windows 2000活動目錄之安裝配置篇

理解了活動目錄的原理之後，現在我們就可以進行活動目錄的安裝與配置了，活動目錄的安裝配置過程並不是很複雜，因為WIN2K中提供了安裝嚮導，只需按照提示一步步按系統要求設定即可。但安裝前的準備工作顯得比較複雜，只有充分理解了活動目錄的前提下才能正確地安裝配置活動目錄。下面我就詳細地介紹一下活動目錄的安裝與配置及其準備了。

一、活動目錄的安裝前的準備

在前面我們知道“活動目錄”是整個WIN2K系統中的一個關鍵服務，它不是孤立的，它與許多協議和服務有著非常緊密和關係，還涉及到整個WIN2K系統的系統結構和安全。安裝“活動目錄”不是安裝一般Windows組件那麼簡單，在安裝前要進行一系列的策劃和準備。否則輕則根本無法享受到活動目錄所帶來的優越性，重則不能正確安裝“活動目錄”這項服務。

1、首先在 安裝活動目錄之前，必須保證已經有一台機器安裝了WIN2K Server 或者Advanced Server，且至少有一個NTFS分區， 而且已經為TCP/IP 配置了DNS協議，並且DNS服務支援SRV記錄和動態更新協議。

2、其次是要規劃好整個系統的域結構，活動目錄它可包含一個或多個域，如果整個系統的目錄結構規劃得不好，層次不清就不能很好地發揮活動目錄的優越性。在這裡選擇根域（就是一個系統的基本域）是一個關鍵， 根網域名稱字的選擇可以有以下幾種方案：

1）可以使用一個已經註冊的DNS 網域名稱作為活動目的根網域名稱，這樣的好處在於企業的公用網路和私人網路使用同樣的DNS名字。

2）我們還可使用一個已經註冊的DNS網域名稱的子網域名稱作為活動目錄的根網域名稱。

3）為活動目錄選擇一個與已經註冊的DNS網域名稱完全不同 的網域名稱。這樣可以使商業網路在內部和互連網上呈現出兩種完全不同的命名結構。

4）把商業網路的公用部分用一個已經註冊的DNS網域名稱進行命名，而私人網路用另一個內部網域名稱，從名字空間上把兩部分分開，這樣做就使得每一部分要訪問另部時必須使用對方的名字空間來標識對象。

3、再一個就是要進行域和帳戶命名策劃，因為使用活動目錄的意義之一就在於使內、外部網路使用統一的目錄服務，採用統一的命名方案，以方便網路管理和商務往來。活動目錄網域名稱通常是該域的完整DNS名稱，但是為確保向下相容，每個域最好還有一個WIN2K以前版本的名稱，以便在運行WIN2K以前版本的作業系統的電腦上使用。使用者帳戶在活動目錄中，每個使用者帳戶都有一個使用者登入名稱、一個WIN2K以前版本的使用者登入名稱（安全帳戶管理器的帳戶名稱）和一個使用者主要名稱尾碼。在建立使用者帳戶時，管理員輸入其登入名稱並選擇使用者主要名稱，活動目錄建議 WIN2K 以前版本的使用者登入名稱使用此使用者登入名稱的前 20 個位元組。活動目錄命名策略是企業規劃網路系統的第一個步驟，命名策略直接影 響到網路的基本結構，甚至影響網路的效能和可擴充性。活動目錄為現代企業提供了很好的參考模型，既考慮到了企業的多階層，也考慮到了企業的分布式特性，甚至為直接接入Internet提供完全一致的命名模型。

所謂使用者主要名稱是指由使用者賬戶名稱和表示使用者賬戶所在的域的網域名稱組成。這是登入到 WIN2K 域的標準用法。標準格式為：user@domain.com (象個人的電子郵件地址)。但不要在使用者登入名稱或使用者主要名稱中加入 @ 號。活動目錄 在建立使用者主要名稱時自動添加此符號。包含多個 @ 號的使用者主要名稱是無效的。

