域与活动目录

本单元要点： 域、域树和域林 活动目录 安装域控制器 活动目录的管理

12.1 域、域树和域林

工作组（Work Group）就是将不同的电脑按功能分别列入不同的组中，以方便管理。工作组名并没有太多的实际意义，只是在“网上邻居”的列表中实现一个分组而已。 “工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网上计算机共享资源的浏览。

在主从式网络中，资源集中存放在一台或者几台服务器上，如果仅仅只有一台服务器，问题就很简单，在服务器上为每一位员工建立一个账户即可，用户只需登录该服务器就可以使用服务器中的资源。然而如果资源分布在多台服务器上呢？如图所示12-1所示，要在每台服务器分别为每一员工建立一个账户（共M×N个），用户需要在每台服务器上（共M台）登录，感觉又回到了对等网的模式。

图12-1

域（Domain）是一个安全的边界，也可以理解为服务器控制网络上的计算机能否加入的计算机组合。

在使用了域之后，如图12-2所示，服务器和用户的计算机都在同一域中，用户在域中只要拥有一个账户，用账户登录后即取得一个身份，有了该身份便可以在域中漫游，访问域中任一台服务器上的资源。

图12-2

在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”，它包含

了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

随着网络的不断发展，有的企业的网络大的惊人，当网络有十万个用户甚至更多时，域控制器存放的用户数据量很大，更为关键的是如果用户频繁登录，域控制器可能因此不堪重负。在实际的应用中，我们在网络中划分多个域，每个域的规模控制在一定的范围内，同时也是出于管理上的要求，将大的网络划分成小的网络，每个小的网络管理员管理自己所属的账户，如图12-3所示。

图12-3

为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A的用户想要访问B域中的资源，让域B信任域A就行了。信任关系分为单向和双向，如图12-4所示。图中①是单向的信任关系，箭头指向被信任的域，即域A信任域B，域A称为信任域，域B被称为被信任域，因此域B的用户可以访问域A中的资源。图中②是双向的信任关系，域A信任域B的同时域B也信任域A，因此域A的用户可以访问域B的资源，反之亦然。

图12-4

微软的网络操作系统是考虑在大型企业构建网络和扩展网络的需要而设计的。在一个企业中可能会有分布在全世界的分公司等，分公司下又有各个部门存在，资源的访问常常可能跨过许多域。在Windows NT 4.0时，域和域之间的信任关系是不可传递的，如果要实现多个域中的用户可以跨域访问资源，必须创建多个双向信任关系：n×(n-1)/2，如图12-5所示。

图12-5

12.1 域、域树和域林

从Windows 2000 Server起，域树（Domain Tree）开始出现，如图12-6所示。域树中的域以树的出现，最上层的域名为abc.com，是这个域树的根域，根域下有两个子域：

asia.abc.com和europe.abc.com, 子域下又有自己的子域。在域树中，父域和子域的信任关系是双向可传递的，因此域树中的一个域隐含地信任域树中所有的域。图12-6有七个域，所有域相互信任，也只需要六个信任关系，远比图12-5中所示的7×（7－1）/2=21个信任关系要少得多。

图12-6

域和DNS域的关系非常密切，因为域中的计算机使用DNS来定位域控制器和服务器以及其它计算机、网络服务等，实际上域的名字就是DNS域的名字。在图12-6中，企业向Internet组织申请了一个DNS域名abc.com，所以根域就采用了该名。然而，企业可能同时拥有abc.com和abc.net两个域名，如果某个域用abc.net作为域名，abc.net将无法挂在abc.com域树中，这个时候只能单独创建另一个域树，如图12-7所示，新的域树根域为abc.net，这两个域树共同构成了域林（Domain Forest）。

图12-7

12.2 活动目录 12.2.1 活动目录结构

活动目录（Active Directory）是一种目录服务，它存储有关网络对象（如用户、组、计算机、共享资源、打印机和联系人等）的信息，并将结构化数据存储作为目录信息逻辑和分层组织的基础，使管理员比较方便地查找并使用这些网络信息。

