Active Directory 是用于 Windows 2000 Server 的目錄服務。它存儲著網絡上各種對象的有關信息，并使該信息易于管理員和用戶查找及使用。Active Directory 目錄服務使用結構化的數據存儲作為目錄信息的邏輯層次結構的基礎。Active Directory 的優點：信息安全性 、基于策略的管理 、可擴展性 、可伸縮性 、信息的復制 、與 DNS 集成 、與其他目錄服務的互操作性、靈活的查詢。
　　本章主要內容：
　　1、活動目錄的基本概念及其作用
　　2、在安裝活動目錄前的目錄規劃
　　3、活動目錄工具
　　　　6.1 活動目錄的概念
　　　　6.1.1 域
　　　　域提供了多項優點：
　　§　組織對象。
　　§　發布有關域對象的資源和信息。
　　§　將組策略對象應用到域可加強資源和安全性管理。
　　§　委派授權使用戶不再需要大量的具有廣泛管理權利的管理員。

　　要創建域，用戶必須將一個或更多的運行 Windows 2000 Server 的計算機升級為域控制器。域控制器為網絡用戶和計算機提供 Active Directory 目錄服務、存儲目錄數據并管理用戶和域之間的交互作用，包括用戶登錄過程、驗證和目錄搜索。每個域至少必須包含一個域控制器。
　　　　域樹和域林
　　　　活動目錄中的每個域利用 DNS 域名加以標識，并且需要一個或多個域控制器。如果用戶的網絡需要一個以上的域，則用戶可以創建多個域。共享相同的公用架構和全局目錄的一個或多個域稱為域林。如圖 6.1 中所示，如果樹林中的多個域有連續的 DNS 域名，則該結構稱為域樹。

　　如圖6.2所示如果相關域樹共享相同的 Active Directory 架構以及目錄配置和復制信息，但不共享連續的 DNS 名稱空間，則稱之為域林。
　　　　域樹和域林的組合為用戶提供了靈活的域命名選項。連續和非連續的 DNS 名稱空間都可加入到用戶的目錄中。

　　6.1.2. 域和帳戶命名
　　　　Active Directory 域名通常是該域的完整 DNS 名稱。但是，為確保向下兼容，每個域還有一個 Windows 2000 以前版本的名稱，以便在運行 Windows 2000 以前版本的操作系統的計算機上使用。用戶帳戶
　　　　在 Active Directory 中，每個用戶帳戶都有一個用戶登錄名、一個 Windows 2000 以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個用戶主要名稱后綴。在創建用戶帳戶時，管理員輸入其登錄名并選擇用戶主要名稱。Active Directory 建議 Windows 2000 以前版本的用戶登錄名使用此用戶登錄名的前 20 個字節。
　　　　所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 Windows 2000 域的標準用法。表準格式為：user@domain.com (類似個人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號。Active Directory 在創建用戶主要名稱時自動添加此符號。包含多個 @ 號的用戶主要名稱是無效的。
　　　　在 Active Directory 中，默認的用戶主要名稱后綴是域樹中根域的 DNS 名。如果用戶的單位使用由部門和區域組成的多層域樹，則對于底層用戶的域名可能很長。對于該域中的用戶，默認的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認的登錄名可能是 user@grandchild.child.root.com 。創建主要名稱后綴 - "root" 使同一用戶使用更簡單的登錄名 user@root.com 就可以登錄。

