实验二Windows Server 2003活动目录与域控制器
[注意事项]：
1、在虚拟机软件里自己安装的网络操作系统中做实验。

2、有两种方式打开安装或删除活动目录的界面：
（1）用命令“开始——管理工具——配置您的服务器向导”（Server 2003才有）。

（2）用命令“开始——运行——输入‘dcpromo’”。

3、密码可以设置与5.1管理员相同的密码或设置另外的密码，并且一定要书面记住密码。

4、安装结束后出现配置DNS服务器的选项，选择让系统自动配置。

5、安装活动目录成功后的标志见下图5.19。

6、安装好活动目录后，请不要再次运行“dcpromo”命令，否则会删除已安装的活动目录。

一、实验目的
学习活动目录的安装和删除（实验只要求安装）。

二、实验内容
1．活动目录的安装（升级）
2．活动目录的删除（降级）——理论上掌握，具体实验不要做
三、实验理论基础
活动目录是Windows Server 2003网络中提供的目录服务。

目录服务也是一种网络服务，它把网络中的资源信息集中存储起来，并将其提供给用户和应用程序使用。

它提供了一种一致化的命名、描述、定位、管理和设置相应安全的方法。

通过提供通用的网络资源接口和直观的网络资源访问界面，使用户能够以一致的方式管理自己的整个网络。

由于活动目录中网络资源信息集中存放和管理，使得网络的物理结构和网络所使用的传输协议对用户来讲变得透明起来。

当用户访问网络时，无需了解资源的物理位置和连接方法，就可以访问资源。

这对于多数缺乏网络专业知识的网络普通用户来说，显得格外有意义。

使管理员和一般用户可以方便地查找和使用网络信息，同时也更便于网络管理员有效的管理网络。

活动目录是由组织单位（OU）、域（Domain）、域树（Domain Tree）和森林（Domain Forest）组成的层次结构，它存储有关计算机网络对象的信息。

例如，用户、组、计算机、组织、帐户、共享资源和打印机等等。

域是网络对象的分组，如用户、组和计算机。

它是最基本的管理单元，同时也是最基层的容器，它可对用户、计算机等基本数据进行存储，域中的对象均为该域的成员。

在一个AD中可以根据需要建立多个域。

在域中作为服务器的计算机可以充当成员服务器或域控制器中的任何一个角色，而不在域中的服务器则为独立服务器。

成员服务器是属于某个域，并安装了Windows 2000Server家族或Windows Server 2003家族的操作系统的计算机。

该计算机不是域控制器，不处理帐户登录、不参与活动目录的复制，也不存储域安全策略信息。

成员服务器通常用作以下几种类型的服务器：文件服务器、应用程序服务器、数据库服务器、Web服务器、证书服务器、防火墙和远程访问服务器。

域控制器是安装了Windows 2000Server家族或Windows Server 2003家族的操作系统的计算机。

该计算机使用活动目录以存储域数据库的读/写副本、参与多主机复制，并验证用户。

域控制器存储目录数据并管理用户和域之间的通信，包括用户登录进程、身份验证和目录搜索。

域控制使用多主机复制来同步目录数据，从而确保前后信息的一致。

独立服务器是运行Windows 2000Server或Windows Server 2003但不参与域的服务器。

独立服务器在只有其自身的用户数据库，并且自己处理登录请求。

它不与其他计算机共享帐户信息，并且不提供对域帐户的访问权限，但它能够加入工作组。

域和域控制器是相互依赖的，域存在于域控制器上，而一台安装了Windows Server 2003的计算机也因为提供了域服务而成为域控制器。

所以当建立一个域的时候，也就是建立这个域中的第一台域控制器。

四、实验步骤
1．实验前的准备工作
为讲解方便，这里设域名为，服务器类型为主域控制器。

学生做实验时（图5.14）取域名为LYZY※※.COM，其中※※为学生序号。

实验器材如表5.3所示。

表5.3 所需实验器材
2．活动目录的安装
每个学生都在虚拟机软件里自己安装的网络操作系统中做实验。

可通过系统自带的安装向导来完成，具体步骤如下：
（1）“开始”→“管理工具”→“配置您的服务器向导”→“下一步”，出现“预备步骤”对话框，如图5.9所示（或运行dcpromo命令）。

