【內容提要】活動目錄的概述活動目錄的組成活動目錄的安裝活動目錄（ActiveDirectory）是WindowsServer2008系統中提供的目錄服務，用于存儲網絡上各種對象的相關信息，以便于管理員查找和使用。活動目錄是企業IT管理的重要組成部分，掌握活動目錄對提高WindowsServer2008的管理技能具有非常重要的意義。本章討論活動目錄的基本概念、結構元素和特性，并介紹有關活動目錄服務的基本操作。活動目錄的概述活動目錄（ActiveDirectory）是WindowsServer2008操作系統提供的一種新的目錄服務。所謂目錄服務其實就是提供了一種按層次結構組織的信息，然后按名稱關聯檢索信息的服務方式。這種服務提供了一個存儲在目錄中的各種資源的統一管理視圖，從而減輕了企業的管理負擔。另外，它還為用戶和應用程序提供了對其所包含信息的安全訪問。活動目錄作為用戶、計算機和網絡服務相關信息的中心，支持現有的行業標準LDAP（LightweightDirectoryAccessProtocal，輕量目錄訪問協議）第8版，使任何兼容LDAP的客戶端都能與之相互協作，可訪問存儲在活動目錄中的信息，如Linux、Novell系統等。3.1.1目錄服務的含義目錄是一個用于存儲用戶感興趣的對象信息的信息庫。所謂目錄服務就是結構化的網絡資源信息庫，如計算機、用戶、打印機、服務器等。活動目錄（ActiveDirectory）是用于WindowsServer2008的目錄服務。它存儲著本網絡上各種對象的相關信息，并使用一種易于用戶查找及使用的結構化的數據存儲方法來組織和保存數據。在整個目錄中，通過登錄驗證以及目錄中對象的訪問控制，將安全性集成到ActiveDirectory中。3.1.2需要目錄服務的原因目錄服務可以實現如下的功能：（1）提高管理者定義的安全性來保證信息不受入侵者的破壞；（2）將目錄分布在一個網絡中的多臺計算機上，提高了整個網絡系統的可靠性；（3）復制目錄可以使得更多用戶獲得它并且減少使用和管理開銷，提高效率；（4）分配一個目錄于多個存儲介質中使其可以存儲規模非常大的對象。3.1.3活動目錄與域Windows域（Domain）是基于NT技術構建的Windows系統組成的計算機網絡的獨立安全范圍，是Windows的邏輯管理單位，也就是說一個域就是一系列的用戶賬戶、訪問權限和其他的各種資源的集合。活動目錄的結構如圖3.1所示。圖3.1活動目錄的結構1．對象對象（Object）是對某具體事物的命名，如用戶、打印機或應用程序等。屬性是對象用來識別主題的描述性數據。一個用戶的屬性可能包括用戶的Name、Email和Phone等，如圖3.2所示，是一個用戶對象和其屬性的表示。圖3.2用戶對象和它的屬性2．域域（Domain）是WindowsServer2008活動目錄的核心單元，是共享同一活動目錄的一組計算機集合。域是安全的邊界，在默認的情況下，一個域的管理員只能管理自己的域，一個域的管理員要管理其他的域需要專門的授權。域也是復制單位，一個域可包含多個域控制器，當某個域控制器的活動目錄數據庫修改以后，會將此修改復制到其他所有域控制器。3．組織單元組織單元（OU，OrganizationalUnit）是組織、管理一個域內對象的容器，它能包容用戶賬戶、用戶組、計算機、打印機和其他的組織單元。4．樹樹（Tree），又稱為域樹，用來描述對象及容器的分層結構關系。域樹是由若干具有共同的模式、配置的域構成的，形成了一個臨近的名字空間。在樹中的域也是通過信任關系連接起來的。活動目錄是一個或更多樹的集合。樹可以通過兩種途徑表示，一種是域之間的關系，另一種是域樹的名字空間一棵WindowsServer2008域樹就是一個DNS名字空間。域樹名字空間具有以下特點：（1）一棵樹只有一個名字，即位于樹根處的域的DNS名字；（2）在根域下面創建的域（子域）的名字總是與根域的名字鄰接；（3）一棵樹子域的DNS名字是反映該組織機構的。5．樹林樹林（Forest）：樹林是一棵或多棵WindowsServer2008活動目錄樹的集合。各樹之間地位相當，由雙向傳遞的信任關系相關聯。單個域組成一棵單域的樹，單棵樹組成單樹的樹林。樹林與活動目錄是同一個概念，也就是說，一個特定的目錄服務實例（包括所有的域、所有的配置和模式信息）中的全部目錄分區集合組成一片樹林。3.2ActiveDirectory的物理結構3.2.1域控制器域控制器是運行ActiveDirectory的WindowsServer2008服務器。