安装Active Directory
域控制器是通过安装Active Directory来创建的。执行安装Active Directory的账户必须是本地计算机Administrators组的成员,或者是被委派有Administrators的权限。如果将此计算机加入域,Domain Admins组的成员也可以执行此过程。
Active Directory的安装步骤如下。
STEP1 选择菜单“开始→所有程序→管理工具→管理你的服务器”命令(或者选择菜单“开始→运行”命令,并在文本框中输入“dcpromo”,单击“确定”按钮执行输入的命令),出现如图3-2所示的Active Directory安装向导。
STEP2 单击“下一步”按钮,出现如图3-3所示的“操作系统兼容性”提示对话框。
|
图3-2 Active Directory安装向导
|
|
图3-3 “操作系统兼容性”提示
|
系统提示Windows Server 2003增强的安全设置会影响以前Windows版本的使用,如果这些低版本需要登录域控制器,需要进行必要的设置。单击“兼容帮助”链接可获得帮助。
STEP3 单击“下一步”按钮,出现如图3-4所示的“域控制器类型”对话框。选中“新域的域控制器”单选按钮。
说明
|
安装的域控制器可以是新域的域控制器,也可以是现有域的额外域控制器。如果网络中没有安装域控制器,则需要选中“新域的域控制器”单选按钮。
|
STEP4 单击“下一步”按钮,出现如图3-5所示的“创建一个新域”对话框。选中“在新林中的域”单选按钮。
|
图3-4 选择域控制器类型
|
|
图3-5 选择建新域的类型
|
说 明
|
创建一个新域,可以是新林中的域、现有域树中的子域和现有林中的域树。
|
STEP5 单击“下一步”按钮,出现如图3-6所示的“新的域名”对话框。在“新域的DNS全名”文本框中,输入完整的DNS名称,如“myzyy.com”。
STEP6 单击“下一步”按钮,出现如图3-7所示的“NetBIOS域名”对话框。系统自动将DNS名称的前部分作为NetBIOS名称。
|
图3-6 输入新的域名
|
|
图3-7 输入NetBIOS域名
|
说 明
|
在网络中的NetBIOS名称必须是惟一的,但NetBIOS名称可以和DNS名称不同。
|
STEP7 单击“下一步”按钮,出现如图3-8所示的“数据库和日志文件文件文件夹”对话框。
从数据安全和磁盘管理角度考虑,最好把域数据库和日志文件放在不同的磁盘分区上。这里可以指定数据库文件夹和日志文件夹的位置。
STEP8 单击“下一步”按钮,出现如图3-9所示的“共享的系统卷”对话框。
|
图3-8 选择数据库文件夹和日志文件夹
|
|
图3-9 输入“共享的系统卷”的位置
|
SYSVOL文件夹是存放域公用文件的服务器副本。可在文本框中输入SYSVOL文件夹的位置,或者单击“浏览”按钮并选择SYSVOL文件夹的位置。
STEP9 单击“下一步”按钮,出现如图3-10所示“DNS注册诊断”对话框。
通过诊断结果可以查看产生的错误,并可以单击列表框中的“帮助”链接获得纠正错误的步骤。
错误问题纠正后,选中“我已经更正了错误,再次执行DNS诊断测试”单选按钮,并单击“下一步”按钮,系统再次出现诊断结果对话框。
重复以上操作,直到诊断结果没有错误提示。
选中“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器”单选按钮。
STEP10 单击“下一步”按钮,出现如图3-11所示的“权限”对话框。
|
图3-10 “DNS注册诊断”对话框
|
|
图3-11 选择兼容权限
|
如果域中有Windows 2000之前的服务器操作系统,选中“与Windows 2000之前的服务器操作系统兼容的权限”单选按钮;如果域中不需要与Windows 2000之前的服务器操作系统兼容,则选中“只与Windows 2000或Windows Server 2003操作系统兼容的权限”单选按钮。
