AD域活动目录的安装、校验与管理

活动目录的安装、校验与管理
Windows 2000 Server 的目录服务称作活动目录（Active Directory） 。它存储着网络上各种对象的有
关信息，并使该信息易于管理员和用户查找及使用。Active Directory使用结构化的数据存储作为目录信息
的逻辑层次结构的基础。
Active Directory 的优点：信息安全性 、基于策略的管理 、可扩展性 、可伸缩性 、信息的复制 、
与 DNS 集成 、与其他目录服务的互操作性、灵活的查询。
6.1 活动目录的概念
6.1.1活动目录概念
1.活动目录
Windows 2000中的活动目录是一个目录服务，只要我们明白了目录服务也就明白了活动目录。
目录服务由两部分内容构成，一部分是目录；一部分是服务，在目录部分决定了我们的目录服务系统
里都能放那些东西、放那些对象，这些对象如何来进行存放等等。我们的目录决定了这样一些信息，就好
像你是一个库房管理员，由你决定库房里存放什么东西，如桌子、工具、及其零部件等等，作为库房管理
员来说你当然要合理的摆放这些东西，如果有人要求存放爆炸物品，你会说对不起我的库房不适合存放爆
炸物品。这就和我们的目录类似，目录决定了存储的问题。
服务（Service）是对我们提出要求的正确响应。活动目录的最终目的是方便用户使用其上的内容，目
录是放置存储信息，服务是按我们的要求来提取信息。
当前的操作系统中目录服务有多种，如Netware，UNIX等都有自己的目录服务，大型多用户操作系统
的特性之一是具有目录服务结构。活动目录是所有目录服务的一种，用它来对网络进行管理。
2. 对活动目录的要求
• 最简单的可扩展性
• 基于Internet标准
• 灵活并且足够的安全性
• 可以增加升级和迁移
• 更灵活的支持组织结构的变化
3.活动目录的组件
（1）简单的用户管理
包括用户和组织的管理和用户设备管理，用户和组织管理是以前NT4中就有的，用户设备管理是
Windows 2000新增加的，我们可以在活动目录中对打印机、共享文件夹等进行管理。这样的好处是在设备
和用户之间增加了一道墙，这道墙就是活动目录，使用户不知道、也不关心网络设备的运行情况，网络管
理员也不需要让用户知道这些情况。
（2）验证和授权服务
在活动目录中我们首先要实现的是对活动目录中数据的保护，在保护的前提下，使得数据易于我们访
问。Windows 2000的验证和授权服务是基于互联网标准。
（3）目录管理
包括目录合并和目录同步问题，如我们在Windows 2000系统中安装了邮件系统（Exchange Server
5.5），我们希望在Windows 2000系统中创建一个用户的同时，自动在邮件系统中创建一个邮箱；在邮件系
统创建一个邮箱的同时，自动在Windows 2000系统中创建一个用户。活动目录就可以帮助我们实现这一
点，因为它有接口可以供我们来用，因此我们才能实现这样的目标，这些接口都是由目录管理来负责的。
（4）结构服务
页码，1/29 第一章
包括目录激活的网络和目录激活的服务。我们可以举一个简单的例子来说明，网络管理员可以为每一
个用户指定它可以使用的网络带宽，如网络管理员因为他的管理维护工作量较大，可以为自己保留一个1
兆的带宽，对普通用户可以指定10K或50K的带宽，这里注意除Windows 2000支持以外，还需网络硬件支
持。
（5）应用程序管理
主要是发布客户需要的应用程序和基于策略的应用程序配置，由于活动目录实现了对应用程序的管
理，对一个Windows 2000的网络管理员来说，如果用户应用程序发生故障，管理员可以把一个好的计算机
安装到用户那里，打开计算机电源开关后，管理员就可以走了，回去慢慢研究用户的计算机到底出了什么
故障，而用户只需要坐在那台新的计算机旁等待鼠标不再处于忙的状态的时候，就可以使用计算机了，用
户会发现他以前存储的文件和数据及安装的应用程序都存在。这就是应用程序管理给我们带来的目标。当
