当前位置：首页 > news >正文

Windows Server 2019--12 活动目录（Active Directory，AD）

news 来源：原创 2025/6/13 9:14:07

本章要点

了解域与活动目录的概念，活动目录与DNS的关系
理解和掌握活动目录中包含的各种对象和作用
掌握域服务器的配置与应用

活动目录（Active Directory，AD）是面向Windows Standard Server，Windows Enterprise

Server及Windows Datacenter Server的目录服务。活动目录存储了关于网络对象的信息，并且使管理员和用户能够轻松地查找和使用这些信息。活动目使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

本章简要介绍了域与活动目录的概念，活动目录与DNS的关系，用实例对活动目录的工作原理进行了概述，并详细介绍了域的安装与配置的方法。

12.1 什么是域与活动目录

12.1.1 什么是域

1、概念

（1）域：集中管理网络资源的方式（商超）

工作组：分散管理网络资源的方式（早市）

（2）域控制器（DC），保存域中资源记录（AD活动目录数据库）的服务器

（3）活动目录（AD），是以数据库的方式存储域中的资源（用户、电脑、

（4）子域、域树、域林

域(Domain)是Windows网络中独立运行的单位，域之间相互访问需要建立信任关系(Trust Relation)。信任关系是连接域与域的桥梁。当一个域与其他域建立了信任关系后，两个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。

如果资源分布在N台服务器上，那么用户需要资源时就要分别登录这N台服务器，也就需要N个账号。一个用户如此,对于M个用户,管理员则需要为他们创建NxM个账户，如图 12-1所示，这样不仅复杂，而且难以管理，这也就是要使用域来管理的原因。

有了域，管理员只需要为每个用户创建一个域用户，用户只需在域中登录一次就可以访问域中所有服务器提供的资源，从而实现单一登录，域与多用户之间的关系如图12-2所示。

用户信息存放在域中的域控制器(Domain Controller，DC)上，在图12-2中，可以在服务器中选定一台或几台服务器作为域控制器。存在多个域控制器时，各个域控制器是平等的，每个域控制器上都有所在域的全部用户信息，域控制器之间需要同步这些信息。其他不是域控制器的服务器仅仅提供资源。

12.1.2 什么是活动目录

活动目录是Windows Server平台提供的目录服务，管理员或用户在中央数据库中存放信息，使用户在网络上只拥有一个用户账号。目录是存储各种对象的一个物理上的容器，目录服务是使目录中所有信息和资源发挥作用的服务。

活动目录使信息的安全性大大增强，引入基于策略的管理，使系统的管理更加明朗。活动目录具有很强的可扩展性、可伸缩性、智能的信息复制能力，与DNS集成紧密，与其他目录服务之间具有互操作性，可进行灵活的查询。

活动目录逻辑结构:域、组织单位、树、林。

域控制器(Domain Controller)上存放着域中所有用户、组、计算机等信息(实际上域控制器存放的信息多于这些)，域控制器将这些信息存放在活动目录中。

活动目录和DNS 的关系如下。

活动目录和 DNS存储了同一物理对象的不同信息，从而代表了两个不同的域名空间。在TCP/IP网络中,DNS存放资源记录(如域名和IP地址的映射)，用来处理计算机名字和 IP 地址的映射关系，活动目录存放资源对象(如计算机、用户、组及其相应的属性等)。

活动目录和 DNS是密不可分的，活动目录使用DNS服务器来登记域控制器的 IP、各种资源的定位等，一个域林中至少存在一个S服务器，所以安装活动目录时需要同时安装DNS。DNS可以不依靠活动目录，它只是活动目录中一个必需的工具。此外，域的命名也采用 DNS 的格式。

12.2 活动目录的组织单位

组织单位是域包含的一种目录对象，如用户、计算机和组、文件与打印机等资源。每个对象都有自己的属性以及属性值。

组织单位(Organization Unit,OU)是可以将用户、计算机和其他组织单位放入其中的 AD容器，可以指派组策略设置或委派管理权限的最小作用域或单位，如图12-3所示。

在一个组织单位中，可以更改特定容器的属性，建立或删除特定类型的对象，更新特定类型的对象的属性。

组织单位可将对象按逻辑进行分组，便于管理、查找、授权和访问。组织单位只表示单个域中的对象集合(可包括组对象)，组织单位具有继承性，子单位能够继承父单位的ACL。同时，域管理员可授予用户对域中所有组织单位或单个组织单位的管理权限。

12.3 域服务器的配置管理

12.3.1 安装域服务

一个域要发挥作用，最基本的需求是一台域服务器和一台加入此域的计算机。如果是域林，还需要一台子域服务器，并将父域服务器升级为域控制器，在域树复杂的情况下，还可以将子域升级为域控制器。一个域内可以有多台域控制器，每台域控制器的地位几乎是平等的，它们各自存储着一份几乎完全相同的活动目录。

