车工磨刀视频教程:Windows Server 2008 Active Directory 配置指南2

Windows Server 2008 Active Directory 配置指南

MCSE 2010-04-06 16:10:46 阅读1139 评论0   字号：大中小 订阅

一、Active Directory Domain Services(AD DS)

in the Windows Server 2008 network enviroment ,Active Directory Domain Services(AD DS),provide with organizing、managing、controlling network resources.

1-1 active directory domain services overview

directory :telephone directory;file directory

如果这些directory内的数据能够系统的加以整理的话，用户就能够容易且迅速的查找到所需文件。

Active Directory的组成是directory，域内的directory是用来存储用户帐户、计算机帐户、打印机与共享文件夹等对象，我们把这些对象的存储地点称为目录数据库（directory database）。

Active Directory 域内负责提供目录服务的组件就是active directory域服务，active directory domain services

它负责目录数据库的存储、添加、删除、修改与查询操作。

1-1-1 active directory domain service scope

active directory domain service 可以用在一台计算机、LAN或者数个WAN的联合，它包含此范围所有的对象，例如文件、打印机、应用程序、服务器、域控制器与用户帐户等。

1-1-2nameSpace

bounded area ,一块界定好的区域，在此区域内，我们可以利用某个名称来找到与这个名称有关的信息。

active directory 域服务内，active directory就是一个名称空间，在active directory内我们可以通过对象名来找到与这个对象相关的所有的信息。

active directory domain services 与DNS紧密集成在一起，其域的名称空间也是采用DNS架构，因此域名采用DNS格式来命名

 1-1-3 object and attribute

ad ds内的资源都是以对象的形式存在的，例如用户、计算机、打印机，对象通过属性来描述其特征。对象本身是属性的集合，对象类的概念-object class

1-1-4容器（container）和组织单位（organization units）

与对象不同的是容器内可以包含其他对象，也可以包含其他的容器。而组织单位是一个比较特殊的容器，除了可以包括其他对象与组织单位外，还有组策略的功能。

AD DS是层次化的结构（hierarchical）将对象、容器与组织单位等组合在一起，并将其存储到active directory数据库中。

1-1-5域树目录

根域（root domain）

subdomain子域

域名空间是连续性的（continuous）：子域的域名包含着其父域的域名。

域树目录内的所有域共享一个active directory数据库，也就是在这个域树目录之下只有一个active directory数据库，不过这个active directory数据库内的数据分散地各个域内，每个域只存储属于该域的数据。

1-1-6信任（trust）

两个域（trust relationship），然后才可以访问对方域内的资源。

任何一个新AD DS域被加入到域目录后，这个域会自动信任其前一层的父域，同时父域也会自动信任这个新加入的子域，而且这种信任关系具有双向传递性（Two-way transitive）,kerberos信任。

因为传递性得到的信任关系，可称为隐性的信任关系（impicit trust）。

所以当任何一个AD DS域加入到域树目录后，它会自动双向信任这个域树目录内的所有域，因此只要拥有适当权限，这个新域内的用户便可以访问其他域的资源：同理，其他域内的用户也可以访问这个新域内的资源。

1-1-7 forest

林是由一个或多个域树目录组成，每一个域树目录都有自己唯一的名称空间。

您所创建的第一个域树目录的根域，就是整个林的根域，同时其域名就是林的林名。

例如sayms.com 是整个林的根域，整个林的域名是sayms.com

当创建林时，每一个域树目录内的根域（root domain）之间双向的、传递性的信任关系都会被自动创建。因此每个域树目录中的每个域内的用户，只要拥有权限，都可以访问其他任何一个域树目录内的资源，也可以到其他任何一个域树目录内的计算机登录。

1-1-8架构（schema）

AD DS内的书香类型与属性数据是定义在schema内的。比如schema定义了对象类型内包含了哪些属性、没一个属性的数据类型等信息。

应用程序可以在schema内添加其所需要的对象类型或属性，系统管理员（指schema admins 组内的用户）可以修改架构内的数据。在一个forest内的all domain tree共享相同的schema。

