第14章活動目錄和域

WindowsServer2008教程課件

電子工業(yè)出版社

課件制作人聲明本課件共18個Powerpoint文件（每章一個）。教師可根據(jù)教學(xué)要求自由修改此課件（增加或刪減內(nèi)容），但不能自行出版銷售。對于課件中出現(xiàn)的缺點和錯誤，歡迎讀者提出寶貴意見，以便及時修訂。第14章活動目錄和域14.1活動目錄介紹14.2搭建域環(huán)境14.3管理域成員14.4域和林功能級別14.1活動目錄介紹在規(guī)模較小的企業(yè)環(huán)境中，計算機可以使用工作組的形式來組織和管理。但是，如果企業(yè)的網(wǎng)絡(luò)規(guī)模較大、地理位置分散，并且網(wǎng)絡(luò)中的計算機和服務(wù)器數(shù)量較多，就需要使用域的形式來組織，以便進行集中的管理和集中的用戶身份驗證。工作組缺點工作組”對計算機的管理有如下缺點：工作組中的計算機沒有統(tǒng)一的管理機制，每臺計算機的管理員只能管理本地計算機，即只能設(shè)置本地計算機的安全策略、本地連接和共享等。工作組中的計算機也沒有對用戶帳戶的統(tǒng)一的身份驗證機制，用戶登錄計算機只能使用該計算機的本地用戶帳戶，由本地計算機來驗證用戶的身份。當訪問網(wǎng)絡(luò)上的共享資源時，則需要提供訪問網(wǎng)絡(luò)資源的憑據(jù)。用戶需要記住訪問各個服務(wù)器用的帳戶和密碼。工作組的計算機也沒有統(tǒng)一查找網(wǎng)絡(luò)資源的機制，這些網(wǎng)絡(luò)資源包括網(wǎng)絡(luò)中的共享的打印機、企業(yè)的用戶帳戶信息和共享文件夾等。域功能和特點活動目錄有以下特點集中管理，可以集中地管理企業(yè)中成千上萬分布于異地的計算機和用戶。便捷的網(wǎng)絡(luò)資源訪問，能夠很容易地定位到域中的資源。用戶一次登錄就可訪問整個網(wǎng)絡(luò)資源，即集中的身份驗證?？蓴U展性，既可以適用于幾十臺計算機的小規(guī)模網(wǎng)絡(luò)，也可以適用于跨國公司。DNS服務(wù)器在域環(huán)境中的作用DNS服務(wù)器在域環(huán)境中所起的作用如下：域名解析DNS服務(wù)器通過其A記錄將域名解析成IP地址。定位活動目錄服務(wù)客戶機通過DNS服務(wù)器上SRV記錄定位目錄服務(wù)。14.2搭建域環(huán)境域是一種層次結(jié)構(gòu)的組織形式，我們可以根據(jù)公司規(guī)模的大小，搭建合適的域環(huán)境。即，如果公司有分公司或子公司，我們可以在域的基礎(chǔ)上創(chuàng)建該域的子域，也可以在子域的基礎(chǔ)上創(chuàng)建子域的子域。同時，我們也可以將多個域進行合并，成為一個“林”，從而可以對林中的所有計算機進行統(tǒng)一管理。我們首先搭建一個單域環(huán)境，掌握活動目錄的基礎(chǔ)功能。在后續(xù)章節(jié)中，將詳細介紹子域等知識。安裝活動目錄和DNS服務(wù)安裝活動目錄后的檢查強制域控制器注冊SRV記錄SRV記錄注冊不成功的可能原因14.3管理域成員將計算機加入域時會自動在活動目錄中創(chuàng)建該計算機帳戶。不管是運行WindowsNT、Windows2000、WindowsXP或WindowsVista的計算機，還是運行WindowsServer2003、WindowsServer2008的服務(wù)器，在加入域時都會在域中創(chuàng)建一個計算機帳戶。與用戶帳戶類似，計算機帳戶對訪問網(wǎng)絡(luò)和域資源提供了一種身份驗證和審核方式。域中的每個計算機帳戶必須是唯一的。默認計算機帳戶存儲在域中computers中。當然我們可以根據(jù)需要將計算機帳戶移動到別的組織單元，也可以先在域中特定的組織單元中創(chuàng)建計算機帳戶，然后再把計算機加入到域。