　　6.1.3 域間信任關系
　　　　對于 Windows 2000 計算機，通過基于 Kerberos V5 安全協議的雙向、可傳遞信任關系啟用域之間的帳戶驗證。
　　　　在域樹中創建域時，相鄰域（父域和子域）之間自動建立信任關系。如圖 6.2 中的 root.com 和 child.root.com 之間自動建立信任關系。在域林中，在樹林根域和添加到樹林的每個域樹的根域之間自動建立信任關系。因為這些信任關系是可傳遞的，所以可以在域樹或域林中的任何域之間進行用戶和計算機的身份驗證。
　　　　如果將 Windows 2000 以前版本的 Windows 域升級為 Windows 2000 域時，Windows 2000 域將保留域和任何其他域之間現有的單向信任關系。包括 Windows 2000 以前版本的 Windows 域的所有信任關系。如果用戶要安裝新的 Windows 2000 域并且希望與任何 Windows 2000 以前版本的域建立信任關系，則必須創建與那些域的外部信任關系。
　　　　所有域信任關系都只能有兩個域：信任域和受信任域。域信任關系按以下特征進行描述：
　　§　單向
　　　　單向信任是域 A 信任域 B 的單一信任關系。所有的單向關系都是不可傳遞的，并且所有的不可傳遞信任都是單向的。身份驗證請求只能從信任域傳到受信任域。Windows 2000 的域可與以下域建立單向信任：不同樹林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 領域。
　　§　雙向
　　　　Windows 2000 樹林中的所有域信任都是雙向可傳遞信任。建立新的子域時，雙向可傳遞信任在新的子域和父域之間自動建立。

　　§　可傳遞
　　　　Windows 2000 樹林中的所有域信任都是可傳遞的。可傳遞信任始終為雙向：此關系中的兩個域相互信任。
　　　　可傳遞信任不受信任關系中的兩個域的約束。每次當用戶建立新的子域時，在父域和新子域之間就隱含地（自動）建立起雙向可傳遞信任關系。這樣，可傳遞信任關系在域樹中按其形成的方式向上流動，并在域樹中的所有域之間建立起可傳遞信任。
　　　　如圖6.3中因為域 1 和域 2 有可傳遞信任關系，域 2 和域 3 有可傳遞信任關系，所以域 3 中的用戶（在獲得相應權限時）可訪問域 1 中的資源。因為域 1 和域 A 具有可傳遞信任關系，

　　并且域 A 的域樹中的其他域和域 A 具有可傳遞信任關系，所以域 B 中的用戶（當授與適當權限時）可訪問域 3 中的資源。

　　§　不可傳遞
　　　　不可傳遞信任受信任關系中的兩個域的約束，并不流向樹林中的任何其他域。在大多數情況下，用戶必須明確建立不可傳遞信任。在 Windows 2000 域和 Windows NT 域之間的所有信任關系都是不可傳遞的。從 Windows NT 升級至 Windows 2000 時，目前所有的 Windows NT 信任都保持不動。在混和模式環境中，所有的 Windows NT 信任都是不可傳遞的。不可傳遞信任默認為單向信任關系。
　　§　外部信任
　　　　外部信任創建了與樹林外部的域的信任關系。創建外部信任的優點在于使用戶可以通過樹林的信任路徑不包含的域進行身份驗證。所有的外部驗證都是單向非轉移的信任
　　§　快捷信任
　　　　快捷信任是雙向可傳遞的信任，使用戶可以縮短復雜樹林中的路徑。Windows 2000 同一樹林中域之間的快捷信任是明確創建的?？旖菪湃尉哂袃灮男阅埽芸s短與 Windows 2000 安全機制有關的信任路徑以便進行身份驗證。在樹林中的兩個域樹之間使用快捷信任是最有效的。

　　　　6.1.4 站點
　　　　站點是由一個或多個 IP 子網中的一組計算機，確保目錄信息的有效交換，站點中的計算機需要很好地連接，尤其是子網內的計算機。站點和域名稱空間之間沒有必要的連接。站點反映網絡的物理結構，而域通常反映用戶單位的邏輯結構。邏輯結構和物理結構相互獨立，所以網絡的物理結構及其域結構之間沒有必要的相關性，Active Directory 允許單個站點中有多個域，單個域中有多個站點。
　　　　如果配置方案未組織成站點，則域和客戶之間的信息交換可能非常混亂。站點能提高網絡使用的效率。站點服務在以下兩方面令網絡操作更為有效：
　　§　服務請求
　　　　當客戶從域控制器請求服務時，只要相同域中的域控制器有一個可用，此請求就將會發給這個域控制器。選擇與發出請求的客戶連接良好的域控制器將使該請求的處理效率更高。
　　§　復制
　　　　站點使目錄信息以流水線的方式復制。目錄架構和配置信息分布在整個樹林中，而且域數據分布在域中的所有域控制器之間。通過有策略地減少復制，用戶的網絡擁塞也會同樣減少。Active Directory 在一個站點內比在站點之間更頻繁地復制目錄信息。這樣，連接最好的域控制器中，最可能需要特定目錄信息的域控制器首先接收復制的內容。其他站點中的域控制器接收對目錄所進行的更改，但不頻繁，以降低網絡帶寬的消耗。

