1、Windows Server 2003 域及其賬戶管理第九章內容提要活動目錄的概述活動目錄的組成活動目錄的安裝 活動目錄（Active Directory）是Windows Server 2003系統中提供的目錄服務，用于存儲網絡上各種對象的相關信息，以便于管理員查找和使用。活動目錄是企業IT管理的重要組成部分，掌握活動目錄對提高Windows Server 2003的管理技能具有非常重要的意義。本章討論活動目錄的基本概念、結構元素和特性，并介紹有關活動目錄服務的基本操作。29.1 活動目錄的概述活動目錄（Active Directory）是Windows Server 2003操作系統提供的

2、一種新的目錄服務。所謂目錄服務其實就是提供了一種按層次結構組織的信息，然后按名稱關聯檢索信息的服務方式。這種服務提供了一個存儲在目錄中的各種資源的統一管理視圖，從而減輕了企業的管理負擔。另外，它還為用戶和應用程序提供了對其所包含信息的安全訪問。活動目錄作為用戶、計算機和網絡服務相關信息的中心，支持現有的行業標準LDAP（Lightweight Directory Access Protocal，輕量目錄訪問協議）第3版，使任何兼容LDAP的客戶端都能與之相互協作，可訪問存儲在活動目錄中的信息，如Linux、Novell系統等。39.1.1 目錄服務的含義目錄是一個用于存儲用戶感興趣的對象信息的

3、信息庫。活動目錄（Active Directory）是用于Windows Server 2003 的目錄服務。它存儲著本網絡上各種對象的相關信息，并使用一種易于用戶查找及使用的結構化的數據存儲方法來組織和保存數據。在整個目錄中，通過登錄驗證以及目錄中對象的訪問控制，將安全性集成到 Active Directory中。通過一次登錄（Single Sign-On，SSO），管理員可管理整個網絡中的目錄數據和單位，而且獲得授權的網絡用戶可訪問網絡上所有的資源。這種基于策略的管理模式大大地減輕了復雜網絡的管理復雜度和工作量。49.1.2 需要目錄服務的原因目錄服務可以實現如下的功能：（1）提高管理者定

4、義的安全性來保證信息不受入侵者的破壞； （2）將目錄分布在一個網絡中的多臺計算機上，提高了整個網絡系統的可靠性；（3）復制目錄可以使得更多用戶獲得它并且減少使用和管理開銷，提高效率；（4）分配一個目錄于多個存儲介質中使其可以存儲規模非常大的對象。目錄服務既是管理工具又是終端用戶工具。當網絡中對象的數目增加時，目錄服務變得很重要。因此，從這一點上可以將目錄服務看做是一個大的分布系統的轉換中心，用戶可以利用該中心快捷的管理并使用其中的資源。59.1.3 活動目錄與域Windows域（Domain）是基于NT技術構建的Windows系統組成的計算機網絡的獨立安全范圍，是Windows的邏輯管理單位，

5、也就是說一個域就是一系列的用戶賬戶、訪問權限和其他的各種資源的集合。活動目錄由一個或多個域構成，一個域可以跨越不止一個物理地點。每一個域都有它自己的安全策略和本域與其他域之間的安全關系。當多個域通過信任關系連接起來并且擁有共同的模式、配置和全局目錄時，它們就構成了一個域樹。多個域樹可以連接起來形成一個樹林。6活動目錄的結構圖7對象對象（Object）是對某具體事物的命名，如用戶、打印機或應用程序等。屬性是對象用來識別主題的描述性數據。一個用戶的屬性可能包括用戶的Name、Email和Phone等8域域（Domain）是Windows Server 2003活動目錄的核心單元，是共享同一活動目錄

6、的一組計算機集合。域是安全的邊界，在默認的情況下，一個域的管理員只能管理自己的域，一個域的管理員要管理其他的域需要專門的授權。域也是復制單位，一個域可包含多個域控制器，當某個域控制器的活動目錄數據庫修改以后，會將此修改復制到其他所有域控制器。9組織單元組織單元（OU，Organizational Unit）是組織、管理一個域內對象的容器，它能包容用戶賬戶、用戶組、計算機、打印機和其他的組織單元。很明顯，通過組織單元的包容，組織單元具有很清楚的層次結構。使用組織單位可幫助管理員將網絡所需的域數量降到最低，組織單位還可以創建縮放到任意規模的管理模型。這種包容結構可以使管理者將組織單元切入到域中來反

