实训目标：理解域的特点，掌握创建域、管理域以及管理组织单位的方法与步骤；理解域用户账户与组账户的特点、用途，掌握管理域用户账户与组账户的方法与步骤。

实训环境：6台Windows Server 2008 R2企业版计算机。

实训内容：假设你是一家公司的网络管理员，负责管理公司的网络。

公司希望创建域来管理网络。

为此，需要你执行以下工作：①按照下图1，创建域森林。

图1 具有两棵域树的森林②在域中有三个部门：销售部、培训部和技术支持部，现在需要为这三个部门分别建立组织单位，并把每个部门的10台计算机加入到各自的组织单位中。

③在域中，为公司员工创建域用户账户，并设置域用户账户的个人信息。

④对某些用户（例如：临时工），设置这些域用户账户的登录时间以及限制登录地点。

⑤如果一个用户（如：john）由于生病而在一段时间内无法上班，请禁用他的域用户账户。

⑥如果一个用户忘记了自己的账户密码，为其重设账户密码。

⑦一个用户辞职后离开了公司，请删除该用户的用户账户。

⑧创建组账户，并把一系列的用户账户加入到这个组账户中。

提示：本实训需要搭建五台域控制器，如果学员实训中无法在计算机上运行这么多虚拟机，本实训可以化简为仅搭建 、、三台域控制器。

内容②中对的操作改为对的操作。

一、创建森林域①在此计算机上安装Windows Server 2008 R2企业版。

将此计算机的名称设置为dc3，当它升级为域控制器后会自动改名为。

此计算机的IP地址和DNS服务器地址等信息按照图2所示进行配置。

②以该计算机的本机管理员身份登录，然后使用以下两种方式之一安装活动目录。

●单击屏幕左下角的“服务器管理器”图标，然后请转到步骤○3。

●单击【开始】→【运行】，输入“dcpromo.exe”后，单击【确定】图标。

此时它会自动执行步骤○3～步骤○10，所以请转到步骤○11。

③在“服务器管理器”中，单击左侧的“角色”，然后单击右边的“添加角色”。

④在“开始之前”窗口中，单击【下一步】按钮。

⑤在“选择服务器角色”窗口中，选中【Active Directory域服务】，然后在弹出的“是否添加Active Directory域服务所需的功能”窗口中，单击【添加必需的功能】，最后单击【下一步】按钮。

⑥在活动目录安装窗口中，单击【下一步】按钮。

⑦在“Active Directory域服务简介”窗口中，单击【下一步】按钮。

⑧在“确认安装选择”窗口中，单击【安装】按钮。

⑨在“安装结果”窗口中，单击【关闭】按钮。

⑩单击【关闭该向导并启动Active Directory域服务安装向导（dcpromo.exe）】⑪在“欢迎使用Active Directory域服务安装向导”窗口中，单击【下一步】按钮。

⑫在“操作系统兼容性”窗口中，单击【下一步】按钮。

⑬如图2所示，因为是在一个已有森林中新创建子域，所以选中【现有林】和【在现有林中新建域】，然后单击【下一步】按钮。

图2⑭如图3所示，在“键入位于计划安装此域控制器的林中任何域的名称”处输入森林根域的名称，即“”。

如果当前用户有权添加子域（例如：Enterprise Admins组成员），则直接单击【下一步】按钮。

如果当前用户无此权限，则需要选中【备用凭据】→【设置】，然后输入一个有权添加子域的用户账户名称和密码，再单击【下一步】按钮。

此时，由于我们使用本机管理员账户登录，因此需要输入Enterprise Admins组成员（即：域管理员账户）的名称和密码作为备用凭据。

提示：在图3-70中输入森林中任何一个域名都可以，安装向导只是使用它来取得这个森林的信息。

只有Enterprise Admins组成员有权建立子域，默认时森林根域的域管理员是Enterprise Admins组的成员。

图3⑮在图4所示窗口中，输入父域的名称（即：），再输入该子域的名称（即：bj），这样，该子域的全名为“”。

然后，单击【下一步】按钮。

图5⑯如图6所示，在“设置域功能级别”窗口中，保留默认的域功能级别，即：Windows Server 2003”。

以后，可以手动提升。

然后，单击【下一步】按钮。

图6⑰在“请选择一个站点”窗口中选择此域控制器所在的站点，目前这里只有一个默认的站点“Default-First-Site-Name”，请直接单击【下一步】按钮。

⑱在“其他域控制器选项”窗口中，选择此域控制器是否还承担DNS服务器、全局编录服务器、只读域控制器的角色。

在这里，我们可以清除所有选项，如图8所示。

然后，单击【下一步】按钮。

图8⑲在弹出的提示安装DNS服务的窗口中，单击【是】按钮。

在这里，我们不需要在此域控制器上维护DNS服务，而是由森林根域的DNS服务器（）来维护该子域的所有计算机信息。

为此，该子域的所有计算机（包括：域控制器）都要被配置为DNS服务器“”的DNS客户机。

⑳在如图9所示窗口中，可以指定数据库文件夹、日志文件文件夹和SYSVOL文件的位置，在这里可保留默认值。

然后，单击【下一步】按钮。

图9㉑在如图10所示窗口中，设置“目录服务还原模式的Administrator密码”，然后单击【下一步】按钮。

此密码在安全模式下修复活动目录时使用。

图10㉒在“摘要”窗口中，单击【下一步】按钮。

㉓如图11所示，在此计算机上会安装活动目录，完成后请重新启动计算机。

至此，森林根域下面的子域创建完毕。

这也意味着创建了一棵多域的域树。

图11㉔为了检验这台域控制器是否已到DNS服务器那里成功注册了自己的信息，请在第一台域控制器上打开DNS管理工具进行查看，如图12所示。

图12二、创建森林的第二棵域树1、在DNS服务器上创建第二棵域树的DNS区域在创建第二棵域树之前，需要考虑DNS设置问题。

为了简化问题，在这里我们让森林根域中的DNS服务器既维护第一棵域树的信息又维护第二棵域树的信息。

为此，一方面需要在DNS服务器上创建名为“”的DNS区域；另一方面还要把第二棵域树中所有域的所有计算机的DNS服务器地址均指向计算机的IP地址，以便它们自动向其注册自己的信息。

