实验一 组建域模式局域网

组建域模式局域网0. 背景知识介绍0.1 活动目录的作用活动目录是Windows 2000网络体系结构中一个基本且不可分割的部分。它在Windows NT 4.0操作系统的域结构基础上改进而成，并提

组建域模式局域网

0. 背景知识介绍

0.1 活动目录的作用

活动目录是Windows 2000网络体系结构中一个基本且不可分割的部分。它在Windows NT 4.0操作系统的域结构基础上改进而成，并提供了一套为分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。

活动目录提供了对基于Windows 的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows 的应用程序和与Windows 相兼容的设备对非Windows 系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet 上。活动目录因此使现有网络投资升值，同时，降低为使Windows 网络操作系统更易于管理、更安全、更易于交互所需的全部费用。

总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。

0.2 活动目录的特点

活动目录是从一个数据存储开始的。它采用的是Exchange Server的数据存储，称为：Extensible Storage Service （ESS ）。其特点是不需要事先定义数据库的参数，可以做到动态地增长，性能非常优良。这个数据存储之上已建立索引的，可以方便快速地搜索和定位。活动目录的分区是" 域（Domain ）" ，一个域可以存储上百万的对象。域之间还有层次关系，可以建立域树和域森林，无限地扩展。

在数据存储之上，微软建立了一个对象模型，以构成活动目录。这一对象模型对轻型目录访问协议 (Lightweight Directory Access Protocal, LDAP)有纯粹的支持，还可以管理和修改Schema 。Schema 包括了在活动目录中的计算机、用户和打印机等所有对象的定义，其本身也是活动目录的内容之一，在整个域森林中是唯一的。通过修改Schema 的工具，用户或开发人员可以自己定义特殊的类和属性，来创建所需要的对象和对象属性。

活动目录包括两个方面：一个目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器；而目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一个分布式的目录服务。信息可以分散在多台不同的计算机上，保证快速访问和容错；同时不管用户从何处访问或信息处在何处，都对用户提供统一的视图。

在活动目录中，目录存储只有一种形式，即域控制器（Domain Controller），包括了完整的域目录的信息，不再有主域控制器和备份域控制器的区别。所有的域控制器在用户访问和提供服务方面都是相同的。它们之间的同步是采用了一种先进的多主复制的技术，称为Update Sequence Numbers (USN)。每个服务器跟踪其复制伙伴的最新USN 列表，保证及时更新并且更新不会有冲突或相互覆盖等。

Windows 2000的安全性服务（如Kerberos ，PKI 和智能卡等）和活动目录紧密结合。活动目录存储了域安全政策的信息，比如域口令的限制政策、系统访问权限等，实施了基于对象的安全模型和访问控制机制。在活动目录中的每个对象都有一个独有的安全性描述，定义了浏览或更新对象属性所需要的访问权限。但是，当LDAP 客户端访问活动目录时，操作系统会实施访问安全控制，而不是由活动目录来决定访问控制的。Windows 2000 安全性和活动目录相辅相成，可以共同完成任务和协同管理。

另外，活动目录还充分地考虑到了备份和恢复目录服务的需要。Windows 2000备份工具中有专门备份活动目录的选项，在出现意外事故的时候，可以在机器启动时按F8进入安全模式，来进行目录服务的恢复，保证减少灾难的恶性影响。

在活动目录安装之后，主要有三个活动目录的微软管理界面（MMC ），一个是活动目录用户和计算机管理，主要用于实施对域的管理；一个是活动目录的域和域信任关系的管理，主要用于管理多域的关系；还有一个是活动目录的站点管理，可以把域控制器置于不同的站点。一般局域网的范围内，为一个站点，站点内的域控制器之间的复制是自动进行的；站点间的域控制器之间的复制，需要管理员设定，以优化复制流量，提高可伸缩性。从活动目录管理界面，还可以对SDOU(站点、域和组织单元的统称) 右键点击，启动组策略（Group Policy ）的管理界面，实施对对象的细致管理。

1. 实验目的

⑴了解活动目录的概念和作用

⑵掌握域名解析的过程

⑶学会安装活动目录服务与配置DNS 服务器

2．实验内容

⑴两个同学为一小组，将其中一台计算机作为域控制器，建立一个以自己名字命名的域，向该域添加一个名字为ABC 的用户，使用该用户名登陆你刚才创建的域。

⑵将小组内的另一台计算机作为客户机加入刚才创建的域。在域控制器中打开Computers 容器，观察有客户机加入域前后的变化。

⑶打开Computers 容器，管理已经存在的计算机，对计算机设置“停用帐户”，然后在被停用的计算机上使用一个域用户登录，观察结果是否能够登录。重新启用该计算机后，通过活动目录对该计算机进行管理，查看其磁盘分区情况等。

