時間 2021-08-12

標籤數據庫安全服務器網絡 ide spa 操作系統 3d 日誌 orm 欄目快樂工作简体版

原文原文鏈接

實戰活動目錄系列之一

活動目錄是一個數據庫，存放的是域中全部的用戶的帳號以及安全策略。活動體現了其是一個範圍，能夠放大和縮小，活動目錄又簡稱域。

域是一個安全邊界。

Active Directory（活動目錄）是Windows Server 2003域環境中提供目錄服務的組件。目錄服務在微軟平臺上從Windows Server 2000開始引入，因此咱們能夠理解爲活動目錄是目錄服務在微軟平臺的一種實現方式。固然目錄服務在非微軟平臺上都有相應的實現。

Windows Server 2003有兩種網絡環境：工做組和域，默認是工做組網絡環境。

工做組網絡也稱爲「對等式」的網絡，由於網絡中每臺計算機的地位都是平等的，它們的資源以及管理是分散在每臺計算機之上，因此工做組環境的特色就是分散管理，工做組環境中的每臺計算機都有本身的「本機安全帳戶數據庫」，稱爲SAM數據庫。這個SAM數據庫是幹什麼用的呢？其實就是平時咱們登陸電腦時，當咱們輸入帳戶和密碼後，此時就會去這個SAM數據庫驗證，若是咱們輸入的帳戶存在SAM數據庫中，同時密碼也正確，SAM數據庫就會通知系統讓咱們登陸。而這個SAM數據庫默認就存儲在C:\WINDOWS\system32\config文件夾中，這即是工做組環境中的登陸驗證過程。打開註冊表也能夠看到SAM數據庫，只不過默認裏面的用戶是隱藏的。

假若有500臺電腦的一個公司，咱們但願某臺電腦上的帳戶BoSS能夠訪問每臺電腦內的資源或者能夠在每臺電腦上登陸。那麼在工做組環境中，咱們必需要在這500臺電腦的各個SAM數據庫中建立BoSS這個帳戶。一旦BoSS想要更換密碼，必需要更改500次!這個企業的管理員夠受的了，那樣的話人人都寧願幹苦力，也不肯當這管理員了。如今只是500臺電腦的公司，若是是有50000臺電腦或者上萬臺電腦的公司呢，估計管理員就的是連隊了。爲了節省人力資源和提升工做效率，這時域環境的應用就必不可少了

域環境的應用是至關普遍的，例如微軟服務器級別的產品，好比MOSS、Exchange等都須要活動目錄的支持，包裹目前微軟在宣傳的UC平臺都離不開活動目錄的支持。

Windows Server 2003的域環境與工做組環境最大的不一樣是，域內全部的計算機共享一個集中式的目錄數據庫（又稱爲活動目錄數據庫），它包含着整個域內的對象（用戶帳戶、計算機帳戶、打印機、共享文件等）和安全信息等等，而活動目錄負責目錄數據庫的添加，修改，更新和刪除。因此咱們要在Windows Server 2003上實現域環境，其實就是要安裝活動目錄。活動目錄爲咱們實現了目錄服務，提供對企業網絡環境的集中式管理。好比前面那個例子，在域環境中，只須要在活動目錄中建立一次Bob帳戶，那麼就能夠在任意200臺電腦中的一臺上登陸Bob，若是要爲Bob帳戶更改密碼，只須要在活動目錄中更改一次就能夠了。

一，安裝前的準備

安裝活動目錄的必備條件：

1，選擇操做系統：Windows Server 2003中除了Web版的不支持活動目錄外，其餘的Standard版，Enterprise版，Datacenter版都支持活動目錄。咱們這一節用的是Enterprise版。

2，DNS服務器：活動目錄與DNS是緊密集成的，活動目錄中域的名稱的解析須要DNS的支持。而域控制器（裝了活動目錄的計算機就成爲了域控制器）也須要把本身登記到DNS服務器內，以便讓其餘的計算機經過DNS服務器查找到這臺域控制器，因此咱們必需要準備一臺DNS服務器。同時DNS服務器也必須支持本地服務資源記錄(SRV資源記錄)和動態更新功能。在域環境中工做的計算機能夠相互複製，從而實現統一管理的目的，這比分散管理的工做組要更省力。

3，一個NTFS磁盤分區：安裝活動目錄過程當中，SYSVOL文件夾必須存儲在NTFS磁盤分區。SYSVOL文件夾存儲着與組策略等有關的數據。因此咱們必需要準備一個NTFS分區。固然，咱們如今不多碰到非NTFS的分區了（好比FAT,FAT32等）。

4，設置本機靜態IP地址和DNS服務器IP地址：大多時候咱們安裝過程不順利或者安裝不成功，都是由於咱們沒有在要安裝活目錄的這臺計算機上指定DNS服務器的IP地址以及自身的IP地址。