7、映出企業的組織結構，同時管理者還可以委派任務與授權。使用組織單位，可以在組織單位中代表邏輯層次結構的域中創建容器，這樣就可以根據實際的組織模型管理賬戶和資源的配置和使用。10樹樹（Tree），又稱為域樹，用來描述對象及容器的分層結構關系。域樹是由若干具有共同的模式、配置的域構成的，形成了一個臨近的名字空間。在樹中的域也是通過信任關系連接起來的。活動目錄是一個或更多樹的集合。樹可以通過兩種途徑表示，一種是域之間的關系，另一種是域樹的名字空間。11域樹名字空間的特點（1）一棵樹只有一個名字，即位于樹根處的域的DNS名字；（2）在根域下面創建的域（子域）的名字總是與根域的名字鄰接；（3）一棵樹子域的

8、DNS名字是反映該組織機構的。12樹林樹林是一棵或多棵Windows Server 2003活動目錄樹的集合。各樹之間地位相當，由雙向傳遞的信任關系相關聯。單個域可以組成一棵單域的樹，單棵樹可以組成單樹的樹林。樹林與活動目錄是同一個概念，也就是說，一個特定的目錄服務實例（包括所有的域、所有的配置和模式信息）中的全部目錄分區集合組成一片樹林。133.2 Active Directory的物理結構域控制器站點149.2.1 域控制器域控制器是運行Active Directory 的 Windows Server 2003服務器。由于在域控制器上，Active Directory 存儲了所有的域范圍

9、內的賬戶和策略信息，如系統的安全策略、用戶身份驗證數據和目錄搜索。賬戶信息可以屬于用戶、服務和計算機賬戶。由于有Active Directory 的存在，域控制器不需要本地安全賬戶管理器（SAM）。在域中作為服務器的系統可以充當以下兩種角色中的任何一種：域控制器或成員服務器。151域控制器一個域可有一個或多個域控制器。通常單個局域網（LAN）的用戶可能只需要一個域就能夠滿足要求。由于一個域比較簡單，所以整個域也只要一個域控制器。為了獲得高可用性和較強的容錯能力，具有多個網絡位置的大型網絡或組織可能在每個部分都需要一個或多個域控制器。這樣的設計，使得大型組織的管理非常的煩瑣，而Active Di

10、rectory 支持域中所有域控制器之間目錄數據的多宿主復制，從而可以降低管理的復雜程度，提高管理效率。162成員服務器一個成員服務器是一臺運行Windows Server 2003的域成員服務器，由于不是域控制器，因此成員服務器不執行用戶身份驗證并且不存儲安全策略信息，這樣可以讓成員服務器擁有更高的處理能力來處理網絡中的其他服務。所以在網絡中，通常使用成員服務器作為專用的文件服務器、應用服務器、數據庫服務器或者Web服務器，專門用于為網絡中的用戶提供一種或幾種服務。由于將身份認證和服務分開，這樣可以獲得較好的效率。179.2.2 站點站點定義為由一個或多個 IP 子網組成的一組連接良好的計算

11、機集合。站點與域不同，站點代表網絡的物理結構，一般與地理位置相對應，而域代表組織的邏輯結構。這樣的集合會提高工作效率，因為要確保站點內目錄信息的有效交換，站點中的計算機需要很好地連接，尤其是不同子網內的計算機，通過站點可以簡化 Active Directory內的站點之間的復制、身份驗證等活動。18站點站點在概念上不同于Windows Server 2003 的域，因為一個站點可以跨越多個域，而一個域也可以跨越多個站點。站點并不屬于域名稱空間的一部分，站點控制域信息的復制，并可以幫助確定資源位置的遠近。站點反映網絡的物理結構，而域通常反映組織的邏輯結構。邏輯結構和物理結構相互獨立，具有以下特點

