52.2安装活动目录(12) 活动目录安装完成之后,必须重新启动计算机,活动目录才会生效 注意:在活动目录安装之后,不但服务器的开机和关机时间变长,而且系统 的执行速度变慢。所以,如果用户对某个服务器没有特别要求或不把它作为域 控制器来使用,可将该服务器上的活动目录删除,使其降级为成员服务器或独 立服务器 成员服务器是指安装到现有域中的附加域控制器;独立服务器是指在名称空 间目录树中直接位于另一个域名之下的服务器。删除活动目录使服务器成为成 员服务器还是独立服务器,取决于该服务器的域控制器的类型。如果要删除活 动目录的服务器不是域中的唯一的域控制器,则删除活动目录将使该服务器成 为成员服务器;如果要删除活动目录的服务器是域中最后一个域控制器,则删 除活动目录将使该服务器成为独立服务器。 要删除活动目录,打开“开始”菜单,选择“运行”命令,打开“运行”对 话框,输入 dcpromo命令,然后单击“确定”按钮,打开 “ Active directory 安装向导”对话框,并沿着向导进行删除,这里不再细述其过程
5.2.2 安装活动目录(12) 活动目录安装完成之后,必须重新启动计算机,活动目录才会生效。 注意:在活动目录安装之后,不但服务器的开机和关机时间变长,而且系统 的执行速度变慢。所以,如果用户对某个服务器没有特别要求或不把它作为域 控制器来使用,可将该服务器上的活动目录删除,使其降级为成员服务器或独 立服务器。 成员服务器是指安装到现有域中的附加域控制器;独立服务器是指在名称空 间目录树中直接位于另一个域名之下的服务器。删除活动目录使服务器成为成 员服务器还是独立服务器,取决于该服务器的域控制器的类型。如果要删除活 动目录的服务器不是域中的唯一的域控制器,则删除活动目录将使该服务器成 为成员服务器;如果要删除活动目录的服务器是域中最后一个域控制器,则删 除活动目录将使该服务器成为独立服务器。 要删除活动目录,打开“开始”菜单,选择“运行”命令,打开“运行”对 话框,输入dcpromo命令,然后单击“确定”按钮,打开“Active Directory 安装向导”对话框,并沿着向导进行删除,这里不再细述其过程
5.2.3检验安装结果 在安装完成后,可以通过以下方法检验 Active Directory安装是否正确,在安 装过程中一项最重要的工作是在DNS数据库中添加服务记录(SRV记录) 下面介绍一下如何检查安装结果。 1.检查DNS文件的SRV记录 用文本编辑器打开% sYstemrOot% /system32/ config中的 Netlogon dns文件,察 看LDAP服务记录,在本例中为ldap. tcp. wgZX. edu.cn.600 IN SRV0100389 shenlan. wgzx. edu.cn 2.验证SRV记录在 NSLOOKUP命令工具中运行是否正常。 (1)在命令提示行下,输入 NSLOOKUP (2)输入 set type=srv (3)输入_ldap. tcp.wgZx.edu.cn 如果返回了服务器名和IP地址,说明SRV记录工作正常
5.2.3 检验安装结果 在安装完成后,可以通过以下方法检验Active Directory安装是否正确,在安 装过程中一项最重要的工作是在DNS数据库中添加服务记录(SRV记录), 下面介绍一下如何检查安装结果。 1.检查DNS文件的SRV记录。 用文本编辑器打开%SystemRoot%/system32/config/中的Netlogon.dns文件,察 看LDAP服务记录,在本例中为_ldap._tcp.wgzx.edu.cn. 600 IN SRV 0 100 389 shenlan.wgzx.edu.cn。 2.验证SRV记录在NSLOOKUP命令工具中运行是否正常。 (1)在命令提示行下,输入NSLOOKUP; (2)输入set type=srv; (3)输入_ldap._tcp.wgzx.edu.cn。 如果返回了服务器名和IP地址,说明SRV记录工作正常
53域控制器管理 域( Domain)是活动目录的分区,定义了安全边界,在没经过授权的情况下, 不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成, 每一个域可以存储上百万个对象,域之间还有层次关系,可以建立域树和域林, 如图5-17、5-18所示,进行无限地域扩展。图中的双箭头表示域之间的信任关 系, Server2003中域的信任关系都是双向和可传递的。 coIm 域的信任关系 root. com root. com child. root cop 2.1. child. root. con 2.2. com grandchild. child. root co 3.2.1.comy grandchild. child. root. copd 图5-17域树 图5-18域林
5.3 域控制器管理 域(Domain)是活动目录的分区,定义了安全边界,在没经过授权的情况下, 不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成, 每一个域可以存储上百万个对象,域之间还有层次关系,可以建立域树和域林, 如图5-17、5-18所示,进行无限地域扩展。图中的双箭头表示域之间的信任关 系,Server 2003中域的信任关系都是双向和可传递的。 root.com child.root.com grandchild.child.root.com root.com child.root.com grandchild.child.root.com 1.com 2.1.com 3.2.1.com 域的信任关系 2.2.com 图 5-17 域树 图 5-18 域林
5.3.1设置域控制器属性(1) 设置域控制器属性,具体步骤如下: 步骤一,选择“开始”/程序”∧管理工具”/ Active Directory用户与 计算机”菜单,打开“ Active directory用户与计算机”管理窗口,如 图5-19所示 步骤二,在控制台目录树中,双击展开域节点。单击 Domain controllers 子节点 步骤三,在详细资料窗格中,右击要设置属性的域控制器,从弹出的快捷 菜单中选择“属性”,打开该控制器的“属性”对话框,如图5-20所示。 步骤四,在“常规”选项卡的“描述”文本框中输入对域控制器的一般描 述。如果不希望域控制器的可受信任用来作为委派,可禁用“信任计算 机作为委派”复选框 步骤五,选择“操作系统”选项卡,在该选项卡中,显示出操作系统的名 称、版本以及 Service pack,管理员只能査看并不能修改这些内容。 步骤六,选择如图5-21所示的“隶属于”选项卡,要添加组,单击“添加” 按钮,打开“选择组”对话框为域控制器选择一个要添加的组;要删除 某个已经添加的组,在“成员属于”列表框选择该组,然后单击“删除” 按钮即可
5.3.1 设置域控制器属性(1) 设置域控制器属性,具体步骤如下: 步骤一,选择“开始”/“程序”/“管理工具”/“Active Directory用户与 计算机”菜单,打开“Active Directory用户与计算机”管理窗口,如 图5-19所示。 步骤二,在控制台目录树中,双击展开域节点。单击Domain Controllers 子节点。 步骤三,在详细资料窗格中,右击要设置属性的域控制器,从弹出的快捷 菜单中选择“属性”,打开该控制器的“属性”对话框,如图5-20所示。 步骤四,在“常规”选项卡的“描述”文本框中输入对域控制器的一般描 述。如果不希望域控制器的可受信任用来作为委派,可禁用“信任计算 机作为委派”复选框。 步骤五,选择“操作系统”选项卡,在该选项卡中,显示出操作系统的名 称、版本以及Service Pack,管理员只能查看并不能修改这些内容。 步骤六,选择如图5-21所示的“隶属于”选项卡,要添加组,单击“添加” 按钮,打开“选择组”对话框为域控制器选择一个要添加的组;要删除 某个已经添加的组,在“成员属于”列表框选择该组,然后单击“删除” 按钮即可