在DNS服务器上创建“”区域的具体步骤为：①以域管理员的身份，在桌面上单击【开始】→【管理工具】→【DNS】，在如图13所示窗口中，右击【正向查找区域】→【新建区域】。

③在“欢迎使用新建区域向导”窗口中，单击【下一步】按钮。

④在如图14所示窗口中，选中【主要区域】，同时选中【在Active Directory中存储区域（只有DNS服务器是可写域控制器时才可用）】。

⑤在如图14所示窗口中，保留默认选项即可，然后单击【下一步】按钮。

⑥如图15所示，在【区域名称】处输入第二棵域树的域名“”。

然后，单击【下一步】按钮。

⑦在如图16所示窗口中，保留默认选项即可。

然后，单击【下一步】按钮。

⑧在“正在完成新建区域向导”窗口中，单击【完成】按钮。

则在DNS控制台中，能够看到该区域，如图17所示。

至此，在DNS服务器上创建了一个名为“”的DNS区域。

以后，第二棵域树的计算机将会把自己的信息自动注册到该DNS区域中。

图13 新建区域图14 创建主要区域图15 新建区域图16 设置动态更新图17 查看DNS区域2、创建第二棵域树①在图1中IP地址为192.168.10.31的计算机上安装Windows Server 2008 R2企业版。

将此计算机的名称设置为dc5，当它升级为域控制器后会自动改名为。

此计算机的IP地址和DNS服务器地址等信息按照图1所示进行配置。

②以该计算机的本机管理员身份登录，然后使用以下两种方式之一安装活动目录。

●单击屏幕左下角的“服务器管理器”图标，然后请转到步骤③。

●单击【开始】→【运行】，输入“dcpromo.exe”后，单击【确定】图标。

此时它会自动执行步骤③～步骤⑩，所以请转到步骤⑪。

③在“服务器管理器”中，单击左侧的“角色”，然后单击右边的“添加角色”。

④在“开始之前”窗口中，单击【下一步】按钮。

⑤在“选择服务器角色”窗口中，选中【Active Directory域服务】，然后在弹出的“是否添加Active Directory域服务所需的功能”窗口中，单击【添加必需的功能】，最后单击【下一步】按钮。

⑥在活动目录安装窗口中，单击【下一步】按钮。

⑦在“Active Directory域服务简介”窗口中，单击【下一步】按钮。

⑧在“确认安装选择”窗口中，单击【安装】按钮。

⑨在“安装结果”窗口中，单击【关闭】按钮。

⑨单击【关闭该向导并启动Active Directory域服务安装向导（dcpromo.exe）】⑪在“欢迎使用Active Directory域服务安装向导”窗口中，选中【使用高级模式安装】，如图18所示。

然后，单击【下一步】按钮。

⑫在“操作系统兼容性”窗口中，单击【下一步】按钮。

⑬如图19所示，因为是在一个已有森林中创建新域树，所以同时选中【现有林】、【在现有林中新建域】和【新建域树根而不是新子域】，然后单击【下一步】按钮。

图18 使用高级模式安装图19 创建新域树⑭如图20所示，在“键入位于计划安装此域控制器的林中任何域的名称”处输入森林根域的名称，即“”。

如果当前用户有权添加子域（例如：Enterprise Admins 组成员），则直接单击【下一步】按钮。

如果当前用户无此权限，则需要选中【备用凭据】→【设置】，然后输入一个有权添加子域的用户账户名称和密码，再单击【下一步】按钮。

此时，由于我们使用本机管理员账户登录，因此需要输入Enterprise Admins组成员（即：域管理员账户）的名称和密码作为备用凭据。

⑮在图21所示窗口中，输入新域树的名称，即：。

这意味着，该域树的树根域名称也为“”。

然后，单击【下一步】按钮。

图20 输入域名称图21 输入域名称⑯在如图22---图23所示窗口中输入域的NetBIOS名称，旧版本Windows操作系统会使用这个名称来访问该域。

在这里，保留默认值，即：stu。

然后，单击【下一步】按钮。

图22 输入域的NetBIOS名称图23 选择源控制器⑰在“设置域功能级别”窗口中，保留默认的域功能级别，即：Windows Server 2003”。

以后，可以手动提升。

然后，单击【下一步】按钮。

⑱在“请选择一个站点”窗口中选择此域控制器所在的站点，目前这里只有一个默认的站点“Default-First-Site-Name”，请直接单击【下一步】按钮。

⑲在“其他域控制器选项”窗口中，选择此域控制器是否还承担DNS服务器、全局编录服务器、只读域控制器的角色。

在这里，我们可以清除所有选项。

然后，单击【下一步】按钮。

⑳在“源域控制器”窗口中，可以设置此域控制器从哪台域控制器那里复制活动目录数据库。

在这里，可以保留默认值，即：“让向导选择一个合适的域控制器”，如图24所示。