目錄，是一個數據庫，存貯了網絡資源相關的信息，包括了資源的位置、管理等信息。 目錄服務 是一種網絡服務，目錄服務標記管理網絡中的所有實體資源(比如計算機、用戶、打印機、文件、應用等)，并且提供了命名、描述、查找、訪問以及保護這些實體信息的一致的方法，使網絡中的所有用戶和應用都能訪問到這些資源。 活動目錄(Active Directory) 活動目錄 是Windows 2000完全實現的目錄服務，也是Windows 2000網絡體系的基本結構模型，是Windows 2000網絡操作系統的核心支柱，也是中心管理機構。 Microsoft在Windows 2000中提供的活動目錄是一個全面的目錄服務管理方案，也是一個企業級的目錄服務，具有很好的可伸縮性。活動目錄采用了Internet的標準協議，它與操作系統緊密地集成在一起。活動目錄不僅可以管理基本的網絡資源，比如計算機對象、用戶賬戶、打印機等，它也充分考慮了現代應用的業務需求，為這些應用提供了基本的管理對象模型，比如用戶賬戶對象具有辦公電話、手機、呼機、住址、上司、下屬、電子郵件等屬性。幾乎所有的應用可以直接利用系統提供的目錄服務結構，而且活動目錄也具有很好的擴充能力，允許應用程序定制目錄中對象的屬性或者添加新的對象類型。 活動目錄的邏輯結構 活動目錄的邏輯結構非常靈活，它為活動目錄提供了完全的樹狀層次結構視圖，邏輯結構與前面我們討論過的名字空間有直接的關系。邏輯結構為用戶和管理員查找、定位對象提供了極大的方便。活動目錄中的邏輯單元包括:域、組織單元(Organizational Unit，簡稱OU)、域樹、域森林。 1、 域(Domain) 域 既是Windows網絡系統的邏輯組織單元，也是Internet的邏輯組織單元，在Windows 2000系統中，域是安全邊界。域管理員只能管理域的內部，除非其他的域顯式地賦予他管理權限，他才能夠訪問或者管理其他的域。每個域都有自己的安全策略，以及它與其他域的安全信任關系。 2、 OU(Organizational Unit) OU 是一個容器對象，我們可以把域中的對象組織成邏輯組，所以OU純粹是一個邏輯概念，它可以幫助我們簡化管理工作。OU可以包含各種對象，比如用戶賬戶、用戶組、計算機、打印機，甚至可以包括其他的OU。所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結構，對于一個企業來講，我們可以按部門把所有的用戶和設備組成一個OU層次結構，也可以按地理位置形成層次結構，還可以按功能和權限分成多個OU層次結構。由于OU層次結構局限于域的內部，所以一個域中的OU層次結構與另一個域中的OU層次結構完全獨立。 3、 樹 當多個域通過信任關系連接起來之后，所有的域共享公共的表結構(schema) 、配置和全局目錄(global catalog)，從而形成 域樹 。域樹由多個域組成，這些域共享同一個表結構和配置，形成一個連續的名字空間。樹中的域通過信任關系連接起來。活動目錄包含一個或多個域樹。 4、 森林 域森林 是指一個或多個沒有形成連續名字空間的域樹。域林中的所有域樹共享同一個表結構、配置和全局目錄。域林中的所有域樹通過Kerberos信任關系建立起來，所以每個域樹都知道Kerberos信任關系，不同域樹可以交叉引用其他域樹中的對象。 其它 1、 域控制器(Domain Controller) 域控制器是指運行Windows 2000 Server版本的服務器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復制到同一個域中的其他域控制器上。域控制器也負責用戶的登錄過程，以及其他與域有關的操作，比如身份認證、目錄信息查找等。 一個域可以有多個域控制器。規模較小的域可以只需要兩個域控制器，一個實際使用，另一個用于容錯性檢查;規模較大的域可以使用多個域控制器。 Windows 2000的域結構與Windows NT 4的域結構不同的是，活動目錄中的域控制器沒有主次之分，活動目錄采用了多主機復制方案，每一個域控制器都有一個可寫入的目錄副本。在某一個時刻，不同的域控制器中的目錄信息可能有所不同，一旦活動目錄中的所有域控制器執行同步操作之后，最新的變化信息就會一致。 2、 活動目錄與DNS 活動目錄使用域名服務DNS作為它的定位服務，同時也對標準的DNS作了擴充。在活動目錄中使用DNS的最大好處在于，我們可以使Windows 2000域與Internet上的域統一起來，即Windows域名也是DNS域名。 3、Active Directory命名規范 (1)辨別名( distinguished name (DN)) 活動目錄中的每一個對象都會有一個唯一的辨別名DN。DN由域名、對象名組成: DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用戶對象James Smith在contoso.com域中的Users組織單元中的Teacher單元中. (2) User Principal Name : 由用戶登錄名和域名組成，如 JamesS@contoso.com 4、 域運行模式 (1) 混合模式 。混合模式的域既可以有Windows 2000的域控制器，也可以有Windows NT 4的域控制器。這是一個過渡模式，利用這種模式，我們可以對現有的系統逐步升級。但是，在混合模式下，活動目錄中有些功能不能很好地發揮出來。 (2) 準模式 。活動目錄的標準模式要求所有的域控制器都必須運行Windows 2000。只有在這個時候，活動目錄的所有功能和特性才能充分體現出來。 ******************************* 安裝域控制器： 運行 Active Directory 安裝向導將 Windows 2000 Server 計算機升級為域控制器會創建一個新域或者向現有的域添加其他域控制器。創建域控制器可以: §　創建網絡中的第一個域。 §　在樹林中創建其他的域。 §　提高網絡可用性和可靠性。 §　提高站點之間的網絡性能。 要創建 Windows 2000 域，必須在該域中至少創建一個域控制器。