第4章 活动目录

课题：活动目录（Active Directory）

课型：理论课 课时：2课时 教学目的：1、了解Active Directory；

2、掌握Active Directory的安装与删除； 3、掌握客户端的加入与退出域； 4、掌握域用户账户管理； 5、掌握域组账户管理

重点难点：1、Active Directory的安装； 2、客户端的加入操作； 3、域用户和用户组的管理。 教学环境：1、多媒体教室；

2、一台安装有虚拟机的电脑。 教学方法：讲授法 教学过程：

本章将介绍Windows Server 2003操作系统中Active Directory（活动目录）的基本概念，以及Active Directory的安装与配置，域中用户账户管理，域中组账户管理。最后还将介绍如何将客户端加入到域，以及在单个域中使用组策略。 一、了解Active Directory

在Windows 2003中，各种网络服务以服务器角色出现，方便了用户对网络资源进行分配与管理。应用服务器角色对网络进行管理，均需要有活动目录服务、域名系统服务、动态主机配置协议服务、Windows Internet命名服务的配合与支持 1、活动目录（Active Directory）

活动目录（Active Directory）是用于Windows 2003的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。

活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。

Active Directory目录服务可安装在运行Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition和Windows Server 2003 Datacenter Edition的服务器上。Active Directory存储有关网络上的对象的信息，并使管理员和用户更方便地查找和使用这种信息。Active Directory使用结构化的数据存储作为目录信息的逻辑化、分层结构的基础。

这种数据存储，也称为目录，包含与Active Directory对象有关的信息。这些对象通常包括共享资源，如服务器、卷、打印机、网络用户和计算机账户。

通过登录验证以及目录中对象的访问控制，将安全性集成到Active Directory中。通过一次网络登录，管理员可管理整个网络中的目录数据和单位，而且获得授权的网络用户可访问网络上任何地方的资源。基于策略的管理减轻了即使是最复杂的网络的管理。

Active Directory 还包括：

（1）一套规则，即架构。定义了包含在目录中的对象类和属性，以及这些对象实例的约束和限制及其名称的格式。

（2）包含目录中每个对象信息的全局编录。允许用户和管理员查找目录信息，而与目录中实际包含数据的域无关。

（3）查询和索引机制的建立，可以使网络用户或应用程序发布并查找这些对象及其属性。 （4）通过网络分发目录数据的复制服务。域中的所有域控制器参与复制并包含它们所控制的域的所有目录信息的完整副本。对目录数据所做的任何更改都被复制到域中的所有域控制器。

（5）支持Active Directory客户端软件，使得运行Windows 95、Windows 98和Windows NT® Server 4.0的计算机可使用Microsoft® Windows® 2000 Professional或Windows XP Professional上的许多功能。对于没有运行Active Directory客户端软件的计算机，目录的显示形式将与Windows NT的目录相似。 2、DNS与活动目录

由于活动目录与DNS（Domain Name System，域名系统）集成，共享相同的名称空间结构，因此注意两者之间的差异非常重要： A、DNS是一种名称解析服务

DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收名称查询，然后通过本地存储的文件解析名称查询，或者查询其他DNS服务器进行名称解析。DNS不需要活动目录就能运行。 B、活动目录是一种目录服务

活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP）”向活动目录服务器发送查询。要定位活动目录服务器，活动目录客户机将查询DNS。活动目录需要DNS才能工作。

即活动目录用于组织资源，而DNS用于查找资源；只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。DNS是活动目录的关键组件，如果没有DNS，活动目录就无法将用户的请求解析成资源的IP地址，因此在安装和配置活动目录之前，我们必须对DNS有深入的理解。

二、Active Directory的安装与删除

Windows Server 2003操作系统的Active Directory为我们提供了很强大的管理功能，在使用Active Directory之前，必须先对Active Directory进行安装和配置。

1、Active Directory的安装 （1）Active Directory安装条件

如果存在有下列任一种或几种情况，将无法安装Active Directory： ①该计算机正在运行Windows Server 2003 Web Edition； ②该计算机已加入到域中或已配置为域控制器；