1-1-9域控制器

AD DS的目录数据是存储在域控制器内的。一个域内可以有多台域控制器，每一台域控制器的地位（几乎）是平等的。他们各自存储着一份几乎完全相同的vactive directory数据库。比如当在任何一台域控制器内添加一个用户帐户后，这个帐户默认是被创建在此域控制器的active directory数据库内，之后这份数据会自动被replicate到其他域控制器的active directory数据库内，以便让所有域控制器内的AD DS数据都能够同步（synchronize）。

多台域控制器可以提高系统的可靠性，提供容错功能，同时可以改善登录效率。

域控制器一般是一台服务器级别的计算机，在windows server 2008家族中，除了 windows web server 2008之外，其他都可以扮演域控制器的角色。

1-1-10active directory的复制模式

域控制器之间在复制active directory数据库时，其复制方式可以为以下两种模式：

多主机复制模式（multi-master replication model）

当在任何一台域控制器的active directory数据库内添加一个用户帐户后，这个帐户会自动被复制到域内的其他域控制器。active directory数据库内的大部分的数据是利用这种模式在复制。

单主机复制模式（single-master replication model）

当提出更改对象数据的请求的时候，会由其中一台域控制器（操作主机）负责接收与处理此请求，也就是说该对象是先被更新在操作主机，再由这台操作主机将它复制到其他的域控制器。

1-1-11域中的其他成员计算机

要充分管理计算机，需要将这些计算机加入到域内，如果用户要使用active directory数据库内的域用户帐户来登录，这些计算机也必须加入域。没有加入域的计算机只能够使用本地用户帐户登录。

域中的成员计算机包括：

成员服务器（member server）

服务器级别的计算机加入域后被称为成员服务器（member server），成员服务器的区别不是硬件，而是操作系统。成员服务器可以是：

windows server 2008

windows server 2003

windows 2000 server

windows NT server 4.0

若上述服务器没有加入到域，则他们被称为独立服务器（stand-alone server）或工作组服务器（workgroup server ）,无论是member server还是stand-alone server，他们都有本地的SAM（security accounts manager），系统可以用SAM来审核本地的用户的身份。

其他客户端计算机

windows vista Ultimate 、windows vista enterprise 、windows vista bussiness

windows XP  professional

windows 2000 professional

windows NT workstation

PS:postscript

注意:ista home premium、vista home basic 、vista starter、XP home edition等计算机在登录窗口中无法选择域用户来登录，只能利用本地用户帐户来登录。

在windows网络环境下，可以将独立服务器或成员服务器升级成为域控制器，也可以将域控制器降级为独立服务器或成员服务器。

1-1-12 DNS服务器

  域控制器需要将自己注册到DNS服务器内，以便让其他计算机通过DNS服务器来找到这台域控制器。因此搭建域环境需要有可支持AD DS的DNS服务器。同时这台DNS服务器最好支持动态更新（dynamic update），以便当域控制器的角色有变动或域成员计算机的IP地址等数据更改时，可以自动更新DNS服务器的记录。

1-1-13轻型目录访问协议（LDAP）

LDAP(lightweight directory access protocol)轻型目录访问协议是用来访问active directory数据库的目录服务协议。AD DS是利用LDAP名称路径（LDAP naming  path）来表示对象在active directory数据库中的位置，以便用它来访问active directory数据库内的对象。LDAP名称路径包括：

distinguished Name（DN）

DN是对象在active directory数据库内的完整路径

其中的DC（domain component）表示DNS域名中的组件；OU为组织单位（organization unit）；CN为common  name

relative distinguished name（RDN）

RDN是在DN的完整路径中，用来代表某个对象的部分路径

GUID（global unique identifier）

GUID是个128位的数值，您所创建的任何一个对象，系统都会自动为其指定一个唯一的GUID。虽然可以改变对象的名称，但是其GUID永远不变。

User Principal Name

每一个用户还可以有几个比DN更短、更容易记忆的UPN形式为bob@sya.com，用户在登录的时候最好是用UPN

user principal name

service principal name SPN

SPN是一个内含多重值（multivalue）的名称，他是根据DNS主机名来创建的，SPN用来代表某台计算机所支持的服务，它让其他计算机可以通过SPN来与这台计算机的服务通信。

