1. 域,域控制器和活動目錄概念
域(Domain)是Windows網絡中劃分的邏輯上的統一單元,方便域內資源的統一管理和調配。設想一種情況,公司n臺服務器,m個管理員對服務器進行管理,如果沒有域,至少需要n*m個管理員賬戶,公司每增加一臺服務器或增加一個管理員都需要創建大量賬戶,對帳戶管理和服務器的安全性都是一個很大的問題。
劃分域後,域內的服務器資源共享,每個管理員只需要分配有一個域賬戶,就可以實現資源的統一訪問,管理,調配。原理大概就是下圖這個樣子
那麼域賬戶是怎麼分配的,管理員或者用戶是怎麼進行域內不同服務器的訪問的呢,這就是域控制器(Domain Controller)存在的意義了,每個域至少有一臺域控,控制用戶訪問域內資源,比較大的企業可能會設置若干個備用域控,主備域控信息同步。需要注意,域控內服務器命名方式和DNS域名是一致的,域控安裝的前提是必須有DNS服務器支持。
活動目錄(Active Directory)是基於LDAP的存儲協議,是DC進行資源管理的簡單形式,其管理中心界面大致如下圖所示
2. 域,域樹,域林概念
舉例,一互聯網公司總部設在北京東城區,又在豐臺區和朝陽區等設立多個辦公點,每個辦公點可以作爲一個域,豐臺區和朝陽區相對於東城區是上下的父域和子域邏輯關係,但都屬於同一公司,這就是一顆域樹。慢慢地,公司業務做的好,又在上海開了分公司,設立新的領導層,這是另一顆域樹,這裏北京公司與上海公司是建立了域間信任關係的兩顆域樹,主要是可以實現域間訪問,所以又叫域林。
大概就是下圖所示
3. 2012搭建AD域
域控服務器Windows Server 2012
成員服務器Windows Server 2003
前提:DNS服務已完成安裝
1. 2012開始添加服務器角色,勾選安裝AD域服務
2. 默認下一步直到安裝
3. 單擊儀表盤頁面消息通知,提升爲域控
4. 添加新林,設置根域名
5. 設置功能級別(版本儘量低,域內容納區間大)和還原密碼(需要記住)
6. 指定委派不需要,默認下一步
7. NetBIOS域名,自動填的,默認就可以
8. 存儲文件路徑默認
9. 查看配置的選項是否正確
10. 單擊安裝,等待,會自動重啓
11. Ok,看起來還是那臺電腦,但實際上它現在是域控了,賬戶多了一個域賬號,輸入密碼查看
12. 觀察服務器中有了AD管理模塊,DNS也自動添加了正向查詢信息
、
4. 2003加入域
1. Win2003我的電腦右鍵計算機屬性,找到隸屬於域,需要輸入域控賬戶密碼
2. Win2012內可以查到2003的信息