小结
域(Domain)是一系列计算机、 用户和各种资源的集合。 在域模式中，资源是集中进 行管理的。用户只要登录一 次，就可以访问位于不同计 算机上的资源。 每个域中至少有一台域控制 器，用于对域中的资源进行 登记并管理。
域控制器
DNS
域名：jsj.local
练习题
1、简述一个域网络的构建过程。
服务器搭建与管理 —— Windows Server 2003
主讲：匡芳君
授课班级 授课时间 授课地点

计应/英1001班 4月20日星期三 知701
第 25 次 课
课题内容： Win Server 2003域的安装与管理 教学目的： 掌握Windows Server 2003 中域控制器的安装方法。 掌握Windows Server 2003 中域控制器的删除方法。 教学方法：演示法、练习法 重 难 点：域控制器的安装与删除。 能力培养：培养安装和删除域控制器及域的使用能力。 课堂类型：讲授课 教 具：投影仪、多媒体设备
三、构建域林
在各个域中分别安装域控制器，在建立新域树的第一台 域控制器时应选择：
域控制器类型 域类型
新域的域控制器
在现有的林中的域树
linite.local
根域A
根域E
域林中各根域的域名之 间不需要相关联。

子域B
sales.linite.local
说明：域间的信任关系一般是在建立域时创建。如果 想要建立一些特殊的信任关系，可以先建立彼此独立 的域，然后在域控制器上使用“新建信任向导”设置 域间的信任类型。
任务3 管理活动目录
1．在活动目录中使用OU
组织单元
组织单元是包含在活动目录中的容器对象。创建组织单元 的目的是对活动目录对象进行分类。 创建组织单元有如下好处： （1）可以分类组织对象，使所有对象结构更清晰。
第一步：安装一台域控制器(同时安装DNS服务器)，这样 域就创建了。 第二步：为域用户创建域用户帐户。只有拥有域用户帐户 的人才能登录到域。 第三步：把计算机加入域中。只有通过这些计算机才能登 录到域中。 第四步：将计算机中的共享资源加入到域中。
2、构建多域网络时，常用的结构有哪两种？它们使用 什么样的信任关系？ 常用的结构有域树结构和域林结构。
二、构建域树
在各个域中分别安装域控制器，但应该先建立父域，再 建立子域，在安装子域中第一台域控制器时应选择：
域控制器类型 域类型
新域的域控制器
在现有域树中的子域
linite.local
根域A
域树中子域的域名必须与父 域的域名相关联。
子域B
sales.linite.local
子域D
group.sales.linite.local
域A 域B 域C
假设域A和域B建立了双向可传递的信任关系，域B和域C 建立了双向可传递的信任关系，则域A和域C自动成为双向 信任的。
信任类型
1、父子：双向、可传递
用于构建域树结构，父域 与子域之间为父子信任关 系。 2、树根：双向、可传递
根域A 父子 子域C 父子 子域D 子域E 树根 根域B 父子
设置多个域控制器可以提高域的安全性。 域控制器、DNS服务器、DHCP服务器可以安装在不同计算 机中，不过，在多数情况下，它们都安装在同一台计算机中。 安装域控制器就是安装 Active Directory 的过程。安装了 Active Directory 的计算机就成为域控制器。
安装过程： 准备工作：
选择一台准备作为域控制器的计算机。
它必须有一个NTFS分区。 如果它已经存在DNS服务器或DHCP服务器，应该将它 们卸载。 检查该机IP设置：如果将来DNS和DHCP服务器都要装在 该计算机中，应该设置一个固定的IP地址，DNS服务器 地址也应该设置为本机IP地址。
方法一： 运行dcpromo命令。 方法二：单击“开始 | 管理工具 | 配置您的服务器向导”。
用于构建域林结构，域林 中根域之间为树根信任关 系。
3、外部、领域、林、快捷
用于建立一些有特殊要求的信任。
多域网络的构建
一、构建多个彼此独立的域
在各个域中分别安装域控制器，在安装每个域的第一台 域控制器时应选择：
域控制器类型 新域的域控制器 域类型 在新林中的域
各域的域名可以分别设置，不需要关联。
在服务器角色中选择“域控制器”，单击“下一步”，启 动 Active Directory 安装向导。
选择“域控制器类型”：若选择“新域的域控制器”则表示 创建一个新域；若选择“现有域的额外域控制器”则表示在 现有域中增加域控制器。
选择“域的类型”：若选择“在新林中的域”表示建立一个独 立的域。
删除域控制器
如果域中有多个域控制器，删除了一个域控制器，该计算 机就降格为成员计算机。 如果删除了域中所有域控制器，则该域也被删除。 删除方法：与安装方法一样。
方法一： 运行dcpromo命令。
方法二：单击“开始 | 管理工具 | 配置您的服务器向导”。 在服务器角色中选择“域控制器”，单击“下一步”，启 动 Active Directory 安装向导。 按照提示完成操作就删除了域控制器。
域树结构通过父子信任关系搭建；
域林结构通过树根信任关系搭建。
3、域账户是在哪台计算机上创建并管理的？使用的控 制台是哪个控制台？
域账户是在域控制器上创建并管理的，使用的控制台是 “Active Directory 用户和计算机”。 4、在域控制器上，Administrator账户默认隶属于哪些 组？ Administrator账户默认隶属于Administrators、 Domain Admins和Enterprise Admins组。