1-1-14 全局编录（global catalog）

虽然在域树目录内的所有域共享一个active directory数据库，但是其内的数据确实分散在各个域内的，而且是每个域只存储域本身的数据。为了让用户、应用程序能够迅速的找到位于其他域的资源，在AD DS内设计了全局编录（global catalog0。

全局编录的数据是存储在域控制器内的，这台域控制器被称为全局编录服务器，其内存储着林内所有域的active directory数据库内的每一个对象。不过只存储每一个对象的部分属性，这些属性是都是常被搜索的属性。

用户登录的时候，全局编录服务器还负责提供该用户所隶属的全局组数据；或是用户用UPN登录时，它会负责提供该用户是属于哪一个域的信息。

一个林内的所有域树目录共享相同的全局编录（global catalog），而林内的第一台域控制器，默认就是全局编录服务器。也可以指派其他域控制器为全局编录服务器。

1-1-15站点site

站点是由一个或多个IP子网（subnet）所组成的，这些子网之间通过高速且可靠的链路串接起来，如果链路不满足要求应该将其划为不同的站点。

例如一个LAN内的各个子网之间的链路都符合高速且可靠的链路，而通过WAN互联的站点速度一般不快，所以应该划分为多个站点(site)。

域是逻辑的分组，而站点是物理的分组，在AD DS内没一个站点可能会含有多个域；而一个域内的计算机也可能分别属于不同的站点。

如果一个域的域控制器分布在不同的站点内，且这些站点这些站点是低速链接的话（slow wan link），由于两个domain controllers之间因为需要synchronize数据而需要replicate数据，所以需要审慎规划数据复制的时间段，尽量设置在非高峰时期来执行复制工作，同时复制频率也不要太高，以避免复制时占用两个站点之间的链接带宽，影响两个站点之间的数据传输。隶属于同一个站点之间的域控制器，会自动执行复制功能，默认的复制频率也比较高。

不同站点之间的数据进行复制的时候，所传送的数据会被压缩，同一个站点之间的数据不会被压缩。

1-1-16 目录分区（directory partition）

active directory数据库被逻辑的划分为以下目录分区：

架构目录分区（schema directory partition）

它存储着整个林中所有对象与属性的定义数据，也存储着如何创建新对象与属性的规则。整个林内所有域共享一份相同的架构目录分区，它会被复制到所有域的所有域控制器。

配置目录分区（configuration directory partition）

其存储着整个AD DS的结构，例如有哪些域、有哪些站点、域控制器等数据。整个林共享一份相同的配置目录分区，它会被复制到整个林中的所有域控制器上。

域目录分区(domain directory partition)

每个域各有一个域目录分区，其内存储着与该域有关的对象，例如用户、组、计算机与组织单位，每个域各自有一份域目录分区，域目录分区会被复制到该域内的所有域控制器中，并不会被复制到其他域的域控制器中。

应用程序目录分区（application directory partition）

应用程序目录分区是由应用程序创建的，其内存储着与该应用程序有关的数据，应用程序目录分区会被复制到林中的特定域控制器，而不是所有的域控制器。

1-2 windows server 2008域控制器的新功能

1-2-1制度域控制器（read-only domain controller）

首先是2008新增，它的active directory数据库只能被读取。RODC的active directory数据库的数据只能够从其他可写域控制器复制过来。RODC主要是设计给远程分公司网络来使用。

1、RODC的active directory数据库内容

RODC的active directory数据库内存储着AD DS域内所有的对象与属性，不存储用户帐户的密码。如果要验证用户与密码的时候，需要将它们送到总公司的可写域控制器来验证。

如果远程分公司修改active directory数据库，修改公司总部，然后公司总部的DC远程replicate给RODC

2、（unidirectional replication）

总公司的DC不用向RODC索取DC的变动数据，可写DC通过DFS分布式文件系统将SYSVOL文件夹（用来存储与组粗略相关的设置）复制给RODC的时候也是单向复制。

3、认证缓存（credential caching）

在用户验证的时候，RODC需要将数据发到主DC，为加快速度，可以将用户的密码存储到RODC的认证缓存区。此时需要通过密码复制策略（password replication policy）来设置可以被RODC缓存的帐户。不要太多，RODC可能入侵。

