1、网络操作系统(Windows Server 2003),第4章 Active Directory和域,本章学习目标,Active Directory和域是Windows Server 2003的重要组成部分,二者是紧密相关的两个概念。本章主要讲解Active Directory和域的相关基础知识以及如何创建域、管理域。通过本章学习,读者应该掌握以下内容:Active Directory基础域的相关概念域的建立域的管理,4.1 Active Directory基础,Active Directory是Windows Server 2003提供的目录服务。Active Directory可以存储各种
2、对象的有关信息,并使该信息易于管理员和用户查找及使用,它使用结构化的数据存储作为目录信息的逻辑层次结构的基础,同时将安全性集成到了Active Directory中,通过网络登陆,系统管理员能够管理整个网络中的目录数据和单位,而且获得授权的网络用户也可以访问网络上的任何地方的资源。,4.1.1Active Directory概念,Active Directory(活动目录,可简称为AD)是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录服务。Active Directory包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,从静态的角度来理解这活动目录与
3、我们以前所结识的“目录”和“文件夹”没有本质区别,仅仅是一个对象,是一实体;而目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,因为多台机器上有相同的信息,所以在信息容器方面具有很强的控制能力,正因如此,不管用户从何处访问或信息处在何处,都对用户提供统一的视图。,1名字空间:,从本质上讲,活动目录就是一个名字空间,我们可以把名字空间理解为任何给定名字的解析边界,这个边界就是指这个名字所能提供或关联、映射的所有信息范围。名字解析是把一个名字翻译成该名字所代表的对象或者信息的处理过程。,2对象,对象是活动目录中的
4、信息实体,也即我们通常所见的“属性”,但它是一组属性的集合,往往代表了有形的实体,比如用户帐户、 文件名等。对象通过属性描述它的基本特征,比如,一个用户账号的属性中可能包括用户姓名、 电话号码、 电子邮件地址和家庭住址等。,3容器,容器是活动目录名字空间的一部分,与目录对象一样,它也有属性,但与目录对象不同的是,它不代表有形的实体,而是代表存放对象的空间,因为它仅代表存放一个对象的空间,所以它比名字空间小。比如一个用户,它是一个对象,但这个对象的容器就仅限于从这个对象本身所能提供的信息空间,如它仅能提供用户名、用户密码。其它的如:工作单位、联系电话、家庭住址等就不属于这个对象的容器范围了。,4
5、目录树,在任何一个名字空间中,目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象,树的非叶子节点是容器。目录树表达了对象的连接方式,也显示了从一个对象到另一个对象的路径。在活动目录中,目录树是基本的结构,从每一个容器作为起点,层层深入, 都可以构成一棵子树。一个简单的目录可以构成一棵树,一个计算机网络或者一个域也可以构成一棵树。 “目录树”其实描述的是一种“路径关系”。,5域,域是Windows 2003网络系统的安全性边界。一个计算机网络最基本的单元就是“域”,但活动目录可以贯穿一个或多个域。在独立的计算机上,域即指计算机本身,一个域可以分布在多个物理位置上,同时一个物理位置又可
6、以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后,活动目录可以被多个信任域共享。,6组织单元,包含在域中特别有用的目录对象类型就是组织单元。组织单元是可将用户、组、计算机和其他单元放入活动目录的容器中,组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单元,可在组织单元中代表逻辑层次结构的域中创建容器,这样就可以根据组织模型管理帐户、资源的配置和使用,可使用组织单元创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单元或对单个组织单元的管理权限,组织单元的管理员不需要具有域中任何