当在任何一台域控制器内添加了一个用户账户后，此账户默认被创建在此域控制器的活动目录中，之后会被自动复制到其他域控制器的活动目录中，以便使所有域控制器内的活动目录数据能够同步。计算机通过域控制器提供的用户账户加入到该域，同时获得该账户在域中对应的访问权限。

12.3.2 活动目录设计

(1)域名与控制器的安装位置。

①中小企业在网络中安装域控制器。

②域名和 DNS 域名相同，为xyz.com.cn。

③ 其他所有计算机加入到域中。

(2)组织单位设计。

① 在这里根据公司的行政架构来设计OU。

②各部门的用户、组、计算机、打印机等均放到对应的组织单位上。

在下面实例中，计算机Win2019-1、Win2019-2和Win2019-3分别充当1号、2号和3号机，拓扑结构如图12-4所示。

1、安装域控制器

（1）在Win2019-1服务器上配置网卡静态IP地址，如图所示

（2）安装DNS服务，具体参考4.2.1节。

（3）安装域服务

（4）安装完毕后，将此服务器升级为域控制器。点击配置

（5）配置域控制器。林根域名不能与对外服务器的DNS名称相同，如对外服务器的DNS URL为http://www.szpt.edu.cn，则内部的林根域名就不能是szpt.edu.cn，否则未来可能会存在兼容性问题。添加新林，根域名为xyz.com.cn

(6)单击下一步按钮。在域控制器选项界面选择默认的级别，此处域控制器功能级别最高只能是指Windows Server 2016；在指定域控制器功能选项组中，第一台域控制器必须是全局编录服务器角色，不可以选择“只读域控制器（RODC）；目录服务还原模式（DSRM）密码按密码规则自行设定。目录还原模式是一个安全模式，开机进入安全模式修复AD数据库时必须使用设定的密码。

（7）忽略警告，单击下一步

（8）系统会自动创建一个NetBIOS名称，此名称可以更改

（9）单击下一步，进入路径页面。

数据库文件夹用于存储AD数据库；日志文件夹用于存储AD的更改记录，此记录可以用来修复AD数据库；SYSVOL文件夹用于存储域共享文件

（10）单击两次下一步，等待所有先决条件检查，成功通过之后，点击安装

注意：如果服务器内有多个硬盘，建议将数据库与日志文件分别设置到不同的硬盘内，分两个硬盘可以提高运行效率，且分开存储可以避免两份数据同时出现问题，以提高修复AD的能力（如果时RAID模式就没必要分开，仅与操作系统分区分开即可）

（11）完成安装，重新启动计算机，因活动目录的存在，启动时间会变长，登录界面出现时可以发现已经建立域XYZ

（12）在域控制器上登录时，只能以域用户身份登录。虽然用户名仍为Administrator，但该Administrator已是域用户。依次选择”服务器管理器——工具——Active Directory 用户和计算机——Users“选项，可查看该域用户组下的所有的用户

（13）此时域控制器DNS管理器默认存在一个xyz.com.cn的区域，主机记录表示域控制器已经正确地将其主机名与IP地址注册到DNS服务器。依次选择”服务器管理器-----工具----------DNS-----正向查找区域------xyz.com.cn"选项即可进行查看

（14)域控制器正确注册到DNS服务器后，会出现“_tcp""_udp"等文件夹列表。单击”_tcp"文件夹可以看到数据类型为“服务位置（SRV)"的”_ldap"记录，表示win2019-1.xyz.com.cn已经正确注册为域控制器。“_gc”记录的全局编录也被包含在win2019-1.xyz.com.cn中

2、把服务器（或计算机）加入到域

Windows Server服务器可以充当3种角色：域控制器、成员服务器和独立服务器。

服务器的这三种角色可以发生改变，如图所示

（1）Win2019-2以服务器身份加入域，其静态IP如下图所示

（2）更改计算机属性，将它由工作组改为加入到域中xyz.com.cn中

（3）输入有权限加入该域的账户名称和密码之后，再次单击确定按钮

（4）重启后打开系统属性窗口，可发现Win2019-2成功加入域xyz.com.cn

（5）在Win2019-1域服务器的Active Directory用户和计算机窗口下，打开computers容器，能查看到域成员Win2019-2计算机

（6）作为成员服务器，用户既可以登录到域中，也可以登录到本地，只需要在用户名前添加不同的名称。

如果输入的是”XYZ/Administrator"，说明以域用户（XYZ是xyz.com.cn域的NetBIOS名）的身份登录；如果输入的是“WIN2019-2/Administrator”，说明以本地用户的身份登录