4、系统管理员角色隔离（administrator role separation）

系统管理员角色隔离能将任何一位域用户指派为RODC的本地系统管理员，此用户可以在RODC这台机器上登录，然后执行管理工作，无法执行其他的域管理工作，不会危害到域的安全。

5、只读域名系统（read-only domain name system）

可以在RODC上架设DNS服务器。RODC会复制DNS服务器所使用的所有的应用程序目录分区，其中包含forestDNSZone DomainDNSZone。

不过RODC上的DNS服务器并不支持客户端直接进行动态更新，客户端要更新的时候，DNS服务器会将其转发到其他DNS服务器，让客户端转向此DNS服务器进行更新，而RODC上的DNS服务器也会自动从这台DNS服务器来复制这笔更新的日志。

1-2-2 可重新启动的AD DS（restartable AD DS ）

如果这台域控制器需要维护，需要进入目录还原模式

 同时这台机器需要重新启动，如果这台机器还作为其他机器使用，如DHCP服务器，则重新启动机器将造成这些服务暂时停止。

windows server 2008控制器可提供新的可重新启动的AD DS功能，若要执行active directory工作，只需要将AD DS服务停止即可。

AD DS域控制器停止了，如果还有其他域控制器在线，仍然可以在这台AD DS服务已经停止的域控制器上利用域用户名登录，若没有其他域控制器在线，则只能利用目录服务还原模式的系统管理员帐户进入目录服务还原模式。

1-3 域功能级别与林功能级别

1-3-1 域功能级别（domain funtionality level）

AD DS的域功能级别设置只影响到该域，不会影响到其他域。

windows 2000 native

域内的域控制器可以是 windows 200 server 、windows server 2003与windows server 2008

windows server 2003

域内的控制器可以是windows server 2003与windows server 2008

windows server 2008

域内的域控制器只能是windows server 2008

可以提升域功能级别比如将windows 2000 原生，提升到windows server 2008，一旦提升后不会被降级

前次交互式登录信息、高级加密服务

1-3-2林功能级别（forest functionality level）

windows 2000

林内的所有域控制器可以是windows 2000 server 、windows server 2003、windows server 2008

windows server 2003

林内的所有域控制器可以是windows server 2003与windows server 2008

windows server 2008

林内的所有的域控制器必须是windows server 2008

林功能级别可以提升，不过一旦提升不可以再降低。

windows server 2008林功能级别并未拥有比windows server2008更多的功能，但是

在windows server 2008 林功能级别之内所添加的域，其域功能级别会被设置为windows server 2008.

1-4 active directory 轻型目录服务

active directory数据库是一个符合LDAP规范的目录服务数据库，它除了可以用来存储AD DS域内的对象，例如：用户帐户、计算机帐户，还提供应用程序目录分区，以便让支持目录访问的应用程序（directory-enabled application），可以将该程序的相关数据存储到active directory数据库内。

AD LDS（active directory lightweight directory services）轻型目录服务，而不必要创建AD DS域与域控制器。

在windows server 2003中被称为ADAM（active directory application mode）。

它可以让您在计算机内创建多个目录服务的环境，每个环境成为一个 AD LDS instance。每一个AD LDS实例分别拥有独立的目录设置与架构，也分别拥有专属的目录数据库，以供支持目录访问的应用程序来使用。

二、创建AD DS域

2-1创建AD DS域前的准备工作

创建AD DS先安装一台服务器，然后将其promote as a domain controller

2-1-1 选择适当的DNS域名

AD DS的域名采用DNS的架构与命名方式。域名可以在域创建完成后更改。

2-1-1 准备好用来支持AD DS 的DNS服务器

在AD DS域中，域控制器会将自己所扮演的角色注册到DNS服务器内，以便让其他计算机通过DNS服务器来找到这台域控制器。

Service Location Resource Record SRV RR

域控制器必须将其扮演的角色注册到DNS服务器的SRV日志之下，因此DNS服务器必须支持SRV RR windows server及BIND 8.1.2或新版本都支持这个功能。