　　6.1.5 Active Directory 用戶和計算機帳戶
　　　　Active Directory 用戶和計算機帳戶代表物理實體，諸如計算機或人。用戶帳戶和計算機帳戶（以及組）稱為安全主體。安全主體是自動分配安全標識符的目錄對象。帶安全標識符的對象可登錄到網絡并訪問域資源。用戶或計算機帳戶用于：
　　§　驗證用戶或計算機的身份。
　　§　授權或拒絕訪問域資源。
　　§　管理其他安全主體。
　　§　審計使用用戶或計算機帳戶執行的操作。
　　　　Windows 2000 提供了可用于登錄到運行 Windows 2000 的計算機的預定義用戶帳戶。這些預定義帳戶為：
　　§　管理員帳戶
　　§　來賓帳戶
　　　　預定義帳戶就是允許用戶登錄到本地計算機并訪問本地計算機上資源的默認用戶帳戶。設計這些帳戶的主要目的是本地計算機的初始登錄和配置。每個預定義帳戶均有不同的權利和權限組合。管理員帳戶有最廣泛的權利和權限，同時來賓帳戶有受限制的權利和權限。

　　6.1.6組策略
　　　　組策略設置影響計算機或用戶帳戶并且可應用于站點、域或組織單位。它可用于配置安全選項、管理應用程序、管理桌面外觀、指派腳本并將文件夾從本地計算機重新定向到網絡位置。

　　　　6.1.7集成DNS
　　　　由于 Active Directory 與 DNS 集成而且共享相同的名稱空間結構，因此注意兩者之間的差異非常重要：
　　§　DNS 是一種名稱解析服務。
　　　　DNS 客戶機向配置的 DNS 服務器發送 DNS 名稱查詢。DNS 服務器接收名稱查詢，然后通過本地存儲的文件解析名稱查詢，或者查詢其他 DNS 服務器進行名稱解析。DNS 不需要 Active Directory 就能運行。
　　§　Active Directory 是一種目錄服務