⑷右击某一用户帐户，选择属性，点击账户页签，可看到登录时间和登录到两个按钮，点击可以设置登录时间和登录的计算机，请设置设置某一用户只能在规定时间：周一至周五的上午8点～下午4点内登录。

⑸设置某一用户只能在规定的计算机上登录。并在客户机上验证。

3. 实验步骤

3.1 实验内容1

⑴选择“开始”→“运行”，输入：dcpromo ，启动活动目录安装向导，如图1-1,1-2

，所示：

图1-1

图2-2

⑵单击“下一步” 按钮，直至出现“域控制器类型”页面，如图1-3所示。选择新域的域控制器。

图1-3

⑶单击“下一步”按钮，选择新林中的域，如图1-4所示：

图1-4

⑷单击“下一步”按钮，输入以你的名字命名的新域的名称，如：“zhongyy.com ”，如图1-5所示：

图1-5

⑸单击“下一步”，使用默认的NetBIOS 名称；

⑹单击“下一步”，指定数据库和日志文件存放的文件夹，如“E:WINDOWSNTDS”。注意：数据库和日志文件最好存放在不同的硬盘上。

⑺单击“下一步”，指定作为系统卷的共享的文件夹，例如：“E:WINDOWSSYSVOL”，。注意：指定的文件夹必须在硬盘的NTFS 分区。

⑻单击“下一步”，出现“DNS 诊断页面”，如图1-6所示。选择“在这台计算机上安装并配置DNS 服务器，并将这台DNS 服务器设卫这台计算机的首选DNS 服务器(S)。”

图1-6

⑼一直单击“下一步”，直至出现“摘要”页面，如图1-7所示。仔细阅读“摘要”，确定所有设置正确无误

图1-7

⑽单击“下一步”，开始安装活动目录；当系统提示需要安装文件时，指定安装文件的位置为“2.168.1.100win200I386”, 如图1-8所示：

图1-8

⑾安装完成后重新启动计算机，使设置生效。

⑿“开始”→“设置”→“控制面板” →“管理工具” →“Active 用户和计算机”，打开“Active 用户和计算机”控制台，如图1-9所示：

图1-9

⒀展开“zhongyy.com ”节点，右键单击“Users ”容器，在弹出的快捷菜单中选择“新建” →“用户”，打开新建用户窗口，填入用户登陆名“ABC ”, 姓“ZHONG ”, 名“YY ”，如图1-10所示

图1-10

⒁单击“下一步”，输入登录密码，再单击“下一步”，完成用户“ABC ”的添加。

⒂“开始”→“设置”→“控制面板” →“管理工具” →“域控制器安全策略”，打开“域控制器安全策略”控制台，如图1-11所示：

图1-11

⒃依次展开“安全设置” →“本地策略”节点，单击“用户权利指派”，打开控制台，开始编辑本地策略，如图1-12所示：

图1－12

⒄找到“允许在本地登陆选项”，双击之，打开如图1-13所示的页面

图1-13

⒅单击“添加用户或组”按钮，添加用户“ZHONGYY�C”，如图1-14所示：

图1-14

⒆单击“确定”按钮完成用户添加。“开始” →“关机” →“注销Administrator ”，使用帐户“ABC ”登陆。

⒇将客户机加入域：首先更改客户机的DNS 服务器为域控制的IP 地址，然后在客户机桌面上右击“我的电脑”选“属性”，点击“网络标识”选项卡，点击“属性”按钮，点击“隶属于”单选按钮，输入隶属于的域，如，想作为zhongyy.com 的客户机，可输入zhongyy, 等待片刻，会出现输入用户名和密码对话框，输入在域控制器上建立的用户账户和相应的密码，或输入域控制上的管理员administrator 账户，其初始密码为空。等待片刻，会出现欢迎加入XXX 域对话框。重起计算机

3.2 实验内容2

⑴“开始”→“设置”→“控制面板” →“管理工具” →“DNS ”，打开DNS 控制台，单击DNS 服务器，展开该节点，再展开“正向查找区域”节点，如图1-15所示：