12、：（1）網絡的物理結構及其域結構之間沒有必要的相關性。 （2）Active Directory 允許單個站點中有多個域，單個域中有多個站點。 （3）站點和域名稱空間之間沒有必要的連接。199.3 域信任關系信任是域之間建立的關系，它可使一個域中的用戶由處在另一個域中的域控制器來進行驗證。Windows Server 2003域之間信任關系建立在Kerberos安全協議上，Kerberos信任是可傳遞的、分層次和結構的。Windows Server 2003樹林中的所有信任都是可傳遞的、雙向信任的，因此，信任關系中的兩個域都是相互受信任的。如圖3.4所示，如果域A信任域B并且域B信任域C，則域C

13、中的用戶（授予適當權限時）可以訪問域A中的資源。只有Domain Admins組的成員可以管理信任關系。20信任關系211信任協議運行Windows Server 2003的域控制器使用以下兩種協議之一來驗證用戶和應用程序：Kerberos V5和NTLM。Kerberos V5協議是運行 Windows計算機的默認協議。如果事務中所涉及的任何計算機都不支持Kerberos V5，則將使用NTLM 協議。222信任類型域和域之間的通信是通過信任發生的。信任是為了使一個域中的用戶訪問另一個域中的資源而必須存在的身份驗證管道。使用“Active Directory 安裝向導”時，將會創建兩個默認信

14、任。默認情況下，當使用“Active Directory 安裝向導”在域樹或林根域中添加新域時，系統會自動創建雙向的可傳遞信任。如表3.1所示，定義了兩種默認信任類型。信 任 類 型傳 遞 性方 向說 明父子可傳遞雙向默認情況下，當現有域樹中添加新的子域時，將建立一個新的父子信任。來自子域的身份驗證請求將通過其父向上傳遞到信任域中樹根可傳遞雙向默認情況下，當現有林中創建新的域樹時，將建立一個新的樹根信任23其他信任類型信 任 類 型傳 遞 性方 向說 明外部不可傳遞單向或雙向使用外部信任可訪問域中的資源，或單獨（未經林信任連接）的林內某個域中的資源領域可傳遞或不可傳遞單向或雙向使用領域信任可建

15、立非Windows Kerberos領域和Windows Server 2003域之間的信任關系林可傳遞單向或雙向使用林信任可在各個林之間共享資源。如果林信任是雙向信任，則任一個林中的身份驗證請求都可以到達另一個林快捷可傳遞單向或雙向使用快捷信任可改善 Windows Server2003林內的兩個域之間的用戶登錄時間。當兩個域被兩個域樹分隔開時，這是很有用的24委托委托是活動目錄最重要的安全特性之一，委托使得較高級的管理員對個人或組授予對容器和子樹特定的管理權。這樣就通過取消大部分用戶組的權利而消除了對“域管理員”的需求。25繼承繼承是授予用戶或組權限的對象自由訪問控制列表（DACL）中的一

16、個項目，也是對象的系統訪問控制列表（SACL）中的項目，該列表指定用戶或組要審核的安全事件，訪問控制項也被稱為ACE。繼承使得一個給定的ACE可以從它應用的容器傳播到其所有子孫的容器。繼承可以與委托相結合，從而保證對目錄中整個子樹的某一單一操作的管理權。26復制活動目錄提供多主版本復制。多主版本復制意味著給定分區的所有拷貝都是可寫的，這就使得給定分區的任意拷貝的更新都可以完成。活動目錄復制系統將一個給定拷貝的改變傳遞給所有其他拷貝。復制是自動且透明的。27可傳遞的雙向信任當一個域加入一個Windows Server 2003域樹中時，在加入域與該樹中父代之間的可傳遞雙向信任關系就自動建立了。由

17、于信任是可傳遞的和雙向的，所以樹成員之間的其他附加信任關系是不需要的。289.4 Active Directory 的安裝9.4.1活動目錄的規劃一、規劃DNS 選擇DNS名稱用于Active Directory域時，以單位保留在Internet上使用的已注冊DNS域名后綴開始，并將該名稱和單位中使用的地理名稱或部門名稱結合起來，組成Active Directory域的全名。二、規劃域結構 從單域開始，只有在單域模式不能滿足要求時，才增加其他的域。一個域可跨越多個站點并且包含數百萬個對象。 下列情形下才建議創建多個域：1部門之間不同的密碼要求。2大量的對象。3不同的Internet域名。4對復