安裝活動目錄分兩種狀況：

狀況1，

在某臺計算機上安裝活動目錄的過程當中同時安裝DNS服務器。那麼這臺計算機既充當了域控制器的角色，也充當了DNS服務器的角色。狀況1是用的最多的方法，但安裝前必需要爲這臺計算機配置靜態IP，同時把DNS服務器的IP地址配置爲本機的IP地址。

狀況2，

首先準備一臺DNS服務器，能夠是已經存在的DNS服務器或者是咱們剛剛安裝好的，意思就是先安裝好DNS服務器，而後再安裝活動目錄。此時無論咱們是再找一臺計算機安裝活動目錄，仍是在已是DNS服務器的計算機上安裝活動目錄，咱們都須要在DNS中建立一個正向查找區域並啓用「動態更新」功能。同時這個正向查找區域的名稱必須和咱們要安裝的域的名稱同樣，好比我要安裝一個域名爲itat.com的域，那麼這個正向查找區域的名字也必須爲itat.com。同時在安裝前必需要爲這臺要安裝活動目錄的計算機配置靜態IP，同時把這臺計算機的DNS服務器的IP地址配置爲已經存在的DNS服務器的IP地址。

二，安裝活動目錄

咱們首先演示狀況1的安裝過程，由於這種比較經常使用。

首先咱們準給一臺安裝了Windows Server 2003企業版的計算機，計算機名爲perth。接着爲這臺計算機配置靜態IP，並把DNS服務器IP地址指向本身。以下圖

而後咱們開始創建咱們的第一個域（要安裝活動目錄了）。

步驟1：開始->運行->輸入「dcpromo」命令，啓動Active Directory安裝嚮導。

也能夠CMD打開命令提示符，運用該命令，以下圖

步驟2：在「歡迎使用Active Directory安裝嚮導」對話框中單擊「下一步」按鈕。以下圖

步驟3：顯示了一些安全設置，不用管它，直接單擊「下一步」按鈕。以下圖

步驟4：這裏咱們選擇「新域的域控制器」。因爲咱們是第一次建立域環境，因此必須選擇這一項。單擊「下一步」按鈕。以下圖

步驟5：這裏咱們選擇「在新林中的域」，和步驟四的緣由同樣。而後單擊「下一步」按鈕。以下圖

步驟6：在對話框中輸入新域的域名，這個域名必須符合DNS的命名格式，咱們這裏輸入「itat.com」。固然你能夠abc.com等，若是是企業的實際生產環境，這裏最好指定你在公網註冊的域名.而後單擊「下一步」按鈕。此時會稍微等一下才會跳到下一個對話框，由於安裝嚮導會花費時間來檢查此域名是否已經存在於網絡中，若存在，安裝程序會要求從新設置一個新的域名。以下圖

步驟7：安裝嚮導自動幫咱們設置了NETBIOS名。它取的是域名的前半段文字。NETBIOS名支持那些不支持DNS域名的早期版本的操做系統利用NETBIOS域名來訪問域內的資源。此名稱能夠修改，但不能超過15個字符。等咱們講到計算機加入域的時候，咱們會利用也能找到域控制器。單擊「下一步」按鈕。以下圖

這裏系統檢查咱們的新域名沒問題時會自動顯示相應域名的NETBIOS域名

步驟8：選擇活動目錄數據庫和日誌文件的存放位置，建議最好不要存在一個地方，這樣能夠減小磁盤的I/O，從而提升效率。這裏使用的是默認值。而後單擊「下一步」按鈕。以下圖

步驟9：選擇SYSVOL文件夾的存放位置，這裏使用的是默認值。此文件夾必須位於NTFS磁盤分區中。而後單擊「下一步」按鈕。以下圖

步驟10：因爲咱們採用的是狀況1來安裝活動目錄，此時咱們必須選擇「在這臺計算機上安裝並配置DNS服務器，並將這臺DNS服務器設爲這臺計算機的首選DNS服務器」。由於咱們尚未DNS服務器，此時咱們必須在安裝活動目錄的過程當中安裝DNS服務器。而後單擊「下一步」按鈕。

步驟11：我選擇第2個單選按鈕，不啓用匿名讀取。而後單擊「下一步」按鈕。以下圖

步驟12：設定「目錄服務還原模式」的密碼，什麼是目錄服務還原模式，其實就是計算機啓動時，咱們不停的按F8進去，有一項就是「目錄服務還原模式」，在Windows Server 2003中，這裏咱們能夠不設置密碼也能夠設置密碼，我這裏設置了密碼。可是Windows Server 2008中這裏必需要設置密碼。J 而後單擊「下一步」按鈕。以下圖