win2000活动目录之与安装配置篇

了解了活动目录的原理后，我们现在可以安装和配置活动目录了。Active Directory的安装配置过程并不是很复杂，因为WIN2K中提供了安装向导，所以我们只需要按照提示，按照系统要求一步一步的设置就可以了。但是，安装前的准备工作相当复杂。只有充分了解Active Directory，才能正确安装和配置Active Directory。下面我将详细介绍Active Directory的安装、配置和准备。

一、活动目录安装前的准备工作

前面我们知道，“活动目录”是整个WIN2K系统中的关键服务。它不是孤立的。它与许多协议和服务密切相关，还涉及到整个WIN2K系统的体系结构和安全性。安装“活动目录”并不像安装一般的Windows组件那么简单。在安装之前，需要进行一系列的规划和准备。否则根本享受不到Active Directory的优势，或者无法正确安装Active Directory的服务。

1.首先，在安装active directory之前，必须确保一台机器已经安装了WIN2K Server或Advanced Server，并且至少有一个NTFS分区，DNS协议已经配置为TCP/IP，DNS服务支持SRV记录和动态更新协议。

2.其次，要规划好整个系统的域结构。Active Directory可以包含一个或多个域。如果整个系统的目录结构没有规划好，层次不清就无法充分发挥Active Directory的优越性。选择根域(即系统的基本域)在这里是一个关键。根域名的选择可以有以下几种方案:

1)您可以使用注册的DNS域名作为活动目的地根域名。这样做的好处是企业的公共网络和私有网络使用相同的DNS名称。

2)我们也可以使用一个注册的DNS域名的子域作为Active Directory的根域名。

3)为Active Directory选择一个与注册DNS域名完全不同的域名。这可以使企业网络在内部和互联网上呈现两种完全不同的命名结构。

4)企业网的公网部分用一个注册的DNS域名命名，私网用另一个内部域名命名，从名字空就把两部分分开了。这就使得每一部分在访问另一部分时，都需要使用另一部分的名字空来标识对象。

3.再一个就是规划域和账户命名，因为使用Active Directory的意义之一就是让内外网使用统一的目录服务，采用统一的命名方案，方便网络管理和业务往来。Active directory域名通常是域的完整DNS名称，但为了确保向后兼容，每个域也有一个WIN2K之前的名称，以便可以在运行WIN2K之前的操作系统的计算机上使用。用户帐户在Active Directory中。每个用户帐户都有一个用户登录名、一个在WIN2K(安全帐户管理器的帐户名)之前的用户登录名和一个用户主名后缀。创建用户帐户时，管理员输入其登录名并选择用户的主要名称。Active Directory建议将此用户登录名的前20个字节用作WIN2K之前的用户登录名。活动目录命名策略是企业规划网络系统的第一步。命名策略直接影响网络的基本结构，甚至网络的性能和可扩展性。Active Directory为现代企业提供了一个很好的参考模型，它不仅考虑了企业的多级结构，还考虑了企业的分布式特点，甚至为直接访问互联网提供了完全一致的命名模型。

用户的主名称由用户帐户名称和用户帐户所在域的域名组成。这是登录WIN2K域的标准用法。标准格式为:user@domain.com(类似个人电子邮件地址)。但是不要在用户登录名或用户主要名称中添加@符号。Active Directory在创建用户的主要姓名时会自动添加此符号。带有多个@符号的用户的主要名称无效。

在Active Directory中，默认的用户主体名称后缀是域树中根域的DNS名称。如果用户的公司使用由部门和地区组成的多级域名树，那么底层用户的域名可能会很长。对于该域中的用户，默认用户主体名称可能是grandchild.child.root.com。该域中用户的默认登录名可能是user@grandchild.child.root.com。这样用户登录时要输入的用户名可能会太长，输入起来非常不方便。为了解决这个问题，WIN2K规定用户在创建主域名后，只需要在根域名后添加相应的用户名，这样同一个用户就可以用一个更简单的登录名——user@root.com登录，而不是前面提到的那一长串。

4.最后，要注意设置域间计划好的信任关系。对于WIN2K计算机，域之间的帐户验证是通过基于Kerberos V5安全协议的双向可传递信任关系来启用的。在域树中创建域时，相邻域(父域和子域)之间的信任关系会自动建立。在域林中，在林的根域和添加到林中的每个域树的根域之间自动建立信任关系。如果这些信任关系是可传递的，用户和计算机可以在域树或林中的任何域之间进行身份验证。

如果将Windows域从以前版本的WIN2K升级到WIN2K域，WIN2K域将自动保留该域和任何其他域之间现有的单向信任关系。包括WIN2K之前的Windows域的所有信任关系。如果用户希望安装一个新的WIN2K域，并希望与WIN2K之前的任何域建立信任关系，他必须创建与这些域的外部信任关系。

二。活动目录的安装

所有新安装的都作为成员服务器安装。如果在新安装WIN2K服务器时选择安装“Active Directory”选项，会得到类似“如果此时安装Active Directory，系统中的所有域名都不能再更改…”的提示。一般我们在新安装系统的时候不会选择安装Active Directory，这样我们就有时间详细规划Active Directory相关的协议和系统结构。服务需要事后用Dcprom o的命令专门安装。目录服务也可以卸载，而不是像安装Windows NT 4.0那样一开始就终身固定。系统会区分域控制器和成员服务器，两者不能转换。

Dcpromo是一个图形向导，它指导用户一步一步地构建域控制器。创建新域林、域树或域控制器的另一个备份非常方便。其他很多网络服务，如DNS服务器、DHCP服务器、证书服务器等，将来都可以和Active Directory集成安装，方便策略管理。这个图形界面向导没有什么特别之处。只要我们理解了Active Directory的含义，并在安装前做了一系列的规划，就可以轻松完成所有的安装任务。

安装Active Directory后，Active Directory的微软管理接口(MMC)主要有三个，一个是Active Directory的用户和计算机的管理，主要用于管理域；一个是Active Directory中域和域信任关系的管理，主要用于管理多域关系；另一个是Active Directory的站点管理，可以把域控制器放在不同的站点。一般在局域网范围内，是一个站点，站点内域控制器之间的复制是自动的；站点之间域控制器之间的复制需要由管理员设置，以优化复制流量并提高可扩展性。在Active Directory管理界面中，您还可以在站点、域和组织单元中单击鼠标右键，启动组策略的管理界面，实现对对象的详细管理。

对于站点、域和组织单位，管理员也可以轻松授权管理。右键单击它们启动“管理授权向导”，一步一步地设置哪些管理员对哪些对象有什么样的管理权限。例如，企业内部技术支持中心的管理员只有重置用户密码的权限，而没有创建或删除用户帐户的权限。这种更细致的管理方式就变成了“颗粒化”。

此外，Active Directory还充分考虑了备份和恢复目录服务的需求。WIN2K备份工具具有专门备份活动目录的选项。当发生事故时，可以在机器启动时按下F8进入安全恢复模式，以减少灾难的恶性影响。