將計算機加入到域禁用計算機帳號將計算機退出域域環(huán)境中計算機名稱解析14.4域和林功能級別從WindowsNT到Windows2000Server、WindowsServer2003、WindowsServer2008都提供活動目錄功能，然而不同的操作系統(tǒng)運行的域提供不同功能的服務(wù)，即在域內(nèi)由不同類型的操作系統(tǒng)組合而成的域，支持不同的功能和服務(wù)，我們稱之為不同的域的功能級別。同理在林中也存在林的功能級別這個概念。例如，在WindowsServer2003的ActiveDirectory中提供了比Windows2000ServerActiveDirectory更高的功能級別，稱為Windows2003臨時模式和Windows2003模式。只有把所有的域控制器都升級到Windows2003模式，整個林才能被提升到Windows2003模式。域功能級別域功能級別只影響該域和該域的功能。WindowsServer20008域環(huán)境支持5種功能級別：Windows2000混合級別（默認）該級別下，域中的DC可以是使用Windows2000和WindowsNT的任意系統(tǒng)，即Windows2000域控制器和WindowsNT4.0備份域控制器可以在同一個域中無縫共存而不會出現(xiàn)任何問題。激活的功能包括本地與全局組并支持全局編錄。Windows2000本機級別該級別下，域中所有域控制器可以運行Windows2000或Windows2003系統(tǒng)。激活的功能包括組嵌套、通用組、Sidhistory、安全組與通訊組之間的轉(zhuǎn)換。域功能級別（續(xù)）WindowsServer2003臨時級別該級別下，允許WindowsServer2003域控制器和WindowsNT4.0域控制器混合使用。但不能與Windows2000域控制器混合使用。即支持的域控制器為WindowsServer2003和WindowsNT4.0。此級別內(nèi)沒有域范圍的激活功能。該模式只在將NT4.0的域控制器升級到WindowsServer2003域控制器時使用。WindowsServer2003級別該級別下，域中所有域控制器只能是WindowsServer2003和WindowsServer2008。WindowsServer2008級別該級別是目前為止所有域功能級別中的最高級別，支持所有WindowsServer2003域功能級別，此外還支持以下功能：SYSVOL的分布式文件系統(tǒng)復(fù)制支持，可提供SYSVOL內(nèi)容的更穩(wěn)健更詳細的復(fù)制。Kerberos協(xié)議的高級加密服務(wù)（AES128和256）支持。上次交互式登錄信息，將顯示用戶上次成功交互式登錄的時間、來自什么工作站，以及自上次登錄失敗的登錄嘗試次數(shù)。域功能級別評估Windows2000混合級別對于沒有完全淘汰WindowsNT域控制器的企業(yè)最為合適。Windows2000本機級別如果已經(jīng)部署了從WindowsNT到Windows2000的AD遷移，那么這個功能級別顯然最合適，而且這種模式也僅僅適合從NT域環(huán)境升級到Windows2000。WindowsServer2003臨時級別對那些直接從WindowsNT域控制器升級到WindowsServer2003的企業(yè)最為合適。但是此種模式不支持Windows2000。域功能級別評估（續(xù)）WindowsServer2003級別該級別要求域中所有域控制器為WindowsServer2003或WindowsServer2008。WindowsServer2008級別這是目前最高級別，要求所有域控制器都是WindowsServer2008。林功能級別林功能級別主要分為三種：Windows2000級別該級別支持所有默認的ActiveDirectory功能。WindowsServer2003級別該級別支持所有默認的ActiveDirectory功能及林信任、部署運行WindowsSever2008RODC、在域目錄分區(qū)