你的任务应该被自动化:活动目录网络服务器

时间：2022-06-09 08:12:17 其他范文收藏本文下载本文

以下是小编为大家收集的你的任务应该被自动化:活动目录网络服务器，本文共9篇，希望能够帮助到大家。

篇1：你的任务应该被自动化:活动目录网络服务器

在一个忙碌的环境中，活动目录可能变得就像充满垃圾的仓库，从未被清理过，废弃的用户帐户、不存在的相关服务器和其他一些混乱的类别充斥在活动目录中，并且可能导致性能和管理中的问题。手工清理是非常繁琐的工作，并且很费时间，可能会引起更多的生产

在一个忙碌的环境中，活动目录可能变得就像充满垃圾的仓库，从未被清理过。废弃的用户帐户、不存在的相关服务器和其他一些混乱的类别充斥在活动目录中，并且可能导致性能和管理中的问题。手工清理是非常繁琐的工作，并且很费时间，可能会引起更多的生产性工作。令人高兴的是，有了很多能够自动完成处理大量保持活动目录整洁这项工作的工具。

在这些工具中，最简单易用、最直接的工具之一就是特殊操作软件的活动目录看门人(Active Directory Janitor)(这款软件有三十天的试用期;一套软件售价199美元)。它可以迅速察看一个活动目录存储来查出所有的对象，这些是不再被看作符合比如说像是一个活动计算机和一个正在使用的用户帐户这样的，正在使用的实体。接下来，管理员可以得到一个报告。报告中列出了所有可疑的对象，如果管理员需要的话，他可以做删除、不可见或者重新排列这些可疑对象的操作，

当使用Active Directory Janitor扫描一个网络并保证准确探测(例如:用户最后一次登陆时间，这是查找一个不再使用的用户帐号的一种很有用的方法)时，Active Directory Janitor使用超过30种的定制特性，并且你可以要求它自动标记那些基于可靠条件是有安全风险的用户帐户。

Netpro公司的目录分析师(DirectoryAnalyzer)提供了不同的处理，除了同样做活动目录的深入分析分类的管理。软件检查活动目录因为一些像复制延时或者DNS矛盾这样的小问题，并且建议修复每一个做有标记的问题。这个工具还能为复制提供统计数据，以确定特定应用的效果(例如:Exchange)在活动目录上的情况，并且和像微软操作管理这样的框架应用相结合，这一项是被特别支持的。

如果你想用一种简单的方法来记录在活动目录中作的改变，公司的ChangeAuditor软件能够记录关于每一个相关联的活动目录AD的元数据:是谁做了改变，变化发生在什么时间，什么状况下。

Quest软件公司为活动目录管理设计了一款名为“针对活动目录的Quest管理组件(Quest Management Suite for Active Directory)”的软件。在这个包中有一个叫Reporter的程序，它同审核、追踪记录功能一起监控针对活动目录所作的所有改动――例如，哪个人针对哪条记录在什么时候做了什么样的改动。并且显示这些改动是否是手工完成还是由其他的管理组件产品完成的。同时还有一个名为 ActiveRoles的程序包含在这个组件当中，这是一个加速活动目录配置或者根据特殊要求创建新的用户帐号组的程序。

原文转自：www.ltesting.net

篇2：你的任务应该被自动化:活动目录

在一个忙碌的环境中，活动目录可能变得就像充满垃圾的仓库，从未被清理过，废弃的用户帐户、不存在的相关服务器和其他一些混乱的类别充斥在活动目录中，并且可能导致性能和管理中的问题。手工清理是非常繁琐的工作，并且很费时间，可能会引起更多的生产性工作。令人高兴的是，有了很多能够自动完成处理大量保持活动目录整洁这项工作的工具。

当使用Active Directory Janitor扫描一个网络并保证准确探测(例如:用户最后一次登陆时间，这是查找一个不再使用的用户帐号的一种很有用的方法)时，Active Directory Janitor使用超过30种的定制特性，并且你可以要求它自动标记那些基于可靠条件是有安全风险的用户帐户，

Quest软件公司为活动目录管理设计了一款名为“针对活动目录的Quest管理组件(Quest Management Suite for Active Directory)”的软件。在这个包中有一个叫Reporter的程序，它同审核、追踪记录功能一起监控针对活动目录所作的所有改动DD例如，哪个人针对哪条记录在什么时候做了什么样的改动。并且显示这些改动是否是手工完成还是由其他的管理组件产品完成的。同时还有一个名为 ActiveRoles的程序包含在这个组件当中，这是一个加速活动目录配置或者根据特殊要求创建新的用户帐号组的程序。

篇3：WIN技巧：你的任务应该被自动化:活动目录

篇4：Windows的域和活动目录网络服务器

本文缩略词语 MS：Microsoft 微软公司 95：Windows 95 98：Windows 98 XP ：Windows XP NT：Windows NT Server ：Windows 2000 Server 03： Windows Server S：Server AS：Advanced Server AD：Active Directory 即活动目录 DC：Domain Controller

本文缩略词语

MS：Microsoft 微软公司

95：Windows 95

98：Windows 98

XP：Windows XP

NT：Windows NT Server

2000：Windows 2000 Server

03： Windows 2003 Server

S：Server

AS：Advanced Server AD：Active Directory 即活动目录

DC：Domain Controller 即域控制器

GC：Global Catalog 全局编录

TS：Terminal Service 终端服务

PDC：Windows NT Server域中的主域控制器

BDC：Windows NT Server域中的备份控制器

SAM库：安全帐号管理器数据库

FQDN：完全有效域名，如：mcse.com

NetBIOS名称：形如mcse

本文的目的，是作为域和AD的一篇入门文章，使没有安装过域，或刚刚接触域的年轻网管能对域和AD有一个全面的了解，并利用此文入门，将所管理的网络实现一个基于域的管理模式，

