第3章windows2000server架構服務器

3.1域控制器與域控制器的安裝

3.2用戶賬號

3.3用戶組

3.4DHCP月艮務器

3.5DNS服務器

3.6WWW服務器

3.7FTP服務器

3.8E—mail月艮務器

3.9代理服務器

3.1域控制器與域控制器的安裝

3.1.1活動目錄

活動目錄（ActiveDirectory）是

Windows2000Server使用的目親服務，是

Windows2000分布式網絡的基礎，它擴展

了以前基于WindowsNT的目錄服務的功能,

并增加了一些全新的功能。活動目錄存儲

著有關網絡對象的信息，其中包括域節(jié)點、

計算機帳戶、用戶帳戶的信息（如名稱、

密碼、電話號碼等）、組、組織單位和共

享的網絡資源（如文件夾和打印機等）

3.1域控制器與域控制器的安裝

1Windows2000Server目錄服務具有下列功能：

1）數據存儲

2）制定一套規(guī)則，即架構

3）包含目錄中每個對象信息的全局編錄

4）建立查詢和索引機制

5）通過網絡分發(fā)目錄數據的復制服務

6）與網絡安全登錄過程的安全子系統(tǒng)的集成，以及

對目錄數據查詢和數據修改的訪問控制。

7）為獲得活動目錄的所有功能，通過網絡訪問活動

目錄的計算機必須運行正確的客戶軟件。

3」域控制器與域控制器的安裝

2.活動目錄邏輯結構

1)對象

2)組織單元

3)域

4)目錄樹

5)目錄林

3.1域控制器與域控制器的安裝

3.域間信任關系

(1)單向

⑵雙向

(3)可傳遞

(4)不可傳遞

(5)外部信任

(6)快捷信任

windows2000中所有信任關系都是可

傳遞的而且是雙向的

3.1.2域控制器

i.域控制器

?包含指定域內的用戶帳戶和其他ActiveDirectory數

據的副本

2.成員服務器

-屬于某個域，但不含有ActiveDirectory數據的副本。

因為不是域控制器，所以成員服務器不處理帳戶登錄

過程。

3.獨立服務器

-該服務器屬于工作組不屬于域。這種服務器可以提供

本地的共享資源，但不能提供活動目錄服務。

3.1.2域控制器

關于域控制器

-要創(chuàng)建域，用戶必須將一臺或更多的運行Windows2000

Server/AdvancedServer的計算機升級為域控制器。

-單個域可以包括一臺或多臺配置為域控制器的計算機，每臺域控制器的

地位都是平等的。它們各存儲著一份相同的ActiveDirectoryo

-ActiveDirectory支持域中所有域控制器之間目錄數據的多主機復制。

-如果任何一臺域控制器內添加了一個用戶帳戶后，該帳號被建立在該臺

域控制器的ActiveDirectory數據庫內，這份數據會定期自動地被復制到

其它域控制器的ActiveDirectory數據庫內，以便讓所有域控制器內的

ActiveDirectory數據都能保持同步。

-當用戶從域上的某臺試計算機登錄時，就會由其中的任一臺域控制器負

責審核用戶的帳號與密碼。

-使用單個局域網的小公司可能需要一個或更多的域控制器，而擁有多個

網絡位置的大型公司在每個位置都需要更多的域控制器以提供高可用性

和容錯性。

3.1.3域控制器的安裝

1.域控制器安裝條件

1）計算機運行的操作系統(tǒng)是Windows2000Server>Windows2000

AdvancedServer或Windows2000DatacenterServer0

2）活動目錄數據庫至少需要200MB的磁盤空間，此外活動目錄數據庫的

事件日志還需要額外的50MB空間。當然,活動目錄數據庫及其日志

文件的實際大小，最終依賴于域中對象的種類和數量。如果該域控

制器同時還是全局編目服務器，則需要更大的磁盤容量。

3）擁有一個NTFS文件系統(tǒng)的分區(qū)或卷用于存放SYSVOL文件夾。

4）服務器需要安裝配置TCP/IP協(xié)議，并且在網絡中需要有該服務器可以

配置使用的DNS服務器。

5）需要有在現有網絡或域中創(chuàng)建域控制器的特權。

3.1.3域控U器的安裝

域控制器安裝步驟

Windows2000配置您的JR務署二I」的ActiveDirectory安裝向導X.

歡迎使用ActiveDirectory安裝向

2000導

向導幫助您在這臺服務器上安裝ActiveDirectory

主頁

網落上已有域控制器-將修的服務器設置為額外域控制需服務，使其成為域控制器.