动态更新

强烈建议安装此项功能，否则域控制器无法自动将自己注册到DNS服务器的SRV日志之下。

incremental zone transfer

此功能让这台DNS服务器与其他DNS服务器之间在执行（zone transfer）时，只复制最新修改过的日志，提高复制的效率，减轻网络的负担。

fast zone transfer

在DNS服务器向其他DNS服务器传送日志的时候使用fast transfer  format，此格式具备数据压缩与每一个传送信息内可包含多条日志的功能。BIND 4.9.7以上

windows DNS服务器默认已经启用快速传送,如果

可以采用以下两种方式来架设DNS服务器：

在将服务器升级为域控制器时，顺便让系统自动在这台服务器上安装DNS服务器角色。系统还会在此DNS服务器内创建一个支持AD DS域的区域。域名和AD DS的区域名一样，并自动启用安全的动态更新。

请先在这台即将变成域控制器与DNS服务器的计算机上，清除“首选DNS服务器”的IP地址或改为输入自己的IP地址。

使用现有的DNS服务器或另外安装一台DNS服务器，然后在这台DNS服务器创建一个用来支持AD DS域的区域

2-1-3 选择Active Directory数据库的存储地点

域控制器需要使用磁盘来存储以下3个与active directory有关的数据

active  directory数据库：用来存储active directory对象

日志文件：用来存储active directory数据库的改动日志

SYSVOL文件夹：用来存储与组策略有关的设置（组策略只有组织单元有相应的属性）

对于存储的要求：

必须存储在本地磁盘内；SYSVOL必须存储在NTFS类型的文件系统下；建议将active directory数据库与SYSVOL文件存放在不同的硬盘内。分开存储的目的：一是为了提高系统的运行效率；二是可以避免两份资料同时出问题，提高还原active directory数据库的能力。

可以将active directory数据库也放在NTFS文件系统内，以便利用NTFS权限来增强文件的安全性。系统默认是安装在windows server 2008的安装盘内。

如果要将active directory数据库、日志文件和SYSVOL都存储到另外一个磁盘内但是计算机目前并没有其他磁盘，可以使用如下方法来创建NTFS磁盘

start-->computer management->storage unassigned space right-click

convert d: /fs:ntfs

但是如果该磁盘任何一个文件在使用，则系统无法立即执行，此时可以选择让系统在下次重新启动的时候自动转换。

active directory数据库和日志文件的存储地点可以事后使用ntdsutil命令来更改。若要更改SYSVOL的存放地点，建议先删除AD DS域控制器，然后在重新安装AD DS时指定新的存储地点。

2-2创建AD DS域

a new forest-->a new domain tree-->a new first domain-->a new domain controller

2-2-1使用windows 窗口界面来安装网络中的第一台域控制器

修改计算机的名称-->start-->server manager-->change system properties

目录还原模式的的系统管理员密码，完成单击”下一步“，目录还原模式是一个安全模式（safe mode），进入此模式可以修复active directory数据库。可以在系统启动的时候按F8来选择此模式，不过必须输入此处设置的密码。

密码至少是7个字符，不能包含用户名中超过两个以上的连续字符，至少要包含A-Z、a-z、0-9、非字母字符（！、￥、#|%）等4组字符中的3组。

导出的应答文件（answer file），他可供dcpromo.exe安装域控制器使用。不过安装向导不会将“目录还原模式”的系统管理员的密码存储到此文件中。

完成AD DS配置后，网络的首选DNS会设置为127.0.0.1

此计算机升级为域控制器后，它会自动的开放windows 防火墙中与AD DS有关的端口，以便其他计算机可以与域控制器通信。

2-2-2 使用应答文件安装网络中的第一台域控制器

首先创建应答文件，然后

dcpromo /unattend:"answer.txt" 应答文件的完整的路径。

使用dcpromo 命令行来安装AD DS

2-3确认AD DS域是否正常

 2-3-1检查DNS服务器内的日志是否完整

域控制器会将它的主机名、IP地址以及所扮演的角色等数据注册到DNS服务器，其他机器通过DNS服务器找到域控制器。

1、检查主机日志

2、检查SRV日志--使用DNS控制台

如果域控制器将其所扮演的角色注册到DNS服务器的话，则应该会有_tcp、_udp的文件夹

在选择_tcp文件夹后还可以看到数据类型为SRV(service location)的_ldap(lightweight directory access protocal)日志，_gc(global catalog)