③该计算机不是域控制器，但已启动“Active Directory安装向导”； ④该计算机是证书颁发机构（CA）； ⑤该计算机已在运行“路由和远程访问”； ⑥该计算机的当前会话是远程会话。 （2）Active Directory安装过程

在安装Active Directory之前，首先应该规划Active Directory的逻辑结构和名称结构，逻辑结构是指一个企业中的域数量以及域之间的关系。名称结构在Active Directory规划的时候特别重要，虽然管理员可以在规划之后修改域的名称，但是根域的名称是不允许修改的，所以在创建

Active Directory之前，应该先进行正确、有效的逻辑结构和名称结构的规划。 演示安装操作过程，分别使用： dcpromo命令 或管理工具

注：其中特别要注意；DNS服务器选项对话框，一般情况下，在安装AD时，同时安装DNS服务器。 2、Active Directory的安装步骤

管理员要将自己的服务器用作域控制器，必须安装活动目录。活动目录可用于存储网络对象和共享打印机信息，并提供访问上述资源的信息。活动目录安装向导可将管理员的服务器配置为域控制器或附加域控制器，并可以在未连好网络时设置DNS。如果网络中没有其他域控制器，可将服务器配置为域控制器；如果网络中有其他域控制器，可将服务器设置为附加域控制器，并新建子域、域目录树或目录林。

（1）执行“开始”→“程序”→“管理工具”→“配置您的服务器向导”命令； 或“开始”→“运行”→输入“dcpromo”命令。

（2）打开“Active Directory 安装向导”对话框，单击“下一步”按钮开始安装。

（3）显示“操作系统兼容性”信息，单击“下一步”；由于用户所建立的是域中的第一台域控制器所以

在“域控制器类型”对话框中选择“新域的域控制器”选项，单击“下一步”按钮；在“创建一个新域”对话框中选择“在新林中的域”选项。单击“下一步”按钮，如图1所示。

图 1

（4）在“新的域名”对话框中的“新域的DNS全名”框中输入需要创建的域名，这里是swzy.cn，单

击“下一步”按钮；在“NetBIOS名”对话框中，更改NetBIOS名称。运行非Windows操作系统客户端将使用NetBIOS域名。可保持默认设置，单击“下一步”按钮，如图2所示。

图 2

（5）在“数据库和日志文件文件夹”对话框中，将显示数据库、日志文件的保存位置，一般不作修改。

单击“下一步”按钮；在“共享的系统卷”对话框中，指定作为系统卷共享的文件夹，sysvol文件夹存放域的公用文件的服务器副本，sysvol广播的内容被复制到域中的所有域控制器，其文件夹位置一般不作修改，单击“下一步”按钮，如同3所示。

图 3

（6）在“配置DNS”对话框中，单击“下一步”按钮，如果在安装活动目录之前未配置DNS服务器，

可在此配置DNS，推荐使用这种方法，这里选择第二项；在“权限”对话框中为用户和组选择默认权限，这里也选择第二项，如图4所示。

图 4

（7）在“目录服务恢复模式的管理员密码”对话框中输入以目录恢复模式下的管理员密码，单击“下

一步”按钮；在“摘要”对话框显示安装摘要信息，如图5所示。

图 5

（8）安装完成之后，重新启动计算机即可。

3、Active Directory的删除

运行dcpromo.exe文件，根据向导提示即可删除活动目录；或使用“配置您的服务器向导”。

三、验证活动目录

1、验证SRV记录

（1）检查DNS文件的SRV记录：%systemroot%\\system32\\config\\netlogon.dns。 （2）nslookup验证SRV记录运行是否正常。

2、验证SYSVOL

（1）查看文件夹%systemroot%/sysvol中的四个子文件夹：domain（域），staging（分级），staing areas

（分级区域），sysvol（系统卷）。 （2）用net share查看两共享名。

3、检查目录数据库和日志文件

查看文件夹中%systemroot%/ntds中的文件：ntds.dit—目录数据库文件，edb.*--事务日志和检

查点文件，res*.log—保留日志文件。

四、客户端的加入与退出

Windows Server 2003域控制器（Active Directory）的强大功能就是在于他的集中管理能力，在对客户端进行管理之前，要先将客户端加入到所要管理的域中，如果不需要该域对其进行管理，则可从该域中退出。