一、认识Windows的域

本小节重点从理论上阐述域的概念、作用和Windows中域的产生。

一台Windows计算机，它要么隶属于工作组，要么隶属于域。所以说到域，我们就不得不提一下工作组，工作组是MS的概念，一般的普遍称谓是对等网。工作组通常是一个由不多于10台计算机组成的逻辑集合，如果要管理更多的计算机，MS推荐你使用域的模式进行集中管理，这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能，使你网络管理的工作量达到最小。当然这里的10台只是一个参考值，11台甚至20台，如果你不想进行集中的管理，那么你仍然可以使用工作组模式。

工作组的特点就是实现简单，不需要域控制器DC，每台计算机自己管理自己，适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义，只是在网上邻居的列表中实现一个分组而已；再就是对于“计算机浏览服务”，每一个工作组中，会自动推选出一个主浏览器，负责维护本工作组所有计算机的NetBIOS名称列表。用户可以使用默认的workgroup，也可以任意起个名字，同一工作组或不同工作组在访问时也没有什么分别。

域（Domain）是一个共用“目录服务数据库”的计算机和用户的集合，实现起来要复杂一些，至少需要一台计算机安装NT/2000/03 Server版本使其充当DC，来实现集中式的管理。

若考虑到容错的话，至少需要两台。对于NT4域就是一台PDC（具有唯一性），一至多台BDC，对于2000/03域，已经没有PDC和BDC的概念，要容错就需要两至多台DC。

域是逻辑分组，与网络的物理拓扑无关，可以很小，比如只有一台DC；也可以很大，包括遍布世界各地的计算机，比如大型跨国公司网络上的域（当然实际中他们多采用多域结构，还可以利用AD站点来优化AD复制）。

这个“目录服务数据库”，在NT4时，保存用户帐号名称和密码等安全安全信息，以及安全规则设置，又被称作安全帐号管理（SAM）数据库，简称SAM库。在非DC上的本地的SAM库与DC上域所用的SAM库类似，只不过对于NT4域的SAM库文件，保存有整个域的用户和计算机，用“域用户管理器”和“服务器管理器”来管理，本地的SAM库文件，保存有本地机的用户，由“用户管理器”来管理。

从2000开始，MS引入了活动目录AD，DC通过AD来提供目录的服务，例如它负责维护AD数据库、审核用户的账户和密码是否正确、将AD数据库复制到其它的DC等。AD库的核心文件就是winntntdsntds.dit文件。注意组策略的具体设置值，并不存在这个文件中，而是保存在winntsysvolsysvol这个共享夹下，用于向其它DC复制，传播给域成员，来生效。但需要说明的是：2000/XP/03的非DC域成员计算机上仍使用和NT4一样的SAM库文件来保存本地帐号。

正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”，域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源，如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码，用户只需一次登录，即可访问本域或有信任关系的其它域上的所有资源（当然用户得有权限才行），而不需要多次提供用户名和密码登录。

二、构建Windows 2000的域

这个过程简单说就是：选一台2000S/AS计算机，运行AD安装向导，在其上安装活动目录，使其成为DC。然后将其它的计算机加入到这个域。

说明：至于是用2000S，还是用2000AS，对于一般的用户差别不大。2000S支持最多4个CPU，最大4G内存；2000AS支持最多8个CPU，最大内存8G，还支持群集功能。但这些我们一般用户都用不到，所以对于普通用户来说，选择S或AS都是一样的，

1、系统要求

*一台2000S或2000AS独立或成员服务器，2000DS只有OEM版，随厂商硬件发售，平常我们是见不到的。

* 其上必须有一个NTFS 5.0分区，用来保存AD的sysvol文件夹。注意：2000的NTFS分区是NTFS 5.0，NT4的是NTFS 4.0，NT4必须安装SP4后，才可访问2000的NTFS分区。

* 网络上必须有可用的DNS服务器，并且必须支持SRV记录（Service Locaion Resource Record）和动态更新功能。如：MS Win2000S DNS，UNIX的DNS BIND 8.12及以上版本，使用已有的NT4 DNS是不行的。

说明：

构建NT4域并不需要DNS的支持，但2000域必须有DNS，且满足上述要求。

SRV记录的作用是指明域和站点（site）的DC、PDC仿真、GC是谁。动态更新也是2000DNS的新特色，管理员不必再象NT4 DNS那样手动为计算机创建或修改相应记录，在域成员计算机重启，或改名、改IP时依赖周期性更新，自动动态实现。

如果没有DNS服务器的话，也不一定非得预装DNS，可以在安装AD过程中，选择在本机上安装2000 DNS。而且推荐初学者使用这种方法，因为系统会根据你提供的FQDN域名，自动创建好DNS区域（zone），并配置成AD集成区域，仅安全动态更新。如果需要向外连或反向解析，用户只需配置上转发器和反向区域即可，不需要的话，直接就可以用了。

如果决定在安装AD过程中在本机安装DNS，应在安装前，将本机TCP/IP配置/DNS服务器指向自己，这样在安装AD完成后重启时，SRV记录将被自动注册到DNS服务器的区域当中去的，生成四个以下划线开头的文件夹，如_msdcs，03DNS在这里夹的层次结构有所变化，但本质没变。当然如果忘了指，也可以后补上，只不过需要多重启一次。

2、安装步骤、注意事项、常见问题、经验技巧

（1）启动AD安装向导

方法一：开始/程序/管理工具/配置服务器/ Active Directory /启动AD安装向导。

方法二：熟练后一般常用，开始/运行：dcpromo。

（2）安装选项：指定服务器角色

三个界面，实现四种组合：

新域

附加DC

新树

子域

新林

加入林

即：

* 新域―新树―新林

* 附加DC

* 新域―子域

* 新域―新树―加入林

全新安装：新域―新树―新林，这样来建立第一个域中的第一台DC。

2000的多域模型采用层次结构，不同于NT4域的平面结构，NT4的多个域之间只是通过信任关系关联起来。接下来以下图为例，对2000的域、树、林进行简要说明：

ms.com

/ trainning.mcse.com lotus.com

这整个是一个林，ms.com为林根域，有两个树，一个由ms.com和它的子域trainning.ms.com组成，另一个由lotus.com单独组成，林中有ms.com，trainning.ms.com，lotus.com三个域。相关概念如下：