我们的网络真正升级到Windows 2000并且部署完毕之后，一个管理员要做的日常工作时非常少的。
4.活动目录支持的技术
活动目录支持的技术包括TCP/IP、DHCP、DNS、X.509（验证机制）、Kerberos（身份验证机制）、
LDIF、LDAP等。
6.1.2活动目录的逻辑结构
活动目录的逻辑结构包括域（Domain）、树（Trees）、森林（Forests）和组织单元（Organization
Units）。
1.域（Domain）
域的概念是随着网络技术的发展而提出的一个新概念，最初的计算机是没有管理的，随着联网的计算
机数量越来越多，我们越来越需要对联网的计算机进行管理。我们可以使用“工作组”方式来对计算机进
行管理，一般情况下这种方法管理的计算机数少（不超过10台）；对于一个企业或公司，随着它的发展和
信息化的普及，网络上的计算机会越来越多，这种“工作组”的管理方式渐渐的不再适应我们的需求，于
是我们就开始使用域这样的概念。
域和工作组都是对计算机进行逻辑组织的方式，即都管理网络的方式。但是，实现的方法目的是不一
样的。
用域对计算机进行管理具有这样几个特点：
（1）域是一个安全的边界
其含义就是说在域中，所有的对象是处于一个安全的堡垒之内，域和域之间是不同的安全堡垒之间的
关系，任何一个对象都不可以穿越安全堡垒，这一点是和Windows NT是一样的。无论什么时候，我们都
是登录到域上，在域中进行身份验证，而不是在任何其他的地方。Windows 2000只在域中有安全性设计，
其它地方都没有，域是活动目录中最基本的组件和结构，域和域之间有信任关系。
(2) 域是一个复制的单元
在Windows 2000中，域控制器的地位基本上是平等的。如果一个域的内部有多个域控制器，在任何一
个域控制器上都可以进行用户的添加、修改和删除工作，因此我们就会有了这样的问题，如果在一个域控
制器上创建了用户账户的话，那么当这个用户登录时，经过其它域控制器进行身份验证是否能通过？当然
我们说它本来就属于这个域，无论找到域中的任何一个域控制器进行身份验证都是可以通过的。这件事是
依赖于复制单元来实现的，活动目录的复制保证了同一个域内的所有域控制器上的内容完全一致。那么当
我们在一个域控制器上创建一个用户时，很快域内的所有域控制器都可以得到这个用户的信息，因此，当
这个用户登录域时，无论找到那一个域控制器都是没有问题的。这是复制单元的第一个方面。
复制单元的第二个方面是指在域和域之间进行复制。
（3）域的模型：
Windows 2000域的模型有二种：混合模式（Mix Mode）和私有模式（Native Mode）。
混合模式是指在Windows 2000的域中包含有Windows NT的备份域控制器（BDC）,这样的一个域我们
就称为混合域模式。换句话说就是，一个Windows 2000的域控制器不能在一个NT4.0中作备份域控制器，
意味着它必须做主域控制器。
页码，2/29 第一章
混合模式从设置上，我们很容易想到是为了一步一步地从Windows NT升级到Windows 2000。当我们
需要将Windows NT升级到Windows 2000时，我们可以先将Windows NT的主域控制器升级到Windows
2000的域控制器，让Windows NT的域和 Windows 2000的域共存一段时间，当我们感觉系统都很稳定、一
切都正常时，再将Windows NT的备份域控制器升级到Windows 2000，这时我们可以将混合模式转化为私
有模式。缺省情况的域模式是混合模式，
私有模式：Windows 2000域的默认模式是私有模式，当域中只有Windows 2000的域控制器时，我们可
以将域的混合模式转换为私有模式，注意这种转换是一个不可逆的过程。只有在私有模式才能全部发挥
Windows 2000域的全部功能。
2.域树（Trees）
域树是一个或多个与根域有信任关系的域的集合。在域树中我们首先要理解的是信任关系（Trust
Relation Ship）概念。