局域网中两种常见的组织方式
一、工作组模式 在工作组模式的网络中，各计算机是独立的，各计算机中 的账户和资源也是各自进行管理的。 如果一个人想要访问不同的计算机，就需要在每台计算机 中建立账户。访问时，也需要分别登录。
A B C
A B C
A B C
二、域模式 在域模式的网络中，可以把各计算机组织起来，各计算机 中的账户和资源也可以组织起来进行集中管理。 当一个域用户要访问域中不同的计算机，他只需登录一次 就可以访问域中的各台计算机中的共享资源。
项目目标
• 掌握规划和安装局域网中的活动目录；
• 掌握在Windows 2003 Server中创建管理域用户及组；
• 掌握在Windows 2003 Server中添加和管理各种域服务器。 • 掌握将局域网中的计算机加入到在Windows 2003 Server 的域服务器中。
域网络的结构
一、域控制器
五、域的其它组成部分
DHCP服务器：用于为域中的各成员计算机分配IP地址等 配置信息。如果域中的计算机都采用手工配置IP地址，则 可以不需要DHCP服务器。 域用户帐户：用于域使用者的身份验证，只有拥有了域用 户帐户的人员才能登录到域。
域共享资源：可被域用户共享的资源。
单域网络的构建
第一步：安装域控制器 一个域可以有一个或多个域控制器，各域控制器是平等的， 管理员可以在任一台域控制器上更新域中的信息，更新的信 息会自动传递到网络中的其它域控制器中。
5、新建的域用户账户自动加入哪个组？ 新建的域用户账户自动加入Domain Users组。
6、如果你拥有了一个域用户账户，你可以在哪种计算 机上登录到域？ A.域控制器 B.已加入域的成员计算机 C.自己家里的 计算机 D.网络中的任一台计算机 选B。
域结构网络的创建 预习
实验内容： 1、创建完全独立的域 2、创建有多个域控制器的域 3、创建具有父子信任关系的域树 4、创建具有树根信任关系的域林 基本要求： 1、如何安装和卸载域控制器？ 2、如何在域中安装额外的域控制器？ 3、如何安装子域的域控制器？ 4、如何在现有域林中创建新域树？
A
B
C
域控制器
项目描述
某公司组建的单位内部的办公网络，原来是基 于工作组方式的，近期由于公司业务发展，人员激 增，基于网络的安全管理需要，考虑将基于工作组 的网络升级为基于域的网络，现在需要将一台或多 台计算机升级为域控制器，并将其它所有计算机加 入到域成为成员服务器。同时对原来的本地用户账 户和组也升级为域用户和组进行管理。
设置“共享的系统卷”的位置：这个文件夹必须设置在 NTFS分区内。
选择或安装DNS服务器：可以在本机上安装DNS服务器， 也可以选择自己安装DNS服务器。
权限设置：如果网络中有旧版本的域控制器，要选择与其 对应的兼容性权限。
设置还原模式下的管理员密码：还原模式是域控制器的安 全模式，可用于修复活动目录数据库。
任务2 备份与恢复活动目录
1. 活动目录的备份
（1）Windows备份
在“开始”→“程序”→“附件”→“系统工 具”→“备份”内进行备份 。
（2）命令行备份
ntbackup backup systemstate /J “Backup Job 1” /F
“D: \backup.bkf”
备份过程与Windows状态下备份活动目录一样
任务2 备份与恢复活动目录
2. 活动目录的恢复
活动目录的恢复应用在下面的三种情况： （1）网络中只有一台域控制器，在重新安装系统后，必须 恢复活动目录。
（2）如果服务器发生故障，借助于备份文件恢复。
（3）利用备份的数据，快速安装新的额外的域外控制器。
任务3 管理活动目录
1．在活动目录中使用OU
OU是组织单元，在活动目录（ Active Directo ry，AD）中扮演特殊的角色，它是一个当普通边界 不能满足要求时创建的边界。 OU 把域中的对象组 织成逻辑管理组,而不是安全组或代表地理实体的 组。OU是可以应用组策略和委派责任的最小单位。