　　Active Directory 提供信息儲存庫以及讓用戶和應用程序訪問信息的服務。Active Directory 客戶使用"輕量級目錄訪問協議 (LDAP)"向 Active Directory 服務器發送查詢。要定位 Active Directory 服務器，Active Directory 客戶機將查詢 DNS。Active Directory 需要 DNS 才能工作。
　　　　即 Active Directory 用于組織資源，而 DNS 用于查找資源；只有它們共同工作才能為用戶或其他請求類似信息的過程返回信息。DNS 是 Active Directory 的關鍵組件，如果沒有 DNS，Active Directory 就無法將用戶的請求解析成資源的IP地址，因此在安裝和配置 Active Directory 之前，用戶必須對 DNS 有深入的理解。
　　　　6.1.8組織單位
　　　　包含在域中的特別有用的目錄對象類型就是組織單位。組織單位是可將用戶、組、計算機和其他單位放入其中的 Active Directory 容器。組織單位不能包括來自其他域的對象。組織單位是可以指派組策略設置或委派管理權限的最小作用域或單位。使用組織單位，用戶可在組織單位中代表邏輯層次結構的域中創建容器。這樣用戶就可以根據用戶的組織模型管理帳戶和資源的配置和使用。
　　6.2 安裝活動目錄(ADS)
　　　　6.2.1 Active Directory 的規劃
　　　　在安裝 Active Directory 之前，用戶首先要對 Active Directory 的結構進行細致的規劃設計，讓用戶和管理員在使用時更為輕松。
　　§　規劃 DNS
　　　　如果用戶準備使用 Active Directory，則需要先規劃名稱空間。當 DNS 域名稱空間可在 Windows 2000 中正確執行之前，需要有可用的 Active Directory 結構。所以，從 Active Directory 設計著手并用適當的 DNS 名稱空間支持它。經過審閱，如果檢測到任何規劃中有不可預見的或不合要求的結果，則根據需要進行修改。
　　　　在 Windows 2000 中，用 DNS 名稱命名 Active Directory 域。選擇 DNS 名稱用于 Active Directory 域時，以單位保留在 Internet 上使用的已注冊 DNS 域名后綴開始（如"root.com"），并將該名稱和單位中使用的地理名稱或部門名稱結合起來，組成 Active Directory 域的全名。
　　　　例如，root 的 sales 測試組可能稱他們的域為"sales.child.root.com"。這種命名方法確保每個 Active Directory 域名是全球唯一的。而且，這種命名方法一旦被采用，使用現有名稱作為創建其他子域的父名稱以及進一步增大名稱空間以供單位中的新部門使用的過程將變得非常簡單。對于僅使用單個域或小型多域模式的小型企業，可以直接進行規劃并按照與以前范例相似的方法操作。在規劃 DNS 和 Active Directory 名稱空間時，建議使用不同組而且不重疊的可分辨名稱作為內部和外部 DNS 使用的基礎。例如，假定單位的父域名是"example.root.com"。對于內部 DNS 名稱的使用，用戶可以使用諸如"internal.root.microsoft.com"的名稱 對于外部 DNS 名稱的使用，用戶可以使用諸如"external.example.microsoft.com"的名稱 保持內部和外部名稱空間始終是分離的而且截然不同，這樣用戶可以簡化某些配置的維護工作，如域名篩選器或排除列表。

　　§　規劃用戶的域結構
　　　　最容易管理的域結構就是單域。規劃時，用戶應從單域開始，并且只有在單域模式不能滿足用戶的要求時，才增加其他的域。一個域可跨越多個站點并且包含數百萬個對象。站點結構和域結構互相獨立而且非常靈活。單域可跨越多個地理站點，并且單個站點可包含屬于多個域的用戶和計算機。如果只是反映用戶公司的部門組織結構，則不必創建獨立的域樹。在一個域中，可以使用組織單位來實現這個目標。然后，可以指定組策略設置并將用戶、組和計算機放在組織單位中。
　　　　創建多個域的原因有：
　　§　部門之間不同的密碼要求
　　§　大量的對象
　　§　不同的 Internet 域名
　　§　對復制進行更多的控制
　　§　分散的網絡管理
　　§　規劃組織單位結構
　　　　可以在域中創建組織單位的層次結構。組織單位可包含用戶、組、計算機、打印機、共享文件夾以及其他組織單位。組織單位是目錄容器對象。它們表現為"Active Directory 用戶和計算機"中的文件夾。組織單位簡化了域中目錄對象的視圖以及這些對象的管理?？蓪⒚總€組織單位的管理控制權委派給特定的人。這樣，用戶就可以在管理員中分配域的管理工作，以更接近指派的單位職責的方式來管理這些管理性職責工作。

