第3章windows 2000 server架構(gòu)服務(wù)器

第3章windows2000server架構(gòu)服務(wù)器

3.1域控制器與域控制器的安裝

3.2用戶賬號(hào)

3.3用戶組

3.4DHCP月艮務(wù)器

3.5DNS服務(wù)器

3.6WWW服務(wù)器

3.7FTP服務(wù)器

3.8E—mail月艮務(wù)器

3.9代理服務(wù)器

3.1域控制器與域控制器的安裝

3.1.1活動(dòng)目錄

活動(dòng)目錄（ActiveDirectory）是

Windows2000Server使用的目親服務(wù)，是

Windows2000分布式網(wǎng)絡(luò)的基礎(chǔ)，它擴(kuò)展

了以前基于WindowsNT的目錄服務(wù)的功能,

并增加了一些全新的功能?；顒?dòng)目錄存儲(chǔ)

著有關(guān)網(wǎng)絡(luò)對(duì)象的信息，其中包括域節(jié)點(diǎn)、

計(jì)算機(jī)帳戶、用戶帳戶的信息（如名稱、

密碼、電話號(hào)碼等）、組、組織單位和共

享的網(wǎng)絡(luò)資源（如文件夾和打印機(jī)等）

3.1域控制器與域控制器的安裝

1Windows2000Server目錄服務(wù)具有下列功能：

1）數(shù)據(jù)存儲(chǔ)

2）制定一套規(guī)則，即架構(gòu)

3）包含目錄中每個(gè)對(duì)象信息的全局編錄

4）建立查詢和索引機(jī)制

5）通過(guò)網(wǎng)絡(luò)分發(fā)目錄數(shù)據(jù)的復(fù)制服務(wù)

6）與網(wǎng)絡(luò)安全登錄過(guò)程的安全子系統(tǒng)的集成，以及

對(duì)目錄數(shù)據(jù)查詢和數(shù)據(jù)修改的訪問(wèn)控制。

7）為獲得活動(dòng)目錄的所有功能，通過(guò)網(wǎng)絡(luò)訪問(wèn)活動(dòng)

目錄的計(jì)算機(jī)必須運(yùn)行正確的客戶軟件。

3」域控制器與域控制器的安裝

2.活動(dòng)目錄邏輯結(jié)構(gòu)

1)對(duì)象

2)組織單元

3)域

4)目錄樹

5)目錄林

3.1域控制器與域控制器的安裝

3.域間信任關(guān)系

(1)單向

⑵雙向

(3)可傳遞

(4)不可傳遞

(5)外部信任

(6)快捷信任

windows2000中所有信任關(guān)系都是可

傳遞的而且是雙向的

3.1.2域控制器

i.域控制器

?包含指定域內(nèi)的用戶帳戶和其他ActiveDirectory數(shù)

據(jù)的副本

2.成員服務(wù)器

-屬于某個(gè)域，但不含有ActiveDirectory數(shù)據(jù)的副本。

因?yàn)椴皇怯蚩刂破鳎猿蓡T服務(wù)器不處理帳戶登錄

過(guò)程。

3.獨(dú)立服務(wù)器

-該服務(wù)器屬于工作組不屬于域。這種服務(wù)器可以提供

本地的共享資源，但不能提供活動(dòng)目錄服務(wù)。

3.1.2域控制器

關(guān)于域控制器

-要?jiǎng)?chuàng)建域，用戶必須將一臺(tái)或更多的運(yùn)行Windows2000

Server/AdvancedServer的計(jì)算機(jī)升級(jí)為域控制器。

-單個(gè)域可以包括一臺(tái)或多臺(tái)配置為域控制器的計(jì)算機(jī)，每臺(tái)域控制器的

地位都是平等的。它們各存儲(chǔ)著一份相同的ActiveDirectoryo

-ActiveDirectory支持域中所有域控制器之間目錄數(shù)據(jù)的多主機(jī)復(fù)制。

-如果任何一臺(tái)域控制器內(nèi)添加了一個(gè)用戶帳戶后，該帳號(hào)被建立在該臺(tái)

域控制器的ActiveDirectory數(shù)據(jù)庫(kù)內(nèi)，這份數(shù)據(jù)會(huì)定期自動(dòng)地被復(fù)制到

其它域控制器的ActiveDirectory數(shù)據(jù)庫(kù)內(nèi)，以便讓所有域控制器內(nèi)的

ActiveDirectory數(shù)據(jù)都能保持同步。

-當(dāng)用戶從域上的某臺(tái)試計(jì)算機(jī)登錄時(shí)，就會(huì)由其中的任一臺(tái)域控制器負(fù)

