第3章windows 2000 server架構(gòu)服務(wù)器

第3章windows2000server架構(gòu)服務(wù)器

3.1域控制器與域控制器的安裝

3.2用戶賬號

3.3用戶組

3.4DHCP月艮務(wù)器

3.5DNS服務(wù)器

3.6WWW服務(wù)器

3.7FTP服務(wù)器

3.8E—mail月艮務(wù)器

3.9代理服務(wù)器

3.1域控制器與域控制器的安裝

3.1.1活動目錄

活動目錄（ActiveDirectory）是

Windows2000Server使用的目親服務(wù)，是

Windows2000分布式網(wǎng)絡(luò)的基礎(chǔ)，它擴展

了以前基于WindowsNT的目錄服務(wù)的功能,

并增加了一些全新的功能?；顒幽夸洿鎯?/p>

著有關(guān)網(wǎng)絡(luò)對象的信息，其中包括域節(jié)點、

計算機帳戶、用戶帳戶的信息（如名稱、

密碼、電話號碼等）、組、組織單位和共

享的網(wǎng)絡(luò)資源（如文件夾和打印機等）

3.1域控制器與域控制器的安裝

1Windows2000Server目錄服務(wù)具有下列功能：

1）數(shù)據(jù)存儲

2）制定一套規(guī)則，即架構(gòu)

3）包含目錄中每個對象信息的全局編錄

4）建立查詢和索引機制

5）通過網(wǎng)絡(luò)分發(fā)目錄數(shù)據(jù)的復(fù)制服務(wù)

6）與網(wǎng)絡(luò)安全登錄過程的安全子系統(tǒng)的集成，以及

對目錄數(shù)據(jù)查詢和數(shù)據(jù)修改的訪問控制。

7）為獲得活動目錄的所有功能，通過網(wǎng)絡(luò)訪問活動

目錄的計算機必須運行正確的客戶軟件。

3」域控制器與域控制器的安裝

2.活動目錄邏輯結(jié)構(gòu)

1)對象

2)組織單元

3)域

4)目錄樹

5)目錄林

3.1域控制器與域控制器的安裝

3.域間信任關(guān)系

(1)單向

⑵雙向

(3)可傳遞

(4)不可傳遞

(5)外部信任

(6)快捷信任

windows2000中所有信任關(guān)系都是可

傳遞的而且是雙向的

3.1.2域控制器

i.域控制器

?包含指定域內(nèi)的用戶帳戶和其他ActiveDirectory數(shù)

據(jù)的副本

2.成員服務(wù)器

-屬于某個域，但不含有ActiveDirectory數(shù)據(jù)的副本。

因為不是域控制器，所以成員服務(wù)器不處理帳戶登錄

過程。

3.獨立服務(wù)器

-該服務(wù)器屬于工作組不屬于域。這種服務(wù)器可以提供

本地的共享資源，但不能提供活動目錄服務(wù)。

3.1.2域控制器

關(guān)于域控制器

-要創(chuàng)建域，用戶必須將一臺或更多的運行Windows2000

Server/AdvancedServer的計算機升級為域控制器。

-單個域可以包括一臺或多臺配置為域控制器的計算機，每臺域控制器的

地位都是平等的。它們各存儲著一份相同的ActiveDirectoryo

-ActiveDirectory支持域中所有域控制器之間目錄數(shù)據(jù)的多主機復(fù)制。

-如果任何一臺域控制器內(nèi)添加了一個用戶帳戶后，該帳號被建立在該臺

域控制器的ActiveDirectory數(shù)據(jù)庫內(nèi)，這份數(shù)據(jù)會定期自動地被復(fù)制到

其它域控制器的ActiveDirectory數(shù)據(jù)庫內(nèi)，以便讓所有域控制器內(nèi)的

ActiveDirectory數(shù)據(jù)都能保持同步。

-當(dāng)用戶從域上的某臺試計算機登錄時，就會由其中的任一臺域控制器負(fù)

