WINDOWS网域理.docVIP

WINDOWS网域管理 (由计算机教室管理修正过来) Windows 2000的Active Directory 在Windows 2000中，Directory Database采分布式架构(也就是说一个网域中就可以有一个DC或多台DC)，储存了使用者账户、群组、打印机….等对象，而Active Directory是Windows 2000网域内负责提供目录服务的组件，其动作类似旧式的SAM模式，负责管理与验证存取动作、数据储存、安全模式及信任信息，其实换句话来说，Windows 2000乃是采用前端为LDAP存取协议，后端仍是WinNT时代的SAM数据库。 ※在WIN_NT4.0中，一个网域之中必须存有一台PDC， 网域间的信任是单向，且不具递移性，而网域的账户数据储存于PDC的SAM数据库中，容量最多40MB。 在Windows 2000中，一个Domain至少要有一台DC(当然也可以有多台DC)。 Active Directory的特色如下： Active Directory是以轻量目录存取协议(Lightweight Directory Access Protocol ；LDAP )，LDAP是一种在因特网采用存取与整合目录的工业协议，其特色如下： 用LDAP很容易描述整个数据库。 LDAP的阶层式树状架构，在Active Directory中的每一对象都具其唯一路径。 LDAP提供的查询机制让你可以得到所要的信息。 LDAP具有验证的协议，也就是被验证过的使用者才可以存取的LDAP数据。 Active Directory的逻辑架构中有下列组件 物件：乃指不同时间点上，针对不同人所指定的不同事情。对象可包括有计算机、使用者、数据夹。 网域：网域是WINDOWS 2000 Server的核心管理单元，DC本身是最基本的管理单位，也是较好的安全机制单位，网域是基本安全机制的分界线。 组织单位(Organizational Units：OU)：使用者的组织单位、群组、其它组织单位。如：石牌国小、教师、实习老师。 树(Tree)：一个AD是由一个或多个WIN2000网域所建置的由上而下的架构，有如树枝般伸展开来。 森林(Forests)：AD中的森林是树的群组。AD可以包含一个或多个网域。 当 一个机构中的计算机分属于不同的网域时，也就是说一个机构中具有多网域时，此刻就有信任上的问题，若根网域（甲）的Domain name为.tw，而乙是为甲的子网域，Domain name为.tw，丙为为甲的子网域，Domain name为.tw。三者之间具信任关系。因为Windows 2000网域之间的信任是双向的并具递移性，也就是说当甲与丙互相信任，甲与乙互相信任，那么乙和丙也会互相信任。故使用者的账号是可以开在甲、乙或丙任何一个之中皆可。? ?网域本身就是一个管理单位，所以将一个学校中的网域数量降到愈少愈好，如此管理上就会比较简单。第一个建立的网域是根网域， 根网域 的建立时必需建立在DNS的基础之上，因为Active Directory是由DNS来支撑。其余再建立的网域皆为子网域，而形成一个网域树。二个以上网域树彼此在根网域上做了彼此的信任后，则形成Forest，原则上一个学校中最多规划成一个Forest即可。 Active Directory是以阶层将对OU…等组合在一起，并将其储存到Active Directory的数据库中。 容器(OU)就是Active Directory内个ContainerOU内着对User和Computer..等对个OU还着OU。 OU的用途：作管理的用途，在组织User资 Active Directory的架构是DNS，所以在装AD之前必须先安好了DNS才行(尤其是根网域)，而DNS依规定可以不必在AD的机器之上，但是我习惯上会在要装AD的机器上先装DNS，并在TCP/IP内容的DNS指定自己为第一部DNS，而在装好AD以后再移除DNS(不移除也可以)。 　 安装AD择来 【开始】／【程序集】／【系统管理工具】／【设定你的服务器】／选择Active Directory，在依照步骤循序往下完成。 【开始】／【执行】／【开启】中输入dcpromo，在依照步骤循序往下完成。 AD目录服务安装过程 步骤一、从『开始』菜单打开『执行』，输入’dcpromo? ’的指令之后按『确定』 　　　　﹝如下图﹞。 　 步骤二、出现 Active Directory 安装精灵的画面，按『下一步』。 　 步骤三、选择此台DC在网域中所扮演的角色，若此台是您网域中的第一台DC请点选『新网域的网域控制站』，并按下一步。 　 　 步骤四、若这是您的第一个网域﹝也就是说不是某个现存网域的子网域﹞，请点选『建