【系统篇 / 域】❀ 01. 域服务安装与配置 ❀ Windows Server 2008 R2

        【简介】域英文叫 DOMAIN，是 Windows 网络中独立运行的单位，域之间相互访问则需要建立信任关系 (即 Trust Relation )。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后，2 个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。

---

  什么是域

        域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在 Windows 网络操作系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域，每个域都有自己的安全策略，以及它与其他域的安全信任关系。

        在域模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

        域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

  安装域服务角色

        首先安装Windows Server 2008 R2 系统。

        ① 在Windows任务栏上点系统管理器图标；

        ② 在左边菜单栏点击【角色】，右边点击【添加角色】；

        ③ 提示此向导是向服务器安装角色，点击【下一步】；

        ④ 因为是安装域服务功能，所以在这里只需要选择【Active Directory 域服务】；

        ⑤ 在安装Active Directory 域服务之前，还需要安装.Net Framework，点击【添加必需的功能】；

        ⑥ 回到选择服务器角色介面，点击【下一步】；

        ⑦ 显示域服务简介，点击【下一步】；

        ⑧ 提示要安装两个角色，点击【安装】；

        ⑨ 很快两个角色就安装成功，点击【关闭】。

  配置域服务

        角色安装后，还需要对域服务进行配置。

        ① 回到服务器管理器，在角色菜单中可以看到多了一个Active Directory 域服务，边上有个红叉。鼠标点击打开；

        ② 点击【运行Active Diectory域服务安装向导】；

        ③ 显示欢迎介面，点击【下一步】；

        ④ 提示操作系统的兼容性，点击【下一步】；

        ⑤ 这里选择【在新林中新建域】，如果网络里已经有了多个域，就可以选择上面的选项。点击【下一步】；

        ⑥ 输入要新建的域名称，要用.com的形式，然后点击【下一步】；

        ⑦ 林功能级别保持默认，然后点击【下一步】；

        ⑧ 域功能级别保持默认，然后点击【下一步】；

        ⑨ 其它域控制器选项，默认要安装DNS服务，点击【下一步】；

        ⑩ 提示无法创建DNS服务器的委派，是否要继续，这里点击【是】；

        ⑪ 显示数据库、日志文件、SYSVOL的安装目标，这里保持默认，点击【下一步】；

        ⑫ 设置目录服务还原模式密码，这个密码不能和Administrator相同，当域服务出现问题，进入还原模式时需要用到这个密码；

        ⑬ 配置全部设置完成，点击【下一步】；

        ⑭ 安始配置域服务，需要等待一会儿；

        ⑮ 配置好了，点击【完成】；

        ⑯ 需要重新启动系统 Active Directory 域服务才能生效，重启登录系统时，可以看到Administrator用户名前面出现了域名。

  域常用设置

        现在就可以根据需要配置域了。

        ① 再次进入服务器管理器，点击左边菜单角色，可以看到Active Directory域服务左边的红色叉不见了，点击【Active Directory域服务】；

        ② 展开左边Active Directory 域服务菜单，可以看到生成的域lw.com,以及下面的组织结构；

        ③ 在域名上点击鼠标右键，选择菜单【新建】－【组织单位】；

        ④ 输入新建的组织单位名称，名称自定义，如果域理解为是一个大公司的话，组织单位就可以理解为是一个分公司；

        ⑤ 在新建的组织单位上点击鼠标右键，选择菜单【新建】－【组】；

        ⑥ 输入组名，其它默认，点击【确定】；

        ⑦ 在新建的组织单位上点击鼠标右键，选择菜单【新建】－【用户】；

        ⑧ 输入用户名信息，点击【下一步】；

        ⑨ 输入密码，密码要符合系统的设置要求，比如长度、多符号等。默认是下次登录更改密码，为了省去麻烦，这里选择密码永不过期；

        ⑩ 用户设置完成，点击【完成】，就会建立一个用户了；

        ⑪ 为了方便的管理多个用户，可以把用户加入组，双击刚才建立的Fortinet组；

        ⑫ 点击成员子菜单，点击【添加】；

        ⑬ 输入需要加入到组的用户名，点击【确定】；

        ⑭ 可以看到用户已经加入到组中，如果需要加入多个用户，可以再次点击添加。完成后点击【确定】。根据上面步骤，可以建立多个组和用户，将用户加入组内方便管理。

  查看域结构

        在建立防火墙与域服务器连接的时候，我们需要根据域结构输入参数。

        ① 在Windows任务栏上点击菜单图标，在菜单中找到【管理工具】下的【ADSI编辑器】；

        ② 点击菜单【操作】下的【连接到】；

        ③ 默认为当前登录的域，点击【确定】；

        ④ 这样就可以看到整个域结构了。

---