由于在域控制器上，ActiveDirectory存儲了所有的域范圍內的賬戶和策略信息，如系統的安全策略、用戶身份驗證數據和目錄搜索。賬戶信息可以屬于用戶、服務和計算機賬戶。由于有ActiveDirectory的存在，域控制器不需要本地安全賬戶管理器（SAM）。在域中作為服務器的系統可以充當以下兩種角色中的任何一種：域控制器或成員服務器。3.2.2站點ActiveDirectory中的站點代表網絡的物理結構或拓撲。ActiveDirectory使用在目錄中存儲為站點和站點連接對象建立起最有效的復制拓撲。可以將站點定義為由一個或多個IP子網的一組連接良好的計算機集合。站點與域不同，站點代表網絡的物理結構，而域代表組織的邏輯結構。站點在概念上不同于WindowsServer2008的域，因為一個站點可以跨越多個域，而一個域也可以跨越多個站點。站點并不屬于域名稱空間的一部分，站點控制域信息的復制，并可以幫助確定資源位置的遠近。站點反映網絡的物理結構，而域通常反映組織的邏輯結構。3.3域信任關系信任是域之間建立的關系，它可使一個域中的用戶由處在另一個域中的域控制器來進行驗證。WindowsServer2008域之間信任關系建立在Kerberos安全協議上。WindowsServer2008樹林中的所有信任都是可傳遞的、雙向信任的，因此，信任關系中的兩個域都是相互受信任的。如圖3.4所示。圖3.4一個域樹和它的信任關系表示8.4ActiveDirectory的安裝ActiveDirectory和DNS具有相同的層次結構。DNS區域可存儲在ActiveDirectory中。如果要使用WindowsServer2008DNS服務，主區域文件可存儲在ActiveDirectory中，用于復制到其他ActiveDirectory域控制器中。ActiveDirectory客戶使用DNS來定位域控制器。將WindowsServer2008服務器的基本系統安裝完成之后，可以通過手動安裝域名服務器（DNS）和DCPromo（創建DNS和ActiveDirectory的命令行工具），也可以使用“WindowsServer2008管理服務器”向導進行安裝。下面介紹具體的安裝方法。8.4.1域控制器的安裝1．WindowsServer2008管理服務器安裝安裝ADDS之前需驗證WindowsServer2008系統、配置TCP/IPv4屬性、設置ADDS的數據庫、日志文件以及SYSVOL文件夾。在計算機WIN上安裝ActiveDirectory域服務和DNS服務，域名為“”。WindowsServer2008管理服務器安裝（1）單擊“開始|運行”，在運行對話框中輸入“dcpromo”命令，出現如圖3.5所示的界面，開始安裝ActiveDirectory域服務二進制文件。圖3.5安裝ActiveDirectory域服務二進制文件WindowsServer2008管理服務器安裝（2）ActiveDirectory域服務二進制文件安裝完之后,將打開如圖3.6所示的”ActiveDirectory域服務安裝向導”，通過該向導把當前計算機配置為域控制器。圖3.6ActiveDirectory域服務安裝向導WindowsServer2008管理服務器安裝（3）單擊“下一步”按鈕，出現“操作系統兼容性”對話框。（4）單擊“下一步”按鈕，在出現的“選擇一部署配置”對話框中選擇“在新林中新建域”復選框，如圖圖3.7所示。圖3.7在新林中新建域WindowsServer2008管理服務器安裝（5）單擊“下一步”按鈕，出現“命名林根域”對話框，在“目錄林根級域的FQDN”文本框中輸入新的林根級完整的域名系統名稱為“”如圖3.8所示。圖3.8命名林根域WindowsServer2008管理服務器安裝(6)單擊“下一步”按鈕，開始檢查網絡中是否已經存在名為“”的林的名稱，如果沒有檢查到該林，則出現如圖3.9所示的對話框。圖3.9設置林功能級別WindowsServer2008管理服務器安裝（7）單擊“下一步”按鈕，出現如圖所示的“設置域功能級別”對話框。有Windows2000純模式、WindowsServer2003和WindowsServer2008三個域功能級別，默認域功能級別為Windows2000純模式。圖3.10設置域功能級別WindowsServer2008管理服務器安裝（8）單擊“下一步”按鈕，開始檢查計算機上DNS配置，檢查完畢出現“其他域控制器選項”對話框，選擇“DNS服務器”復選框將該計算機配置為DNS服務器，如圖3.11所示。