林根域：在林中第一个建立的域，如：ms.com

树：共用连续的命名空间的多层域，如ms.com和trainning.ms.com

树根域：树最高层的域，名最短。如：ms.com

说明：

2000可采用多层域结构，但最有效、最简便的管理方法仍是单域，所以大家在实际工作中要记住一个原则“能用单域解决，就不用多域”。

再者2000AD是针对大中型网络设计的，而我们一般管理的网络也就几百个节点，属于小型网络，一般来讲用一个单域结构就够用了，不要人为将管理环境复杂化。在实验中，我们甚至可以一个林中只有一个树，一个树中只有一个域，一个域里只有一台DC。

另外前面已经说过了，域是逻辑分组，与网络的物理拓扑无关，不要总试图规划一个子网一个域。当然实际中多个子网一个域，子网中若有95/98/NT老计算机，无法利用DNS直接登录到域，可以安装一台WINS服务器解决问题。将所有计算机，包括WINS服务器本身的TCP/IP配置中的WINS服务器指向此WINS服务器即可。

（3）安装选项：新域的DNS全名

说明：

在这里应该输入新域的完全有效域名FQDN，形如：mcse.com。系统会打算以mcse作为此域的NetBIOS名称，并在网络中检查是否存在重名，需要等一会儿。不重名则设为mcse，建议用户不要修改此名；重名则设为mcse0，建议用户最好换个名字。这也就是说，网络中如果已有一个域，名字叫做mcse.org，也会出现NetBIOS名称冲突的问题。

（4）安装选项：为新域指定一个NetBIOS名称

说明：

NetBIOS名称，只是为95/98/NT等老版本用户通过“浏览服务”或WINS来识别这个域用的，如果确信域用户都是2000及以上系统（它们通过DNS定位域），其实NetBIOS名称冲不冲突，都无所谓。

（5）安装选项：指定AD库和日志文件位置

说明：

如果仅是实验，用默认值即可。若是在真正的服务器上，都会有多块物理硬盘，最好分开存放，以提高性能。另外需要强调的是：AD库和日志文件并不要求非得NTFS 5.0分区，很多2000/03书在此语焉不详。

原文转自：www.ltesting.net

篇5：Windows 2000活动目录使用技巧（二）网络服务器

11、Driver.cab的问题在C:winntdriver cachei386目录下，有一个名字为Driver.cab的压缩文件，大小约为50MB，里面存放的是Windows 2000内置的全套驱动程序，建立这个文件的好处是，若系统的配置改变，如新增外设等时，Windows 2000可以自动地从该文件中

11、Driver.cab的问题

在C:winntdriver cachei386目录下，有一个名字为Driver.cab的压缩文件，大小约为50MB。里面存放的是Windows 2000内置的全套驱动程序，建立这个文件的好处是，若系统的配置改变，如新增外设等时，Windows 2000可以自动地从该文件中提取出相应的驱动程序来进行安装，而无需用户插入Windows 2000的光盘。这是一个很好的特性，不过对于硬盘空间紧张的用户来说，则宁可每次插入光盘来换取硬盘空间！何况对于大多数用户来说，并不经常变更系统的设备。大家尽可放心地删除Driver.cab文件，释放出50MB的硬盘空间来。

---------------------------------------------

12、Windows 2000 Server安装网卡作为路由的注意事项：

目前局域网常见的操作系统，如NetWare、Windows NT Server 4.0和Windows 2000 Server等，一般只支持4块网卡的路由连接。如果超过4块网卡，多余的网卡将不具有路由功能，即与该网卡所连接的用户无法与另外4块网卡连接的用户进行通讯。所以，在一台服务器中安装的网卡数不要超过4块。

------------------------------------------------------

13、在工作组的情况下如何将普通用户加入到管理员组中？

如果你有普通用户帐号,有个一个很简单的方法获取NT Administrator帐号:

先把c:winntsystem32下的logon.scr改名为logon.old备份

然后把usrmgr.exe改名为logon.scr

然后重新启动

logon.scr是启动时加载的程序,重新启动后,不会出现以往的登陆密码输入界面,而是用户管理器

这时他就有权限把自己加到Administrator组。（小帅没做过）

---------------------------------------------------

14、如何将Windows 2000 Service Pack 3集成进Windows 2000的安装盘中，这样安装完毕的Windows 2000就集成了Service Pack 3，不必再单独安装了？

1、从网站上下载Windows 2000 SP3，通过w2ksp3.exe -x命令将该服务包解压缩到一个目录c:w2ksp3中；

2、将Windows 2000的源安装文件拷贝到硬盘的目录c:W2kinstall中（该目录内为整张光盘的拷贝）；

3、运行c:w2ksp3i386update中的update.exe -s:c:w2kinstall；

4、之后就可通过c:W2kinstall安装windows2000，将Windows 2000就集成了Service Pack 3，不必再单独安装了。

update 的参数如下：

update [-u][-f][-n][-o][-z][-q][-l][-s:

]

-u 无人参与模式

-f 强迫其他应用程序在关机时关闭

-n 不要为卸载备份文件

-o 不提示就改写OEM文件

-z 安装完成后不要重新启动

-q 安静模式（无需用户参与）

-l 列出已经安装的修补程序

-s:

将Service Pack文件集成到

注意：

1、以上的操作必须全部在Windows 2000下完成，如果你在其他Windows系统下进行，将会收到出错的提示。

2、在此，经过这样安装的Windows 2000有一个小问题，就是如果你运行sfc/scannow检查受保护的系统文件，程序将会需要你插入“Windows 2000 Service Pack3”的CD，这会是一个问题，因为我们这样制作的CD似乎不符合标准，也就是说，你不能检查受保护的系统文件了。所以你要考虑好再做。

3、这样处理过的安装文件刻录成光盘后是没有光盘启动功能的。

---------------------------------------------------

15、通过在注册表里修改键值也可以隐藏硬盘分区。

启动注册表编辑器，找到“HKEY_CURRENT_USER＼SoftWare＼Microsoft＼Windows＼CurrentVersion＼policies＼Explorer”，在注册表中新建个二进制键值“NoDrives”。“NoDrives”对应的键值为01000000时，隐藏驱动器A；键值为02000000时，隐藏驱动器B；键值为04000000时，隐藏驱动器C……发现规律了没？假设你要隐藏的驱动器盘符，在英文字母中排行为n，那么把2的(n-1)次方转换成16进制，这个值就对应着要隐藏的驱动器盘符，