活动目录是在Windows 2000 Server就推出的新技术，它最大的突破性和成功之一也就在于它全新引入了活动目录服务，使 Windows 2000 Server与Internet上的各项服务和协议更加联系紧密。通过在Windows 2000 Server的基础上进一步扩展，Windows Server 2003提高了活动目录的多功能性、可管理性及可靠性。

活动目录结构主要是指网络中所有用户、计算机以及其他网络资源的层次关系，就像是一个大型仓库中分出若干个小的储藏间，每一个小储藏间分别用来存放不同的东西一样，通常情况下活动目录的结构可以分为逻辑结构和物理结构。

活动目录的逻辑结构：包括域、域树、域林和组织单元。

组织单元(Organizational Unit，OU)是一个容器对象，可以把域中的对象组织成逻辑组，以简化管理工作。组织单元可以包含各种对象，比如用户账户、用户组、计算机、打印机等，甚至可以包括其它的组织单元，所以可以利用组织单元把域中的对象组成一个完全逻

辑上的层次结构。对于企业来讲，可以按部门把所有的用户和设备组成一个组织单元层次结构，也可以按地理位置形成层次结构，还可以按功能和权限分成多个组织层次结构。

活动目录的物理结构与逻辑结构有很大不同，它们是彼此的两个概念。逻辑结构侧重于网络资源的管理，而物理结构则侧重于网络的配置和优化。活动目录的物理结构，主要着眼于活动目录信息的复制和用户登录网络时的性能优化。物理结构的两个重要概念是站点和域控制器。

站点由一个或多个IP子网组成，这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定，可以依据站点结构配置活动目录的访问和复制拓扑关系，这样能使得网络更有效地连接，并且可使复制策略更合理，用户登录更快速。活动目录中的站点与域是两个完全的概念，一个站点中可以有多个域，多个站点也可以位于同一域中。

域控制器是指运行Windows Server 2003的服务器，它保存了活动目录信息的副本。域控 制器管理目录信息的变化，并把这些变化复制到同一个域中的其它域控制器上，使各域控制器上的目录信息同步。域控制器也负责用户的登录过程以及其它与域有关的操作，比如身份鉴定、目录信息查找等。

活动目录支持多主机复制方案，然而由于复制引起的通信流量以及网络潜在的冲突，变化的传播并不一定能够顺利进行，因此有必要在域控制器中指定全局目录服务器以及操作主机。

全局目录是一个信息仓库，包含活动目录中所有对象的一部分属性，往往是在查 询过程中访问最为频繁的属性。利用这些信息，可以定位到任何一个对象实际所在的位置。

12.3 活动目录的设置 12.3.1 安装活动目录前的准备

文件系统和网络协议：活动目录必须安装在NTFS分区，因此Windows Server 2003所

在的分区必须是NTFS文件系统，同时计算机上要正确安装了网卡驱动程序，并启用了TCP/IP协议。

域结构规划：活动目录可包含多个域，只有合理地规划目录结构，才能充分发挥活动目录的优越性。选择根域最为关键，根域名字的选择可以有以下几种方案：

 使用一个已经注册的DNS域名作为活动目的根域名，使得企业的公共网络和私有网

络使用同样的DNS名字。

 使用一个已经注册的DNS域名的子域名作为活动目录的根域名。

 活动目录使用与已经注册的DNS域名完全不同的域名，使企业网络在内部和互联网

上呈现出两种完全不同的命名结构。

域名策划：目录域名通常是该域的完整DNS名称，如“abc.net”。同时，为了确保向下兼容，每个域还应当有一个与Windows 2000 Server以前版本相兼容的名称，如“abc”。

注意：在TCP/IP网络中，DNS是用来解决计算机名字和IP地址的映射关系的。活动目录和DNS密不可分，它使用DNS服务器来登记域控制器的IP、各种资源的定位等，因此在一个域林中至少要有一个DNS服务器存在。Windows Server 2003中的域也是采用DNS的格式来命名的。

图12-8

为了说明的方便，以图12-8中的拓扑为样本，该拓扑的域林有两个域树：cninfo.com和information.com，其中cninfo.com域树下有hb.cninfo.com子域，在cninfo.com域中有两个域控制器；因hb.cninfo.com域中除了一个域控制器外，还有一个成员服务器。