責(zé)審核用戶的帳號與密碼。

-使用單個局域網(wǎng)的小公司可能需要一個或更多的域控制器，而擁有多個

網(wǎng)絡(luò)位置的大型公司在每個位置都需要更多的域控制器以提供高可用性

和容錯性。

3.1.3域控制器的安裝

1.域控制器安裝條件

1）計算機運行的操作系統(tǒng)是Windows2000Server>Windows2000

AdvancedServer或Windows2000DatacenterServer0

2）活動目錄數(shù)據(jù)庫至少需要200MB的磁盤空間，此外活動目錄數(shù)據(jù)庫的

事件日志還需要額外的50MB空間。當(dāng)然,活動目錄數(shù)據(jù)庫及其日志

文件的實際大小，最終依賴于域中對象的種類和數(shù)量。如果該域控

制器同時還是全局編目服務(wù)器，則需要更大的磁盤容量。

3）擁有一個NTFS文件系統(tǒng)的分區(qū)或卷用于存放SYSVOL文件夾。

4）服務(wù)器需要安裝配置TCP/IP協(xié)議，并且在網(wǎng)絡(luò)中需要有該服務(wù)器可以

配置使用的DNS服務(wù)器。

5）需要有在現(xiàn)有網(wǎng)絡(luò)或域中創(chuàng)建域控制器的特權(quán)。

3.1.3域控U器的安裝

域控制器安裝步驟

Windows2000配置您的JR務(wù)署二I」的ActiveDirectory安裝向?qū).

歡迎使用ActiveDirectory安裝向

2000導(dǎo)

向?qū)椭谶@臺服務(wù)器上安裝ActiveDirectory

主頁

網(wǎng)落上已有域控制器-將修的服務(wù)器設(shè)置為額外域控制需服務(wù)，使其成為域控制器.

子城，新潼域目錄樹,或新建林目錄.

現(xiàn)在注冊

ActiveDirectory

要成為ActiveDirectory壬機，您需要格式化為HTFS照于Windows

文件服務(wù)序2000)的分區(qū).

打印服務(wù)器小心要繼續(xù)，請單擊“下一步

請增信您熟悉ActiveDirectory,并在進行處理之前確知將會對該服務(wù)器有

何影響.

hb/媒體服務(wù)器

基也關(guān)于ActiveDirwtory和域控制器的信息,從而確定例是

?要安裝ActiveDirectory*

啟動Activ*Directory向?qū)?/p>

高級

完成向?qū)Ш?，您的服?wù)圖將重新啟動，配置服務(wù)困屏茸將會出現(xiàn),

ActiveDirectory屏科，首理您的計算機和用戶帳戶.

域控制等類型創(chuàng)建目錄樹或子域

指定想要這個服務(wù)器擔(dān)任的角色,您可創(chuàng)建一個新城目錄樹或新的子域

選擇此選項來創(chuàng)建新的子域、新的域目錄樹或新的目錄林.此服務(wù)器將成

為新域中的第一個域控制器.

在現(xiàn)有域目錄樹中創(chuàng)建一個新的子域(￡)

如果您想使新城成為現(xiàn)有域的子域，請選擇此選項,

名為headquarters,example.microsofLcom的融，

example,microsoft.com域的孑域.

“線辭力的件或—應(yīng)該在鮑之前解密

取消上一步國”下一步國)>|

3.1.3域控制器的安裝

2.域控制器安裝步驟

您要創(chuàng)建新的目錄林還是要加入現(xiàn)有目錄林？請輸入新城的DNS全名.

@電建新的峨苴聚秫??駕器雪景單位巳羽一個在工命名頒發(fā)機構(gòu)注冊的DNS域名,則可使

而第遂至■簞蒞面話一個域，或您希望所創(chuàng)建的新城獨立于您的現(xiàn)有目錄

林，詩選擇此選成?