比如要隐藏G盘，G在英文字母中排行为7，2的7-1次方等于64，将64转换为16进制为40那么“NoDrives”的值就是：“40 00 00 00”

---------------------------------------------------------

16、在Windows 2000中删除不需要的组件

Windows 2000安装完成后，会发现一些组件(例如附件中的组件)已全部安装了。对于一般用户根本不会用到的组件，例如辅助工具、代码转换等组件是可以删除，在Windows 98中如果想删除这些不需要的组件，可以打开“控制面板”，通过点击“添加/删除程序”图标，在“添加/删除Windows组件”选项卡中选择并删除即可。但在Windows 2000中却无法通过此方法删除，因为在“添加/删除Windows组件”列表中没有这些组件。是否有方法在“添加/删除程序”列表中增加这些组件呢？

----下面介绍一种可以在“添加/删除Windows组件”列表增加这些组件的方法，然后再从中删除这些不需要组件，具体操作步骤如下。

----1．在桌面上双击“我的电脑”图标，选择“工具”*“文件夹选项”，在“查看”选项卡的“高级设置”选项中选择“显示所有文件和文件夹”。这样设置的目的是可以显示隐藏的文件夹和文件。

----2．进入Windows 2000系统目录，一般为WINNT目录，再进入inf目录（也就是C:WINNTinf），此目录为隐含目录，在此目录下有一个sysoc.inf文件，此文件只有4KB，先备份此文件，备份完成后使用文本编辑软件打开该文件，然后单击“编辑”菜单，选择“替换”选项，在“查找内容”中输入“,hide”，在“替换为”中什么不都输，然后单击“全部替换”按钮，保存此文件退出。

----3．单击“开始”*“设置”*“控制面板”，双击“添加/删除程序”图标，然后单击“添加/删除Windows组件”按钮，打开“Windows组件向导”窗口，在组件中多了5项内容，例如有“COM+”、“Distributed Transaction Coordinator”、“传真服务”、“附件和工具”、“图像处理”等(如附图所示)，然后再从中删除不需要组件。

-------------------------------------------------------

17、RIS客户机预分级及运行sysprep.exe

在利用RIS安装Windows 2000 Professional时可以利用预分级，必须创建客户机的时候输入该客户机的GUID，如何输入？

对计算机预分级是依靠该计算机的全球唯一标识符（GUID）。GUID通常也就是网卡的MAC地址。在网卡的MAC地址前在加上足够的前导零，保证GUID为32个16进制数就是完整的GUID了。例00000000-0000-0000-0000-5254AB15C2EE其中

“52-54-AB-15-C2-EE”为客户机网卡的MAC地址。

在一台实验机器上运行sysprep.exe后，将提示你关闭计算机，此时在重启动计算机时应该注意，如果仍然从硬盘启动的话，将进行安装。所以应该选择从软盘或其他媒介启动计算机，并利用第三方映像软件对整个硬盘或分区做克隆。然后将克隆后的文件分发到每台计算机，再利用第三方映像软件在每台计算机上解映象，然后选择从硬盘启动，即可实现安装。

运行sysprep之前，还是先来熟悉一下它的主要开关参数：

-Sysprep.inf 使用 sysprep.inf 来配置计算机，适用于克隆相同配置的计算机

-Nosidgen 计算机重启后不产生新的SID号码

-PnP 计算机重启后重新探测PnP设备

-Reboot 运行 SYSPREP 重启计算机，而不是关机

---------------------------------------------------------

18、利用RIS实现客户机安装操作系统时注意事项：

如果用网卡启动，首先保证客户机的系统BIOS已经把网卡设为最先启动设备。当客户机启动时，它会自动连接RIS服务器，连接上之后，RIS服务器提示用户按F12下载用户安装智能向导，用户只有在第一次安装系统或系统损坏需要修复时才有必要按下F12，平常不用管它。

如果用软盘启动，系统启动后会提示你按F12初始化网络服务，按下F12后，一定要记住在出现字符前取出启动软盘。

---------------------------------------------------

19、如何升级NT4域到Win2000域时必须注意以下几点：

1、NT4的主域控制器PDC必须是使用NTFS文件系统格式，若是FAT16格式就会失败；

2、NT4升级是单向的，所以升级Win2000B3后就没有办法再回到NT4环境；

3、在做升级规划时，你必须先备份重要资料及前置的准备工作，如先移除不能在Win2000B3中执行的应用程序等；

4、先升级PDC再升级BDC（升级PDC前，请先将BDC离线，等PDC完全升级至Win2000B3的域控制器后，再升级BDC或选择不升级BDC保留NT4的环境）；

5、升级过程中，安装程序会有三个重要的目录需要指定，包括Active Directory的资料库，log档案和Sysvol目录，请确定目录的路径在NTFS分区下；

6、升级后使用者帐户，组帐户及计算机帐户都会保留。

----------------------------------------------------

20、在Win2000中收发传真

首先按照正常要求安装一个支持传真的调制解调器；安装好调制解调器后，你所用的调制解调器就出现在任务栏右下角了。由于在缺省状态下，Win 2000的传真机是只发送而不接收传真的，如果我们想让它也能自动接收

原文转自：www.ltesting.net

篇6：Windows Server 设置活动目录域网络服务器

在 Microsoft Windows2000 Server 操作系统的诸多增强功能中，Active Directory功能的引入意义最为重大，但也最常引起困惑，与其前辈（Microsoft Windows NT; 操作系统早期版本中的域控制器）相比，Windows 2000 Server 中的 Active Directory 提供了一个全

在 Microsoft Windows2000 Server 操作系统的诸多增强功能中，Active Directory功能的引入意义最为重大，但也最常引起困惑。与其前辈（Microsoft Windows NT; 操作系统早期版本中的域控制器）相比，Windows 2000 Server 中的 Active Directory 提供了一个全新的体系结构和丰富得多的功能。