STEP11 单击“下一步”按钮,出现如图3-12所示的“目录服务还原模式的管理员密码”对话框。
输入“还原模式密码”和“确认密码”。还原模式的密码在该服务器目录服务还原时使用。
STEP12 单击“下一步”按钮,出现如图3-13所示的“摘要”信息对话框。可查看域服务器的配置内容,如果需要修正,可单击“上一步”按钮返回。
|
图3-12 密码输入对话框
|
|
图3-13 “摘要”信息对话框
|
STEP13 单击“下一步”按钮,开始配置Active Directory,如图3-14所示。
可以在配置Active Directory的同时,安装和配置DNS,也可以单击“跳过DNS安装”按钮,跳过DNS安装。
STEP14 完成Active Directory配置后,出现如图3-15所示的“正在完成Active Directory安装向导”对话框。单击“完成”按钮,出现如图3-16所示的重新启动计算机对话框。
|
图3-14 正式安装对话框
|
|
图3-15 完成安装向导对话框
|
|
图3-16 系统提示重新启动Windows
|
单击“立即重新启动”按钮,重新启动Windows系统,完成Active Directory和域控制器的安装。
提升域功能级别
域的功能级别有Windows 2000混合、Windows 2000本机、Windows Server 2003临时和Windows Server 2003。Windows Server 2003在安装Active Directory之后,默认的功能级别是Windows 2000纯模式。Windows Server 2003环境下,域控制器在提升域的功能级别后,还可以使用一些新的域或林范围的Active Directory功能。
当域或林的功能级别升级到Windows Server 2003后,可以启用域和林范围的Active Directory功能如下。
域控制器重命名工具。
域的重命名。
用户和计算机账户的不同位置选项。
林信任。
林的重新构建。
已失效的架构对象。
动态辅助类。
全局编录复制改进。
复制增强。
在域或林之间对资源的用户访问控制。
提升域功能级别的步骤如下。
STEP1 选择菜单“开始→所有程序→管理工具→Active Directory用户和计算机”命令,出现如图3-17所示的“管理工具”控制台。
|
图3-17 选择“提升域功能级别”命令
|
STEP2 选中域名“myzyy.com”,单击鼠标右键,并在弹出的快捷菜单中选择“提升域功能级别”命令,出现如图3-18所示的“提升域功能级别”对话框。当前可用的域功能级别有“Windows 2000纯模式”和“Windows Server 2003”。为了提升域功能的级别,选中“Windows Server 2003”选项,然后单击“提升”按钮,出现如图3-19所示的“提升域功能级别”的提示对话框。
|
图3-18 选择域功能级别
|
|
图3-19 确认提升域功能级别
|
说明
|
提升域功能级别会影响整个域,并且提升域功能之后将无法还原,只有删除Active Directory后重新安装。如果域中有多台域控制器,只需提升一台计算机的域功能级别,就能让其复制到每个域控制器。
|
STEP3 单击“确定”按钮,开始提升域功能级别。
STEP4 域功能级别提升成功后,出现如图3-20所示的成功提升域功能级别的消息框。
|
图3-20 成功提升域功能级别
|
单击“确定”按钮退出。
STEP5 选择菜单“开始→所有程序→管理工具→Active Directory域和信任关系”命令,出现“Active Directory 域和信任关系”控制台。选中域名“myzyy.com”,单击鼠标右键,并在弹出的快捷菜单中选择“属性”命令,出现如图3-21所示的“myzyy.com属性”对话框。此计算机的域功能级别为“Windows Server 2003”,系统默认的林功能级别为“Windows 2000”,说明域功能级别升级成功。
|
