击“下一步”按钮，弹出 “操作系统兼容性”窗口，此处对安装活动目录以后的情况进行了简单说明。

5）单击“下一步”按钮，弹出 “域控制器类型”窗口，选择此服务器要担任的角色。如果当前服务器未曾安装过Active Directory，并且要保留这个服务器上的所有账户，则建议选择“新域的域控制器”选项。

注意：域控制器类似于网络“看门人”，用于管理所有的网络访问，包括登录服务器、

访问共享目录和资源。域控制器存储了所有的域范围内的账户和策略信息，包括安全策略、用户身份验证信息和账户信息。在网络中，可以有多台计算机配置为域控制器，以分担用户的登录和访问。多个域控制器可以一起工作，自动备份用户账户和活动目录数据，即使部分域控制器瘫痪后，网络访问仍然不受影响，提高网络安全性和稳定性。

6）选择“新域的域控制器”选项后，单击“下一步”按钮，弹出 “创建一个新域”窗口。如果以前曾在该服务器上安装过Active Directory，可以选择“在现有的域树中的子域”或“在现有的林中的域树”选项；如果是第一次安装，则建议选择“在新林中的域”选项。

7）选择“在新林中的域”选项后，单击“下一步”按钮，弹出 “新的域名”窗口，在“新域的DNS 全名”文本框中输入该服务器的DNS 全名：“cninfo.com ”。如果尚未申请正式域名，也应当输入拟申请的域名。

注意：此处的域名一定要与网络DNS 服务的域名相对应。

8）单击“下一步”按钮，弹出“NetBIOS 域名”窗口，在“域NetBIOS 名”文本框中，显示该服务器的新域的NetBIOS 名称。NetBIOS 名称的意义在于，让其它早期Windows 版本的用户可以识别新域。

9）单击“下一步”按钮，弹出 “数据库和日志文件文件夹”窗口，Active Directory 数据库默认位于系统盘Windows 文件夹下，也可以单击“浏览”按钮更改为其它路径，建议不作更改。其中，数据库文件夹用来存储互动目录数据库，而日志文件夹用来存储活动目录的变化日志，以便于日常管理和维护。

注意：如果当前计算机上安装有多个硬盘，最好将存户活动目录数据库的文件夹与活动目录日志文件夹，分别指定在不同的硬盘内，一方面可以提高响应速率，另一方面也便于故障后的紧急恢复。