尽管本文并不打算讨论 Active Directory 的所有功能，但其中确实概述了这项技术，重点在于讨论两个新概念：域控制器的全新体系结构模型以及与 DNS 的新的集成关系。这些功能对了解如何构建 DuwamishOnline.com 这样的 Web 群非常有帮助。此外，我们将讨论用 Active Directory 逐步设置 Web 群的过程。

本文假定读者已基本了解 Windows NT 早期版本中的网络概念。

域控制器的全新体系结构模型

安装了 Active Directory 组件以提供这种目录服务的计算机称为域控制器。如果将 Active Directory 安装到运行 Windows 2000 Server 的计算机上，则会将服务器转换或提升为特定域的域控制器。

使用 Active Directory 时，所有 Windows 2000 Server 域控制器都是对等关系，支持多主复制，在所有域控制器之间复制 Active Directory 信息。

这是一个重要的体系结构设计上的变化，改变了 Windows NT 早先版本中主域控制器 (PDC) 和备份域控制器 (BDC) 之间的主/从关系。

与 Windows NT 早先版本中的区别是，老版本中只有 PDC 保留可读/写的目录信息主副本，而将目录信息的只读副本复制到 BDC 中；Active Directory 则在各个域控制器之间使用多主复制，因此管理员现在可以从任何域控制器进行更改。如果域控制器（特别是 PDC）失败，这会为系统提供更大的可靠性。

与 DNS 集成

Active Directory 中另一个重要的体系结构设计上的变化是它与域名系统 (DNS) 的紧密集成。在 Windows 2000 中，网络基本输入/输出系统 (NetBIOS) 名称不再是识别网络计算机或打印机首要的名称解析方法。而是使用完全合格的域名称 (FQDN)（如“server1.microsoft.com”）来识别。

这就意味着 Active Directory 域现在与 DNS 域共享同样的命名结构（或名称空间）。例如，在老版本的 Windows NT 中，引用同一台计算机时，在 Windows 网络域的 NetBIOS 下可能是“SERVER1”，而在 DNS 域下可能是“server1.microsoft.com”。在 Windows 2000 中，该计算机在 Active Directory 域和 DNS 域中的引用名称都是“server1.microsoft.com”。

然而，区分 Active Directory 与 DNS 之间的差异是非常重要的。虽然它们在一起配合得非常紧密，但各自存储的数据和管理的对象都不同。

DNS 是一种传输控制协议/Internet 协议 (TCP/IP) 名称解析服务，它存储资源记录，主要是为了将域名转换为相应的 IP 地址。尽管 DNS 可以离开 Active Directory 而独立工作，但其数据可集成并存储到 Active Directory 中，在这里 DNS 信息被自动复制到其它域控制器中，这样就增强了 DNS 服务的可靠性和安全性。

另一方面，Active Directory 是一个目录服务，它可以存储域对象名称请求，并将其解析成对象记录数据（例如答复对计算机网络配置信息的请求时）。要找到 Active Directory 服务器，首先由 Active Directory 客户查询为它指定的 DNS 服务器，找到此 Active Directory 服务器的 IP 地址。根据设计，Active Directory 需要 DNS 才能工作。实际上，在安装过程中，如果网络上找不到 DNS 服务器，那么设置 Active Directory 域控制器时通常需要同时安装一个 DNS 服务器。

有关 DNS 名称空间如何构建以及 DNS 与 Active Directory 如何关联的详细信息，请参见文章 Setting Up a Domain Name System。

设置 Active Directory 域控制器

正如在网络和系统配置文章中所述，我们已设置了两个服务器作为内部域“intdomain.com”的 Active Directory 域控制器。我们用一台专用计算机来设置第一个域控制器，并在管理服务器上设置另外一个域控制器作冗余。

由于域控制器必须要能通过 Web 服务器和订单处理服务器（用于建立消息队列）以及两个设成群集的数据库服务器进行访问，因此它们必须连接到后端网络、管理网络，或者同时连接这两个网络，

在下面的部分，我们将介绍如何逐步设置这些 Active Directory 域控制器，以及为该域设置 Active Directory 客户端的步骤。

安装第一个域控制器

按照以下步骤创建一个新的域，并在某个服务器上安装 Active Directory 服务，使该服务器成为该域的第一个域控制器：

在开始菜单中，单击运行。键入 dcpromo，然后单击确定。这将启动 Active Directory 安装向导。

出现欢迎屏幕以后，系统将要求您为该服务器指定“域控制器类型”。保持默认选项，将该服务器设置为新域的域控制器。

接着，将要求您创建一个新的域目录树或在现有域目录树中新建一个子域。在本例中，为内部域创建一个新域目录树。

接下来，系统将要求您创建一个新的目录林或加入现有的一个目录林。因为这是第一个域，没有现有的目录林，所以保持默认的选项创建新的域目录林。

如前所述，Windows 2000 中的 Active Directory 现在用完全合格的域名称 (FQDN) 作为其主命名规则。当要求输入新的域名称时，键入内部域的 FQDN（在本例中我们使用“intdomain.com”）。

Active Directory 向后兼容老版本的 Windows NT，后者使用 NetBIOS 名称作为其命名规则。为了保持一致，我们选择使用与 NetBIOS 名称相同的域名称。在本例中，接受默认的“INTDOMAIN”作为 NetBIOS 域名称。

在后面的两个对话框中，系统将要求您指定 Active Directory 数据库和活动日志的位置，以及共享系统卷。要获得更好的性能和可恢复性，建议将数据库和日志分别存储在不同的硬盘上。为简化此过程，我们选择接受所有的默认位置。

此时，安装向导将尝试为新域联系一个 DNS 服务器。如果已经存在使用该域的 DNS 服务器，并且能够在网上找到，则该向导将移至下一步；如果不存在，则向导将询问您是要在同一台计算机上安装和配置一个 DNS 服务器（作为 Active Directory 安装过程的一部分），还是希望以后再安装 DNS 服务器。建议保持默认选项作为第一选择，除非您确实想自己设置所有的 DNS 资源记录。