 PS: LDAP服务器就是用来提供active directory数据库访问的服务器，而windows server2008、windows server 2003、windows 2000 server域控制器就是扮演着LDAP服务器的角色。

域控制器另外注册到_msdcs文件夹。

如果DNS服务器是在安装AD DS是顺便安装的，则它除了会自动创建一个用来支持AD DS的区域外，还会创建一个_msdcs.sayms.com的区域。他是专门供域控制器来注册的，这个时候这些域控制器会把其资料注册到_msdcs.sayms.com区域内，而不是_msdcs内。

当地一个域创建完成之后，系统就会自动创建一个名为：Default-First-Name的站点，

cmd

set type=srv

需要将sayms.com区域的“允许区域传送”权限开放给您的计算机，否则无法查询，且会显示query refused的警告信息。

2-3-2排除注册失败的问题

如果因为域控制器(或域成员计算机)本身的设置有误或者是网络问题，造成无法将数据这册到DNS服务器。可以在问题解决以后，通过重新启动这些计算机的方式来重新注册。

或者手动使用这些方式：

在域控制器/域成员机器执行 >ipconfig /registerdns

在域控制器上选择开始--》管理工具-》服务，重新启动netlog服务。

域控制器默认每隔2424小时会自动向DNS服务器注册1此。

2-3-32-3-3检查active directory数据库文件域SYSVOL文件夹

active directory数据库文件与日志文件默认是存储在%systemroot% tds文件夹内

可以选择start-->run %systemroot% tds,文件夹中的ntds.dit是数据库文件.log文件是日志文件

SYSVOL默认是被创建在%systemroot%sysvol,

%systemroot%sysvolsysvol

%systemroot%sysvol/sysvol/sayms.com/script

也可以使用命令>net share查看

2-3-4添加新的管理工具

在AD DS安装完之后，在start-administrative tools-菜单里会增加一些AD DS管理工具

2-3-5查看事件日志文件

event viewer

2-4提升域与林功能级别

2-4-1提升域功能级别

start-->administrative tools-->active directory users and computers-->sayms.com right click->raise domain functional level

windows 2000 server ; windows server 2003 ;windows server 2008

2-4-2 提升林功能级别

start-->administrative tools-->active directory domains and trusts-->sayms.com right click->raise forest functional level

提升林功能级别后，相应的域功能级别也被提升。

2-5 添加额外域控制器域RODC

额外的域控制器

改善用户的登录的效率；提供容错的能力，提高系统整体的可靠性

架构完addtional domain server之后，需要将现有的DC的active directory数据库复制到这台新的dc

提供了两种复制的方式：

通过网络直接复制：适合于active directory数据库数据量比较小

通过安装媒体（installation media）

可事先在一台域控制器上制作安装媒体，其内包含着active directory数据库，然后将安装媒体复制到U盘或共享文件夹内，在安装额外域控制器的时候，要求安装向导到这个媒体内读取安装媒体内的active directory数据库，在安装媒体制作之后，active directory数据库可能有变化，通过网络复制的方式直接传输和同步。

这种方式适合writable domain controller 与read-only domain conroller

2-5-1使用windows 窗口界面来安装额外域控制器

2-5-4使用安装媒体来安装域控制器

首先制作安装媒体，在source domain controller上，将active directory数据库存储到安装媒体内。

若要制作供可写域控制器使用的安装媒体，则必须在可写域控制器上运行ntdsutil命令

若要制作供RODC使用的安装媒体，则可以在可写域控制器或RODC上运行ntdsutil命令。若是在可写域控制器上制作，ntdsutil会将缓存的安全信息清除。

1、使用域系统管理员的身份登录域控制器

2、命令行输入ntdsutil

3、activate instance ntds 表示要将active  directory数据库设置为活动。

4、create full c:installationmedia 将安装媒体的内容放置到c:installationmedia

其中的full表示要制作供可写域控制器使用的安装媒体。如果制作供RODC使用的安装媒体 参数为rodc 两次quit 两次回车

额外域控制器-安装媒体

replicationsourcepath="c:installationMedia"