7、其他组织单元的管理权,组织单元有点像在NT时代的工作组,从管理权限上来讲可以这么理解。,4.1.2Active Directory功能,简化管理增强信息的安全性3智能的信息复制能力4与DNS集成紧密5灵活的查询功能,4.1.3Active Directory结构,Active Directory是一个分布式的目录服务,因为信息可以分散在多台不同的计算机上,保证各计算机用户快速访问和容错;同时不管用户从何处访问或信息处在何处,对用户提供统一的视图,使用户更容易理解和掌握。Active Directory采用域、域树、域林构成的层次化的目录结构。,1域,域(Domain)是Windows Serv
8、er 2003目录服务的基本管理单位, Windows Server 2003把一个域作为一个完整的目录,在Windows Server 2003网络中,一个域能够轻松管理数据万个对象。域是Active Directory服务逻辑结构的核心单元,是对象的容器。,2域树,域树由多个域组成。域树中的第一个域称作根域。相同域树中的其他域为子域。相同域树中直接在另一个域上一层的域称为父域。具有公用根域的所有域构成连续名称空间。这意味着单个域目录中的所有域共享一个等级命名结构。域树中的Windows Server 2003域通过双向可传递信任关系连接在一起。由于这些信任关系是双向的而且是可传递的,因此在
9、域树中新创建的域可以立即与域树或域林中其他的Windows Server 2003域建立信任关系。这些信任关系充许单一登录过程在域树或域林中的所有域上对用户进行身份验证。不过,这也并不意味着经过身份验证的用户在域树的所有域中都拥有相应的权利和权限。因为域是安全界限,所以必须在每个域的基础上指派权利和权限。,图4-1 域树示意图,3域林,域林包括多个域树。其中的域树不形成邻接的名称空间。而且域林也有根域。域林的根域是域林中创建的第一个域。域林中所有域树的根域与域林的根域建立可传递的信任关系。,图4-2 域林示意图,4.2域,4.2.1域的定义微软公司把域定义为用户和计算机组成的一个逻辑组。但这个
10、定义同样适用于工作组(或对等型)网络。更好的定义应该是:域是由集中共享的帐户数据管理的用户和计算机的逻辑组。域和Active Directory是密切相关的两个概念。从域的角度来看,Active Directory是由至少一个域所构成的集合;若从Active Directory的角度看,域则是Active Directory的分区单位。,中央管理数据库的概念是理解域及其功能的关键。,在过去的技术(工作组)中,每台向网络提供服务的计算机都有自己的帐户数据库。这样造成一个用户在多台计算机上都有帐户存在。这种管理对用户和管理员都造成了重复工作。在域中,帐户数据库位于中央服务器。该服务器称做“域控制器
11、”,处理所有登录要求、资源认证和管理任务。帐户管理通过域控制器中存储的中心帐户数据库来完成。当一个用户的帐户在域控制器中创建后,他便可使用网络中的任何一项被授权的资源。,4.2.2域控制器,在Windows Server 2003的网络环境中,各域必须至少有一台域控制器(Domain Controller,简写为DC),存储此域中的Active Directory信息,并提供域相关服务,例如:登录验证、名称解析等。换言之,没有域控制器,就没有所谓的域。在域中,可以同时存在多台域控制器,各域控制器都处于平等关系。亦即网管人员可以在域内任何一台域控制器上管理Active Directory,包括建