安装向导接下来显示的对话框都与安全问题有关。如果该域中的所有计算机都在运行 Windows 2000（在 Duwamish Online 中就是这样），则选择只与 Windows 2000 服务器相兼容的权限选项。随后指定“管理员”密码。

最后，将显示一个摘要屏幕，确认您的选择。如果信息正确，则单击下一步进行确认。当配置过程完成后，重新启动服务器。

安装另一个域控制器

再安装一个 Active Directory 域控制器比安装第一个域控制器要简单得多。在开始此过程之前，要确保此新增服务器有权访问同一网络段，这样它才可以与第一个服务器进行通讯。此外，需要指定一个 DNS 服务器的 IP 地址（根据前面的建议，这应该是第一个域控制器），反过来，查找充当域控制器的计算机时也要使用这个地址。

若要指定 DNS 服务器

右键单击网上邻居并选择属性。在网络和拨号连接对话框中，右键单击局域网连接图标并选择属性。注意如果您的计算机上有多个网络适配卡连接不同的网段（就像 Duwamish Online 网络配置），而且您不能确定哪个网卡连接到内部网络，则可以用直接断开实际连接到内部网络的电缆的办法来辨别网卡。其结果表现为，被断开地连接的图标将显示为禁用状态。在恢复网络电缆之前，相应地重新命名此连接。

选择 Internet 协议 (TCP/IP)，然后单击属性。在 Internet 协议 (TCP/IP) 属性对话框中，选择使用下面的 DNS 服务器地址选项。在首选 DNS 服务器字段中输入 IP 地址。（如果已经在第一个 Active Directory 服务器的安装过程中设置了 DNS 服务器，则输入该服务器的 IP 地址。请参见前面的“安装第一个域控制器”的第 8 步。）单击确定，确认此更改。指定 DNS 后，现在就可以安装另一个域控制器。

若要再安装一个域控制器

在开始菜单中，单击运行。键入 dcpromo，然后单击确定。这将启动 Active Directory 安装向导。出现欢迎屏幕以后，系统将要求您为该服务器指定“域控制器类型”。选择设置一个现有域的额外域控制器。接着，系统将要求您输入一个用户名、密码和域名称（本例中为“intdomain”）。

当系统要求时，输入某个域的完全合格的域名称，该计算机将变成该域的额外域控制器。（本例中输入“intdomain.com”。）

与安装第一个 Active Directory 服务器时类似，系统将要求您指定数据库和日志的位置，以及共享系统卷。为简化此过程，我们选择接受默认位置。

指定“管理员”密码后，系统将要求您检查并确认摘要屏幕上的信息。单击下一步，开始安装。当安装完成后，重新启动服务器。设置 Active Directory 客户。在安装 Windows 2000 时，系统会要求您加入现有的域或工作组。如果在安装时还没有域控制器，则可以在以后加入此域。

在开始此过程之前，要确保该计算机有权访问同一网段，这样它才可以与此域进行通讯。因为在设置另一个域控制器时，需要指定 DNS 服务器的 IP 地址。

以下步骤描述如何在 Windows 2000 中将一台计算机加入新域。

右键单击我的电脑并选择属性。从系统属性对话框中，单击网

原文转自：www.ltesting.net

篇7：域名 Windows活动目录逻辑结构网络服务器

Windows2000是微软公司新一代的操作系统 ,它是在 Windows NT4.0操作系统的基础上开发的, 集Windows NT技术和 Windows9X的优点于一身，并在此基础上发展了许多新的特性和功能．如智能镜像、终端服务、分布式文件系统、磁盘定额、DNS增强以及活动目录等等，

