目錄，是一個(gè)數(shù)據(jù)庫(kù)，存貯了網(wǎng)絡(luò)資源相關(guān)的信息，包括了資源的位置、管理等信息。 目錄服務(wù) 是一種網(wǎng)絡(luò)服務(wù)，目錄服務(wù)標(biāo)記管理網(wǎng)絡(luò)中的所有實(shí)體資源(比如計(jì)算機(jī)、用戶、打印機(jī)、文件、應(yīng)用等)，并且提供了命名、描述、查找、訪問(wèn)以及保護(hù)這些實(shí)體信息的一致的方法，使網(wǎng)絡(luò)中的所有用戶和應(yīng)用都能訪問(wèn)到這些資源。 活動(dòng)目錄(Active Directory) 活動(dòng)目錄 是Windows 2000完全實(shí)現(xiàn)的目錄服務(wù)，也是Windows 2000網(wǎng)絡(luò)體系的基本結(jié)構(gòu)模型，是Windows 2000網(wǎng)絡(luò)操作系統(tǒng)的核心支柱，也是中心管理機(jī)構(gòu)。 Microsoft在Windows 2000中提供的活動(dòng)目錄是一個(gè)全面的目錄服務(wù)管理方案，也是一個(gè)企業(yè)級(jí)的目錄服務(wù)，具有很好的可伸縮性。活動(dòng)目錄采用了Internet的標(biāo)準(zhǔn)協(xié)議，它與操作系統(tǒng)緊密地集成在一起。活動(dòng)目錄不僅可以管理基本的網(wǎng)絡(luò)資源，比如計(jì)算機(jī)對(duì)象、用戶賬戶、打印機(jī)等，它也充分考慮了現(xiàn)代應(yīng)用的業(yè)務(wù)需求，為這些應(yīng)用提供了基本的管理對(duì)象模型，比如用戶賬戶對(duì)象具有辦公電話、手機(jī)、呼機(jī)、住址、上司、下屬、電子郵件等屬性。幾乎所有的應(yīng)用可以直接利用系統(tǒng)提供的目錄服務(wù)結(jié)構(gòu)，而且活動(dòng)目錄也具有很好的擴(kuò)充能力，允許應(yīng)用程序定制目錄中對(duì)象的屬性或者添加新的對(duì)象類(lèi)型。 活動(dòng)目錄的邏輯結(jié)構(gòu) 活動(dòng)目錄的邏輯結(jié)構(gòu)非常靈活，它為活動(dòng)目錄提供了完全的樹(shù)狀層次結(jié)構(gòu)視圖，邏輯結(jié)構(gòu)與前面我們討論過(guò)的名字空間有直接的關(guān)系。邏輯結(jié)構(gòu)為用戶和管理員查找、定位對(duì)象提供了極大的方便。活動(dòng)目錄中的邏輯單元包括:域、組織單元(Organizational Unit，簡(jiǎn)稱OU)、域樹(shù)、域森林。 1、 域(Domain) 域 既是Windows網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，也是Internet的邏輯組織單元，在Windows 2000系統(tǒng)中，域是安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問(wèn)或者管理其他的域。每個(gè)域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。 2、 OU(Organizational Unit) OU 是一個(gè)容器對(duì)象，我們可以把域中的對(duì)象組織成邏輯組，所以O(shè)U純粹是一個(gè)邏輯概念，它可以幫助我們簡(jiǎn)化管理工作。OU可以包含各種對(duì)象，比如用戶賬戶、用戶組、計(jì)算機(jī)、打印機(jī)，甚至可以包括其他的OU。所以我們可以利用OU把域中的對(duì)象形成一個(gè)完全邏輯上的層次結(jié)構(gòu)，對(duì)于一個(gè)企業(yè)來(lái)講，我們可以按部門(mén)把所有的用戶和設(shè)備組成一個(gè)OU層次結(jié)構(gòu)，也可以按地理位置形成層次結(jié)構(gòu)，還可以按功能和權(quán)限分成多個(gè)OU層次結(jié)構(gòu)。