　　通常，應該創建能反映組織單位的職能或商務結構的單位。例如，用戶可以創建頂級單位，例如人事關系、設備管理和營銷等部門單位。在人事關系單位中，用戶可以創建其他的嵌套組織單位，例如福利和招聘單位。在招聘單位中，也可以創建另一級的嵌套單位。例如，內部招聘和外部招聘單位。總之，組織單位可使用戶以一種更有意義且易于管理的方式來模擬用戶實際工作的單位，而且在任何一級指派一個適當的本地權利機構作為管理員。
　　　　每個域都可實現自己的組織單位層次結構。如果用戶的企業包含多個域，則可以獨立于其他域中的結構在每個域中創建組織單位的結構。
　　§　何時創建域控制器
　　　　將 Windows 2000 Server 計算機升級為域控制器會創建一個新域或者向現有的域添加其他域控制器。創建域控制器可以：
　　§　創建網絡中的第一個域。
　　§　在樹林中創建其他的域。
　　§　提高網絡可用性和可靠性。
　　§　提高站點之間的網絡性能。
　　　　要創建 Windows 2000 域，必須在該域中至少創建一個域控制器。創建域控制器也將創建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域，則必須為每個附加的域至少創建一個域控制器。樹林中的附加域可以是：新的子域、新域樹的根。

　　§　規劃用戶的委派模式
　　　　用戶可以將權利下派給單位中最底層部門，方法是在每個域中創建組織單位樹，并將部分組織單位子樹的權利委派給其他用戶或組。通過委派管理權利，用戶不再需要那些定期登錄到特定帳戶的人員，這些帳戶具有對整個域的管理權。盡管用戶還擁有帶整個域的管理授權的管理員帳戶和域管理員器組，可以仍保留這些帳戶以備少數高度信任的管理員偶爾使用。
　　最后在規劃 Active Directory 結構時，除了需要認真考慮以上各項外，用戶還要注意以下幾點：
　　1．使用的域越少越好，因為在 Windows 2000 中已經大大擴展了單個域的容量。
　　2．限制組織單位的層次，在 Active Directory 搜索事物的層次越深則運行效率越低
　　3．限制組織單位中的對象個數，這樣便于高效的查找特定資源
　　4．用戶可以將管理權限分配到組織單位級，這樣提高了管理效率，降低了管理員的負荷。

　　6.2.2 安裝 Active Directory
　　　　運行 Active Directory 安裝向導將 Windows 2000 Server 計算機升級為域控制器會創建一個新域或者向現有的域添加其他域控制器。創建域控制器可以：
　　§　創建網絡中的第一個域。
　　§　在樹林中創建其他的域。
　　§　提高網絡可用性和可靠性。
　　§　提高站點之間的網絡性能。
　　　　要創建 Windows 2000 域，必須在該域中至少創建一個域控制器。創建域控制器也將創建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域，則必須為每個附加的域至少創建一個域控制器。樹林中的附加域可以是：新的子域、新域樹的根。

　　在安裝 Active Directory 前首先確定DNS服務正常工作，下面用戶來安裝根域為 nt2000.com 的域中第一臺域控制器。
　　　　步驟1 利用配置服務器啟動位于 %Systemroot%/system32 中的 Active Directory 安裝向導程序 DCPromo.exe。
　　　　如圖 6.4，單擊"下一步"
　　　　步驟2 由于用戶所建立的是域中的第一臺域控制器所以選擇"新域的域控制器" 單擊"下一步"

　　步驟3 選擇"創建一個新域的域目錄樹" ,單擊"下一步"
　　　　步驟4 選擇"創建一個新域的域目錄林", 單擊"下一步"
　　　　步驟5 在"新域的 DNS 全名"中輸入要創建得域名，nt2000.com
　　　　如圖 6.5,單擊"下一步"

　　步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為 "nt2000" ,單擊"下一步"
　　　　步驟7 顯示數據庫、目錄文件 及Sysvol 文件的保存位置，一般不必作修改。單擊"下一步"
　　　　步驟8 配置 DNS 服務,單擊"下一步",（如果在安裝 Active Directory 之前未配置 DNS 服務器可以在此讓安裝向導配置 DNS ，推薦使用這種方法。）
　　　　步驟9 為用戶和組選擇默認權限，考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 服務器之前版本相兼容的權限"
　　　　如圖 6.6,單擊"下一步"