客户端要想加入到某个域中，必须满足下面的三个基本条件：   

必须保证客户端与域控制器在同一网段并且能过互相通信； 该客户端没有加入到其他域控制器中； 在域控制器中必须要设置一个用户账户。

要将客户端加入到域中，其具体操作步骤如下。

1、服务器端，要在域控制器端添加一个用户

（1）选择“开始”|“程序”|“管理工具”|“Active Directory用户和计算机”命令或“dsa.msc”。 （2）打开“Active Directory用户和计算机”对话框，右击“swzy.cn”，选择“新建”|“组织单位”

命令，打开“新建对象–组织单位”对话框，输入“汕尾职院”，如图6所示。

图 6

（2）右击“汕尾职院”，选择“新建”|“用户”命令，打开“新建对象 – 用户”对话框，输入信息，

单击“下一步”；设置密码，如图7所示；最后完成用户创建。

图 7

击“添加”，输入用户名，如图8所示。

（4）右击“swzy.cn”，选择“委派控制”命令，打开“控制委派向导”对话框；在打开的对话框中单

图 8

（5）选择“将计算机加入到域”，单击“下一步”，最后完成设置，如图9所示。

图 9

2、客户端加入域

（1）在“我的电脑”单击鼠标右键，打开“系统属性”界面，在“系统属性”中选择“计算机名”选

项卡；单击“更改”按钮，打开“计算机名称更改”对话框，输入域，如图10所示。

图 10

（2）在“用户名”处输入相应的用户名，在“密码”处输入相应的密码，单击“确定”按钮，如图11

所示，单击“确定”按钮，重新启动计算机，完成将用户计算机加入到域的操作。

图 11

3、客户端的退出

要想使客户端退出域，则要按以下操作步骤来完成。

（1）在“系统属性”中选择“计算机名”选项卡，然后单击“更改”按钮，出现“计算机名称更改”

界面。

（2）在“隶属于”中选择“工作组”，并输入相应的内容（workgroup），然后单击“确定”按钮。 （3）在“用户名”处输入相应的用户名，在“密码”处输入相应的密码，单击“确定”按钮，单击“确

定”按钮，重新启动计算机后即可。

五、活动目录应用

1、软件发布

（1）打开“Active Directory用户和计算机”对话框，右击“汕尾职院”，选择“属性”命令，打开

“汕尾职院 属性”对话框，选择“组策略”，新建“软件共享”，如图12所示。

图 12

（2）双击“软件共享”或单击“编辑”，打开“组策略编辑器”，右击“软件安装”命令，选择“新建”

|“程序包”命令，选择网上邻居，如图13所示。

图 13

（3）在弹出“部署软件”对话框，选择“已发布”，在窗口右侧显示软件部署状态为已发布，如图14

所示。

图 14

（4）软件发布测试，客户端登陆

【注：克隆了两个虚拟磁盘都是WIN2003的，一个作为DC一个作为客户端，当把这个客户端加入域，

就会报错指定域的名称或安全标识SID与该域的信任信息不一致，可以通过下面的方法解决： A、在windows2003安装光盘目录X:\\support\ools\\deploy.cab中提取sysprep.exe和

setuppcl.exe；

B、运行，选择“不重置激活的宽限期”，单击“重新封装”，并重启，重启后会对SID、网络、

电脑名字、公司名字等一些信息重新设置。】

A、以用户“stu1”的身份登录到加入域中的任一台计算机（客户机），如图15所示。

图 15

B、选择“添加或删除程序”，添加“微软拼音输入法2003”，如图16所示。

图 16

【注：DC服务器：“微软拼音输入法2003属性”|“部署”|“安装用户界面选项”，应选择“基本”，

否则在客户端不能安装。】

2、安装打印机

（1）在DC服务器，安装打印机，设置共享。

（2）在客户端，安装网络打印机，在目录中查找一个打印机，单击“下一步”，打开“查找 打印机”