12、立帐号、设置组策略、委派控制等。用户也可通过任何一台域控制器来登录域,并访问Active Directory数据库。,设置多台域控制器主要是为了提高域的容错能力,以弥补某一台域控制器故障时,还有其它域控制器可维持域的运行,不致造成域全面瘫痪。由于域可能跨越数个以低速连接的局域网络,为避免用户每次登录或访问Active Directory时都通过低速连接,因此可视需求在各局域网络中架设域控制器,以提升使用效率。使用单个局域网 (LAN) 的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个站点都需要一个或多个域控制器以提供高可用性和容错能力。如果某一网络划分为多个站点,那么
13、通常一种较好的做法是在每个站点中至少配置一台域控制器以提高网络性能。,当用户登录网络时,作为登录过程的一部分必须联系域控制器。如果客户必须连接位于不同站点的域控制器,那么登录过程将耗费很长的时间。通过在每个站点中创建域控制器,在站点内的用户登录处理会更加有效。由于域中所有的域控制器具有相同的Active Directory数据库,且网管人员可在任一台域控制器上修改Active Directory信息,因此域控制器间必须有复制(Replication)机制,以维持Active Directory数据的一致性。,4.2.3域间的信任关系,域和域之间的通信是通过信任发生的。信任是为了使一个域中的用户
14、访问另一个域中的资源而必须存在的身份验证管道。信任关系是指在域之间建立的逻辑关系,以便允许通过身份验证,其中信任域负责受信域的登录验证。受信域中定义的用户帐户和全局组可以获得信任权利和权限,即使该用户帐户或组不在信任域的目录中。,域信任关系一般可分为单向、双向、可传递和不可传递四种。,1单向信任是两个域之间创建的单向身份验证路径。这意味着在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户不能访问域 A 中的资源。2双向信任两个域之间的信任关系,在该关系中,两个域互相信任。例如,A 域信任 B 域,并且 B 域也信任 A 域。,3可传递信任在整个
15、的一组域(例如域树)间流通、并在域和信任该域的所有域之间形成的信任关系。例如,如果 A 域和 B 域之间存在可传递信任,并且 B 域信任 C 域,则 A 域也信任 C 域。 可传递信任可以是单向的,也可以是双向的,并且是基于 Kerberos 的身份验证和 Active Directory 复制所要求的。4非传递信任多域环境中的一种信任关系,仅限制在两个域之间。例如,如果 A 域具有和 B 域的非传递信任,并且 B 域信任 C 域,则 A 域和 C 域之间没有信任关系。 非传递信任可以为单向或双向。,4.2.3域结构,通常有4种基本类型的域结构:单一域模型、主域模型、多主域模型和完全信任模型。
16、企业根据其规模、地理分布以及其他资源条件,可以选择不同的域结构。,1单一域模型,单一域模型(Single Domain Model)是最常见也是最适合小型企业的模式,如图4-3如示。,这种模式的优点是:在这种结构下,没有由于太多域所衍生的复杂的管理问题,也没有域间的信任关系。所有资源整合在单一域中,可以集中控制管理。这种模式的缺点是:随着域中的帐户等资料均需由域控制器来管理与验证,从而导致网络在复制帐户与提供登录服务的资料传输量过量而影响网络传输速度,甚至影响域控制器所提供的文件、打印等服务。,2主域模型,主域模型(Master Domain Model)适用于规模较完备的企业,可依照部门来规
17、划域。其中一个域为主域,如图4-4所示。,在主域模型结构中,所有域的帐户将统一由主域进行管理,其它的域为“从域”。而从域到主域之间有信任关系。主域负责帐户的维护,其他从域则不需要建立任何帐户资料,可负责其他文件或打印服务。该模型的优点是:虽然主域负责帐户的维护,但是每个从域可以决定用户/组操作该域的权限,并不是完全控制在主域中。其缺点在于:帐户集中在主域中,容易造成主域网络流量激增而拥塞。,3多主域模型,多主域模型(Multiple Master Domain)是可以克服主域模型的缺点。该模型的结构与主域模型类似,但是可以有多个主域,并且各主域间具有双向信任关系,在不同非主域之间也可以存在信任
