第09章创建域总结.pptVIP

创建域 主要内容 1.理解域 2.活动目录的结构 3.创建森林根域 4.创建子域 5. 管理组织单位 1.理解域 什么是域？ 域中计算机的角色 域的特点 将计算机加入域 用户登录的方式 1.1 什么是域？ “工作组”和“域”是Windows网络的两种管理方式。 “工作组”和“域”可以并存。 工作组 域 在域中，所有计算机的安全信息被集中存放在“活动目录数据库”（Active Directory）中。 活动目录数据库存储在域中被称为“域控制器”的计算机上。 活动目录中存放了整个域中所有的安全信息。 安全信息包括： ① 资源信息：域中所有计算机上有哪些资源可以被访问。 ② 用户信息 ：表明有哪些用户可以对这些资源信息进行访问，这些用户信息是以用户帐号的形式保存的，被称为“域用户帐号”（Domain user account）。 ③ 安全规则：用于管理整个域的安全。 1.2 域中计算机的角色 域控制器 * 安装了服务器端的操作系统。 * 维护了活动目录数据库。 * 至少一台。 成员服务器 * 安装了服务器端的操作系统。 * 没有维护活动目录数据库。 * 可有可无。 工作站 * 安装了客户端的操作系统。 * 不能维护活动目录数据库。 * 可有可无。 1.3 域的特点 域是一种集中的管理模式，便于统一管理。 域的安全级别较高。 便于用户访问域中的资源。 最简单的域中只有一台计算机，这台计算机是域控制器。 1.4 将计算机加入域 需要把该计算机的网卡的DNS服务器的IP地址指向维护域的DNS服务器。 1.5 用户登录的方式 在非域控制器的计算机上（有SAM数据库） * 登录到本机（使用本地用户帐号） * 登录到域（使用域用户帐号） 在域控制器上（没有SAM数据库） * 登录到域（使用域用户帐号） 2. 活动目录的结构 域 树 森林 2.1 域 域是活动目录中最基本的逻辑单元。 域管理员具有管理本域的所有权利。 2.2 树 域树是若干个域的有层次的组合，父域的下面有子域，子域的下面还可以继续建立子域。在树中，第一个域被称为“树根域”。 在域树中，父域和子域之间自动被双向的、可传递的信任关系联系在一起，使得两个域中的用户帐户均具有访问对方域中资源的能力。 域树中的所有域共享了一个连续的域名空间。 在域树中，父域和子域并不是包含与被包含的关系，它们的地位是平等的。默认时，父域的管理员只能管理父域，子域的管理员只能管理子域。 域树中的所有域共享了一个活动目录数据库。 最简单的域树中只包含一个域，这个域就是树根域。 2.3 森林 一个“森林”由若干个树组成。 在森林中，树根域与树根域之间也利用信任关系联系在一起。 森林中的第一个树的第一个域，称为“森林根域”。 森林根域的名字即为整个森林的名字。 最简单的森林中只有一个树，这个树中只有一个域，这个域中只有一台计算机，这台计算机就是这个域的域控制器。 一个活动目录对应了一个森林。 企业管理员组（Enterprise Admins组）的成员具有管理整个森林的所有权利。 3. 创建森林根域 对域控制器的要求 创建森林根域 将计算机加入或脱离域 用户登录的方式 将域控制器降级为独立服务器或成员服务器 3.1 对域控制器的要求 以Windows Server 2003为例，计算机必须运行Windows Server 2003标准版、企业版或数据中心版，Windows Server 2003 Web版的计算机不能成为域控制器 至少具有250MB的磁盘空间。其中，200MB的空间用于存放活动目录数据库，50MB的空间用于存放活动目录数据库的事务日志文件。 磁盘上至少有一个NTFS格式的分区。 安装了TCP/IP协议，并且配置使用了DNS服务。 安装者必须具有创建域的权利，例如：本地管理员帐户。 3.2 创建森林根域 执行本节后面介绍的步骤后，将会同时完成以下工作： * 创建一个新的森林。 * 创建该森林中的第一个域树。 * 创建该树中的第一个域。 * 创建该域中的第一个域控制器。 创建命令： * dcpromo.exe 3.3 将计算机加入或脱离域 需要把该计算机的网卡的DNS服务器的IP地址指向维护域的DNS服务器。 3.4 用户登录的方式 在非域控制器的计算机上（有SAM数据库） * 登录到本机（使用本地用户帐号） * 登录到域（使用域用户帐号） 在域控制器上（没有SAM数据库） * 登录到域（使用域用户帐号） 3.5 将域控制器降级为独立服务器或成员服务器 命令： * dcpromo.exe 4. 创建子域 需要把该计算机的网卡的DNS服务器的IP地址指向维护父域的DN