对话框，单击“开始查找”，如图17所示。

图 17

（3）在客户端打印测试。 六、域用户账户管理

域用户账户是一个对象，它包含了用于定义Windows Server 2003中域用户的所有信息。域用户账户的名称类型共有四种，在Active Directory中，每个用户账户都有一个用户登录名、一个Windows 2000以前版本的用户登录名、一个用户主体登录名以及一个LDAP相对可分辨名。

1、创建域用户账户

演示域用户账户创建的操作。

注意：若要执行此过程，必须是Active Directory中Account Operators组、Domain Admins 组或Enterprise Admins组的成员，或者必须被委派了适当的权限，普通用户没有创建新用户账户的权限。

2、修改用户账户属性

演示修改用户账户属性的操作。 3用户账户管理

“Active Directory用户和计算机”是用来管理用户、计算机和组的主要工具，其对用户账户管理主要包括将用户加入到组和组织单位，以及对用户进行集中管理两个方面。

（1）新建组织单位

（2）将用户加入到组织单位 （3）对用户进行集中管理

当用户移动到相应的组织单位就可以对用户进行集中管理。此时，用鼠标右键单击需要管理的组织单位，选择“属性”命令，弹出相应的属性对话框，如图18所示，此时，可对其进行相应的设置和管理。

图 18

七、域组账户管理

1、域组介绍

Active Directory中有很多类型的组账户，这些组账户可以根据需要创建，而且不同的类型组其作用也不同。

根据组作用域划分，组可以划分为三种类型：通用、全局和本地域。

◆ 通用：可以在本地域或信任域之间使用，用于组织用户账户。其中的成员可包括域树或域林中任何域中的其他组和账户，而且可在该域树或林中的任何域中指派权限。

◆ 全局：可以在整个Active Directory中使用，用于组织用户账户。其中的成员可包括只在其中定义该组的域中的其他组和账户，而且可在林中的任何域中指派权限。

◆ 本地域：只能在本域中使用，用于赋予访问资源权限或组织用户账户。其中的成员可包括Windows Server 2003、Windows 2000或Windows NT域中的其他组和账户，但只能在域内指派权限。

根据组的类型划分，组可以划分为：安全组和通讯组。

◆ 安全组：安全组可以赋予其访问资源的权限，是在Windows Server 2003网络环境中最常用的一种形式，所有的内置用户组都是安全组。

◆ 通讯组：主要作用是作为联系人，通讯组让协助软件（如Windows Exchange 2003）可以使用这种组集中发送电子邮件，但是这种类型的组不能赋予访问资源的权限。

2、在单个域中使用组的策略

在单个域中使用组，可以使用AGDLP策略。AGDLP中的A代表用户账户，G代表全局组， DL代表本地域组，P代表权限。AGDLP策略是指是将用户账户加入全局组，然后将全局组加入本地域组，再为本地域组授予权限。其具体操作步骤如下。

（1）首先在Users容器中创建用户账户b1和c1。 （2）在Users容器创建一个全局组TEACH。 （3）在Users容器创建一个本地域组STUD。 （4）将用户b1、c1加入到全局组TEACH中。 （5）将全局组TEACH加入到本地域组STUD中。

（6）然后通过本地域组给用户赋予权限，就完成了AGDLP。

八、备份与恢复活动目录

在Windows 2003中，备份与恢复活动目录是一项非常重要的工作。你不能单独备份活动目录，因为Windows 2003将活动目录作为系统状态数据的一部分进行备份。系统状态数据包括注册表、系统启动文件、类注册数据库、证书服务数据、文件复制服务、集群服务、域名服务和活动目录等8部分，通常情况下只有前3部分。这8部分都不能单独进行备份，必须作为系统状态数据的一部分进行备份。 1、备份活动目录

如果一个域内存在不止一台域控制器，当重新安装其中的一台域控制器时，备份活动目录并不是必需的，你只需要将其中的一台域控制器从域中删除，重新安装，并使之回到域中，那么另外的域控制器自然会将数据复制到这台域控制器上。如果一个域内只有一台域控制器，那就有必要对活动目录进行备份。