18、。其结构示意图如图4-5所示。多主域模型的优点是:可以克服主域模型的缺点,帐户进行分散管理,减轻了单一主域的压力。其缺点是:帐户分散在不同的主域间会增加管理上的困难度。,图4-5 多主域模型,4完全信任模型,完全信任模型(Complete Trust Model)是无法采取集中式管理帐户的情况下使用的,如图4-6所示。,在完全信任模型中,所有的域地位都是平等的,无主、从域之分。每个域自行管理自己域内的帐户,并在各域之间建立双向的信任关系,使所有的域都可以合法存取其它域的资源。,4.2.4域和站点,站点是通过高速网络(如局域网 (LAN))有效连接的一组计算机。同一站点内的所有计算机通常放在同一
19、建筑内,或在同一局域网络上。一个站点是由一个或多个 Internet 协议 (IP) 子网组成,图4-7为站点示意图。子网是 IP 网络的细分,每个子网都有自己的唯一网络地址。,图4-7 站点示意图,图4-8域和站点的关系,理解域和站点之间的联系和区别是很重要的。,域代表组织的逻辑结构,而站点代表网络的物理结构, Active Directory 使用拓扑信息(在目录中存储为站点和站点链接对象)来建立最有效的复制拓扑。这种物理和逻辑结构的区分提供了下列好处:(1)可以单独设计和维护网络的逻辑和物理结构。 (2)不必使域名称空间建立在物理网络基础之上。 (3)可以为相同站点中的多个域部署域控制器
20、。也可以为多个站点中的相同域部署域控制器,二者关系如图4-8所示。,站点有助于简化 Active Directory 内的多种活动,其中包括:,(1)复制(2)身份验证(3)启用 Active Directory 的服务,4.3域的建立,4.3.1建立域控制器建立域的第一步即建立域控制器,换言之,当第一台域控制器建立时,同时也创建了第一个域、第一个林、第一个站点,并安装了Active Directory。建立域控制器的具体操作步骤如下:(1)打开“开始”菜单,选择“管理工具”菜单中的“管理您的服务器”命令启动配置向导,在此管理介面中出现该服务器已具备功能,如图4-9所示。,图4-9 “管理您的
21、服务器”界面,(2)选择“添加或删除角色”命令,出现“配置您的服务器向导”介面,如图4-10所示。,(3)单击“下一步”,选择要安装的服务器角色,在此要安装的是域控制器(Active Directory),对话框中显示本服务器并未配置该项,选中该项,如图4-11所示。,(4)确认选项,点选“下一步”,将运行Active Directory安装向导将此服务器设置为域服务器,如图4-12所示。,(5)出现Active Directory安装向导欢迎介面,如图4-13所示。,(6)点击“下一步”,出现设置操作系统兼容性的对话框,如图4-14所示,说明运行Active Directory的Window
22、s版本要求,运行Windows98以前的版本的计算机将无法登录到运行Windows Server 2003的域控制器或访问域资源。,(7)单击“下一步”,打开选择域控制器类型对话框,用户可以选择新建一个域控制器或是在现有域中添加一个额外域控制器,在此,我们选择“新域的域控制器”,如图4-15所示。,(8)单击“下一步”,打开“创建一个新域”对话框,用户可以从中选择创建域的类型:在新林中的域:表示创建一个新域或让新域独立于当前的域林。在现有域树的子域:表示把新域作为现有域的子域。在现有的林中的域树:表示创建一个与现有树分开的、新的域树。在此,我们选择在创建一个新的在新林中的域,如图4-16所示。
23、,(9)单击“下一步”,打开“为新域命名”对话框,用户可以为新域输入一个DNS域名,如图4-17所示。,(10)单击“下一步”,打开“指定新域的NetBIOS”对话框,NetBIOS域名是早期的Windows版本的计算机用来识别新域的,用户可以较入新名称,也可以接受系统默认的域名,默认情况下,域NetBIOS名即域名的第一部分,如图4-18所示。,(11)单击“下一步”,打开“数据库和日志文件文件夹”对话框,如图4-19所示。用户在此要指明保存Active Directory数据库和Active Directory日志的位置,如果以后需要可恢复性的操作,用户可以将数据库和日志放在不同的硬盘上。