由于OU層次結(jié)構(gòu)局限于域的內(nèi)部，所以一個(gè)域中的OU層次結(jié)構(gòu)與另一個(gè)域中的OU層次結(jié)構(gòu)完全獨(dú)立。 3、 樹(shù) 當(dāng)多個(gè)域通過(guò)信任關(guān)系連接起來(lái)之后，所有的域共享公共的表結(jié)構(gòu)(schema) 、配置和全局目錄(global catalog)，從而形成 域樹(shù) 。域樹(shù)由多個(gè)域組成，這些域共享同一個(gè)表結(jié)構(gòu)和配置，形成一個(gè)連續(xù)的名字空間。樹(shù)中的域通過(guò)信任關(guān)系連接起來(lái)。活動(dòng)目錄包含一個(gè)或多個(gè)域樹(shù)。 4、 森林 域森林 是指一個(gè)或多個(gè)沒(méi)有形成連續(xù)名字空間的域樹(shù)。域林中的所有域樹(shù)共享同一個(gè)表結(jié)構(gòu)、配置和全局目錄。域林中的所有域樹(shù)通過(guò)Kerberos信任關(guān)系建立起來(lái)，所以每個(gè)域樹(shù)都知道Kerberos信任關(guān)系，不同域樹(shù)可以交叉引用其他域樹(shù)中的對(duì)象。 其它 1、 域控制器(Domain Controller) 域控制器是指運(yùn)行Windows 2000 Server版本的服務(wù)器，它保存了活動(dòng)目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個(gè)域中的其他域控制器上。域控制器也負(fù)責(zé)用戶的登錄過(guò)程，以及其他與域有關(guān)的操作，比如身份認(rèn)證、目錄信息查找等。 一個(gè)域可以有多個(gè)域控制器。規(guī)模較小的域可以只需要兩個(gè)域控制器，一個(gè)實(shí)際使用，另一個(gè)用于容錯(cuò)性檢查;規(guī)模較大的域可以使用多個(gè)域控制器。 Windows 2000的域結(jié)構(gòu)與Windows NT 4的域結(jié)構(gòu)不同的是，活動(dòng)目錄中的域控制器沒(méi)有主次之分，活動(dòng)目錄采用了多主機(jī)復(fù)制方案，每一個(gè)域控制器都有一個(gè)可寫(xiě)入的目錄副本。在某一個(gè)時(shí)刻，不同的域控制器中的目錄信息可能有所不同，一旦活動(dòng)目錄中的所有域控制器執(zhí)行同步操作之后，最新的變化信息就會(huì)一致。 2、 活動(dòng)目錄與DNS 活動(dòng)目錄使用域名服務(wù)DNS作為它的定位服務(wù)，同時(shí)也對(duì)標(biāo)準(zhǔn)的DNS作了擴(kuò)充。在活動(dòng)目錄中使用DNS的最大好處在于，我們可以使Windows 2000域與Internet上的域統(tǒng)一起來(lái)，即Windows域名也是DNS域名。 3、Active Directory命名規(guī)范 (1)辨別名( distinguished name (DN)) 活動(dòng)目錄中的每一個(gè)對(duì)象都會(huì)有一個(gè)唯一的辨別名DN。DN由域名、對(duì)象名組成: DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用戶對(duì)象James Smith在contoso.com域中的Users組織單元中的Teacher單元中. (2) User Principal Name : 由用戶登錄名和域名組成，如 JamesS@contoso.com 4、 域運(yùn)行模式 (1) 混合模式 。混合模式的域既可以有Windows 2000的域控制器，也可以有Windows NT 4的域控制器。這是一個(gè)過(guò)渡模式，利用這種模式，我們可以對(duì)現(xiàn)有的系統(tǒng)逐步升級(jí)。但是，在混合模式下，活動(dòng)目錄中有些功能不能很好地發(fā)揮出來(lái)。 (2) 準(zhǔn)模式 。活動(dòng)目錄的標(biāo)準(zhǔn)模式要求所有的域控制器都必須運(yùn)行Windows 2000。