（1）单击“开始→程序→附件→系统工具→备份”菜单项，以启动备份或还原向导。单击“高级模式”选项，打开“备份工具”对话框，单击“备份向导”按钮。单击“下一步”按钮。

（2）在“要备份的内容”对话框中，选择“只备份系统状态数据”选项。单击“下一步”按钮。 （3）在“备份类型、目标和名称”对话框中，输入备份数据文件名，单击“下一步”按钮，完成备份向导。

2、活动目录的恢复

有两种办法可以恢复活动目录。

第一种方法是从域的其他域控制器上恢复数据，前提是域内必须还有一台域控制器是可用的，这时当损坏的域控制器重新安装并加入到它原来的域时，域控制器之间会自动进行数据复制，活动目录也会随之恢复。

另一种方法就是从备份介质进行恢复。通常情况下，整个网络环境中只有一台域控制器，因此从介质恢复活动目录是经常遇到的事情。

从备份介质进行活动目录恢复有两种方式可以选择：验证方式（Authoritative Restore）和非验证方式（Nonauthoritative Restore）。 3、非验证方式恢复

通常情况下，Windows 2003使用非验证方式恢复。活动目录从备份介质中恢复以后，域内其他的域控制器会在复制过程中使用新的数据覆盖旧的数据。

要实现非验证恢复，目录服务必须处于离线状态。同时，你必须使域服务器处于“目录服务恢复模式”。重新启动服务器，按下F8键展开系统启动高级菜单，选择其中的“目录服务恢复模式”选项。当Windows 2003出现用户登录窗口时，输入本地管理员账户和密码，登录成功后，就可以进行恢复操作了。

注意：这里并不是在活动目录中的管理员账号和密码。

（1）单击“开始→程序→附件→系统工具→备份”菜单项，以启动备份或还原向导。单击“高级模式”选项，打开“备份工具”对话框，单击“还原向导”按钮。单击“下一步”按钮。

（2）在“还原项目”对话框中，选择相应的备份文件，单击“下一步”按钮，完成数据恢复，重新启动机器即可。

注意：通常情况下，你不能恢复60天以前备份的活动目录数据。 4、验证方式恢复

验证模会将从备份介质恢复过来的数据强行复制到域内所有的域控制器上，无论从备份以后数据是否发生了变化。验证模式恢复活动目录通常用于活动目录在域内某台域控制器上发生了严重的错误，而且这种错误通过复制扩散到了域内的其他域控制器上。

为实现验证方式恢复，你必须首先实现非验证方式恢复，然后使用NTDSUTIL命令行工具实现验证式恢复。

重新启动服务器，按下F8键展开系统启动高级菜单，选择其中的“目录服务恢复模式”选项。当Windows 2003出现用户登录窗口时，输入本地管理员账户和密码，登录成功后，就可以进行恢复操作了。

（1）单击“开始→运行”菜单项，在出现的对话框中输入“ntdsutil”，启动命令行工具。 恢复整个活动目录数据库，可使用下列命令： authoritative restore restore database

（2）恢复部分活动目录数据，使用下列命令： authoritative restore

restore subtree ou=works，dc=swzy，dc=cn

第二行命令需要根据实际情况确定，比如你的域名字是swzy.cn，要恢复的OU是Works，即为上式中的：restore subtree ou=works，dc=swzy，dc=cn，依此类推。

九、案例分析

某公司采用域控制器的方法来管理公司内的所有计算机，本地计算机已经被禁止登录，用户必须登录到指定的域控制器。公司采用的是3班制的工作方式，每台计算机将由三个用户使用，在域控制器上已经为每位用户配置好了账户，但是公司很快发现有的员工不使用自己配置的用户账户而使用其他人的用户账户登录，为了避免这种情况的发生，公司要求用户必须使用指定的用户账户进行登录，你是系统管理员，要求你使用最少的配置实现这一功能，你可以怎么做？

小结：

对课堂教学内容和教学情况做一个小结。 作业：

（1）Windows Server 2003哪些版本可以安装Active Directory？ （2）AGDLP表示什么含义？ （3）什么是本地域组？ （4）什么是安全组？