Windows2000是微软公司新一代的操作系统 ,它是在 Windows NT4.0操作系统的基础上开发的, 集Windows NT技术和

Windows9X的优点于一身，并在此基础上发展了许多新的特性和功能．如智能镜像、终端服务、分布式文件系统、磁盘定

额、DNS增强以及活动目录等等。其中最重要的特性是活动目录。

活动目录包括两方面：目录和目录相关的服务。目录是存储各种对象的一个物理上的容器，目录管理的基本对象是用

户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于

目录的网络服务、基于网络的应用管理。活动目录是一个分布式的目录服务。信息可以分散在多台不同的计算机上，保证

快速访问和容错；同时不管用户从何处访问或信息处在何处，对用户都提供统一的视图。在当今网络计算的爆炸性增长的

Inte.net时代，微软活动目录还广泛地采用了Internet标准，给用户带来了几乎无穷无尽的益处。活动目录集成了关键服

务，如域名服务(DNS)，消息队列服务（MSMQ），事务服务（MTS）等；集成了关键应用，如电子邮件、网管、ERP等；同时

还集成了当今的关键的数据访问，如ADSI，OLE DB等。

由此看来，活动目录是Windows2000网络体系结构必不可少的、不可分割的重要组件，可以这样说：没有活动目录，就

没有Windows2000。所以理解活动目录，对于理解Windows2000的整体价值是十分重要的。要理解活动目录。我们必须从它

的逻辑结构和物理结构入手。在此，我为大家介绍活动目录的逻辑结构。

1、层次化的目录结构

图 1 活动目录层次结构

如图1所示，Windows2000的活动目录是由组织单元(OU)、域(Domain)、域树(Tree)、森林(Forest)构成的层次结构。

活动目录为每个域建立一个目录数据库的副本，这个副本只存储用于这个域的对象，

如果多个域之间有相互关系，它们可

以构成一个域树。在每个域树中，每个域都拥有自己的目录数据库副本存储自己的对象，并且可以查找域树中其它目录数

据库的副本。多个域树构成了森林。Windows2000活动目录的这种层次结构使得企业网络具有很强的扩展性，便于组织、管

理以及目录定位。这一点，NT4.0的域模型，不论是多主域模型还是完全信任域模型都无法与Windows2000活动目录结构模

型相比。Windows2000活动目录更适合企业的目录服务。

2、面向对象的存储

正如前面所提到的，活动目录以对象的形式存储关于网络元素的信息，对象是对象类（模式:对象schema Object）的

一个实例，而每个对象类都有很多属性，这些属性描述了某种对象类的特殊特征。这使得组织机构可以在目录中存储广泛

的信息，从而便于组织、管理和控制对它的访问。这种面向对象的存储机制同时也实现了对象的安全，因为对象的属性被

封装在对象内部。当然，所有这些对象都有一个全局唯一的标志。

3、域、域树、森林

域是NT活动目录的核心单元，是对象（如计算机、用户等）的容器，这些对象有相同的安全需求、复制过程和管理。

在域中，所有的域控制器都是平等的。活动目录以多主复制模型在域控制器间实现目录复制。一个域可以是其它域的子域

或父域，这些子域、父域构成了一棵树------域树。域树实现了连续的域名空间，域树上的域共享相同的DNS域名后缀。域

树的第一个域是该域树的根(root)，域树中的每一个域共享共同的配置、模式对象、全局目录（Global catalog）。多棵

域树就构成了森林。森林中的域树不共享连续的命名空间。森林中的每一域树拥有它自己的唯一的命名空间。在森林中创

建的第一棵域树缺省地被创建为该森林的根树(Root Tree)。

4、使用包容结构建立组织模型

组织单元是组织、管理一个域内的对象的容器，它能包容用户帐号、用户组、计算机、打印机和其它的组织单元。很

明显，通过组织单元的包容，组织单元具有很清楚的层次结构。这种包容结构可以使管理者把组织单元切入到域中以反应

出企业的组织结构并且可以委派任务与授权。建立包容结构的组织模型能够帮助我们解决许多问题，同时仍然可以使用大

型的域、域树中每个对象都可以显示在全局目录，从而用户就可以利用一个服务功能轻易地找到某个对象而不管它在域树

结构中的位置。

从上面我们对活动目录的逻辑结构的介绍，我们可以看出：活动目录的这种层次结构能帮助我们简化管理、加强网络

安全、轻易地查找所需要的对象和资源，在大型企业网络环境下我们再也不会因为找不到共享资源而头痛。

原文转自：www.ltesting.net

篇8：你真的需要活动目录吗？

一、活动目录的功能

活动目录是微软为解决分布式windows网络集中化管理应用的一项关键产品，它的核心思想和协议源自于早期NOVELL的类似技术，今天的活动目录总结起来功能无外乎于以下三项：

1、集中化的身份验证

利用AD数据库，将分散在windows客户机上的用户管理体系集中到DC上，实现一个用户在任何节点的漫游能力。同时微软的其他产品也不同程度的可以与这个集中化的身份认证体系集成，譬如Exchange，ISA，SMS，甚至Office等等。除此以外，由于开放的LDAP协议，使得第三方产品也可以集成到这个统一的身份验证体系中来。

2、集中化的资源检索

由于AD具有影射网络共享资源，集成DFS等能力，再加上统一的身份认证，使得将分散在网络上的资源集中检索和权限控制变得可能。从理论上说，管理员可以利用AD的这一特性，建立一个完全分布式的文件存储系统，将专用的文件服务器，网络存储系统，客户机上的分散存储集中起来管理和应用。

3、集中化的权限与策略控制

由于身份验证的集中化，用户的权限管理自然也可以集中化。同时更重要的是利用可分法的GPO，AD实现了将分散在Windows客户机上的组策略集中控管的能力。众所周知，组策略是微软提供的利用注册表开关和脚本控制Windows特性的有效工具，集中化的组策略实现了管理员对整个windows网络中客户机的批量操控。

二、活动目录的优势

活动目录技术从早期的NT到如今的，已经发展出一个相当庞大的技术构架。从单一的水平域管理，扩展到可以通过站点和森林扩展出庞大的域结构。达到了微软所希望的解决方案服务一个跨国机构的目标。同时，与其他厂商的类似产品相比，活动目录与微软产品的深度集成也从侧面延伸了活动目录的功能。譬如Exchange Server构建在AD之上，得到一个集成的邮件解决方案、ISA Server构建在AD之上，得到一个集成的防火墙解决方案、Office和Sharepoint构建在AD之上，得到一个企业内部集中化办公解决方案、乃至SQLserver数据库、SMS、RRAS、CA、RADIUS、iis、Cluster、WSUS甚至最简单的DHCP Server，都可以与AD集成，实现“集中化”的管控。不但如此、他们其中的一些甚至是必须与AD集成才可以使用。基于AD的微软产品构架，从理论上来说可以解决企业IT环境中绝大部分需求和问题。

三、中国企业为什么部署活动目录？

windows产品的广泛使用，使得几乎每一个企业都拥有或大或小的Windows网络环境，同时市场的需要也培养出了一大批熟悉微软产品的SA，微软还为他们颁发MCSE和MVP证书。各种各样的技术文章和培训教材也充满了网络、在各个社区中很容易找到关于活动目录的讨论和技术文章。这使得很多企业的IT管理人员在面临一些实际需求时，首先想到的就是活动目录，大量的企业部署了活动目录。甚至于很多SE认为活动目录就是一个完美的IT管理解决方案。

那么，中国的企业究竟为什么部署活动目录呢？笔者在很多社区和中与第一线的SA们进行过深入讨论，总结为以下几种：

1、为了EMAIL

企业需要一个邮件服务器、于是SA想到了微软的Exhange Server，

为了实现Exchange Server，所以必须部署AD。

2、为了集中化验证和文件权限控制

企业需要员工能在任何一台计算机上工作，希望他们有自己的网络帐号，同时企业的文件服务器也需要这样的帐号来区分访问者，为不同部门和不同的员工部署不同的文件访问权限。所以，SA部署了AD。

3、为了集中化控制客户机

SA发现工作中总要花很多时间去客户机上做修改和控制，跑来跑去，工作量很大，非常不方便。于是部署AD，通过集中化的组策略，实现了从核心控制台上对不同部门客户机的不同策略管理。譬如限制用户对系统某些功能的访问和修改、统一定位内部WSUS服务器的补丁更新位置、批量分法软件、限制软件和网络的使用等等。

以上三种需求，占到了90%左右的国内中小型企业的实际情况。当然，另有10%会使用到AD的其他特性，譬如企业需要群集，于是必须部署AD。SA希望集中控管需要部署SMS，于是必须部署AD。

