Windows Serer 2003 配置手册 – 创建Active Dictionary域

域与工作组的关系

实际上我们可以把域和工作组联系起来理解，在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。

如果说工作组是“免费的旅店”那么域（Domain）就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合，势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机还是各自管理的，你要访问其中的计算机，还是要到被访问计算机上来实现用户验证的。而域不同，域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可了。为什么是这样的呢？因为在加入域的时候，管理员为每个计算机在域中（可和用户不在同一域中）建立了一个计算机帐户，这个帐户和用户帐户一样，也有密码保护的。可是大家要问了，我没有输入过什么密码啊，是的，你确实没有输入，计算机帐户的密码不叫密码，在域中称为登录票据，它是由2000的DC（域控制器）上的KDC服务来颁发和维护的。为了保证系统的安全，KDC服务每30天会自动更新一次所有的票据，并把上次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据，其有效时间是60天，60天后，上次使用的票据就会被系统丢弃。如果你的GHOST备份里带有的票据是60天的，那么该计算机将不能被KDC服务验证，从而系统将禁止在这个计算机上的任何访问请求（包括登录），解决的方法呢，简单的方法是将计算机脱离域并重新加入，KDC服务会重新设置这一票据。或者使用2000资源包里的NETDOM命令强制重新设置安全票据。因此在有域的环境下，请尽量不要在计算机加入域后使用GHOST备份系统分区，如果作了，请在恢复时确认备份是在60天内作的，如果超出，就最好联系你的系统管理员，你可以需要管理员重新设置计算机安全票据，否则你将不能登录域环境。

域控制器

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的，必须要由网络管理员进行相应的设置，把这台电脑加入到域中。这样才能实现文件的共享。集中统一，便于管理。

说明

实验环境使用2台机子（可以用虚拟机做实验）：一台DC，一台作为加入域的客户机。

以下是教程。

设置DNS

我的环境下DC的IP是192.168.7.1，而客户机的IP为192.168.7.2，将DC的DNS地址指向自己（即192.168.7.1），客户机的DNS指向DC的IP。

配置DC的域服务器

在DC中使用DCPROMO命令创建域：

因为目前还没有AD（活动目录），现在是在AD中创建第一个域，所以此项应选择“新域的域控制器”：

选择“新林中的第一个域”：

输入域名（不能重名）：

设置NETBIOS名，为了像WIN98这样的操作系统能够访问此域：

选择AD数据库和日志文件的存放位置：

存放SYSVOL的存放位置（注意：一定要放在NTFS的分区中）：

注意：AD是离不开DNS服务的，因为客户机加入域和登录域都需要把域名解析为IP地址，这一过程都需要DNS服务器的支持，所以域是离不开DNS的，但反过来是不对的！

因为此时DC没有DNS服务器，所以选择第二项让系统在创建DC的同时把DNS服务随之一起安装上。当然你也可以安装DC后自己手动再安装和配置DNS服务器（当时是您给会正确配置DNS服务器），不过我还是建议和DC一起让系统帮我们创建，因为省事并不会因为手动错误的配置DNS带来的麻烦。

选择兼容的模式：

设置AD的还原密码（为了以后对AD数据库做完备份，开机按F8进入AD还原模式需要的还原密码，如果在此设置了密码，一定切记）：

查看域服务器

安装完重起系统后登录界面为使用域中的管理员和密码登录到域：

进入系统后查看计算机的状态：

查看管理工具内会增加DNS和有关AD的工具，以及安全策略：

查看NTDS的文件：

查看SYSVOL：

在DC中创建域帐户

首先大家习惯还像在工作组时使用“本地用户和组”工具来创建用户帐户，但发现在DC中没有“本地用户和组”，这是因为提升为DC后就没有本地用户和组了，原来的帐户和组都提升为域帐户和域中的组了。

所以我们使用DC中的“AD用户和组”工具来创建域帐户，但首先我们先在域中创建一个管理单元（OU），OU可以使用部分来划分，所以我们先来创建一个名为"学术部"的OU，再在该OU中创建一个属于学术部的用户zhangsan，密码：abc123，（为什么要设置这样的密码呢？能否设置空密码呢？不好意思，因为默认的域安全策略的密码策略是这样设置的，长度7位以上，复杂度要开启，复杂度是大/小写字母，数字和特殊符号在密码设置中至少存在其中3种。那能否修改该策略呢，当时是可以的，不过在此我们不做太多的解释，以后有时间在做专门的专题讲解^-^）。

将另一台计算机加入到域

首先让客户机的IP如图所示，IP和DC的IP地址同一个网段,DNS地址指向DC的IP地址即可：

首先使用客户机看是否能够PING通DC：

选择计算机-属性，修改计算机所属于的域的名字输入刚才创建的域名：

出现对话框，输入在AD中创建的域帐号即可，但普通的域帐户只能允许10个客户端加入域，在此输入域管理员和密码：

正确后会弹出以下对话框，代表已经加入域成功：

需要重起生效：

客户机重起后选择登录到域，再输入域帐户和密码就能登录到域了：

进入系统和查看计算机的当前状态如下：

大功告成！