　　步驟10 輸入以目錄恢復模式下的管理員密碼,單擊"下一步"
　　　　步驟11 安裝向導顯示摘要信息,單擊"下一步"開始安裝如圖6.7
　　　　步驟12 安裝完成之后，重新啟動計算機。
　　　　檢驗安裝結果
　　　　在安裝完成后，可以通過以下方法檢驗 Active Directory 安裝正確，在安裝過程中一項最重要的工作是在 DNS 數據庫中添加服務記錄( SRV 記錄)。
　　1．檢查 DNS 文件的SRV記錄
　　　　用文本編輯器打開 %systemroot%/system32/config/ 中的 Netlogon.dns 文件，察看 LDAP 服務記錄，在本例中為

　　_ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com.
　　2.驗證 SRV 記錄在 NSLOOKUP 命令工具中運行正常
　　　　步驟1 在命令提示行下，輸入 NSLOOKUP
　　　　步驟2 輸入 set type=srv
　　　　步驟3 輸入 _ldap._tcp.nt2000.com
　　　　如果返回了服務器名和 IP 地址，說明 SRV 記錄工作正常

　　6.2.3 安裝第二臺域控制器
　　　　在安裝完第一臺域控制器后其域名為 nt2000.com ,在上例中該服務器用于總公司，如果由于公司擴展的需要為其新建的工廠建立自己的域名和域控制器，則用戶將工廠的域名定義為 man.nt2000.com ，由于此域名與 nt2000.com 是連續的域名，所以他們組成了一個目錄樹，今后隨著工廠的發展用戶還可以在這個目錄樹下繼續逐級添加子域（如：accounting.man.nt2000.com），如果需要添加的域名與該目錄樹不連續（如：nt3000.com）則用戶就需要建立一個新的目錄樹，這樣由多個目錄樹組成了域目錄林。
　　　　在安裝第二臺域控制器之前，首先檢驗它的IP設置和DNS設置，以保證可以訪問域控制器（n2k_server.nt2000.com）。
　　　　步驟1 利用配置服務器啟動位于 %Systemroot%/system32 中的 Active Directory 安裝向導程序 DCPromo.exe 。如圖6.4，單擊"下一步"
　　　　步驟2 由于用戶所建立的是域中的一臺域控制器所以選擇"新域的域控制器" 單擊"下一步"
　　　　步驟3 選擇"在現有域目錄樹中創建一個新的子域" ,單擊"下一步"
　　　　步驟4 在"網絡憑據"對話框中輸入上一級域的域名及具有管理員權限的用戶名和密碼, 單擊"下一步"
　　　　步驟5 在"子域安裝"對話框中輸入父域域名（nt2000.com）和子域域名（man）,在下方的子域完整域名中會自動顯示 man.nt2000.com,單擊"下一步"
　　　　步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為"man",用戶也可以進行修改 ,單擊"下一步"
　　　　步驟7 顯示數據庫、目錄文件及 Sysvol 文件的保存位置，一般不必作修改。單擊"下一步"

　　步驟8 為用戶和組選擇默認權限，考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 服務器之前版本相兼容的權限",單擊"下一步"
　　　　步驟9 單擊"下一步"開始安裝，在重新啟動后，在 n2k_server.nt2000.com 的" Active Directory 域和信任關系"中將顯示新建的子域 man.nt2000.com 如圖6.8

　　6.3 活動目錄工具
　　　　在安裝完畢后，在管理工具中提供了三個工具

　　§　Active Directory 用戶和計算機
　　如圖 6.9

　　§　Active Directory 域和信任關系
　　如圖 6.10

　　§　Active Directory 站點和服務
　　如圖 6.11

　　系統還提供了 Active DirectorySchema 和 ADSI 主要用于 Active Direttory 開發的工具。Active Directory 域和信任關系、Active Directory 站點和服務工具主要用于管理多個服務器或多個域之間的關系，這不是本書的重點；Active Directory 用戶和計算機工具是配置互動目錄最常用的工具，在后續章節中用戶將詳細介紹它的使用方法。
　　　　當用戶登陸到網絡上，用戶可以看到活動目錄，
　　如圖 6.12

AD學習筆記8——活動目錄服務的基本安裝和配置