在活動目錄中，預設的使用者主要名稱尾碼是域樹中根域的 DNS名。如果使用者的單位使用由部門和地區組成的多層域樹，則對於底層使用者的網域名稱可能很長。對於該域中的使用者，預設的使用者主要名稱可能是 grandchild.child.root.com。該域中使用者預設的登入名稱可能是 user@grandchild.child.root.com 。這要一來使用者登入時就要輸入的使用者名稱可能太長，輸入起來就非常不方便，WIN2K為瞭解決這一問題，規定在建立主要名稱後使用者只要在根域後加上相應的使用者名稱， 使同一使用者使用更簡單的登入名稱 user@root.com 就可以登入，而不是前面所提到的那一長串。

4、最後就是要注意設定規劃好域間的信任關係，對於WIN2K電腦，通過基於 Kerberos V5 安全性通訊協定的雙向、可傳遞信任關係啟用域之間的帳戶驗證。在域樹中建立域時，相鄰域（父域和子域）之間自動建立信任關係。在域林中，在樹林根域和添加到樹林的每個域樹的根域之間自動建立信任關係。如果這些信任關係是可傳遞的，則可以在域樹或域林中的任何域之間進行使用者和電腦的身分識別驗證。

如果將 WIN2K 以前版本的 Windows域升級為WIN2K域時，WIN2K域將自動保留網域和任何其他域之間現有的單向信任關係。包括WIN2K以前版本的Windows域的所有信任關係。如果使用者要安裝新的WIN2K域並且希望與任何WIN2K以前版本的域建立信任關係，則必須建立與那些域的外部信任關係。

二、活動目錄的安裝

所有的新安裝都是安裝成為Member Server，如果您在新安裝WIN2K SERVER時選擇安裝了“活動目錄”選項，則系統就會出現類似於“如果您此時安裝活動目錄則系統中的所有網域名稱就不能再次改變……”之類的提示。一般情況下我們在新安裝系統時不選擇安裝活動目錄，以便我們有時間來具體規劃與活動目錄有關的協議和系統結構。目錄服務都需要事後用 Dcprom o的命令特別安裝。目錄服務還可以卸載，而不用象在安裝Windows NT 4.0那樣，一開始就要定終身，系統會區分網域控制站還是Member Server，兩者之間不可轉換。

Dcpromo是一個圖形化的嚮導程式，引導使用者一步一步地建立網域控制站，可以建立一 個域森林，一棵域樹，或者僅僅是網域控制站的另一個備份，非常方便。很多其他的網路服 務，比如DNS Server、DHCP Server和 Certificate Server等，都可以在以後與活動目錄 整合安裝，便於實施策略管理等。 這個圖形化介面嚮導程式也沒有什麼特別之處，只要我們在前面理解好了活動目錄的含義，並進行了安裝前的一系列規劃，則可以很容易完成所有的安裝任務。

在活動目錄安裝之後，主要有三個活動目錄的微軟管理介面（MMC），一個是活動目 錄使用者和電腦管理，主要用於實施對域的管理；一個是活動目錄的域和域信任關係的管 理，主要用於管理多域的關係；還有一個是活動目錄的網站管理，可以把網域控制站置於不 同的網站。一般區域網路的範圍內，為一個網站，網站內的網域控制站之間的複製是自動進行 的；網站間的網域控制站之間的複製，需要管理員設定，以最佳化複製流量，提高延展性。 從活動目錄管理介面，還可以在網站、域和組織單元中用滑鼠右鍵點擊，啟動組策略 （Group Policy）的管理介面，實施對對象的細緻管理。

對於網站、域和組織單元，管理員還可以方便地進行管理授權。右鍵點擊它們就可以啟動"管理授權 嚮導"，一步一步地設定哪些管理員對於哪些對象有什麼樣的系統管理權限。比如說企業內部 支援人員中心的管理員，只有複位使用者口令的許可權，沒有建立和刪除使用者帳號的許可權。這 種更細緻的管理方法，成為"顆粒化"。

另外，活動目錄還充分地考慮到了備份和恢複目錄服務的需要，WIN2K備份工具中有專門備份活動目錄的選項，在出現意外事故的時候，可以在機器啟動時按F8進入安全復原模式，保證減少災難的惡性影響。