AD的概念.docVIP

Windows 2000/03域和活动目录 2007-12-20 11:52:03 　标签：Windows 域 系统 活动目录　 98：Windows 98XP：Windows XPNT：Windows NT Server2000：Windows 2000 Server03： Windows 2003 ServerS：ServerAS：Advanced Server AD：Active Directory 即活动目录DC：Domain Controller 即域控制器GC：Global Catalog 全局编录TS：Terminal Service 终端服务PDC：Windows NT Server域中的主域控制器BDC：Windows NT Server域中的备份控制器SAM库：安全帐号管理器数据库FQDN：完全有效域名，如：NetBIOS名称：形如mcse 　　本文的目的，是作为域和AD的一篇入门文章，使没有安装过域，或刚刚接触域的年轻网管能对域和AD有一个全面的了解，并利用此文入门，将所管理的网络实现一个基于域的管理模式。一、认识Windows的域　　本小节重点从理论上阐述域的概念、作用和Windows中域的产生。　 　一台Windows计算机，它要么隶属于工作组，要么隶属于域。所以说到域，我们就不得不提一下工作组，工作组是MS的概念，一般的普遍称谓是对等网。 工作组通常是一个由不多于10台计算机组成的逻辑集合，如果要管理更多的计算机，MS推荐你使用域的模式进行集中管理，这样的管理更有效。你可以使用域、 活动目录、组策略等等各种功能，使你网络管理的工作量达到最小。当然这里的10台只是一个参考值，11台甚至20台，如果你不想进行集中的管理，那么你仍 然可以使用工作组模式。　　工作组的特点就是实现简单，不需要域控制器DC，每台计算机自己管理自己，适用于距离很近的有限数目的计算机。另外工 作组名并没有太多的实际意义，只是在网上邻居的列表中实现一个分组而已；再就是对于“计算机浏览服务”，每一个工作组中，会自动推选出一个主浏览器，负责 维护本工作组所有计算机的NetBIOS名称列表。用户可以使用默认的workgroup，也可以任意起个名字，同一工作组或不同工作组在访问时也没有什 么分别。　　域（Domain）是一个共用“目录服务数据库”的计算机和用户的集合，实现起来要复杂一些，至少需要一台计算机安装NT/2000/03 Server版本使其充当DC，来实现集中式的管理。　　若考虑到容错的话，至少需要两台。对于NT4域就是一台PDC（具有唯一性），一至多台BDC，对于2000/03域，已经没有PDC和BDC的概念，要容错就需要两至多台DC。　　域是逻辑分组，与网络的物理拓扑无关，可以很小，比如只有一台DC；也可以很大，包括遍布世界各地的计算机，比如大型跨国公司网络上的域（当然实际中他们多采用多域结构，还可以利用AD站点来优化AD复制）。　 　这个“目录服务数据库”，在NT4时，保存用户帐号名称和密码等安全安全信息，以及安全规则设置，又被称作安全帐号管理（SAM）数据库，简称SAM 库。在非DC上的本地的SAM库与DC上域所用的SAM库类似，只不过对于NT4域的SAM库文件，保存有整个域的用户和计算机，用“域用户管理器”和 “服务器管理器”来管理，本地的SAM库文件，保存有本地机的用户，由“用户管理器”来管理。　　从2000开始，MS引入了活动目录AD，DC 通过AD来提供目录的服务，例如它负责维护AD数据库、审核用户的账户和密码是否正确、将AD数据库复制到其它的DC等。AD库的核心文件就是winnt \ntds\ntds.dit文件。注意组策略的具体设置值，并不存在这个文件中，而是保存在winnt\sysvol\sysvol这个共享夹下，用于 向其它DC复制，传播给域成员，来生效。但需要说明的是：2000/XP/03的非DC域成员计算机上仍使用和NT4一样的SAM库文件来保存本地帐号。　 　正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”，域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源，如用户、 组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的 用户名和密码，用户只需一次登录，即可访问本域或有信任关系的其它域上的所有资源（当然用户得有权限才行），而不需要多次提供用户名和密码登录。　　二、构建Windows 2000的域　　这个过程简单说就是：选一台2000S/AS计算机，运行AD安装向导，在其上安装活动目录，使其成为DC。然后将其它的计算机加入