2-5-5更改RODC委派与密码复制策略设置

start-->administrative tools-->active directory users and computers ,click the container domain controller

通过manager 更改RODC的委派，通过密码复制策略

2-6阶段式安装RODC

采用两个阶段的方式来安装RODC(只读域控制器)，由不同的用户完成，大多是远程分公司所需的RODC

第一阶段：新建RODC帐户

这个阶段由domain admins组内的成员完成，在active directory数据库内创建计算机帐户，将第二阶段的安装工作委派给用户或组。

被委派的用户在分公司完成RODC的安装工作，被委派的用户不需要具备domain admins的权限，但是如果没有委派用户的话，只有domain admins和enterprise admins组内的用户能继续安装分公司的RODC。

在第二个阶段，被委派的用户需要在远程分公司内，将未来的RODC服务器附加到第一阶段创建的计算机帐户中，以便完成RODC的安装工作。

2-6-1使用windows窗口来创建RODC帐户

首先在一台域控制器上以domain admin的用户登录，然后start--administrative tools -active directory users and computers ，右击container：domain controller，create RODC account。

2-6-2将服务器附加到RODC帐户

在即将成为RODC帐户的计算机上以administrator的身份登录，运行dcpromo /useexistiingaccount:attach

在输入网络凭据的时候，可以输入被委派的用户、enterprise admins或domain admins组内的用户。

 2-7将windows计算机加入或脱离域

以下计算机可以被加入域：

windows server 2008

windows server 2003

windows vista ultimate 、windows vista enterprise 、windows vista bussiness

windows XP professional

windows 2000 server 、windows 2000 professional

windows NT server4.0 、windows NT workstation 4.0

加入域的客户端计算机，其计算机帐户默认自动创建在container computer内，如果你希望该计算机帐户防止到其他容器或组织单位，可以事先在容器或组织单位内创建此计算机帐户，创建的方法是右键容器或组织单位-添加-计算机-计算机名。

开始--控制面板---系统--改变设置

必须是administrator才有权限改变设置，因为windows server 2008或windows vista计算机默认已经启用“用户帐户控制”。如果出现错误，先检查"首选DNS服务器"是否设置为正确的IP地址，可输入任何一个域用户名与密码，不过这些帐户都只有10次将计算机加入域的机会，但是管理员不受限制。

 2-7-2使用已加入域的计算机登录

一旦这个计算机加入某个域，那么系统在登录的时候，和原的界面即会有区别，首先需要按ctrl+alt+del启动登录界面，默认是使用本地系统管理员的身份登录，此时系统会使用本地安全性数据库来检查用户名和密码是否正确。

如果要使用域用户登录，切换用户，登录名的格式为saymsadministrator

2-7-3脱离域

脱离域，主动的本地系统的administrator，被动的enterprise admins、domain admins。

windows server 2008和windows vista已经启用用户帐户控制，用户帐户控制的目的是如果您没有权限更改此设置，系统会要求输入帐户与密码。脱离域start--control panel---system---change setting输入适当的工作组名称。

将计算机加入同一个工作组的好处是您在浏览网络上的计算机的时候，可以比较快的找到同一个组内的计算机。

2-8在域成员计算机内安装AD DS管理工具

开始--服务器管理器---功能---添加功能---远程服务器管理器---角色管理工具

 2-9删除域控制器与域

降级删除域控制器，也就是将AD DS从域控制器删除，在降级之前需要注意的事项：

1、如果域内还有其他域控制器存在，则降级后这台机器会成为该域的member  server，其计算机账户会被从组织单位domain controllers转移到容器computers内，必须是domain admins或enterprise admins组内的成员才有权限删除DC。

2、如果这台DC是domain内的最后一台DC，则删除DC，同时sayms。com域也同时会被删除，这台机器降级后会变成一台stand-alone server或者是workgroup server。必须是enterprise admins的用户才能有权限删除最后一个DC，而且如果有子域的话应该先删除子域。

3、如果删除的是林内的最后一台DC，那么删除DC之后林同时也被删除，必须是enterprise admins组内的用户才有权限删除。

4、如果这台服务器是GC，要检查其所属的站点是否还有其他的GC，若没有需要制定一台DC作为GC

start--administrative tools--active directory sites and services--sites-default-first-site-name--servers--选择要扮演GC的服务器，right-click NTDS settings 选择属性--再选择GC。