18、制進行更多的控制。5分散的網絡管理。 299.4.1活動目錄的規劃三、規劃組織單位結構 組織單位可包含用戶、組、計算機、打印機、共享文件夾以及其他組織單位。 通常創建的組織單位應能反映部門的職能或商務結構。 每個域都可以實現自己的組織單位層次結構。 四、規劃委派模式 將部分組織單位子樹的權利派給其他用戶或組。30注意：1使用的域越少越好，因為在Windows 2003中單個域的容量已被大大擴展了。2限制組織單位的層次，以提高在Active Directory搜索對象的運行效率。3限制組織單位中的對象個數，有利于高效的查找特定資源。4可以將管理權限分配到組織單位級，這樣既提高了管理效率，又降低了

19、管理員的負荷。319.4.2 域控制器的安裝1從Windows Server 2003的【管理您的服務器】安裝（1）單擊“開始 | 程序 | 管理工具 | 管理您的服務器”。點擊“添加或刪除角色”。（2）在服務器角色列表中選擇“域控制器（Active Directory）”，并單擊“下一步”按鈕啟動Active Directory安裝向導，如圖所示。329.4.2 域控制器的安裝2使用命令行手工安裝單擊“開始 | 運行”按鈕，輸入“DCPROMO”，然后單擊“確定”按鈕。33點擊“下一步”按鈕，彈出“操作系統兼容性”向導頁3435新域類型3637 默認，系統會使用DNS名稱中最前面的部分作為N

20、etBIOS名，如果該名稱已經在網絡中使用，系統會自動在該名稱后加一個字符作為新域的NetBIOS名。也可根據自己的需要手工指定另外一個名稱。38AD文件存儲位置 出于安全性的考慮，最好不要將活動目錄數據庫和日志放在同一個分區，且要確保活動目錄日志所在的分區必須有足夠的剩余空間39SYSVOL 存儲域公共文件服務器副本的共享文件夾，它們在域中所有的域控制器之間復制。 4041424344 在安裝過程中需要提供Windows Server 2003的安裝文件，此時可將安裝系統的鏡像文件裝入光驅，確定。繼續安裝。45463域控制器的刪除474849505152單擊下一步按鈕，開始活動目錄的刪除過程

21、，與安裝過程的“寫”操作相反，刪除活動目錄的過程是“擦除”。刪除完成后會出現“已從這臺計算機上刪除Active Directory”。單擊“完成”，重新啟動計算機。539.4.3 將計算機加入到域1、哪些計算機能成為Windows Server 2003域的成員？ Windows Server 2003的域可以管理微軟以前版本的操作系統主機。包括：Windows NTWindows 2000Windows XPWindows Server 2003542、把計算機加入到域（1）在需要添加進域的計算機上，鼠標右鍵單擊“我的電腦”，然后單擊“屬性”按鈕。（2）單擊“計算機名”選項卡，可以打開如圖所

22、示的界面。（3）記錄下完整的計算機名稱信息（備用）。55加入到域的步驟（4）單擊“更改”按鈕啟動“計算機名稱更改”對話框，在“隸屬于”選項區域中選中“域”單選按鈕，在空白處輸入要加入域的DNS名稱。這里可以輸入剛建好的域名。然后單擊“確定”按鈕 在客戶端加入到域之前，應首先設置客戶端的TCP/IP屬性，保證客戶端的DNS指向和DC的DNS指向保持一致(客戶端DNS服務器地址與DC的DNS一致)。（5）提示輸入擁有加入該域權限的用戶名稱和密碼。 從windows 2000起，域中的普通用戶就可以把計算機加入到域，但一個普通用戶最多只能把10臺計算機加入到域，而Administrator沒有限制。

23、（6）單擊“確定”按鈕，身份驗證成功后，會出現加入域的操作成功的對話框。單擊確定，將提示重新啟動計算機以便使用所做的改動。569.4.4 安裝現有域的額外的域控制器有兩種方法：1、利用網絡安裝2、利用磁盤復制安裝571、利用網絡安裝現有域的額外域控制器（1）在要作為額外DC的計算機上，開始|運行， 輸入dcpromo命令，開始活動目錄安裝過程。在“域控制器類型”向導頁中選中“現有域的額外域控制器”單選按鈕。（2）單擊“下一步”，在“網絡憑據”向導頁中輸入具有安裝活動目錄權限的用戶名稱和密碼。（3）單擊“下一步”，在“額外的域控制器”向導頁中輸入現有域的DNS全名。（4）連續單擊“下一步”，選擇