節(jié)域的DMS全名衛(wèi)）：

|yh.hxu-tu.edu.cn

C將這個新的域目錄樹敵入現(xiàn)有的目錄林中也）

如果您想要新的域目景樹中的用尸訪問現(xiàn)有域目錄樹的資涯，或想要現(xiàn)有

域目錄樹的用戶訪問新的域目錄樹的資源，請選擇此選項.

<上一步也“迂:三芝:?二M取消

《上一步集”下一步國）>1取消

|ActiveDirectory安裝向?qū)А睞ctiveDirectory安裝言辱

■etBIOS核名數(shù)據(jù)庫和日器文件位置

為新城J旨定一個NetBIOS名稱.請指定ActiveDirectory數(shù)據(jù)度和曰志文件的位置.

萱畬禽薯猿父霸患蔡本的用戶用來識別所域的?單擊“下一步”接受基于最隹性能和對恢復(fù):性的考慮?道將數(shù)據(jù)庫和日志存放在不同的硬盤上.

您抵望在哪里保存ActiveDirectory數(shù)據(jù)庫？

域NetBIOS名①）：|YH'

激據(jù)庫位置也）:

\wnnrr\NTDS|瀏覽??.

傅希望在哪里保存ActiveDirectory日志？

日志位置g

jCWINNT\NTDS謝苑@>

〈上一步也“下一步）

<上一步集）IT-^CH：I>j取消CB"取消

3.1.3域控制器的安裝

2.域控制器安裝步驟

〔ActiveDirectory安裝向?qū)j

目錄事務(wù)詼復(fù)模式的營理員交碼

指定營理員密碼，在“目錄服務(wù)恢復(fù)模式”下啟動計算機時使用.

輸入并確認(rèn)您想給這個服務(wù)需管理員帳戶的密碼，當(dāng)計算機在目錄服務(wù)恢復(fù)模

式下啟動時，會用到此密嗎.

******

確U巒碼(￡)F*****i

<上一步也"下—??>]取消

酬Ac間tiv.eDirectory.根據(jù)您所選的選項，.也此過客程礴可F能要

西

開始.

3.1.4域控制器的降級

?域控制器的降級（自動識別安裝或刪除）

1.用ActiveDirectory安裝向?qū)?/p>

2.在“開始一＞運行"中執(zhí)行命令：dcpromo

3.2域中的用戶賬號

?在Windows2000中用戶可以使用“Active

Directory用戶和計算機”管理工具來實現(xiàn)建立用

戶帳號、計算機帳號、組、安全策略等功能

1.用戶帳號

?用戶帳號能夠讓用戶以授權(quán)的身份登錄到計算機和域

中，并訪問其中資源。它也可以作為某些軟件的服務(wù)

帳號

1)域用戶帳號(DomainUserAccounts)

2)本地用戶帳號(LocalUserAccounts)

3)內(nèi)置的用戶帳號

Administrator

Guest

3.2.2創(chuàng)建域用戶帳戶

(1)域用戶的創(chuàng)建步驟:

包商創(chuàng)建在yh.hxirtu.edu.cn/Vsers

21個對象

8ActiveDirectory用戶和計苴機(]姓&)

@CAdministrator部計篁機城砌置,

JButin國CettPublishers安全綱-全局企業(yè)認(rèn)證和票辦代理名9：英文縮寫d)

ffi-口Computers?DHCPAdministrators安全姐?本地域?qū)HCP服務(wù)明有管理.姓名3

宅國DomainCorttolers0DHCPUsers安全綱，本地域?qū)HCP服務(wù)器只有只.