子城，新潼域目錄樹,或新建林目錄.

現在注冊

ActiveDirectory

要成為ActiveDirectory壬機，您需要格式化為HTFS照于Windows

文件服務序2000)的分區(qū).

打印服務器小心要繼續(xù)，請單擊“下一步

請增信您熟悉ActiveDirectory,并在進行處理之前確知將會對該服務器有

何影響.

hb/媒體服務器

基也關于ActiveDirwtory和域控制器的信息,從而確定例是

?要安裝ActiveDirectory*

啟動Activ*Directory向導

高級

完成向導后，您的服務圖將重新啟動，配置服務困屏茸將會出現,

ActiveDirectory屏科，首理您的計算機和用戶帳戶.

域控制等類型創(chuàng)建目錄樹或子域

指定想要這個服務器擔任的角色,您可創(chuàng)建一個新城目錄樹或新的子域

選擇此選項來創(chuàng)建新的子域、新的域目錄樹或新的目錄林.此服務器將成

為新域中的第一個域控制器.

在現有域目錄樹中創(chuàng)建一個新的子域(￡)

如果您想使新城成為現有域的子域，請選擇此選項,

名為headquarters,example.microsofLcom的融，

example,microsoft.com域的孑域.

“線辭力的件或—應該在鮑之前解密

取消上一步國”下一步國)>|

3.1.3域控制器的安裝

2.域控制器安裝步驟

您要創(chuàng)建新的目錄林還是要加入現有目錄林？請輸入新城的DNS全名.

@電建新的峨苴聚秫??駕器雪景單位巳羽一個在工命名頒發(fā)機構注冊的DNS域名,則可使

而第遂至■簞蒞面話一個域，或您希望所創(chuàng)建的新城獨立于您的現有目錄

林，詩選擇此選成?

節(jié)域的DMS全名衛(wèi)）：

|yh.hxu-tu.edu.cn

C將這個新的域目錄樹敵入現有的目錄林中也）

如果您想要新的域目景樹中的用尸訪問現有域目錄樹的資涯，或想要現有

域目錄樹的用戶訪問新的域目錄樹的資源，請選擇此選項.

<上一步也“迂:三芝:?二M取消

《上一步集”下一步國）>1取消

|ActiveDirectory安裝向導〔ActiveDirectory安裝言辱

■etBIOS核名數據庫和日器文件位置

為新城J旨定一個NetBIOS名稱.請指定ActiveDirectory數據度和曰志文件的位置.

萱畬禽薯猿父霸患蔡本的用戶用來識別所域的?單擊“下一步”接受基于最隹性能和對恢復:性的考慮?道將數據庫和日志存放在不同的硬盤上.

您抵望在哪里保存ActiveDirectory數據庫？

域NetBIOS名①）：|YH'

激據庫位置也）:

\wnnrr\NTDS|瀏覽??.

傅希望在哪里保存ActiveDirectory日志？

日志位置g

jCWINNT\NTDS謝苑@>

〈上一步也“下一步）

<上一步集）IT-^CH：I>j取消CB"取消

3.1.3域控制器的安裝

2.域控制器安裝步驟

〔ActiveDirectory安裝向導xj

目錄事務詼復模式的營理員交碼

指定營理員密碼，在“目錄服務恢復模式”下啟動計算機時使用.

輸入并確認您想給這個服務需管理員帳戶的密碼，當計算機在目錄服務恢復模

式下啟動時，會用到此密嗎.

******

確U巒碼(￡)F*****i

<上一步也"下—??>]取消

酬Ac間tiv.eDirectory.根據您所選的選項，.也此過客程礴可F能要

西

開始.

3.1.4域控制器的降級

?域控制器的降級（自動識別安裝或刪除）

1.用ActiveDirectory安裝向導

2.在“開始一＞運行"中執(zhí)行命令：dcpromo

3.2域中的用戶賬號

?在Windows2000中用戶可以使用“Active

Directory用戶和計算機”管理工具來實現建立用

戶帳號、計算機帳號、組、安全策略等功能

1.用戶帳號

?用戶帳號能夠讓用戶以授權的身份登錄到計算機和域

中，并訪問其中資源。它也可以作為某些軟件的服務

帳號

1)域用戶帳號(DomainUserAccounts)

2)本地用戶帳號(LocalUserAccounts)

3)內置的用戶帳號

Administrator

Guest

3.2.2創(chuàng)建域用戶帳戶

(1)域用戶的創(chuàng)建步驟:

包商創(chuàng)建在yh.hxirtu.edu.cn/Vsers

21個對象

8ActiveDirectory用戶和計苴機(]姓&)

@CAdministrator部計篁機城砌置,

JButin國CettPublishers安全綱-全局企業(yè)認證和票辦代理名9：英文縮寫d)

ffi-口Computers?DHCPAdministrators安全姐?本地域對DHCP服務明有管理.姓名3

宅國DomainCorttolers0DHCPUsers安全綱，本地域對DHCP服務器只有只.

