Windows 2012建立域控(AD DS)詳解
作者:楊堅
Active Directory概述:
使用 Active Directory(R) 域服務 (AD DS) 服務器角色,可以創建用於用戶和資源管理的可伸縮、安全及可管理的基礎機構,並可以提供對啓用目錄的應用程序(如 Microsoft(R) Exchange Server)的支持。
AD DS 提供了一個分佈式數據庫,該數據庫可以存儲和管理有關網絡資源的信息,以及啓用了目錄的應用程序中特定於應用程序的數據。運行 AD DS 的服務器稱爲域控制器。管理員可以使用 AD DS 將網絡元素(如用戶、計算機和其他設備)整理到層次內嵌結構。內嵌層次結構包括 Active Directory 林、林中的域以及每個域中的組織單位 (OU)。
1、使用本地管理員登錄。
![]()
2、修改計算機名爲“DC”
![]()
3、更改計算機名後,需要重新啓動服務器。
![]()
![]()
4、設計服務器固定IP。
![]()
![]()
5、通過服務器管理器中添加角色,進行域服務角色安裝。(注windows server 2012中已不能使用dcpromo進入域安裝嚮導)
![]()
6、默認選擇“下一步”。
![]()
7、選擇“基於角色或基於功能的安裝”。下一步。
![]()
8、選擇本地服務器“DC”。下一步。
![]()
9、選擇“Active Directory域服務。
![]()
![]()
10、默認選項。下一步。
![]()
11、默認選項。下一步。
![]()
12、選擇“如果需要,自動重新啓動目標服務器”。按“安裝”。(備註:指定備用源路徑,指向windows server 2012安裝盤)
![]()
![]()
13、安裝完成。按“關閉”。
![]()
14、選擇服務器任務詳細信息,選擇“部署後配置”按:將此服務器提升爲域控制器。
![]()
15、選擇“添加新林”,填寫根域名:MCIPT.COM 。
![]()
16、選擇林和域功能級別是windows server 2003,提供域控制器功能,選擇“域名系統(DNS)服務器。默認是選“全局編錄”。並設置活動目錄還原密碼。
![]()
17、默認選擇下一步。
![]()
18、默認顯示NetBIOS是MCITP。
![]()
19、默認選擇下一步。
![]()
20、顯示安裝信息,下一步。
![]()
21、查看導出安裝AD腳本。
![]()
22、選擇“安裝”。
![]()
23、安裝過程會自動重啓。
![]()
24、安裝好後,使用域管理員登錄。
![]()
25、登錄後,進入開始菜單。
![]()
26、通過Active Directory域和信任關係,查看操作主機信息。
![]()
27、Active Directory站點和服務查看站點信息。現默認站點只有一臺域控服務器。
![]()
28、Active Directory用戶和計算機中新建 OU,取名“IT”。
![]()
![]()
29、Active Directory用戶和計算機在IT組織中新建 用戶“jack”。
![]()
![]()
![]()
![]()
30、使用ADSI編輯器查看OU組織結構。
![]()
![]()
小結:
將網絡元素組織爲分層結構可帶來以下好處:
林可以充當組織的安全邊界並定義管理員的授權範圍。默認情況下,一個林包含一個域(稱爲林根域)。在林中還可以創建其他域,以提供 AD DS 數據分區,從而使組織僅在需要時複製數據。因此,在可用帶寬有限的網絡上,AD DS 可以進行全局縮放。Active Directory 域還支持與管理相關的許多其他核心功能,包括網絡範圍的用戶標識、身份驗證和信任關係。OU 簡化了授權的委派以方便管理大量對象。所有者可以通過委派將對象的全部或有限授權轉移給其他用戶或組。委派十分重要,因爲它有助於將大量對象的管理分發到多個被信任執行管理任務的人。
安全性方面:
安全性能過登錄身份驗證以及到目錄中資源的訪問控制與 AD DS 集成。藉助單點網絡登錄,管理員可以管理其整個網絡中的目錄數據和組織。授權網絡用戶還可以使用單點網絡登錄訪問網絡中任意位置的資源。基於策略的管理簡化了即使最複雜的網絡的管理。
其他 AD DS 功能包括下列各項:
一組規則,即架構,它定義包含在目錄中的對象和屬性的類別、這些對象的實例的約束和限制及其名稱的格式。包含有關目錄中每個對象的信息的全局編錄。無論目錄中的哪個域實際包含目錄信息,用戶和管理員都可以使用全局編錄查找這些數據。一種查詢和索引機制,以便對象及其屬性可由網絡用戶或應用程序發佈和發現。一種複製服務,可在整個網絡中分發目錄數據。域中所有可寫域控制器均參與複製,幷包含其域的所有目錄信息的完整副本。對目錄數據的任何更改均複製到域中的所有域控制器。操作主機角色(也稱爲靈活單主機操作或 FSMO)。包含操作主機角色的域控制器被指定爲執行特定任務,以確保一致性以及消除目錄中有衝突的條目。