图3-21 “myzyy.com属性”对话框
|
配置域用户账户
当用户需要访问域中的网络资源时,首先要将其加入到域中。只有域管理员才能为用户创建一个域账户,用以对域的访问。
配置域用户账户的步骤如下。
STEP1 选择菜单“开始→所有程序→管理工具→Active Directory用户和计算机”命令,出现 “Active Directory用户和计算机”控制台窗口。
STEP2 选中域名“myzyy.com”,然后单击鼠标右键,并在弹出的快捷菜单中选择“新建→用户”命令,如图3-27所示,在出现的如图3-28所示的“新建对象用户”对话框中输入姓、名、用户登录名等信息。STEP3 单击“下一步”按钮,出现如图3-29所示的对话框,用以输入密码和确认密码。根据需要可对该域名账户设置下面的选项。
STEP4 单击“下一步”按钮,出现如图3-30所示的账户创建信息。列表框中显示了新创建的账户信息的全称、用户登录名和密码设置情况。单击“完成”按钮,完成域账户创建。
|
图3-27 选择“新建→用户”命令
|
|
图3-28 设置新建用户对象
|
|
图3-29 输入用户的密码和确认密码
|
|
图3-30 确认创建账户的信息
|
STEP5 选中新创建的域账户,单击鼠标右键,并在弹出的快捷菜单中选择“属性”命令,出现选择“常规”选项卡,如图3-31所示。可在此选项卡中修改账户的属性,如姓、名、登录名、描述等。
STEP6 选择“账户”选项卡,如图3-32所示。
|
图3-31 “常规”选项卡
|
|
图3-32 “账户”选项卡
|
在此选项卡中描述了账户的基本信息。用户可以对账户的登录名称、密码和账户进行设置。如设置账户到期时间、密码是否过期等。'
STEP7 选择“隶属于”选项卡,打开如图3-33所示的账户权限设置对话框。
|
图3-33 “隶属于”选项卡
|
域管理员通过设置账户所隶属的组,来设置账户不同的权限。另外,还可以对其他选项卡进行其他方面的设置,这里不再一一详述。
STEP8 完成设置后,分别单击“应用”和“确定”按钮后退出。
配置域组账户
根据业务和管理需要,管理员可以创建新的组账户,并授予相应的访问权限,使其具有域控制器内部域组账户相似的功能。
配置域组账户的步骤如下。
STEP1 选择菜单“开始→所有程序→管理工具→Active Directory用户和计算机”命令,进入控制台,选中控制台左侧目录树中相应的“组”,单击鼠标右键,然后从弹出的快捷菜单中选择“操作→新建→组”命令,出现如图3-34所示的“新建对象一组”对话框。
|
图3-34 设置组对象
|
组作用域有以下3种选择。
本地域:只能在本地域中使用,可赋予资源访问权限。
全局:可以在整个Active Directory中使用。
通用:可在本域或信任域间使用。
组类型分为安全组和通讯组,安全组可以赋予访问资源,通讯组可以集中发送邮件。
在文本框中输入组名,如“gl”,组作用域选择“全局”,组类型选择“安全组”。
STEP2 单击“确定”按钮,返回如图3-35所示的控制台,此时组账户“gl”已经在列表中。
STEP3 选中组名“gl”,单击鼠标右键,并在弹出的快捷菜单中选择“属性”命令,出现如图3-36所示的组属性对话框。在“常规”选项卡中,可更改组的名称、组的作用域和组类型。注意,更改组类型会导致组的权限遗失。
|
图3-35 “组”列表
|
|
图3-36 “常规”选项卡
|
STEP4 选择“成员”选项卡,在如图3-37所示的对话框中,可将其他的Active Directory对象作为这个组的成员,这个成员将继承这个组的权限。
STEP5 选择“隶属于”选项卡,在如图3-38所示的对话框中,可将这个组设置为隶属于其他组的成员。
|
图3-37 为组添加成员
|
|
图3-38 为组添加隶属成员
|
STEP6 选择“管理者”选项卡,在如图3-39所示的对话框中,可选择这个组的管理者。管理者可为该组更新成员。
|
图3-39 为组设置管理者
|
STEP7 完成设置后,分别单击“应用”和“确定”按钮后退出。