12.3.2 安装活动目录

用户要将自己的服务器配置成域控制器，应该首先安装活动目录，以发挥活动目录的作用。安装活动目录具体步骤如下：

1）首先确认“本地连接”属性TCP/IP首选DNS是否指向了本机（本例为192.168.1.7），然后在“管理您的服务器”窗口中，单击“添加或删除角色”超级链接，启动“配置您的服务器向导”，单击“下一步”按钮检测所有的设备、操作系统，并搜索网络连接。搜索完成，弹出 “配置选项”窗口，选择“自定义配置”单选按钮。

2）单击“下一步”按钮，弹出 “服务器角色”窗口，在“服务器角色”列表框中列出了所有可以安装的服务器，选择“域控制器”选项，将该计算机设置为域控制器，并同时安装活动目录。

3）单击“下一步”按钮，显示“选择总结”窗口，此处说明将“运行Active Directory安装向导来将此服务器设置成域服务器”，直接单击“下一步”按钮，启动 “Active Directory安装向导”窗口。

4）单击“下一步”按钮，弹出 “操作系统兼容性”窗口，此处对安装活动目录以后的情况进行了简单说明。

5）单击“下一步”按钮，弹出 “域控制器类型”窗口，选择此服务器要担任的角色。如果当前服务器未曾安装过Active Directory，并且要保留这个服务器上的所有账户，则建议选择“新域的域控制器”选项。

注意：域控制器类似于网络“看门人”，用于管理所有的网络访问，包括登录服务器、

访问共享目录和资源。域控制器存储了所有的域范围内的账户和策略信息，包括安全策略、用户身份验证信息和账户信息。在网络中，可以有多台计算机配置为域控制器，以分担用户的登录和访问。多个域控制器可以一起工作，自动备份用户账户和活动目录数据，即使部分域控制器瘫痪后，网络访问仍然不受影响，提高网络安全性和稳定性。

6）选择“新域的域控制器”选项后，单击“下一步”按钮，弹出 “创建一个新域”窗口。如果以前曾在该服务器上安装过Active Directory，可以选择“在现有的域树中的子域”或“在现有的林中的域树”选项；如果是第一次安装，则建议选择“在新林中的域”选项。

7）选择“在新林中的域”选项后，单击“下一步”按钮，弹出 “新的域名”窗口，在“新域的DNS全名”文本框中输入该服务器的DNS全名：“cninfo.com”。如果尚未申请正式域名，也应当输入拟申请的域名。

注意：此处的域名一定要与网络DNS服务的域名相对应。

8）单击“下一步”按钮，弹出“NetBIOS域名”窗口，在“域NetBIOS名”文本框中，显示该服务器的新域的NetBIOS名称。NetBIOS名称的意义在于，让其它早期Windows版本的用户可以识别新域。

9）单击“下一步”按钮，弹出 “数据库和日志文件文件夹”窗口，Active Directory数据库默认位于系统盘Windows文件夹下，也可以单击“浏览”按钮更改为其它路径，建议不作更改。其中，数据库文件夹用来存储互动目录数据库，而日志文件夹用来存储活动目录的变化日志，以便于日常管理和维护。

注意：如果当前计算机上安装有多个硬盘，最好将存户活动目录数据库的文件夹与活动目录日志文件夹，分别指定在不同的硬盘内，一方面可以提高响应速率，另一方面也便于故障后的紧急恢复。

10）单击“下一步”按钮，弹出 “共享的系统卷”窗口，用来指定作为系统卷共享的SYSVOL文件夹的位置，该文件夹必须在NTFS格式的分区中，默认为系统盘Windows文件夹下，建议不作修改。

11）单击“下一步”按钮，弹出 “DNS注册诊断”窗口，系统会对该服务器进行DNS诊断测试，并显示出诊断结果，直接选择第2个单选项即可，如果出现其它提示信息，也可以另外选择合适的选项。

12）单击“下一步”按钮，弹出 “权限”窗口，选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”选项。