而DnsAdrohs

_JForagnSecurityPrinopals安全膽-本地域DNS管理員姻用戶登錄名QD

^DnsUpdateProxy安全組?全局允評替其它客戶(如DH

香海控制…|zhanghua)|@yh.hnrtu.edu.cn.

f^DotnanAdrrans安全姐-毓指定的蠅理員

碎①“用尸登錄名Windows2000以前版本)(W)

fSDomainComputers安全組-全局加入嬲中的所有工作

新建回計算機EDornanControters安全姐?全局域中所有域控制質|zhanghua

所有任務的殿人EDofftanGuests安全組一線域的所有來賓

口DomainUsers安全組-全局所有域用尸

§1(V)

打印機EEnterpriseAdfrins安全組?全局企業(yè)的指定系統(tǒng)管理員

從這里婕窗口(也

PolcyO/zn&s安全組-全局這個組中的成員可以解

W(E)共享冰快供來官訪問計算機或訪.

導出列表Q)…?..；」!F，［下一步Qp〉［

屜性但)

〔新建對象用戶

-用尸

創(chuàng)建在yh.hnrtu.edu.cn/Vsers

創(chuàng)建在yh.imrtu.edu.cn/Users

您單擊“完成”后，下列對象將被創(chuàng)建:

確久密碼《)全稱：張華

用尸登錄名zhanghuafiyh.hnrtu.edu_cn

17殂m下次鞭更須更設重理⑥}

用戶下次登錄時須更改密碼.

r用戶不能更改密碼⑤)

r密碼永不過期量)

「株尸已停用(Q)

＜上一步c&)|下一步建)》|取消《上一步童)|匚二完成二二|取消

3.2.2創(chuàng)建域用戶帳尸

（2）用戶屬性配置：基本數據、登錄時間、

登錄工作站、組屬性

[4ActiveDirectory用戶和計■機

.龍制司Q國口儂強加）

撥入I環(huán)境I會話］遠程控制?終端服務配置文件

鳥螞型_上“回施X旨?j國J?法瑞▽&1?常規(guī)|地址|帳戶］配置文件|電話|單位|成員屬于

利|Users22個對馥

因弊iveDi?doty用戶和計I類型I卷送號張華

n尊0Adrrtnistfdtof用戶管理計宜機（域功內置…

口BuhinkertPuWishets全局企業(yè)認證槌辦代超

E口ComputersSDHCPAdirinistrators安全姐本地竦對DHCP賬務§§有管理…

/曲DcmanControlers[DHCPUsers安全姐本地域對DHCP版條罟只有只…

LJForesgnSeantyPrlr以DnsAdnre安全盥本地域。防管理員擔

fJOnslipdateProxy安全綱全局允許替其它容尸（?0DH...

@DomnAdmhs復俅o指定飆售理員

KDonwinCanputers郴旗添攤淵⑥…加入到域中的所有工作…

aDo3nCcrtrcflws停用帳戶⑤域中所有域控制88

或DomainGuests重設密碼①…域的所有來賓

建DomainUsers移動所百域用戶

圓ErtetpiseAdmins打開主頁（由企業(yè)的指定系批管理員

fBcroupPokyCreatorOwners發(fā)送郵件更I）這脩中的成員可以修…

給Guest供來克訪問計苴機或訪…

所寄任務也）

CIUSR_YH01匿名訪自Internet僖息…

CIWAM_YM01鶴8啟動迸程之外的應用程…

fekrbtgt重命名回密鑰發(fā)行中心報務假戶

@RASandIASServers

例E）這個組中的服芬器可以…

aSchemaAdrm架構的指定系獲翻員

CTslrtemeWser這個用戶帳戶嘏?端服…

@"【祐Use污______________Wtj)對WINS賬務器僅有只…

2J

對象的屜性喉I取涓

3.2.2創(chuàng)建域用戶帳尸

（2）用戶屬性配置：基本數據、登錄時間、

登錄工作站、組屬性

I張華星性21XI張華的葺錄時段兇

捷人|環(huán)境I會話|遠程控制|貨端輾務配置文件