活动目录服务的基本安装和配置

    Active Directory 是用于 Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。Active Directory 的优点：信息安全性 、基于策略的管理 、可扩展性 、可伸缩性 、信息的复制 、与 DNS 集成 、与其他目录服务的互操作性、灵活的查询。

　　本章主要内容：
　　1、活动目录的基本概念及其作用
　　2、在安装活动目录前的目录规划
　　3、活动目录工具

　　6.1 活动目录的概念
　　6.1.1 域

　　域提供了多项优点：
　　§　组织对象。
　　§　发布有关域对象的资源和信息。
　　§　将组策略对象应用到域可加强资源和安全性管理。
　　§　委派授权使用户不再需要大量的具有广泛管理权利的管理员。
　　
　　要创建域，用户必须将一个或更多的运行 Windows 2000 Server 的计算机升级为域控制器。域控制器为网络用户和计算机提供 Active Directory 目录服务、存储目录数据并管理用户和域之间的交互作用，包括用户登录过程、验证和目录搜索。每个域至少必须包含一个域控制器。

　　域树和域林

　　活动目录中的每个域利用 DNS 域名加以标识，并且需要一个或多个域控制器。如果用户的网络需要一个以上的域，则用户可以创建多个域。共享相同的公用架构和全局目录的一个或多个域称为域林。如图 6.1 中所示，如果树林中的多个域有连续的 DNS 域名，则该结构称为域树。

　　如图6.2所示如果相关域树共享相同的 Active Directory 架构以及目录配置和复制信息，但不共享连续的 DNS 名称空间，则称之为域林。

　　域树和域林的组合为用户提供了灵活的域命名选项。连续和非连续的 DNS 名称空间都可加入到用户的目录中。

　　6.1.2. 域和帐户命名

    Active Directory 域名通常是该域的完整 DNS 名称。但是，为确保向下兼容，每个域还有一个 Windows 2000 以前版本的名称，以便在运行 Windows 2000 以前版本的操作系统的计算机上使用。用户帐户

　　在 Active Directory 中，每个用户帐户都有一个用户登录名、一个 Windows 2000 以前版本的用户登录名（安全帐户管理器的帐户名）和一个用户主要名称后缀。在创建用户帐户时，管理员输入其登录名并选择用户主要名称。Active Directory 建议 Windows 2000 以前版本的用户登录名使用此用户登录名的前 20 个字节。

　　所谓用户主要名称是指由用户账户名称和表示用户账户所在的域的域名组成。这是登录到 Windows 2000 域的标准用法。表准格式为：user@domain.com (类似个人的电子邮件地址)。但不要在用户登录名或用户主要名称中加入 @ 号。Active Directory 在创建用户主要名称时自动添加此符号。包含多个 @ 号的用户主要名称是无效的。

　　在 Active Directory 中，默认的用户主要名称后缀是域树中根域的 DNS 名。如果用户的单位使用由部门和区域组成的多层域树，则对于底层用户的域名可能很长。对于该域中的用户，默认的用户主要名称可能是 grandchild.child.root.com。该域中用户默认的登录名可能是 user@grandchild.child.root.com 。创建主要名称后缀 - "root" 使同一用户使用更简单的登录名 user@root.com 就可以登录。