13）单击“下一步”按钮，弹出“目录服务还原模式的管理员密码”窗口。目录还原时不在Windows状态下，而是在“目录服务还原模式”状态下，需要输入单独的密码才能进入。该密码和管理员密码可能不同，所以管理员一定要牢记该密码。在“还原框密码”和“确认密码”文本框中分别输入相同的密码，密码可以为空。

14）单击“下一步”按钮，弹出 “摘要”窗口，列出前面所有的配置信息，如果觉得哪些配置有错误，可以单击“上一步”按钮返回检查并修改。

15）如果确认无须更改，可以单击“下一步”按钮开始安装。这个过程几分钟或更长的时间，所以要耐心等待，完成后会提示如图12-9所示窗口，表示至此活动目录安装成功。

图12-9

活动目录安装之后，必须重新启动计算机，活动目录才会有效。要删除活动目录，打开“开始”菜单，选择“运行”命令，打开“运行”对话框，输入dcpromo命令，然后单击“确定”按钮，打开“Active Directory安装向导”对话框，并按着向导的步骤进行删除，这里不再细述其过程。

12.3.3 成员服务器和服务器

Windows Server 2003服务器在域中可以有三种角色：域控制器、成员服务器和服务器。

当一台Windows Server 2003成员服务器安装了活动目录后，服务器就成为域控制器，域控制器可以对用户的登录等进行验证；

当Windows Server 2003成员服务器可以仅加入到域中，而不安装活动目录，这时服务器的主要目的是为了提供网络资源，这样的服务器称为成员服务器，也可以称为现有域中的附加域控制器；

服务器和域没有什么关系，如果服务器不加入到域中也不安装活动目录，就称为服务器。

服务器三个角色可以发生改变：例如删除活动目录，使服务器成为成员服务器还是服务器，取决于该服务器的域控制器类型。如果要删除活动目录的服务器，不是域中唯一的域控制器，则删除活动目录将使该服务器成为成员服务器；如果要删除活动目录的服务器，是域中最后一个域控制器，则删除活动目录使该服务器成为服务器。同时服务器也可以提升为成员服务器。

注意：在活动目录安装之后，不但服务器的开机和关机时间变长，而且系统的执行速度也变慢，所以如果用户对某个服务器没有特别要求或不把它作为域控制器来使用，可将该服务器上的活动目录删除，使其降级成为成员服务器或服务器。

12.3.4 创建子域

使用具有充分权限的用户账户登录域控制器：被提升为子域的计算机必须是已加入域的成员，并且以Active Directory中Domain Admins组或Enterprise Admins组的用户账户登录到域控制器，否则将会被提示无权提升域控制器。

操作系统版本的兼容性：被提升为子域控制器的计算机必须安装Windows Server 2003(Windows Server 2003 Web Edition除外)或Windows 2000 Server操作系统。

正确配置DNS服务器：必须将当前计算机的DNS服务器指向主域控制器，并且保证域控制器的DNS已经被正确配置，否则将会被提示无法联系到Active Directory域控制器。

域名长度：Active Directory域名最多包含个字符或155个字节。 创建子域的过程和创建主域控制器的过程基本相似，现将操作步骤提示如下： 1）启动“Active Directory安装向导”，按照上述“安装活动目录”的方法进行至“创建一个新域”窗口时，选择“在现有域树中的子域”单选项。

2）单击“下一步”按钮，弹出“网络凭据”窗口，输入登录到域控制器的用户名和密码，“域”文本框中会默认显示当前主域控制器的完整域名，如图12-10所示。

图12-10

3）单击“下一步”按钮，弹出“子域安装”窗口，“父域”文本框中将自动显示当前

域控制器的DNS全名，在“子域”文本框中输入子域名称，如hb等，如图12-11所示。

图12-11

4）单击“下一步”按钮，弹出所示“NetBIOS域名”窗口，要求指定子域的NetBIOS名称。建成后的子域虽然仍要接受来自父域的管理，但是它已经是一台全新的域控制器，其下所有的用户均可直接登录到该域控制器。

5）接下来的操作和全新域控制器的安装完全相同，按照向导连续单击“下一步”按钮，直至弹出“摘要”窗口，此时会发现新的域名中包含父域的域名。单击“上一步”按钮即可返回重新设置。