（5）安装了Windows 2000以上操作系统的单台计算机能否使用组策略？

案例分析

某公司采用域控制器的方法来管理公司内的所有计算机，本地计算机已经被禁止登录，用户必须登录到指定的域控制器。公司采用的是3班制的工作方式，每台计算机将由三个用户使用，在域控制器上已经为每位用户配置好了账户，但是公司很快发现有的员工不使用自己配置的用户账户而使用其他人的用户账户登录，为了避免这种情况的发生，公司要求用户必须使用指定的用户账户进行登录，你是系统管理员，要求你使用最少的配置实现这一功能，你可以怎么做？

分析：用户使用其他人的账户进行登录，那么有可能是有些用户的账户没有设置密码，我们需要对每个账户进行设置密码，并且禁用“guest”账户，也有可能是员工之间互相知道彼此的密码，那么就需要对用户的登录时间进行控制。

解决方法：

（1）首先对所有员工所对应的账户设置密码，要求使用密码进行登录，并且禁用“guest”账户。 （2）根据每位员工的工作时间，设置相应的账户在指定的时间段登录，除了指定时间段，其他时间设置为不允许登录。这里的设置可以在账户的属性中进行设置。这样就解决了用户登录的问题。

习 题 1．简答题

（1）什么是Active Directory？

答：Active Directory是Windows Server 2003家族中的目录服务，它扩展了Windows 2000 Server中目录服务的基本功能，实现了资源的集中管理和配置。 （2）Windows Server 2003哪些版本可以安装Active Directory？

答：Active Directory目录服务可安装在运行Microsoft Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition和Windows Server 2003 Datacenter Edition的服务器上。 （3）如何在域中新建一个用户账户？

答：创建域用户账户的操作步骤如下：

① 依次单击“开始”－ “管理工具”－“Active Directory用户和计算机”，打开“Active Directory用户和计算机”窗口。

② 在“Active Directory用户和计算机”窗口中用鼠标右击Users容器，在弹出的菜单中，选择“新建”菜单中的“用户”命令，打开“新建对象－用户”对话框，在“姓”中输入所需要的内容，在“用户登录名”中输入要登录的用户名称。

③ 单击“下一步”按钮，在“密码”处输入相应的密码，在“确认密码”处再次输入该密码。 ④ 单击“下一步”按钮，出现该用户的相关信息，单击“完成”按钮，此时，该用户就会出现在Users容器中，创建新用户操作完成。 （4）AGDLP表示什么含义？

答：在单个域中使用组，可以使用AGDLP策略。AGDLP中的A代表用户账户，G代表全局组， DL代表本地域组，P代表权限。AGDLP策略是指是将用户账户加入全局组，然后将全局组加入本地域组，再为本地域组授予权限。 （5）什么是本地域组？

答：只能在本域中使用，用于赋予访问资源权限或组织用户账户。其中的成员可包括Windows Server 2003、Windows 2000或Windows NT域中的其他组和账户，但只能在域内指派权限。

（6）什么是通讯组？

答：可以在本地域或信任域之间使用，用于组织用户账户。其中的成员可包括域树或域林中任何域中的其他组和账户，可在该域树或林中的任何域中指派权限。 （7）什么是全局组？

答：可以在整个Active Directory中使用，用于组织用户账户。其中的成员可包括只在其中定义该组的域中的其他组和账户，而且可在林中的任何域中指派权限。 （8）什么是安全组？

答：安全组可以赋予其访问资源的权限，是在Windows Server 2003网络环境中最常用的一种形式，所有的内置用户组都是安全组。 2．思考题

（1）在Windows Server 2003操作系统上安装Active Directory与Windows Server 2000操作系统上安装Active Directory是否一致？

答：在Windows Server 2003操作系统上安装Active Directory与Windows Server 2000操作系统上安装Active Directory的操作方法基本相同。

（2）安装了Windows 2000以上操作系统的单台计算机能否使用组策略？

答：可以使用组策略。如果是单机可以使用本地址组策略；如果是在域环境下，则可以使用域环境下的组策略。

3．上机操作题（略）