24、,(12)单击“下一步”,打开“共享的系统卷”对话框,如图4-20所示。用户需指定作为系统卷共享的文件夹,系统默认的SYSVOL文件就用来存放域的公用文件的服务器副本,并且文件夹中的内容被复制到域中的所有域控制器,在此要注意SYSVOL文件夹必须要放置在NTFS卷上,如硬盘中并无NTFS分区,就无法继续安装下去。,(13)单击“下一步”,如果您的服务器未安装DNS,或DNS配置不正确,便会出现图4-21,域控制器需要有DNS的支持,您可以根据具体情况通过对话框中所给出的三个选项来解决这个问题,以使安装可以继续。,(14)单击“下一步”,打开“权限”对话框,可从中选择用户和组对象的默认权限,如图
25、4-22所示。,(15)单击“下一步”,打开“目录服务还原模式的管理员密码”对话框,要求用户输入管理员帐户的密码,这个帐户是出现系统灾难时,还原目录服务时登录的新域管理员帐户,如图4-23所示。,(16)单击“下一步”,打开“摘要”对话框,显示在创建域控制器过程中所有的设置,如图4-24所示。,(14)单击“下一步”,系统即开始安装Active Directory,如图4-25所示。,(15)最后,出现“完成安装”的对话框, 如图4-26所示。,(16)单击“完成”,出现“重新启动系统”提示对话框,如图4-27所示,选择“立即重新启动”。,(17)重启系统后,出现“此服务器现在是域控制器”对话
26、框,说明域控制器已安装成功,AD安装成功,如图4-28所示。,(17)现在我们再次进入“管理您的服务器”窗口时,已配置角色中出现了“域控制器”一项,用户可通过右边所示的“管理AD中的用户和计算机”、“管理域和信任”及“管理站点和服务”对该域进行管理,如图4-29所示。至此,第一台域控制器便安装成功,随之,域也就建立了。,4.3.2将计算机加入域中,域控制器在域中起着重要作用,但并不是域中的唯一角色,域中的计算机根据其功能的不同,可分为以下三种角色:域控制器:安装了Windows Server 2003或Windows 2000 Server系统,并提供AD服务,管理域中的用户、计算机与各种资源
27、的计算机。成员服务器:安装Windows Server 2003或Windows 2000 Server系统,未启用AD服务且加入域的计算机;或是安装Windows NT Server系统,且加入域的计算机。工作站:所有安装Windows NT Workstation 、Windows 2000 Professional或Windows XP Professional系统,且加入域的计算机。成员服务器与工作站在域中都要受域控制器的管理和控制。有了上述三种角色的域才是功能完备的域。,另外,有许多计算机并不属于任何一个域,即以工作组模式运行着,从功能上来讲,也可将其分为两种角色:,独立服务器:安装
28、了各种版本的Windows Server,但未加入域。它一旦加入域中,角色便转化为“成员服务器”。一般客户端计算机:无许可是执行何种操作系统,只要未加入域,且不是独立服务器的计算机,都归为此类。它一旦加入域中,其角色便是“工作站”。,本节所要介绍的便是如何将独立服务器与一般客户端计算机加入域中。在此仅以Windows XP Professional为例,介绍如何将计算机加入域中。共为两个步骤:,第一步:设置DNS为顺利加入域,先决条件是要能够连接到该域的域控制器,要连上正确的域控制器,就必须先在计算机上设置正确的DNS服务器的地址。在此,我们可假设域中的域控制器和DNS服务为同一计算机,那么现