只有在這個(gè)時(shí)候，活動(dòng)目錄的所有功能和特性才能充分體現(xiàn)出來(lái)。 ******************************* 安裝域控制器： 運(yùn)行 Active Directory 安裝向?qū)?Windows 2000 Server 計(jì)算機(jī)升級(jí)為域控制器會(huì)創(chuàng)建一個(gè)新域或者向現(xiàn)有的域添加其他域控制器。創(chuàng)建域控制器可以: §　創(chuàng)建網(wǎng)絡(luò)中的第一個(gè)域。 §　在樹(shù)林中創(chuàng)建其他的域。 §　提高網(wǎng)絡(luò)可用性和可靠性。 §　提高站點(diǎn)之間的網(wǎng)絡(luò)性能。 要?jiǎng)?chuàng)建 Windows 2000 域，必須在該域中至少創(chuàng)建一個(gè)域控制器。創(chuàng)建域控制器也將創(chuàng)建該域。不可能有沒(méi)有域控制器的域。如果確定用戶的單位需要一個(gè)以上的域，則必須為每個(gè)附加的域至少創(chuàng)建一個(gè)域控制器。樹(shù)林中的附加域可以是:新的子域、新域樹(shù)的根。 在安裝 Active Directory 前首先確定DNS服務(wù)正常工作，下面用戶來(lái)安裝根域?yàn)?nt2000.com 的域中第一臺(tái)域控制器。 步驟1 利用配置服務(wù)器啟動(dòng)位于 %Systemroot%\system32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe。 步驟2 由于用戶所建立的是域中的第一臺(tái)域控制器所以選擇"新域的域控制器" 單擊"下一步" 步驟3 選擇"創(chuàng)建一個(gè)新域的域目錄樹(shù)" ,單擊"下一步" 步驟4 選擇"創(chuàng)建一個(gè)新域的域目錄林", 單擊"下一步" 步驟5 在"新域的 DNS 全名"中輸入要?jiǎng)?chuàng)建得域名，nt2000.com 步驟6 安裝向?qū)ё詣?dòng)將域控制器的 NetBIOS 名設(shè)置為 "nt2000" ,單擊"下一步" 步驟7 顯示數(shù)據(jù)庫(kù)、目錄文件 及Sysvol 文件的保存位置，一般不必作修改。單擊"下一步" 步驟8 配置 DNS 服務(wù),單擊"下一步",(如果在安裝 Active Directory 之前未配置 DNS 服務(wù)器可以在此讓安裝向?qū)渲?DNS ，推薦使用這種方法。) 步驟9 為用戶和組選擇默認(rèn)權(quán)限，考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限" 步驟10 輸入以目錄恢復(fù)模式下的管理員密碼,單擊"下一步" 步驟11 安裝向?qū)э@示摘要信息,單擊"下一步"開(kāi)始安裝如下圖 步驟12 安裝完成之后，重新啟動(dòng)計(jì)算機(jī)。 檢驗(yàn)安裝結(jié)果 在安裝完成后，可以通過(guò)以下方法檢驗(yàn) Active Directory 安裝正確，在安裝過(guò)程中一項(xiàng)最重要的工作是在 DNS 數(shù)據(jù)庫(kù)中添加服務(wù)記錄( SRV 記錄)。 1.檢查 DNS 文件的SRV記錄 用文本編輯器打開(kāi) %systemroot%/system32/config/ 中的 Netlogon.dns 文件，察看 LDAP 服務(wù)記錄，在本例中為 _ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com. 2.驗(yàn)證 SRV 記錄在 NSLOOKUP 命令工具中運(yùn)行正常 步驟1 在命令提示行下，輸入 NSLOOKUP 步驟2 輸入 set type=srv 步驟3 輸入 _ldap._tcp.nt2000.com 如果返回了服務(wù)器名和 IP 地址，說(shuō)明 SRV 記錄工作正常 ****************************** 安裝第二臺(tái)域控制器： 運(yùn)行 Active Directory 安裝向?qū)?Windows 2000 Server 計(jì)算機(jī)升級(jí)為域控制器會(huì)創(chuàng)建一個(gè)新域或者向現(xiàn)有的域添加其他域控制器。