責(zé)審核用戶的帳號(hào)與密碼。

-使用單個(gè)局域網(wǎng)的小公司可能需要一個(gè)或更多的域控制器，而擁有多個(gè)

網(wǎng)絡(luò)位置的大型公司在每個(gè)位置都需要更多的域控制器以提供高可用性

和容錯(cuò)性。

3.1.3域控制器的安裝

1.域控制器安裝條件

1）計(jì)算機(jī)運(yùn)行的操作系統(tǒng)是Windows2000Server>Windows2000

AdvancedServer或Windows2000DatacenterServer0

2）活動(dòng)目錄數(shù)據(jù)庫(kù)至少需要200MB的磁盤空間，此外活動(dòng)目錄數(shù)據(jù)庫(kù)的

事件日志還需要額外的50MB空間。當(dāng)然,活動(dòng)目錄數(shù)據(jù)庫(kù)及其日志

文件的實(shí)際大小，最終依賴于域中對(duì)象的種類和數(shù)量。如果該域控

制器同時(shí)還是全局編目服務(wù)器，則需要更大的磁盤容量。

3）擁有一個(gè)NTFS文件系統(tǒng)的分區(qū)或卷用于存放SYSVOL文件夾。

4）服務(wù)器需要安裝配置TCP/IP協(xié)議，并且在網(wǎng)絡(luò)中需要有該服務(wù)器可以

配置使用的DNS服務(wù)器。

5）需要有在現(xiàn)有網(wǎng)絡(luò)或域中創(chuàng)建域控制器的特權(quán)。

3.1.3域控U器的安裝

域控制器安裝步驟

Windows2000配置您的JR務(wù)署二I」的ActiveDirectory安裝向?qū).

歡迎使用ActiveDirectory安裝向

2000導(dǎo)

向?qū)椭谶@臺(tái)服務(wù)器上安裝ActiveDirectory

主頁(yè)

網(wǎng)落上已有域控制器-將修的服務(wù)器設(shè)置為額外域控制需服務(wù)，使其成為域控制器.

子城，新潼域目錄樹,或新建林目錄.

現(xiàn)在注冊(cè)

ActiveDirectory

要成為ActiveDirectory壬機(jī)，您需要格式化為HTFS照于Windows

文件服務(wù)序2000)的分區(qū).

打印服務(wù)器小心要繼續(xù)，請(qǐng)單擊“下一步

請(qǐng)?jiān)鲂拍煜ctiveDirectory,并在進(jìn)行處理之前確知將會(huì)對(duì)該服務(wù)器有

何影響.

hb/媒體服務(wù)器

基也關(guān)于ActiveDirwtory和域控制器的信息,從而確定例是

?要安裝ActiveDirectory*

啟動(dòng)Activ*Directory向?qū)?/p>

高級(jí)

完成向?qū)Ш?，您的服?wù)圖將重新啟動(dòng)，配置服務(wù)困屏茸將會(huì)出現(xiàn),

ActiveDirectory屏科，首理您的計(jì)算機(jī)和用戶帳戶.

域控制等類型創(chuàng)建目錄樹或子域

指定想要這個(gè)服務(wù)器擔(dān)任的角色,您可創(chuàng)建一個(gè)新城目錄樹或新的子域

選擇此選項(xiàng)來(lái)創(chuàng)建新的子域、新的域目錄樹或新的目錄林.此服務(wù)器將成

為新域中的第一個(gè)域控制器.

在現(xiàn)有域目錄樹中創(chuàng)建一個(gè)新的子域(￡)

如果您想使新城成為現(xiàn)有域的子域，請(qǐng)選擇此選項(xiàng),

名為headquarters,example.microsofLcom的融，

example,microsoft.com域的孑域.

“線辭力的件或—應(yīng)該在鮑之前解密

取消上一步國(guó)”下一步國(guó))>|

3.1.3域控制器的安裝

2.域控制器安裝步驟

您要?jiǎng)?chuàng)建新的目錄林還是要加入現(xiàn)有目錄林？請(qǐng)輸入新城的DNS全名.

@電建新的峨苴聚秫??駕器雪景單位巳羽一個(gè)在工命名頒發(fā)機(jī)構(gòu)注冊(cè)的DNS域名,則可使

而第遂至■簞蒞面話一個(gè)域，或您希望所創(chuàng)建的新城獨(dú)立于您的現(xiàn)有目錄

林，詩(shī)選擇此選成?