在該對話框中的選項說明如下：圖3.11選擇其它域控制器WindowsServer2008管理服務器安裝（9）單擊“下一步”按鈕，彈出如圖3.12所示的界面，該信息表示因為無法找到有權威的父區域或者未運行DNS服務器，所以無法創建該DNS服務器的委派。圖3.12無法創建DNS委派WindowsServer2008管理服務器安裝（10）單擊“是”按鈕，出現“數據庫、日志文件和SYSVOL的位置”對話框，在該對話框中指定活動目錄數據庫、日志文件以及SYSVOL文件夾的存儲位置，其中SYSVOL文件夾必須存在NTFS文件系統的分區上，如圖3.13所示。圖3.13指定數據庫、日志文件以及SYSVOL文件夾的位置WindowsServer2008管理服務器安裝（11）單擊“下一步”按鈕，出現“目錄服務還原模式的Adminstrator密碼”對話框，在該對話框中指導定在目錄服務還原模式下所需的密碼，該密碼必須符合密碼策略規定的復雜性要求，如圖3.14所示。圖3.14設置目錄服務還原模式的Adminstrator密碼WindowsServer2008管理服務器安裝（12）單擊“下一步”按鈕，出現“摘要”對話框，在該對話框顯示以上步驟設置的相關信息。確認信息沒錯，則單擊“下一步”按鈕，開始安裝DNS和ActiveDirectory域服務，過程如圖3.15所示。圖3.15正在安裝ActiveDirectory域服務WindowsServer2008管理服務器安裝（13）整個安裝ActiveDirectory域服務需要幾分鐘時間，安裝完成后會出現如圖3.16所示“完成ActiveDirectory域服務安裝向導”對話框，表示ActiveDirectory域服務安裝成功。圖3.16完成ActiveDirectory域服務2．域控制器的刪除安裝好的域控制器的角色是可以更改的，可以使用“ActiveDirectory安裝向導”，在成員服務器上安裝ActiveDirectory以使其成為域控制器，也可從域控制器上刪除ActiveDirectory，使其成為成員服務器。圖3.21刪除域3.4.2將計算機加入到域將計算機添加到WindowsServer2008域中的詳細操作步驟：(1)打開需要添加進域的客戶端計算機“TCP/IP”屬性對話框，將首選DNS的IP地址設置為“”，如圖3.25所示.圖3.25設置首選DNS服務器將計算機加入到域(2)右鍵單擊“我的電腦”，然后單擊“屬性”按鈕。單擊“計算機名”選項卡，可以打開如圖3.26所示的界面。（3）記錄下完整的計算機名稱信息（備用）。（4）在控制面板中或桌面上“我的電腦”打開“系統”屬性。在“計算機名”選項卡上，單擊“更改”按鈕啟動計算機名稱更改，如圖3.27所示。

圖3.26“系統屬性”對話框中的“網絡表示”選項卡圖3.27計算機名稱更改將計算機加入到域（5）單擊“隸屬于”下面的“域”，輸入要加入的域的名稱，這里可以輸入””,然后單擊“確定”按鈕，提示用戶提供將計算機加入到域的用戶名和用戶密碼。（6）單擊“確定”按鈕關閉“系統屬性”對話框，將提示重新啟動計算機以便使用所做的改動,在出現的“用戶賬戶和域信息”頁面（如圖3.28所示）中，輸入ActiveDirectory用戶（域用戶組中的任何成員）的用戶名和密碼，然后單擊“下一步”按鈕。單擊“確定”按鈕，出現“歡迎加入域”頁面，說明A1計算機已成功加入域,如圖3.29所示。將計算機加入到域（7）單擊“確定”按鈕，最后，系統會提示“重新啟動計算機”。重新啟動計算機之后，系統所做的設置才會完全生效，如圖3.30所示。圖3.30重新啟動生效3.5域賬戶管理3.5.1域用戶賬戶ActiveDirectory用戶賬戶和計算機賬戶代表物理實體，如人或計算機。用戶賬戶也可用做某些應用程序的專用服務賬戶。用戶賬戶和計算機賬戶以及組也稱為安全主體。安全主體是被自動指派了安全標識符（SID）的目錄對象。用戶或計算機賬戶在系統中可以用于以下幾個方面。1．驗證用戶或計算機的身份2．授權或拒絕訪問域資源3．管理其他安全主體4．審核使用用戶或計算機賬戶執行的操作3.5.1域賬戶賬戶ActiveDirectory用戶賬戶和計算機賬戶代表物理實體，如人或計算機。用戶賬戶也可用做某些應用程序的專用服務賬戶。用戶賬戶和計算機賬戶以及組也稱為安全主體。安全主體是被自動指派了安全標識符（SID）的目錄對象。用戶或計算機賬戶在系統中可以用于以下幾個方面。（1）ActiveDirectory用戶賬戶。