創(chuàng)建域控制器可以: §　創(chuàng)建網(wǎng)絡(luò)中的第一個(gè)域。 §　在樹(shù)林中創(chuàng)建其他的域。 §　提高網(wǎng)絡(luò)可用性和可靠性。 §　提高站點(diǎn)之間的網(wǎng)絡(luò)性能。 要?jiǎng)?chuàng)建 Windows 2000 域，必須在該域中至少創(chuàng)建一個(gè)域控制器。創(chuàng)建域控制器也將創(chuàng)建該域。不可能有沒(méi)有域控制器的域。如果確定用戶的單位需要一個(gè)以上的域，則必須為每個(gè)附加的域至少創(chuàng)建一個(gè)域控制器。樹(shù)林中的附加域可以是:新的子域、新域樹(shù)的根。 在安裝 Active Directory 前首先確定DNS服務(wù)正常工作，下面用戶來(lái)安裝根域?yàn)?nt2000.com 的域中第一臺(tái)域控制器。 步驟1 利用配置服務(wù)器啟動(dòng)位于 %Systemroot%\system32 中的 Active Directory 安裝向?qū)С绦?DCPromo.exe。 步驟2 由于用戶所建立的是域中的第一臺(tái)域控制器所以選擇"新域的域控制器" 單擊"下一步" 步驟3 選擇"創(chuàng)建一個(gè)新域的域目錄樹(shù)" ,單擊"下一步" 步驟4 選擇"創(chuàng)建一個(gè)新域的域目錄林", 單擊"下一步" 步驟5 在"新域的 DNS 全名"中輸入要?jiǎng)?chuàng)建得域名，nt2000.com 步驟6 安裝向?qū)ё詣?dòng)將域控制器的 NetBIOS 名設(shè)置為 "nt2000" ,單擊"下一步" 步驟7 顯示數(shù)據(jù)庫(kù)、目錄文件 及Sysvol 文件的保存位置，一般不必作修改。單擊"下一步" 步驟8 配置 DNS 服務(wù),單擊"下一步",(如果在安裝 Active Directory 之前未配置 DNS 服務(wù)器可以在此讓安裝向?qū)渲?DNS ，推薦使用這種方法。) 步驟9 為用戶和組選擇默認(rèn)權(quán)限，考慮到現(xiàn)在大多數(shù)單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 服務(wù)器之前版本相兼容的權(quán)限" 步驟10 輸入以目錄恢復(fù)模式下的管理員密碼,單擊"下一步" 步驟11 安裝向?qū)э@示摘要信息,單擊"下一步"開(kāi)始安裝如下圖 步驟12 安裝完成之后，重新啟動(dòng)計(jì)算機(jī)。 檢驗(yàn)安裝結(jié)果 在安裝完成后，可以通過(guò)以下方法檢驗(yàn) Active Directory 安裝正確，在安裝過(guò)程中一項(xiàng)最重要的工作是在 DNS 數(shù)據(jù)庫(kù)中添加服務(wù)記錄( SRV 記錄)。 1.檢查 DNS 文件的SRV記錄 用文本編輯器打開(kāi) %systemroot%/system32/config/ 中的 Netlogon.dns 文件，察看 LDAP 服務(wù)記錄，在本例中為 _ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com. 2.驗(yàn)證 SRV 記錄在 NSLOOKUP 命令工具中運(yùn)行正常 步驟1 在命令提示行下，輸入 NSLOOKUP 步驟2 輸入 set type=srv 步驟3 輸入 _ldap._tcp.nt2000.com 如果返回了服務(wù)器名和 IP 地址，說(shuō)明 SRV 記錄工作正常
?

轉(zhuǎn)載于:https://blog.51cto.com/wirless/291093

總結(jié)

以上是生活随笔為你收集整理的实用教程 活动目录介绍及安装指南的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。