（7）如需服务器（或计算机）从域中脱离，只需在计算机系统属性中进行设置更改，将计算机由域改到工作组中

12.3.3 安装活动目录后的变化

服务器没有升级成为域控制器之前，位于本地安全数据库的本地用户和组，在服务器升级为域控制器后被转移到AD DS数据库内，并存储于各自的容器中，应该使用“Active Directory用户和计算机”工具来管理用户和组等。

12.3.4 创建组织单位

在“Active Directory用户和计算机”窗口中，为域控制器创建组织单位

（1）在窗口左侧栏单击“xyz.com.cn”选项，在弹出的快捷菜单中选择“新建---组织单位”命令

（2）在“新建对象-组织单位”对话框，创建以行政单位为对象的组织单位，单击“确当”按钮

12.3.5 在组织单位下添加计算机、用户、组

用“Active Directory用户和计算机”工具为域控制下的组织单位创建计算机用户和组，可以不分先后顺序。

（1）在新建的组织单位“行政部”下，添加用户“张三”。右键单击“行政部”选项，在弹出的快捷菜单中选择“新建——用户”命令，在“新建对象——用户”对话框中填入的参数值如图所示

（2）设置用户密码，并勾选永不过期和永不更改密码

（3）在组织单位中创建组，右键单击“行政部”选项，在弹出的快捷菜单中选择“新建——组”命令，弹出“新建对象——组”

（4）从上图可看出，组作用域包括本地域、全局组、通用组。它们的区别如表所示：

组类型包括安全组和通讯组，安全组用来分配共享资源的权限，通讯组用来创建电子右键分发列表

（5）为组织单位创建计算机对象，右键单击”行政部“选项，在弹出的快捷菜单中选择"新建——计算机——新建对象——计算机”对话框

（6）在组织单位“行政部”中，计算机、用户和组创建完成后的结果如图所示

12.3.6 文件和文件夹安全及共享权限的变化

1、域控制器上的文件和文件夹安全及共享权限

域控制器上只有域用户或则组，因此域控制器上的文件和文件夹安全权限、共享权限必须分配给域用户或者组

（1）在域控制器的C盘根目录下创建名为“Win2019-1”的文件夹，右键单击该文件夹，在弹出的快捷菜单中选择“属性”命令，打开“Win2019-1属性”对话框

（2）选择“安全”选项卡，单击“编辑”按钮，打开目录权限，单击“添加”按钮，在弹出的对话框中，依次单击“高级——立即查找”按钮，选择要编辑的域用户（张三）

（3）单击“确定”按钮后回到“win2019-1的权限”对话框，如图所示，域用户“张三”已被添加到目录权限的“组或用户名”中，从而可以为该用户编辑所需要的权限。

2、成员服务器上的文件和文件夹及共享权限

成员服务器还存在本地用户和组，因此成员服务器上的文件和文件夹安全权限、共享权限可以分配给域用户或则组，也可以分配给本地计算机上的用户和组

在成员服务器Win2019-2的C盘下创建名为“Win2019-2”的文件夹，打开文件夹的属性，按上面的对“Win2019-1”文件夹的操作顺序，单击“高级”按钮之后，在弹出的对话框中单击“位置”按钮，为文件夹选择查找位置，根据需要选择域控制器下的容器，如计算机、用户、用户组和组织单位等，容器对象确定之后，单击“立即查找”按钮，在标签页“搜索结果”中查找相应容器下的对象，选定需要的对象，单击“确定”按钮后编辑所需要的权限。

12.3.7 创建子域

在服务器Win2019-3上创建子域，其静态IP设置如图

1、将其加入域xyz.com.cn中，具体方法参照12.3.2节第二步

2、为其安装域服务器和DNS

（1）在安装域服务之前，一般先添加DNS。（这样在域安装完成之后，会自动生成对应的正向区域主机记录）

（2）安装域服务，添加1活动目录，操作系统参照12.3.2节，安装完成后，升级其为域控制器，直接进行域部署。选择“将新域添加到现有林”单选按钮，“选择域类型”为“子域”，“父域名”默认为"xyz.com.cn“，”新域名“设置为”SZ“（此域名不能与父域名同名，否则在使用中会出现不可预知的错误），单击下一步

（3）在”域控制器选项“界面中，默认勾选”全局编译（GC）“复选框，单击下一步

全局编录包含了各个活动目录中每一个对象最重要的属性，是域林中所有对象的集合。同一域林中的域控制器共享同一个活动目录，这个活动目录分散存放在各个域的域控制器中，每个域中的域控制器保存着该域的对象的信息（用户账号及目录数据库等），使用户或应用程序在不知道对象位于哪个域的情况下，也可以迅速找到被访问的对象。

（4）默认设置，持续下一步，直至活动目录域服务开始安装