四、活动目录的问题

活动目录的问题就在于微软希望他能面面俱到，但实际上这是不可能的，最后导致了活动目录的臃肿、不可靠、性能低和管理复杂。按照之前我们总结的中国中小企业需求，可以说绝大部分活动目录的部署，可以形象比喻为“为了听收音机而购买了一台汽车，然后为了维持这台汽车不断的付出时间、精力和金钱”。企业的需求就是一台收音机，而活动目录就是这台汽车。

那么活动目录在作为一台收音机使用时，存在哪些问题呢？

1、对DNS的高度依赖

众所周知，AD是构建在DNS名称空间之上的，一个强健可靠的DNS实例是AD的基石，DNS让AD可以管理无限庞大和复杂的网络环境。大家知道，AD是只能部署在WINDOWS的DNS服务之上的，他融入了很多非标准DNS的定义和记录，而Windows的DNS是一个可靠性和负载能力低下的DNS服务器。看看Internet上，有几个ISP会使用Windows DNS？最后的结果，是windows DNS一旦出现问题，整个AD随即故障。例如DNS中的记录更新失败，多DNS区域复制失败，或者DNS需要迁移等等事件，都会导致AD面临极大的风险。这就是说，一栋庞大的大厦建立在了一个不牢固的地基上。

2、过于复杂的LDAP协议

AD的LDAP，虽然号称“轻量”，实际上纷繁复杂。微软希望将这个协议封闭起来，在整个AD的控管环境中用户不要直接与协议打交道。但是LDAP的复杂性，导致一旦出现问题，用户连一个基本的错误反馈界、调试接口和工具都没有。所以微软又不得不提供LDAP调试工具，放在光盘的额外安装目录中。即便如此，又有多少SA能精通这个怪胎协议的调试呢？

3、过于复杂的身份和权限机制

AD的集中化身份验证体系，无疑是AD最受欢迎的功能之一。但是为了让它能面面俱到，微软把它搞得过于复杂了。首先在计算机帐户和用户帐户被同等看待的前提下，OU和Group却又可以交叉容纳用户对象。实际上，AD中的Group太过复杂，为了实现森林的扩展，AD中的Group有基本的6种类型组合，有数十个内置组，更不用说组和组之间允许权限交联，允许交叉继承，允许权限并集和交集。再加上AD与NTFS的集成，文件夹权限和OU权限的并行，逻辑容器和物理容器的互不关联，活动目录的帐户与本地客户机帐户并存。这真的是我见过最复杂的一套机制了，虽然这样复杂的机制让AD足够灵活，但是事实上绝大部分的用户不需要这么复杂的机制，敢问有多少百分比的SA完全搞清了AD中这套机制？绝大部分的人也仅仅是从MCSE的简单教材中了解了初步的概念而已。

篇9：管理活动目录域控制器补丁的八个步骤网络服务器

你将从这个指南中学到：管理活动目录域控制器补丁的八个步骤，管理一个活动目录环境意味着系统管理员必须要成功地巧妙处理微软提供的大量的补

你将从这个指南中学到：管理活动目录域控制器补丁的八个步骤。

管理一个活动目录环境意味着系统管理员必须要成功地巧妙处理微软提供的大量的补丁。即使我避免讨论非操作系统的补丁和客户操作系统的补丁，对于Windows2000服务器和Windows Server 2003系统的补丁管理我仍有很多话要说。补丁管理问题对于域名控制器来说更加危险和重要。

在这个指南中，我提供了一些建议，供你们在管理活动目录域名控制器补丁的时候使用。

1.所有的域名控制器永远要使用相同的补丁。域名控制器要尽可能保留相互的映射，至少在操作系统的设置中要如此设置。这样有助于消除不兼容的问题、消除数据丢失或者损坏以及复制的错误。

2.不要因为微软提供了补丁就打补丁。每一个补丁都要在你自己的环境中进行相关性和可靠性测试。如果你不需要这个补丁，就不要安装。如果安装的补丁运行不正常，这个补丁就会破坏你的环境。如果你可以避免使用它，就不要让你的域名控制器冒风险。

3.测试、测试、再测试，

你需要一个尽可能接近实际的模仿你的生产环境的实验室环境。在生产系统安装补丁之前，每一个补丁都需要进行彻底的测试。要制定一个规则：不经过测试的补丁不得使用。

4.避免应急反应式地使用补丁。建立一个每周一次或者每个月一次的评估新的补丁和将新的补丁排队等候应用的机制。你可以把你的这个机制与微软目前执行的每个月的第二个星期二为“补丁星期二”的安排一致起来。即使是非常重要的安全补丁你也要坚持这个时间安排。永远执行下载、验证、测试、测试、再测试、然后再使用的过程。永远草草应用你的补丁程序、过程或者协议。

5.认真考虑使用最新更新的Windows升级服务。这个服务能够让你管理在专用网络中由你自己专门控制的Windows升级网站。软件升级服务(原产品）的很多缺陷已经改正了。

6.存档、存档、再存档。每一个使用的补丁都要进行彻底的研究，以便你完全了解这个补丁。然后，保留这个文件以便以后参考。不要假设你将来可以再次访问到这个文件，或者再次找到这个文件，特别是这类文件的来源如果是来自互联网的话。你要在本地复制这个文件。保留每一个系统使用的每一个补丁的记录。

7.永远不要假设发布的补丁是成功的。永远要进行测试和验证。应用到活动目录中的每一补丁都要立即进行验证。网络成员服务器每个星期进行一次全面的检查或者每两个星期进行一次全面的检查。客户机可以使用随机样本进行检查。

8.要记住，你的计算机域只能像你配置的那样可靠和可用。利用微软提供的改进建议，但是，不要被微软提供的补丁所主宰。要根据你的环境和基础设施做出相应的决策。不要仅仅根据领导的要求办事，因为领导也不是总是什么都知道！

原文转自：www.ltesting.net

★活动目录方案

★西北工业大学自动化学院硕士招生目录

★幼儿园教育随笔，每一个孩子都不应该被放弃