節(jié)域的DMS全名衛(wèi)）：

|yh.hxu-tu.edu.cn

C將這個(gè)新的域目錄樹敵入現(xiàn)有的目錄林中也）

如果您想要新的域目景樹中的用尸訪問(wèn)現(xiàn)有域目錄樹的資涯，或想要現(xiàn)有

域目錄樹的用戶訪問(wèn)新的域目錄樹的資源，請(qǐng)選擇此選項(xiàng).

<上一步也“迂:三芝:?二M取消

《上一步集”下一步國(guó)）>1取消

|ActiveDirectory安裝向?qū)А睞ctiveDirectory安裝言辱

■etBIOS核名數(shù)據(jù)庫(kù)和日器文件位置

為新城J旨定一個(gè)NetBIOS名稱.請(qǐng)指定ActiveDirectory數(shù)據(jù)度和曰志文件的位置.

萱畬禽薯猿父霸患蔡本的用戶用來(lái)識(shí)別所域的?單擊“下一步”接受基于最隹性能和對(duì)恢復(fù):性的考慮?道將數(shù)據(jù)庫(kù)和日志存放在不同的硬盤上.

您抵望在哪里保存ActiveDirectory數(shù)據(jù)庫(kù)？

域NetBIOS名①）：|YH'

激據(jù)庫(kù)位置也）:

\wnnrr\NTDS|瀏覽??.

傅希望在哪里保存ActiveDirectory日志？

日志位置g

jCWINNT\NTDS謝苑@>

〈上一步也“下一步）

<上一步集）IT-^CH：I>j取消CB"取消

3.1.3域控制器的安裝

2.域控制器安裝步驟

〔ActiveDirectory安裝向?qū)j

目錄事務(wù)詼復(fù)模式的營(yíng)理員交碼

指定營(yíng)理員密碼，在“目錄服務(wù)恢復(fù)模式”下啟動(dòng)計(jì)算機(jī)時(shí)使用.

輸入并確認(rèn)您想給這個(gè)服務(wù)需管理員帳戶的密碼，當(dāng)計(jì)算機(jī)在目錄服務(wù)恢復(fù)模

式下啟動(dòng)時(shí)，會(huì)用到此密嗎.

******

確U巒碼(￡)F*****i

<上一步也"下—??>]取消

酬Ac間tiv.eDirectory.根據(jù)您所選的選項(xiàng)，.也此過(guò)客程礴可F能要

西

開(kāi)始.

3.1.4域控制器的降級(jí)

?域控制器的降級(jí)（自動(dòng)識(shí)別安裝或刪除）

1.用ActiveDirectory安裝向?qū)?/p>

2.在“開(kāi)始一＞運(yùn)行"中執(zhí)行命令：dcpromo

3.2域中的用戶賬號(hào)

?在Windows2000中用戶可以使用“Active

Directory用戶和計(jì)算機(jī)”管理工具來(lái)實(shí)現(xiàn)建立用

戶帳號(hào)、計(jì)算機(jī)帳號(hào)、組、安全策略等功能

1.用戶帳號(hào)

?用戶帳號(hào)能夠讓用戶以授權(quán)的身份登錄到計(jì)算機(jī)和域

中，并訪問(wèn)其中資源。它也可以作為某些軟件的服務(wù)

帳號(hào)

1)域用戶帳號(hào)(DomainUserAccounts)

2)本地用戶帳號(hào)(LocalUserAccounts)

3)內(nèi)置的用戶帳號(hào)

Administrator

Guest

3.2.2創(chuàng)建域用戶帳戶

(1)域用戶的創(chuàng)建步驟:

包商創(chuàng)建在yh.hxirtu.edu.cn/Vsers

21個(gè)對(duì)象

8ActiveDirectory用戶和計(jì)苴機(jī)(]姓&)

@CAdministrator部計(jì)篁機(jī)城砌置,

JButin國(guó)CettPublishers安全綱-全局企業(yè)認(rèn)證和票辦代理名9：英文縮寫d)

ffi-口Computers?DHCPAdministrators安全姐?本地域?qū)HCP服務(wù)明有管理.姓名3

宅國(guó)DomainCorttolers0DHCPUsers安全綱，本地域?qū)HCP服務(wù)器只有只.