2-9-1使用windows窗口界面来删除域控制器或域

start--run--dcpromo

如果AD DS服务停止或者无法与其他域控制器通信，若要删除域控制器，使用dcpromo /forceremoval来强制删除。

若此域控制器是域中的最后一台域控制器，选择此项，如果域删除后，域用户的密码编译密钥也会被删除，因此先导出密钥，并先解密所有被加密的文件（例如通过EF加密的文件或通过公钥加密的电子邮件），否则域删除后将永远也无法访问这些数据。

 如果出现“应用程序目录分区”对话框，表示这台域控制器内含有可写入的active directory集成DNS区域（不包含RODC的只读DNS区域），安装向导会将此区域的应用程序目录分区删除。若此对话框出现其他应用程序创建的应用程序目录分区，请尽量使用该应用程序提供的工具（如果有的话）来删除此应用程序目录分区。

由于active directory集成DNS区域即将被删除，因此若有其他父域将此区域的查询工作委派给这台域控制器的话，

密码要求：至少是7个字符；而且不能包含用户名中超过两个以上的连续字符，至少应该包含a-z、A-Z、0-9、（!$#%）四组中的三组。

虽然这台服务器已经不再是域控制器了，不过其active directory域服务组件仍然存在并且没有被删除，如果再要升级为DC的话，秩序要运行dcpromo即可。不需要添加“角色”的方式来安装。

虽然active directory集成DNS区域的应用程序目录分区已经删除，但是DNS服务器组件仍然存在。

若想删除active directory域服务或DNS服务器，可以通过开始-服务器管理器-角色-active directory域服务或DNS服务器单击右边的“删除角色”。

2-9-2使用应答文件来删除域控制器或域

在这个answer  file文件中，我们必须创建一个[DCInstall]的区段。administratorPassword设置本地administrator的密码

dcpromo /unattend:"file"

dcpromo /?:promotion

2-10域升级与在现有域环境中安装域控制器

若现在的网络环境是windows 2000或windows server 2003林，要将windows server 2008域控制器加入到此环境中：

将现有的林升级到server 2008

在现有的林中添加一个2008的域

在现有的林中添加一台windows 2008域控制器

2-10-1将林升级为2008

将林升级就是将域控制器升级到2008

条件：所有的2000控制器必须先升级到service pack或以上的版本，2000的域功能级别必须是 2000的纯粹模式也就是原生模式

找出林内的架构主机（schema master）与每一个域内的结构主机（ infrastructure master）

林中第一台域控制器就是林的架构主机，域中的第一台域控制器就是该域的结构主机

架构主机：

adprep /forestprep

操作主机：

adprep /domainprep/gprep

由于 adprep /domainprep//gpprep会将SYSVOL文件夹内的GPO权限设置复制到所有其他域控制器，因此如果网络内有许多域控制器或GPO较多的话，这个复制操作会占用较多的网络带宽，此时建议先运行不会复制GPO权限的命令：

adprep /domainprep

等以后适当时机再来运行以下命令：

adprep /domainprep/gprep

此时这个命令只会复制GPO权限，其他操作不会再重复执行。

2-10-2在现有windows 2000或windows server 2003林中添加一个windows server 2008域

先到架构主机上使用 adprep forestprep命令来扩展现有windows 2000或者windows server 2003林的架构

应根据需求事先决定好域功能级别。然后添加2008域

2-10-3添加windows server 2008域控制器

先到架构主机上adprep /forestprep

到结构主机上运行adprep /domainprep /gpprep

如果要安装RODC，请先登录任何一台域控制器，将林功能级别提升为windows server 2003，然后运行adprep rodcprep在现有的windows 2003域中，安装的第一台windows server 2008域控制器不可以是RODC。

运行adprep /rodcprep命令，可用来更新林中的DNS应用程序目录分区的权限，让DNS数据可以被复制到所有也是扮演DNS服务器角色的RODC。

历史上的今天

• 宝宝起名2009-04-06 17:45:32
• 2008年4月6日2008-04-06 22:00:10

相关文章

最近读者

评论