29、在应将计算机的惯用DNS服务器设为域控制器的IP地址。(1)首先以该计算机的本机系统管理员身份登录本机,依次选择“开始”菜单中的“控制面板网络连接本地连接”,打开“本地连接状态”对话框。(2)双击“Internet协议(TCP/IP)”,进入Internet协议(TCP/IP)对话框。(3)将DNS服务地址设置为域内指定的默认DNS地址,如图4-30所示。,图4-30 “Internet协议属性”界面,第二步:加入域,(1)选择“开始”菜单中的“控制面板系统”,打开“系统属性”对话框,如图4-31所示,点击“更改”按钮。,(2)选中“域”单选按钮,在文本框中写入域名TEST.WINSERVER
30、2003.COM,如图4-32所示。,(3)按“确定”按钮后,出现权限验证对话框,如图4-33所示,在此需要提供具有将计算机加入域权限的域帐户信息。,(4)按“确定”按钮后,提示加入域成功如图4-34所示。,(5)重新启动后,此计算机即成为“TEST.WINSERVER2003.COM”域的工作站,其计算机名称WINXP-SP2会同时出现在“Active Directory用户和计算机”窗口的Computer容器中,如图4-35所示。,在此要注意的是,严格来说,Windows95/98并不具有“加入域”的功能,只能够“连接”到域。它们虽然能够通过域帐户,从Windows95/98的计算机登录域
31、访问资源。可这些计算机并未受到域的管辖,并且域控制器也不会有这些机器的帐户数据。,4.4 域的管理,管理域的过程,便是对Active Directory进行配置的过程。当一个域创建后,还需要很多管理方面的工作需要去做。主要的域管理工具可通过“开始”“管理工具”“管理您的服务器”中的域控制器配置获得:管理AD的用户和计算机管理域和信任管理站点和服务也可通过选择“开始”“管理工具”菜单中的“AD的用户和计算机”、“AD域和信任关系”、“AD站点和服务”来完成管理工作。,4.4.1设置域控制器的属性,为了加强对域控制器的管理,使域控制器安全稳定的运行,系统管理员必须设置域控制器的属性。通过设置域控制
32、器属性,不但可以确定域控制器的位置、操作系统和常规属性,而且还可为域控制器指定权限组和管理用户。,设置属性的具体操作步骤如下:,(1)打开“管理您的服务器”,选择域控制器中的“管理AD的用户和计算机”选项,打开“AD用户和计算机”窗口,如图4-36所示。,(2)在控制台窗口上目录树中展开域节点,并单击Domain Controllers,在右边窗口内显示出作为域控制器的主机,右键单击主机名,出现下拉菜单,如图4-37所示。,(3)单击“属性”,打开该控制器的属性对话框,如图4-38所示。,(4)在“常规”选项卡中的“描述”文本框中,可以输入对该域控制器的一般描述;如果不希望域控制器的可受信任用
33、来作为委派,可取消对“信任计算机作为委派”复选框的选择。(5)在“操作系统”选项卡中,可显示出操作系统的名称和版本,如图4-39所示。,(6)要为域控制器添加隶属对象,可打开“隶属于”选项卡,从中单击“添加”按钮打开“选择组”对话框,可以为域控制器选择一个要添加的组。(7)为便于查找域控制器,可打开“位置”选项卡,在“位置”文本框中输入域控制器的位置;或单击“浏览”选择路径,查找指定的域控制器。(8)要更改域控制器的管理者,可打开“管理者”选项卡,从中单击“更改”按钮打开“选择用户或联系人”对话框,选择新的管理者。同时也可单击“属性”按钮查看修改管理者的属性设置,也可单击“清除”按钮删除指定的
34、管理者,如图4-40所示。,图4-40 “域控制器管理者”选项卡,(9)对“拨入”选项卡中信息进行配置,可设定用户是否可远程登录,如图4-41所示。(10)域控制器属性设置完成后,单击“确定”按钮保存设置。,4.4.2创建域信任关系,域信任关系是一种建立在域间的关系,它使一个域中的用户可由另一个域中的域控制器进行验证。所有域信任关系中只有两种域:信任关系域和被信任关系域。当管理员需要使域目录域林中的某个域与域目录林外的某个域建立信任关系时,就应建立外部明确信任关系;当管理员需要在域目录域林中的两个域之间直接建立信任关系,以减少目录域林信任路径的身份验证时间时,应建立内部快捷信任关系。,创建域信