6）单击“下一步”按钮即可开始安装子域，同样需要几分钟或者更长的时间，并且安装完成后需要重新启动计算机。

注意：重新启动计算机将会使用安装子域时设定的密码登录到子域。依次单击“开始”→“管理工具”→“ActiveDirectory域和信任关系”后，需要展开“cninfo.com”，方可显示该子域。

12.4 活动目录的管理 12.4.1 活动目录用户和计算机

活动用户和计算机的管理具体操作步骤如下：

1）单击“开始”→“管理工具”→“Active Directory用户和计算机”菜单项，可以打开“Active Directory用户和计算机”窗口。

2）在窗口的左部，选择“Computers”，可以显示当前域中的计算机，即成员服务器和工作站，如图12-12所示，因为此域是新域，所以无成员服务器和工作站。

图12-12

3）在窗口的左部，选择“Domain Controllers”，可以显示当前域中的域控制器，如图12-13所示。

12-13

4）在窗口的左部，选择“Users”或“Builtin”，可以显示域中的用户或组等情况，有关用户和组的内容详见本书的后面章节。

5）组织单元可以用来逻辑地组织用户、组、计算机等，反映了企业行政管理的实际框架，创建的方法为：在图12-32窗口左部的域树中，选中informatio.com，右击，选择“新建”→“组织单位”命令，在“新建对象—组织单位”对话框中，输入组织单元名称，单击“确定”按钮即可。

12.4.2 创建信任关系

信任关系是两个域控制器之间实现资源互访的重要前提，任何一个域被加入到域目录树后，这个域都会自动信任父域，同时父域也会自动信任这个新域，而且这些信任关系具备双向传递性。由于这个信任关系的功能是通过所谓的Kerberos安全协议完成的，因此有时也被称为Kerberos信任。

当网络中有多个不同的域，想要让每个用户都可以自由访问网络中的每台服务器（不管用户是否属于这个域）时，域之间需要创建信任关系。在前面的章节中，我们已创建了一个是cninfo.com域，主域计算机名为ycserver，TCP/IP地址为：192.168.1.7，现在我们再创建一个ycdata.com域，主域计算机名为ycserver-02，TCP/IP地址为：192.168.1.6。下面我们就以这两个域为例，介绍信任关系的创建。创建信任关系时，在ycserver-02计算机上进行操作，具体的操作步骤为：

1）单击“开始”→“管理工具”→“Active Directory域和信任关系”，从主窗口中右击ycdata.com域名，从现出的菜单中选择“属性”，打开“域属性”窗口，接着单击“信任”标签，打开如图12-14所示的“信任”选项卡。由于当前域尚未与其它任何域建立信任关系，所以此时列表为空。

图12-14

2）单击“新建信任”按钮，打开“新建信任向导”，单击“下一步”按钮，弹出 “信任名称”窗口，在“名称”文本框中输入要与之建立信任关系的NetBIOS名称或者DNS名称，这里为“cninfo.com”。

3）单击“下一步”按钮，弹出“信任方向”对话框，选择信任关系的方向，可以是“双向”、“单向：内传”、“单向：外传”。双向的信任关系实际上是由两个单向的信任关系组成的，因此也可以通过分别建立两个单向的信任关系来建立双向信任有关系。这里为了方便，选择“双向”单选按钮，单击“下一步”按钮。

4）如图12-15所示，由于信任关系要在一方建立传入，在另一方建立传出，为了方便，选择“这个域和指定的域”单选按钮，同时创建传入和传出信任，单击“下一步”按钮，否则必须在cninfo.com域上重复以上的步骤。

图12-15

5）在对话框中输入cninfo.com域中管理员的账户和密码，单击“下一步”按钮。 6）选择“是，确认传出信任”按钮，即确认ycdata.com域信任cninfo.com域，单击“下一步”按钮。

7）选择“是，确认传入”按钮，即确认cninfo.com域信任ycdata.com域，单击“下一步”按钮，信任关系成功创建，如图12-42所示，此时在“受此域信任的域”和“信任此域的域”列表框中均可看到刚才创建的信任关系。