信任关系是两个域之间安全信息的通信连接。这里需要我们理解两层含义，一是信任关系是一个通信
连接，如果两个域之间没有信任关系，则这两个域之间是没有这种通信连接的，没有这种通信连接并不是
说这两个域之间不能拷贝数据；二是这个通信连接上传输的是安全信息，如用户名、口令等就是安全信
息，两个域之间拷贝数据是不需要信任关系的。Windows 2000中域的信任关系具有以下特点：
• 双向性：如果A域信任B，则B域就信任A域。
• 可传递性：如果A域信任B， B域信任C域，则A域就信任C域。
• Kerberos：使用Kerberos作为身份验证的机制。Kerberos采用DES（数据加密标准）在网上保护由系
统和用户发送的信息。
信任关系是Windows 2000内置自动创建的，在安装活动目录时，如果含有多个域，那么系统会提示创
建信任关系。在Windows 2000的活动目录里，任何两个域之间都是信任的，任何两个域之间都可以创建信
任关系。我们手工建立的信任关系只是在已经信任的两个域上建立信任关系的快捷方式，有时我们称这种
信任关系为“快捷信任”（Show a Card）。
创建“快捷信任”的目的是为了提高访问速度。有时我们也需要在Windows 2000域和Windows NT域
之间手工创建信任关系，它完全符合Windows NT信任关系的特点（单向的、不可传递的信任），使用
NTLM进行身份验证，而不是使用Kerberos。
3.根域
每一个域树都有一个根域，根域的作用是为我们提供了一个连续命名空间的开始。也就是说，域树和
DNS采用的是同一套命名空间，域树的根域定义了活动目录或者说DNS命名空间的开始。
根域下面的所有子域都从根域那里来继承名字。

图6-1 域树结构
Windows 2000所有域之间内置的信任关系提供了访问和控制资源的可能，这种可能的实现需要授权，
没有授权这种信任关系的建立也只是形式，达不到资源共享的目的。
4.域林（Forest）
域树的集合称为域林。域林中可以有多棵域树的存在，域林中不会有一个共享的连续命名空间，域林
是将不共享连续命名空间的域树组合在一起。
域林的形成：从DNS的角度来说，任何一个域树都要有一个根域；Windows 2000的网络中也要先定义
页码，3/29 第一章
根域再去定义其它的域。域林的最大特点是不连续的命名空间。
域林主要应用于公司合并的情况下，因为每一个公司的域树都有一个连续的命名空间，公司合并后，
为了达到资源共享的目的，需要把这几棵域树合并成域林。
域林的根域：域林中第一棵树的根域叫做域林的根域，这个根域的管理员叫做域林管理员。在域林
中，域林管理员的权利是最大的，他可以做任何事情，由域林管理员来实现公司的统一管理。
在域、域树和域林这三部分中，域和域林都有管理员，域树没有管理员。
6.1.3域控制器
1.域服务器
简单的说，活动目录存在的那台计算机就是域服务器，也叫域控制器（DC）。活动目录的全部内容
存放在域控制器上，它负责活动目录数据库的维护、用户身份的验证和活动目录的安全性。
Windows 2000域中的任何一台域控制器都有权决定用户是否可以登录到域和用户账户的创建等事情，
域控制器使用复制机制来维护活动目录的完整信息。
2.域服务器（DC）和普通服务器（Member Server）的区别
域服务器和普通服务器最主要的区别是在计算机上是否存放了活动目录的数据库文件，如果是就称该
计算机为域服务器，如果不是，则该计算机就是普通服务器。普通服务器一般是为专门的功能而设的，如
数据库服务器、文件服务器、邮件服务器等等。域服务器的最主要的功能是对用户的身份验证并且维护整
个活动目录数据库和对外提供服务，由活动目录提出的服务都是由域服务器来完成。
6.2活动目录的安装
6.2.1 安装的要求
（1）必须是安装了Windows 2000 Server或Windows 2000 Advanced Server和Windows 2000 Datacenter
Server的计算机。
（2）要求硬盘上至少有200兆空