創建域控制器也將創建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域，則必須為每個附加的域至少創建一個域控制器。樹林中的附加域可以是:新的子域、新域樹的根。 在安裝 Active Directory 前首先確定DNS服務正常工作，下面用戶來安裝根域為 nt2000.com 的域中第一臺域控制器。 步驟1 利用配置服務器啟動位于 %Systemroot%\system32 中的 Active Directory 安裝向導程序 DCPromo.exe。 步驟2 由于用戶所建立的是域中的第一臺域控制器所以選擇"新域的域控制器" 單擊"下一步" 步驟3 選擇"創建一個新域的域目錄樹" ,單擊"下一步" 步驟4 選擇"創建一個新域的域目錄林", 單擊"下一步" 步驟5 在"新域的 DNS 全名"中輸入要創建得域名，nt2000.com 步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為 "nt2000" ,單擊"下一步" 步驟7 顯示數據庫、目錄文件 及Sysvol 文件的保存位置，一般不必作修改。單擊"下一步" 步驟8 配置 DNS 服務,單擊"下一步",(如果在安裝 Active Directory 之前未配置 DNS 服務器可以在此讓安裝向導配置 DNS ，推薦使用這種方法。) 步驟9 為用戶和組選擇默認權限，考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 服務器之前版本相兼容的權限" 步驟10 輸入以目錄恢復模式下的管理員密碼,單擊"下一步" 步驟11 安裝向導顯示摘要信息,單擊"下一步"開始安裝如下圖 步驟12 安裝完成之后，重新啟動計算機。 檢驗安裝結果 在安裝完成后，可以通過以下方法檢驗 Active Directory 安裝正確，在安裝過程中一項最重要的工作是在 DNS 數據庫中添加服務記錄( SRV 記錄)。 1.檢查 DNS 文件的SRV記錄 用文本編輯器打開 %systemroot%/system32/config/ 中的 Netlogon.dns 文件，察看 LDAP 服務記錄，在本例中為 _ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com. 2.驗證 SRV 記錄在 NSLOOKUP 命令工具中運行正常 步驟1 在命令提示行下，輸入 NSLOOKUP 步驟2 輸入 set type=srv 步驟3 輸入 _ldap._tcp.nt2000.com 如果返回了服務器名和 IP 地址，說明 SRV 記錄工作正常 ****************************** 安裝第二臺域控制器： 運行 Active Directory 安裝向導將 Windows 2000 Server 計算機升級為域控制器會創建一個新域或者向現有的域添加其他域控制器。創建域控制器可以: §　創建網絡中的第一個域。 §　在樹林中創建其他的域。 §　提高網絡可用性和可靠性。 §　提高站點之間的網絡性能。 要創建 Windows 2000 域，必須在該域中至少創建一個域控制器。創建域控制器也將創建該域。不可能有沒有域控制器的域。如果確定用戶的單位需要一個以上的域，則必須為每個附加的域至少創建一個域控制器。樹林中的附加域可以是:新的子域、新域樹的根。 在安裝 Active Directory 前首先確定DNS服務正常工作，下面用戶來安裝根域為 nt2000.com 的域中第一臺域控制器。 步驟1 利用配置服務器啟動位于 %Systemroot%\system32 中的 Active Directory 安裝向導程序 DCPromo.exe。 步驟2 由于用戶所建立的是域中的第一臺域控制器所以選擇"新域的域控制器" 單擊"下一步" 步驟3 選擇"創建一個新域的域目錄樹" ,單擊"下一步" 步驟4 選擇"創建一個新域的域目錄林", 單擊"下一步" 步驟5 在"新域的 DNS 全名"中輸入要創建得域名，nt2000.com 步驟6 安裝向導自動將域控制器的 NetBIOS 名設置為 "nt2000" ,單擊"下一步" 步驟7 顯示數據庫、目錄文件 及Sysvol 文件的保存位置，一般不必作修改。單擊"下一步" 步驟8 配置 DNS 服務,單擊"下一步",(如果在安裝 Active Directory 之前未配置 DNS 服務器可以在此讓安裝向導配置 DNS ，推薦使用這種方法。) 步驟9 為用戶和組選擇默認權限，考慮到現在大多數單位中仍然需要使用 Windows 2000 的以前版本，所以選擇"與 Windows 2000 服務器之前版本相兼容的權限" 步驟10 輸入以目錄恢復模式下的管理員密碼,單擊"下一步" 步驟11 安裝向導顯示摘要信息,單擊"下一步"開始安裝如下圖 步驟12 安裝完成之后，重新啟動計算機。 檢驗安裝結果 在安裝完成后，可以通過以下方法檢驗 Active Directory 安裝正確，在安裝過程中一項最重要的工作是在 DNS 數據庫中添加服務記錄( SRV 記錄)。 1.檢查 DNS 文件的SRV記錄 用文本編輯器打開 %systemroot%/system32/config/ 中的 Netlogon.dns 文件，察看 LDAP 服務記錄，在本例中為 _ldap._tcp.nt2000.com. 600 IN SRV 0 100 389 n2k_server.nt2000.com. 2.驗證 SRV 記錄在 NSLOOKUP 命令工具中運行正常 步驟1 在命令提示行下，輸入 NSLOOKUP 步驟2 輸入 set type=srv 步驟3 輸入 _ldap._tcp.nt2000.com 如果返回了服務器名和 IP 地址，說明 SRV 記錄工作正常
?

轉載于:https://blog.51cto.com/wirless/291093

總結

以上是生活随笔為你收集整理的实用教程 活动目录介绍及安装指南的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。