Windows Server 2008教程课件 电子工业出版社,课件制作人声明,本课件共 18个 Powerpoint 文件（每章一个）。教师可根据教学要求自由修改此课件（增加或删减内容），但不能自行出版销售。 对于课件中出现的缺点和错误，欢迎读者提出宝贵意见，以便及时修订。,第14章 活动目录和域,14.1 活动目录介绍 14.2 搭建域环境 14.3 管理域成员 14.4 域和林功能级别,14.1 活动目录介绍,在规模较小的企业环境中，计算机可以使用工作组的形式来组织和管理。但是，如果企业的网络规模较大、地理位置分散，并且网络中的计算机和服务器数量较多，就需要使用域的形式来组织，以便进行集中的管理和集中的用户身份验证。,工作组缺点,工作组”对计算机的管理有如下缺点： 工作组中的计算机没有统一的管理机制，每台计算机的管理员只能管理本地计算机，即只能设置本地计算机的安全策略、本地连接和共享等。 工作组中的计算机也没有对用户帐户的统一的身份验证机制，用户登录计算机只能使用该计算机的本地用户帐户，由本地计算机来验证用户的身份。当访问网络上的共享资源时，则需要提供访问网络资源的凭据。用户需要记住访问各个服务器用的帐户和密码。 工作组的计算机也没有统一查找网络资源的机制，这些网络资源包括网络中的共享的打印机、企业的用户帐户信息和共享文件夹等。,域功能和特点,活动目录有以下特点 集中管理，可以集中地管理企业中成千上万分布于异地的计算机和用户。 便捷的网络资源访问，能够很容易地定位到域中的资源。 用户一次登录就可访问整个网络资源，即集中的身份验证。 可扩展性，既可以适用于几十台计算机的小规模网络，也可以适用于跨国公司。,DNS服务器在域环境中的作用,DNS服务器在域环境中所起的作用如下： 域名解析 DNS服务器通过其A记录将域名解析成IP地址。 定位活动目录服务 客户机通过DNS服务器上SRV记录定位目录服务。,14.2 搭建域环境,域是一种层次结构的组织形式，我们可以根据公司规模的大小，搭建合适的域环境。即，如果公司有分公司或子公司，我们可以在域的基础上创建该域的子域，也可以在子域的基础上创建子域的子域。 同时，我们也可以将多个域进行合并，成为一个“林”，从而可以对林中的所有计算机进行统一管理。 我们首先搭建一个单域环境，掌握活动目录的基础功能。在后续章节中，将详细介绍子域等知识。,安装活动目录和DNS服务,安装活动目录后的检查,强制域控制器注册SRV记录,SRV记录注册不成功的可能原因,14.3 管理域成员,将计算机加入域时会自动在活动目录中创建该计算机帐户。不管是运行Windows NT、Windows 2000、Windows XP或Windows Vista的计算机，还是运行Windows Server 2003、Windows Server 2008的服务器，在加入域时都会在域中创建一个计算机帐户。与用户帐户类似，计算机帐户对访问网络和域资源提供了一种身份验证和审核方式。域中的每个计算机帐户必须是唯一的。 默认计算机帐户存储在域中computers中。当然我们可以根据需要将计算机帐户移动到别的组织单元，也可以先在域中特定的组织单元中创建计算机帐户，然后再把计算机加入到域。,将计算机加入到域,禁用计算机帐号,将计算机退出域,域环境中计算机名称解析,14. 4 域和林功能级别,从Windows NT到Windows 2000 Server、Windows Server 2003、Windows Server 2008都提供活动目录功能，然而不同的操作系统运行的域提供不同功能的服务，即在域内由不同类型的操作系统组合而成的域，支持不同的功能和服务，我们称之为不同的域的功能级别。同理在林中也存在林的功能级别这个概念。 例如，在Windows Server 2003的Active Directory中提供了比Windows 2000 Server Active Directory更高的功能级别，称为Windows 2003临时模式和Windows 2003模式。只有把所有的域控制器都升级到Windows 2003模式，整个林才能被提升到Windows 2003模式。,域功能级别,域功能级别只影响该域和该域的功能。Windows Server 20008域环境支持5种功能级别： Windows 2000混合级别（默认） 该级别下，域中的DC可以是使用Windows 2000和Windows NT的任意系统，即Windows 2000域控制器和Windows NT 4.0备份域控制器可以在同一个域中无缝共存而不会出现任何问题。激活的功能包括本地与全局组并支持全局编录。 Windows 2000本机级别 该级别下，域中所有域控制器可以运行Windows 2000或Windows 2003系统。激活的功能包括组嵌套、通用组、Sidhistory、安全组与通讯组之间的转换。,域功能级别（续）,Windows Server 2003临时级别 该级别下，允许Windows Server 2003域控制器和Windows NT4.0域控制器混合使用。但不能与Windows 2000域控制器混合使用。即支持的域控制器为Windows Server 2003和Windows NT4.0。此级别内没有域范围的激活功能。该模式只在将NT4.0的域控制器升级到Windows Server 2003域控制器时使用。 Windows Server 2003级别 该级别下，域中所有域控制器只能是Windows Server 2003和Windows Server 2008。 Windows Server 2008级别 该级别是目前为止所有域功能级别中的最高级别，支持所有Windows Server 2003域功能级别，此外还支持以下功能： SYSVOL 的分布式文件系统复制支持，可提供SYSVOL内容的更稳健更详细的复制。 Kerberos协议的高级加密服务（AES 128和256）支持。 上次交互式登录信息，将显示用户上次成功交互式登录的时间、来自什么工作站，以及自上次登录失败的登录尝试次数。,域功能级别评估,Windows 2000混合级别 对于没有完全淘汰Windows NT域控制器的企业最为合适。 Windows 2000本机级别 如果已经部署了从Windows NT到Windows 2000的AD迁移，那么这个功能级别显然最合适，而且这种模式也仅仅适合从NT域环境升级到Windows2000。 Windows Server 2003 临时级别 对那些直接从Windows NT域控制器升级到Windows Server 2003的企业最为合适。但是此种模式不支持Windows 2000。,域功能级别评估（续）,Windows Server 2003级别 该级别要求域中所有域控制器为Windows Server 2003或Windows Server 2008。 Windows Server 2008级别 这是目前最高级别，要求所有域控制器都是Windows Server 2008。,林功能级别,林功能级别主要分为三种： Windows 2000级别 该级别支持所有默认的Active Directory功能。 Windows Server 2003级别 该级别支持所有默认的Active Directory功能及林信任、部署运行Windows Sever 2008 RODC、在域目录分区中创建动态辅助类等功能。 Windows Server 2008级别 该功能级别提供Windows Server 2003林功能级别上可用的所有功能，但不提供任何其他功能。但在默认情况下，之后添加到林的所有域，都将在Windows Server 2008域功能级别进行操作。,提升域功能级别和林功能级别,提升域功能级别和林功能级别（续）,