（2）保護ActiveDirectory用戶賬戶。（3）ActiveDirectory賬戶配置選項。（4）計算機賬戶。3.5.2域用戶組賬戶組是用戶和計算機賬戶、聯系人以及其他可作為單個單元管理的集合，屬于特定組的用戶和計算機稱為組成員。通過對ActiveDirectory中的組進行管理，可以實現如下功能：（1）簡化管理（2）委派管理組相關的基本概念1．組作用域組都有一個作用域，用來確定在域樹或林中該組的應用范圍。有3種組作用域：通用組、全局組和本地域組。（1）通用組的成員包括域樹或林中任何域中的其他組和賬戶，而且可在該域樹或林中的任何域中指派權限。（2）全局組的成員包括只在其中定義該組域中的其他組和賬戶，而且可在林中的任何域中指派權限。（3）本地域組的成員可包括WindowsServer2008、Windows2000或WindowsNT域中的其他組和賬戶，而且只能在域內指派權限，如表3.5所示。組相關的基本概念5．組類型組可用于將用戶賬戶、計算機賬戶和其他組賬戶收集到可管理的單元中。使用組而不是單獨的用戶可簡化網絡的維護和管理。ActiveDirectory中有兩種組類型：通信組和安全組。可以使用通信組創建電子郵件通信組列表，使用安全組給共享資源指派權限。（1）通信組。只有在電子郵件應用程序（如Exchange）中，才能使用通信組將電子郵件發送給一組用戶。如果需要組來控制對共享資源的訪問，則需創建安全組。（2）安全組。安全組提供了一種有效的方式來指派對網絡上資源的訪問權。使用安全組，可以將用戶權利指派到ActiveDirectory中的安全組，可以對安全組指派用戶權利以確定該組的哪些成員可以在處理域（或林）、作用域內工作。3.5.3組、用戶賬戶的創建1.組的創建WindowsServer2008中的組是可包含用戶、聯系人、計算機和其他組的ActiveDirectory或本機對象。通過使用組可以管理用戶和計算機對ActiveDirectory對象及其屬性、網絡共享位置、文件、目錄、打印機列隊等共享資源的訪問，也可以進行篩選器組策略設置，創建電子郵件通信組等。（1）單擊“開始”按鈕，指向“管理工具”，然后單擊“ActiveDirectory用戶和計算機”。（2）單擊“”旁邊的“+”號將其展開。單擊“”本身，顯示如圖3.28所示的右窗格的內容。3.5.3組、用戶賬戶的創建（3）在圖3.31的左窗格中，右鍵單擊“”，指向“新建”，然后單擊“組織單位”按鈕。圖3.31添加組織單位組的創建（4）在名稱框中輸入“student”，然后單擊“確定”按鈕,如圖3.32所示。圖3.32組織單位名稱（5）重復步驟3和4以創建“teacher”和“manager”組識單位（OU）。（6）在圖3.33的左窗格中單擊“student”，此時將在右窗格中顯示其內容（此過程開始時它是空的）。（7）右鍵單擊“student”，指向“新建”，然后單擊“組織單位”。圖3.33創建組織單位組的創建（8）輸入“zhilan”，單擊“確定”按鈕。（9）重復步驟7和8，在“student”中創建“fengze”和“zhilan”組識單位（OU）。在“Teacher”組識單位（OU）中創建“Computer”、“English”和“Math”,如圖3.34所示。圖3.34最終的組識單位（OU）結構組的創建（10）鼠標右鍵單擊“manager”，指向“新建”，然后單擊“組”以為創建兩個安全組。要添加的兩個組是“sunman”、“mathman”和“enlishman”,如圖3.32所示。每個組的設置應該是“全局”和“安全”。單擊“確定”按鈕，分別創建每個組。2、創建用戶賬戶下面的操作將在芷蘭學生宿舍區創建用戶。（1）在左窗格中，右鍵單擊“zhilan”，指向“新建”，然后單擊“用戶”。（2）輸入“san”作為“名”，輸入“zhang”作為“姓”（注意，在“姓名”框中將自動顯示全名），如圖3.36所示。圖3.36添加用戶2、創建用戶賬戶（3）輸入“zhangsan”作為“用戶登錄名”，窗口如圖3.36所示。（4）單擊“下一步”按鈕。（5）在“密碼”和“確認密碼”中，輸入“passwordstu”，然后單擊“下一步”繼續。2、創建用戶賬戶（6）單擊“完成”。此時，“zhangsan”作為用戶顯示在右窗格的“/student/zhilan”下面，如圖3.37所示。（7）重復步驟2到7，為“Fengze”和“Jinan”的組識單位（OU）添加多個不同的賬戶。圖3.37添加用戶之后的組織結構3.將用戶添加到安全組中操作步驟：（1）在圖3.37