而DnsAdrohs

_JForagnSecurityPrinopals安全膽-本地域DNS管理員姻用戶登錄名QD

^DnsUpdateProxy安全組?全局允評(píng)替其它客戶(如DH

香?？刂啤瓅zhanghua)|@yh.hnrtu.edu.cn.

f^DotnanAdrrans安全姐-毓指定的蠅理員

碎①“用尸登錄名Windows2000以前版本)(W)

fSDomainComputers安全組-全局加入嬲中的所有工作

新建回計(jì)算機(jī)EDornanControters安全姐?全局域中所有域控制質(zhì)|zhanghua

所有任務(wù)的殿人EDofftanGuests安全組一線域的所有來(lái)賓

口DomainUsers安全組-全局所有域用尸

§1(V)

打印機(jī)EEnterpriseAdfrins安全組?全局企業(yè)的指定系統(tǒng)管理員

從這里婕窗口(也

PolcyO/zn&s安全組-全局這個(gè)組中的成員可以解

W(E)共享冰快供來(lái)官訪問(wèn)計(jì)算機(jī)或訪.

導(dǎo)出列表Q)…?..；」!F，［下一步Qp〉［

屜性但)

〔新建對(duì)象用戶

-用尸

創(chuàng)建在yh.hnrtu.edu.cn/Vsers

創(chuàng)建在yh.imrtu.edu.cn/Users

您單擊“完成”后，下列對(duì)象將被創(chuàng)建:

確久密碼《)全稱：張華

用尸登錄名zhanghuafiyh.hnrtu.edu_cn

17殂m下次鞭更須更設(shè)重理⑥}

用戶下次登錄時(shí)須更改密碼.

r用戶不能更改密碼⑤)

r密碼永不過(guò)期量)

「株尸已停用(Q)

＜上一步c&)|下一步建)》|取消《上一步童)|匚二完成二二|取消

3.2.2創(chuàng)建域用戶帳尸

（2）用戶屬性配置：基本數(shù)據(jù)、登錄時(shí)間、

登錄工作站、組屬性

[4ActiveDirectory用戶和計(jì)■機(jī)

.龍制司Q國(guó)口儂強(qiáng)加）

撥入I環(huán)境I會(huì)話］遠(yuǎn)程控制?終端服務(wù)配置文件

鳥螞型_上“回施X旨?j國(guó)J?法瑞▽&1?常規(guī)|地址|帳戶］配置文件|電話|單位|成員屬于

利|Users22個(gè)對(duì)馥

因弊iveDi?doty用戶和計(jì)I類型I卷送號(hào)張華

n尊0Adrrtnistfdtof用戶管理計(jì)宜機(jī)（域功內(nèi)置…

口BuhinkertPuWishets全局企業(yè)認(rèn)證槌辦代超

E口ComputersSDHCPAdirinistrators安全姐本地竦對(duì)DHCP賬務(wù)§§有管理…

/曲DcmanControlers[DHCPUsers安全姐本地域?qū)HCP版條罟只有只…

LJForesgnSeantyPrlr以DnsAdnre安全盥本地域。防管理員擔(dān)

fJOnslipdateProxy安全綱全局允許替其它容尸（?0DH...

@DomnAdmhs復(fù)俅o指定飆售理員

KDonwinCanputers郴旗添攤淵⑥…加入到域中的所有工作…

aDo3nCcrtrcflws停用帳戶⑤域中所有域控制88

或DomainGuests重設(shè)密碼①…域的所有來(lái)賓

建DomainUsers移動(dòng)所百域用戶

圓ErtetpiseAdmins打開(kāi)主頁(yè)（由企業(yè)的指定系批管理員

fBcroupPokyCreatorOwners發(fā)送郵件更I）這脩中的成員可以修…

給Guest供來(lái)克訪問(wèn)計(jì)苴機(jī)或訪…

所寄任務(wù)也）

CIUSR_YH01匿名訪自Internet僖息…

CIWAM_YM01鶴8啟動(dòng)迸程之外的應(yīng)用程…

fekrbtgt重命名回密鑰發(fā)行中心報(bào)務(wù)假戶

@RASandIASServers

例E）這個(gè)組中的服芬器可以…

aSchemaAdrm架構(gòu)的指定系獲翻員

CTslrtemeWser這個(gè)用戶帳戶嘏?端服…

@"【祐Use污______________Wtj)對(duì)WINS賬務(wù)器僅有只…

2J

對(duì)象的屜性喉I取涓

3.2.2創(chuàng)建域用戶帳尸

（2）用戶屬性配置：基本數(shù)據(jù)、登錄時(shí)間、

登錄工作站、組屬性

I張華星性21XI張華的葺錄時(shí)段兇

捷人|環(huán)境I會(huì)話|遠(yuǎn)程控制|貨端輾務(wù)配置文件