24、活動目錄數據庫和日志的安裝位置、SYSVOL文件夾的位置、活動目錄還原模式的密碼等信息，最后出現摘要信息。（5）單擊下一步，開始安裝過程。會從當前的域控制器復制域的信息。（6）安裝完成后重新啟動計算機。582、利用磁盤復制安裝現有域的額外的域控制器（1）利用系統備份工具，對“系統狀態”做備份。59（2）將備份好的系統狀態文件復制到要作為額外DC的計算機上。（3）在該計算機上打開“備份工具【還原和管理媒體】”對話框，還原“系統狀態文件”。此時，選擇將文件還原到“單個文件夾”，并在備用位置處選擇一個物理位置。如C:ntdsrestore。（4）還原后，在【運行】中輸入“dcpromo /adv”命

25、令，單擊確定，開始安裝活動目錄，在“域控制器類型”中選中“現有域的額外域控制器”單選按鈕。（5）單擊下一步，在“復制域信息”處選中“從這些恢復的備份文件”單選框，單擊“瀏覽”按鈕指定剛剛設定的還原文件的物理位置（ 如上C:ntdsrestore ）。6061（6）單擊“下一步”，出現“全局編錄”向導頁，在此選擇是否將這臺DC設置為全局編錄服務器。為了平衡登錄驗證和查詢的流量，建議在每個地點設置一個全局編錄服務器。（7）單擊下一步，在“網絡憑據”向導頁中輸入具有安裝活動目錄權限的用戶名稱和密碼，然后依次選擇活動目錄數據庫和日志的安裝位置、SYSVOL文件夾的位置、活動目錄還原模式的密碼等信息，開

26、始安裝活動目錄。安裝完成后這臺計算機就成為域中的額外的域控制器了。62 一、創建域用戶賬戶 創建域用戶賬戶，必須在Windows Server2003域控制器上使用“Active Directory用戶和計算機”為創建用戶賬戶，普通的客戶機不能創建域用戶賬戶。 9.5 域賬戶管理63二、管理域用戶賬戶 當客戶機以指定的用戶賬戶登錄域后，在共享網絡資源的同時，還接受Windows Server 2003服務器的統一管理。 1設置用戶賬戶屬性 6465662重設用戶賬戶密碼 3查找用戶賬戶 4禁用/啟用賬戶 5刪除用戶賬戶 67練習：1.創建域用戶賬戶 2.對域用戶賬戶進行設置 68域中組用戶賬戶

27、管理 教學目標1.了解域中組賬戶的有關概念2.掌握在域中創建組的方法3.掌握在組中添加用戶的方法 4.能將用戶權限指派到域中的組教學重點1.在域中創建組2.在組中添加用戶教學難點將用戶權限指派到域中的組69 一、域中組賬戶簡介 在Windows Server 2003域中，可以將組分為通訊組和安全組兩種類型。1通訊組使用通訊組可以創建電子郵件通訊組列表，只有在電子郵件應用程序（如Exchange）中，才能使用通訊組將電子郵件發送給一組用戶。 2安全組安全組提供了一種有效的方式來指派對網絡上資源的訪問權。使用安全組可以將用戶權限分配到Active Directory中的安全組。 組的作用域分為通用作用域、全局作用域和本地域作用域三類不同的類型。 70二、創建域中的組 71三、在組中添加用戶 新建組后，可以將該組所屬的用戶賬戶添加到該組賬戶中，分組進行管理。在組中添加用戶即在組中添加組成員，組成員包括用戶和域中的計算機。 72四、將用戶權限指派到域中的組 單擊“開始”“管理工具”“域控制器安全策略”，打開“域控制器安全策略”對話框，在控制臺樹中，依次單擊“安全設置”“本地策略”“用戶權限分配”，如圖所示。73練習：1.在域中創建組 2.在組中添