ActiveDirectory域控制器安装手册.docx

ActiveDirectory域控制器安装手册.docx

《ActiveDirectory域控制器安装手册.docx》由会员分享，可在线阅读，更多相关《ActiveDirectory域控制器安装手册.docx（18页珍藏版）》请在冰豆网上搜索。

ActiveDirectory域控制器安装手册

ActiveDirectory域控制器安装指南

1.1ActiveDirectory介绍

功能介绍

ActiveDirectory提供了一种方式，用于管理组成组织网络的标识和关系。

ActiveDirectory与WindowsServer2008R2的集成，为我们带来了开箱即用的功能，通过这些功能我们可以集中配置和管理系统、用户和应用程序设置。

ActiveDirectory域服务（ADDS，ActiveDirectoryDomainServices）存储目录数据，管理用户和域之间的通信，包括用户登录过程、身份验证，以及目录搜索。

此外还集成其它角色，为我们带来了标识和访问控制特性和技术，这些特性提供了一种集中管理身份信息的方式，以及只允许合法用户访问设备、程序和数据的技术。

ActiveDirectory域服务

ADDS是配置信息、身份验证请求和森林中所有对象信息的集中存储位置。

利用ActiveDirectory，我们可以在一个安全集中的位置中，高效地管理用户、计算机、组、打印机、应用程序以及其它支持目录的对象。

*审查。

对ActiveDirectory对象的修改可以记录下来，这样我们就可以知道这个对象做了哪些修改，以及被修改属性的历史值和当前值。

*粒度更细的密码。

密码策略可以针对域中单独的组进行配置。

不需要每个帐户都使用域中相同的密码策略了。

*只读的域控制器。

当域控制器的安全无法得到保障时，我们可以部署一台只有只读版本ActiveDirectory数据库的域控制器，例如在分支办公室，这种环境下域控制器的物理安全都是个问题，又如承载了其他角色的域控制器，其他用户也需要登录和管理这台服务器。

只读域控制器（RODC，Read-OnlyDomainControllers）的使用，可以防止在分支机构对它潜在的意外修改，然后通过复制导致AD森林数据的损坏。

有了RODC，我们也不再需要在分支办公室的域控制器上使用中介站点（StagingSite），也不需要向分支机构寄送安装介质或指派域管理员。

*可重启的ActiveDirectory域服务。

ActiveDirectory域服务可以停止和维护。

对于大多数维护任务，我们不再需要重启域控制器及以目录服务修复模式重启了。

在目录服务离线时，域控制器上的其他服务还可以继续运作。

DatabaseMounting工具。

利用这个工具我们可以对ActiveDirectory数据库进行快照。

这样必要时域管理员就可以在快照中查看对象，然后再判断是否要恢复。

*DatabaseMounting工具。

利用这个工具我们可以对ActiveDirectory数据库进行快照。

这样必要时域管理员就可以在快照中查看对象，然后再判断是否要恢复。

*恢复被删除对象。

ActiveDirectory中的域现在拥有一个回收站功能，这样就可以恢复被删除的对象。

如果ActiveDirectory对象被意外删除，我们可以在回收站中恢复它。

这个功能要求升级WindowsServer2008R2森林的功能级别。

*加入域进程的改进。

现在计算机可以在部署过程中加入域，而不需要连接到域，这一过程还被称为离线加入域。

有了这一功能，我们在部署过程中就可以使加入域的过程完全自动化。

域管理员可以创建一个XML文件，作为自动部署过程的一部分。

这个文件包含了目标计算机加入域所需的所有信息。

*作为服务标识的用户帐户的管理改进。

那些用作服务标识的用户帐户，也被称为服务帐户，对它们密码的维护是一项非常耗时的管理任务。

当服务帐户的密码被修改后，使用这个标识的服务也需要更新密码。

为了解决这个问题，WindowsServer2008R2引入了一个新特性，它被称为托管服务帐户。

在WindowsServer2008R2中，当服务帐户的密码被修改以后，托管服务帐户功能会自动更新所有使用了这个帐户的服务对应的密码。

1.2安装过程

主域安装步骤

1.单击“开始”，然后单击“服务器管理器”。

2.在“角色摘要”中，单击“添加角色”。

3.如有必要，检查“开始之前”页上的信息，然后单击“下一步”。

4.在“选择服务器角色”页上，选中“ActiveDirectory域服务”复选框，然后单击“下一步”。

5.如有必要，请查看“ActiveDirectory域服务”页面上的信息，然后单击下一步”。

6.在“确认安装选择”页上，单击“安装”。

7.在“安装结果”页上，单击“关闭该向导并启动ActiveDirectory域服务安装向导（dcpromo.exe）”。

8.在“欢迎使用ActiveDirectory域服务安装向导”页上，单击“下一步”。

9.在“选择某一部署配置”中，选择“在新林中新建域”。

单击“下一步”。

10.在“命名目录林根级域”的“目录林根级域的FQDN”中，键入您的域的完全限定的域名。

例如，如果您的FQDN为，则键入。

单击“下一步”。

11.在“设置林功能级别”中，选择要使用的林功能级别，然后单击“下一步”。

12.在“其他域控制器选项”的“为此域控制器选择其他选项”中，验证是否选择了“DNS服务器”，然后单击“下一步”。

此时将打开“ActiveDirectory域服务安装向导”警告对话框。

13.该警告对话框通知您可以在父区域中手动创建到此DNS服务器的委派。

单击“是”继续ActiveDirectory域服务安装。

14.在“数据库、日志文件和SYSVOL的位置”页上，键入或浏览到数据库文件、目录服务日志文件和系统卷（SYSVOL）文件的卷和文件夹位置，然后单击“下一步”。

WindowsServerBackup按卷备份目录服务。

为了高效地备份和恢复，将这些文件存储到不包含应用程序或其他非目录文件的单独的卷上。

15.在“目录服务还原模式的Administrator密码”页上，键入并确认还原模式密码，然后单击“下一步”。

对于必须脱机执行的任务，您必须使用该密码以目录服务还原模式启动ADDS。

16.在“摘要”页上，检查您的选择。

17.在“完成ActiveDirectory域服务安装向导”页上，单击“完成”。

18.在系统提示您重新启动服务器时，可以选中“完成后重新启动”复选框让服务器自动重新启动，也可以采用手动方式重新启动服务器以完成ADDS安装。

备份域安装步骤

备份域和主域的安装类似，开始都需要在“服务器管理器”中“添加角色”，在新建域中，选择“现有林”-“向现有域中添加域控制器”，见下图

输入加入域的名称和选择备用凭据，需要用域账号登陆，见下图

输入正确后，能够显示目前网络中存在的域，选择需要加入的域，见下图

按照提示继续按照DNS服务器和全局编录功能

选择各主要数据存放的位置，默认位置即可。

设置目录服务还原的密码，卸载域服务时需要使用。

显示按照概要，确认开始安装，自动重启后安装生效。