35、任关系的操作步骤如下:,(1)打开“管理您的服务器”,选择域控制器中的“管理域和信任”选项,打开“AD域和信任关系”窗口,如图4-42所示。,(2)右键单击“Active Directory域和信任关系”根节点,在弹出的快捷菜单中选择“属性”命令打开属性对话框,选中“信任”选项卡,如图4-43所示。,(3)单击“新建信任”按钮,出现“新建信任向导”对话框,如图4-44所示。,(4)点击“下一步”按钮,出现“信任名称”对话框。在此可键入信任的域、林或邻域的名称,如图4-45所示。,(5)点击“下一步”按钮,出现“信任类型”对话框。在此可选择信任类型,有“领域信任”和“与一个Windows域建立信
36、任”两种选择,可根据情况选择,如图4-46所示。,(6)点击“下一步”按钮,出现“信任的传递性”对话框。在此有“不可传递”或“可传递”两种选择,可根据情况选择,如图4-47所示。,(7)点击“下一步”按钮,出现“信任方向”选择对话框。可选择“双向”、“单向:内传”、“单向:外传”,如图4-48所示。,(8)点击“下一步”按钮,出现“信任密码”对话框。此密码被域控制器用来确认信任关系,需要两方的密码一致。如图4-49所示。,(9)点击“下一步”按钮,显示“选择信任完毕”对话框。此处会显示用户所选择的所有选项,如图4-50所示。,(10)点击“下一步”按钮,显示信任关系创建成功,如图4-51所示。
37、,(11)点击“下一步”按钮,返回到信任关系配置窗口,在“受此域信任的域”与“信任此域的域”列表框中,出现了新添加的信任域,如图4-52所示。,4.4.3管理不同的域,在具有多个域的单位中,管理员经常需要管理用户当前登录的域之外的另一个域。在“AD用户和计算机”控制台中,管理员除了可以管理本地域外,还可以管理域林中的不同的域。但是在管理不同的域之前,必须先建立当前域与要管理的域的之间的连接。,要连接到域控制器,打开“AD用户和计算机”控制台窗口,在控制台目录树中右击“AD用户和计算机”根站点,从弹出的快捷菜单中选择“连接到域控制器”命令,打开如图4-53所示的对话框,可以从中查看当前域控制器的
38、名称,然后在“输入另一个域控制器的名称”文本框中输入要连接的域控制器名,或从域控制器列表中选择一个要连接的域控制器。如果在域控制器列表中没有列出其他的可用的域控制器,可以从“或者选择一个可用的域控制器”列表中选择“任何可写的域控制器”选项,系统会根据网络连接情况自动选择可用的域控制器。在指定了要连接的域控制器后,单击“确定”按钮即可完成连接。,图4-53 “连接到域控制器”窗口,4.4.4管理站点,“Active Directory 站点和服务”管理单元的主要用途是对 LAN 中单个站点内部以及 WAN 中多个站点之间的企业环境的复制拓扑进行管理。,1创建站点,(1)打开“管理您的服务器”,选
39、择域控制器中的“Active Directory 站点和服务”选项,打开“Active Directory 站点和服务”窗口,如图4-54所示。,(2)右键单击“Sites”文件夹,然后单击“新站点”,如图4-55所示。,(3)在“名称”中键入新站点的名称, 单击一个站点链接对象,如图4-56所示。,(4)然后单击“确定”按钮,出现对话框,如图4-57所示,显示新站点已建立,还需要做哪些配置。点击确定,将会在控制台中出现以“NEWSITE”命名的新站点。,2创建子网,(1)进入“Active Directory 站点和服务”窗口,如图4-58所示。(2)在控制台树中,右键单击“Subnets”,然后单击“新建子网”。,(3)出现“新建对象-子网”对话框,如图4-59所示。在“地址”中,键入子网地址,在“掩码”中,键入子网掩码,它描述包括在此子网中的地址范围。在“为此子网选择站点对象”下,单击将与该子网关联的站点。,(4)点击“确定”,子网创建成功。在控制台的Subsets容器内出现新建的子网,如图4-60所示。,3将子网与站点关联,(1)右键单击控制台树中要与站点关联的子网,然后单击“属性”,如图4-61所示。,(2)出现“子网属性”设置对话框,单击“站点”中要与该子网关联的站点,在描述中可写出关联的描述文字,如图4-62所示,点击“确定”完成关联。,