（2）单击“下一步”，出现检测网络设备的界面。

（3）稍后，出现“配置选项”对话框，选择“自定义配置”，如图5.10所示。

（4）单击“下一步”，出现“服务器角色”对话框，如图5.11。

（5）在服务器列表中查看“域控制器（Active Directory）”项后的值是否为“否”，“否”表示还未安装。

则选择该项，单击“下一步”，出现“域控制器类型”对话框，单击“下一步”，如图5.12所示。

（6）若域中没有现成的DC，则应该选择“新域的域控制器”，该域将成为新域中的第一个DC；若该网络中已有了一个或多个DC，则应该选择“现有域的额外域控制器”，这样就可组建域树。

这里假设没有域，选择“新域的域控制器”→“下一步”，出现“创建一个新域”对话框，如图5.13所示。

图5.9“预备步骤”对话框
图5.10“配置选项”对话框
图5.11“服务器角色”对话框
图5.12“域控制器类型”对话框
图5.13“创建一个新域”对话框
（7）在这里因为要创建第一个新域，所以选择第一个“在新林中的域”→“下一步”，出现“新的域名”对话框，如图5.14所示。

图5.14“新的域名”对话框
（8）输入域名“lyzy※※.com”→“下一步”，出现“NetBIOS域名”对话框，如图5.15所示。

图5.15“NetBIOS域名”对话框
（9）输入NetBIOS名，也可采用默认值→“下一步”，出现“数据库和日志文件文件夹”对话框。

（10）指定数据库文件夹及日志文件夹所存放的位置，默认在系统盘上，不必修改。

单击“下一步”，出现“共享的系统卷”对话框。

（11）指定SYSVOL文件夹存放的位置，要求必须是NTFS文件格式的分区。

SYSVOL 文件夹存放域的公用文件的服务器副本。

SYSVOL广播的内容被复制到域中的所有域控制器，其文件夹位置一般不作修改，单击“下一步”，如图5.16所示。

图5.16“DNS注册诊断”对话框
（12）在“DNS注册诊断”对话框中，可根据需要进行选择，这里选择第二个。

单击“下一步”，出现“权限”对话框。

（13）根据实际情况选择用户和组对象的默认权限，这里选择第一个，如图5.17所示。

图5.17选择用户和组对象的默认权限
（14）单击“下一步”，出现“目录服务还原模式的管理员密码”对话框，输入要设定的密码。

单击“下一步”，如图5.18所示。

图5.18输入目录服务还原模式的管理员密码
（15）出现AD安装的动态画面。

（16）在安装的过程中，需要的一些文件，可用插盘或搜索查找的方法解决。

等待一些时间，AD安装完毕。

（17）单击“完成”，即完成了AD的安装。

安装完成之后，重新启动计算机即可。

（18）验证安装是否成功
重启计算机后，单击“开始”→“所有程序”→“管理工具”，发现它的下一级菜单增加了3条与活动目录有关的管理工具。

如图5.19所示。

图5.19活动目录安装后菜单的变化
通过菜单中的“Active Directory用户和计算机”可进入控制台，主要是对活动目录中的用户、计算机、用户组和其他内容进行管理。

另外两个工具则分别用于管理域之间的信任关系、创建站点及与活动目录相关的信息。

对于普通的域环境来说，“Active Directory用户和计算机”工具最为关键。

注意：计算机安装了AD后，开机和关机变慢是正常现象。

3．启动Active Directory用户和计算机
选择“开始”→“所有程序”→“管理工具”→“Active Directory用户和计算机”选项，弹出“Active Directory用户和计算机”对话框，如图5.20的所示，以便进行后面的操作。

图5.20 活动目录用户和计算机界面
4．活动目录的删除
活动目录的删除（本实验不做这一步）步骤如下：
（1）单击“开始”→选择“运行”→输入“dcpromo”,让活动目录降级，出现如图5.21所示界面。

单击“下一步”→“确定”。

（2）在“删除Active Directory”对话框中，勾选“这个服务器是域中的最后一个域控制器（T）”→单击“下一步”，如图5.22所示。

活动目录删除成功后需重启系统。

注意：若计算机没有安装AD，使用“dcpromo”命令将进入AD的安装界面，可进行AD的安装。

图 5.21活动目录卸载画面
图5.22活动目录卸载画面
五、分析与讨论
1．是否所有的操作系统都能安装活动目录？什么样的操作系统才可以安装活动目录？
2．安装活动目录后的计算机与未安装活动目录的计算机有什么区别？。