而DnsAdrohs

_JForagnSecurityPrinopals安全膽-本地域DNS管理員姻用戶登錄名QD

^DnsUpdateProxy安全組?全局允評替其它客戶(如DH

香海控制…|zhanghua)|@yh.hnrtu.edu.cn.

f^DotnanAdrrans安全姐-毓指定的蠅理員

碎①“用尸登錄名Windows2000以前版本)(W)

fSDomainComputers安全組-全局加入嬲中的所有工作

新建回計算機EDornanControters安全姐?全局域中所有域控制質(zhì)|zhanghua

所有任務(wù)的殿人EDofftanGuests安全組一線域的所有來賓

口DomainUsers安全組-全局所有域用尸

§1(V)

打印機EEnterpriseAdfrins安全組?全局企業(yè)的指定系統(tǒng)管理員

從這里婕窗口(也

PolcyO/zn&s安全組-全局這個組中的成員可以解

W(E)共享冰快供來官訪問計算機或訪.

導(dǎo)出列表Q)…?..；」!F，［下一步Qp〉［

屜性但)

〔新建對象用戶

-用尸

創(chuàng)建在yh.hnrtu.edu.cn/Vsers

創(chuàng)建在yh.imrtu.edu.cn/Users

您單擊“完成”后，下列對象將被創(chuàng)建:

確久密碼《)全稱：張華

用尸登錄名zhanghuafiyh.hnrtu.edu_cn

17殂m下次鞭更須更設(shè)重理⑥}

用戶下次登錄時須更改密碼.

r用戶不能更改密碼⑤)

r密碼永不過期量)

「株尸已停用(Q)

＜上一步c&)|下一步建)》|取消《上一步童)|匚二完成二二|取消

3.2.2創(chuàng)建域用戶帳尸

（2）用戶屬性配置：基本數(shù)據(jù)、登錄時間、

登錄工作站、組屬性

[4ActiveDirectory用戶和計■機

.龍制司Q國口儂強加）

撥入I環(huán)境I會話］遠程控制?終端服務(wù)配置文件

鳥螞型_上“回施X旨?j國J?法瑞▽&1?常規(guī)|地址|帳戶］配置文件|電話|單位|成員屬于

利|Users22個對馥

因弊iveDi?doty用戶和計I類型I卷送號張華

n尊0Adrrtnistfdtof用戶管理計宜機（域功內(nèi)置…

口BuhinkertPuWishets全局企業(yè)認(rèn)證槌辦代超

E口ComputersSDHCPAdirinistrators安全姐本地竦對DHCP賬務(wù)§§有管理…

/曲DcmanControlers[DHCPUsers安全姐本地域?qū)HCP版條罟只有只…

LJForesgnSeantyPrlr以DnsAdnre安全盥本地域。防管理員擔(dān)

fJOnslipdateProxy安全綱全局允許替其它容尸（?0DH...

@DomnAdmhs復(fù)俅o指定飆售理員

KDonwinCanputers郴旗添攤淵⑥…加入到域中的所有工作…

aDo3nCcrtrcflws停用帳戶⑤域中所有域控制88

或DomainGuests重設(shè)密碼①…域的所有來賓

建DomainUsers移動所百域用戶

圓ErtetpiseAdmins打開主頁（由企業(yè)的指定系批管理員

fBcroupPokyCreatorOwners發(fā)送郵件更I）這脩中的成員可以修…

給Guest供來克訪問計苴機或訪…

所寄任務(wù)也）

CIUSR_YH01匿名訪自Internet僖息…

CIWAM_YM01鶴8啟動迸程之外的應(yīng)用程…

fekrbtgt重命名回密鑰發(fā)行中心報務(wù)假戶

@RASandIASServers

例E）這個組中的服芬器可以…

aSchemaAdrm架構(gòu)的指定系獲翻員

CTslrtemeWser這個用戶帳戶嘏?端服…

@"【祐Use污______________Wtj)對WINS賬務(wù)器僅有只…

2J

對象的屜性喉I取涓

3.2.2創(chuàng)建域用戶帳尸

（2）用戶屬性配置：基本數(shù)據(jù)、登錄時間、

登錄工作站、組屬性

I張華星性21XI張華的葺錄時段兇

捷人|環(huán)境I會話|遠程控制|貨端輾務(wù)配置文件