2部署全新2008ADDS域服务.docVIP

部署全新AD DS域服务 AD DS域服务是Windows Server 2008的核心服务，主要提供用户身份验证、检索、组织结构规划、部署企业策略等基础服务。与Windows Server 2003中不同，Windows Server 2008中的AD DS域服务以服务的方式运行，可以在不停机的状态下停止AD DS域服务。 一、基本概念介绍 1、 独立服务器：指安装有Windows Server操作系统，但不是域成员，具有独立操作功能的服务器。 2、 域控制器：指安装了活动目录（Active Directory）的服务器，主要负责管理用户对网络的各种各种权限。 3、 成员服务器：独立服务器添加为域成员后就变成了成员服务器，主要用来充当应用服务器、web服务器、数据库服务器等。 4、 服务器角色：在Windows Server 2008中，根据主要功能、用途的区别划分了16个角色，AD DS便是其中一个。 5、 DNS：全名叫Domain Name Server（域名服务器），提供了一种将名称和IP地址相关联的方法，这样用户就可以通过较易记忆的域名来代替难以记忆的IP地址进行操作。 6、 域：活动目录中的逻辑组织单元 7、 域树：域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间。树中的域通过信任关系连接起来，活动目录包含一个或多个域树。域树中的域 层次越深级别越低，一个“.”代表一个层次，如域child.M 就比 M这个域级别低，因为它有两个层次关系，而M只有一个层次。而域 Grandchild.Child.M双比 Child.M级别低，道理一样。 他们都属于同一个域树。Child.M就属于M的子域。域“child.M” 就比“M”这个域级别低，因为前者有两个层次关系，而后者只有一个层次。域树中的域是通过双向可传递信任关系连接在一起的，因此 在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。这些信任关系允许单一的登录过程，在域树或树林中的所有域上对用户进行身份验 证，但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限，所以必须在每个域的基础上为用户指派相应的权利和权限。 8、 域森林：域林是指由一个或多个没有形成连续名字空间的域树组成，它与域树最明显的区别就在于域林之间没有形成连续的名字空间，而域树则是由一些具有连续名字 空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos 信任关系建立起来，所以每个域树都知道Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。域林都有根域，域林的根域是域林中创建的第一个 域，域林中所有域树的根域与域林的根域建立可传递的信任关系. 比如,则可以创建同属与一个林的,他们就在同一个域林里. 二、AD DS域服务对象介绍 1、 计算机（Computer）：指网络上的计算机资源。 2、 用户（User）：是活动目录中的安全主体，可被授予访问权限。 3、 组（Group）：用于存放用户、计算机等对象的容器。 4、 联系人（Contactor）：非安全主体的一个账户，不能被授予权限，一般情况下用于E-mail联系。 5、 组织单元（Organizational Unit，简称OU）:用于组织其他活动目录的容器和对象。 6、 默认容器对象： 6.1、Builtin容器：是AD DS域服务创建的第一个容器，主要用于保存域中本地域组对象，比如Domain admins。 6.2、Computer容器：用于存放成员计算机的计算机帐户。 6.3、Domain Controller容器：用于存放当前域的所有域控制器。 6.4、ForeignSecurityPrincipals容器：主要存放受信任的外域中的安全主体。 6.5、Users容器：主要用于存放用户组和当前域中的所有用户账户。 三、部署AD DS域服务的前期准备 1、 设置网络运行模式 Windows Server 2008默认安装后是“公用网络”的网络类型，建议部署Active Directory时使用“专用网络”类型。 补充：专用网络指被配置为工作组成员的计算机所连接的网络，或者没有直接连接到Internet的网络，默认情况下，在专用网络上会启用发现功能，这样可以降低对专用网络上的计算机发现其他网络计算机和设备的限制。公用网络指处于公共场所的非内部网络，默认情况下，在公用网络会禁用发现功能，这样可以通过防止公用网络上的计算机发现其他网络计算机或设备而增强安全性。发现功能主要意味着（1）本计算机可以发现网络上的其他计算机和设备；（2）网络上的其他计算机可以发现本机 1.1、依次选择“Start”→“Control