Después de comprender el principio de Active Directory, ahora podemos instalar y configurar Active Directory. El proceso de instalación y configuración de Active Directory no es muy complicado, ya que el asistente de instalación se proporciona en WIN2K, solo siga las indicaciones. Paso a paso según los requisitos del sistema. Sin embargo, el trabajo de preparación antes de la instalación es más complicado, y Active Directory puede instalarse correctamente solo si se comprende por completo. A continuación presentaré en detalle la instalación y configuración de Active Directory y su preparación.
Primero, la preparación de Active Directory antes de la instalación. En lo anterior, sabemos que "Active Directory" es un servicio clave en todo el sistema WIN2K, no está aislado, tiene una relación muy cercana con muchos protocolos y servicios. También se relaciona con la estructura del sistema y la seguridad de todo el sistema WIN2K. Instalar Active Directory no es tan simple como instalar un componente normal de Windows. Se requiere una serie de planificación y preparación antes de la instalación. De lo contrario, no podrá disfrutar de las ventajas de Active Directory y no podrá instalar correctamente el servicio de Active Directory.
1. Primero, antes de instalar Active Directory, debe asegurarse de que ya hay una máquina con WIN2K Server o Advanced Server instalado, y al menos una partición NTFS, y el protocolo DNS se ha configurado para TCP /IP, y el servicio DNS admite registros SRV. Y los protocolos de actualización dinámica.
2, seguido de la planificación de la estructura de dominio de todo el sistema, Active Directory puede contener uno o más dominios, si la estructura de directorios de todo el sistema no está bien planificada, el nivel no está claro, no se puede reproducir Active Directory Superioridad Elegir el dominio raíz aquí (es decir, el dominio básico de un sistema) es una clave. La elección del nombre de dominio raíz puede ser la siguiente:
1) Puede usar un nombre de dominio DNS ya registrado como el nombre de dominio raíz de destino activo. La ventaja es que la red pública corporativa y la red privada utilizan el mismo nombre DNS.
2) También podemos usar el subdominio de un nombre de dominio DNS registrado como el nombre de dominio raíz de Active Directory.
3) Seleccione un nombre de dominio que sea completamente diferente del nombre de dominio DNS registrado para Active Directory. Esto permite que la red corporativa presente dos estructuras de nombres completamente diferentes internamente y en Internet.
4) Asigne un nombre a la parte pública de la red corporativa con un nombre de dominio DNS ya registrado, y la red privada separa las dos partes del espacio de nombres con otro nombre de dominio interno, de modo que cada parte tenga acceso a la otra parte. El espacio de nombres de la otra persona debe usarse para identificar la imagen.
3, otra es hacer la planificación de nombres de dominios y cuentas, porque uno de los significados de usar Active Directory es hacer que las redes internas y externas usen un servicio de directorio unificado, utilizando un esquema de nombres unificado para facilitar la administración de la red y los contactos comerciales . El nombre de dominio de Active Directory suele ser el nombre DNS completo del dominio, pero para garantizar la compatibilidad con versiones anteriores, cada dominio tiene preferiblemente el nombre de una versión anterior de WIN2K para usar en computadoras que ejecutan sistemas operativos de versiones anteriores de WIN2K. La cuenta de usuario está en Active Directory. Cada cuenta de usuario tiene un nombre de inicio de sesión de usuario, un nombre de inicio de sesión de usuario de la versión anterior de WIN2K (el nombre de cuenta del administrador de cuentas de seguridad) y un sufijo de nombre primario de usuario. Al crear una cuenta de usuario, el administrador ingresa su nombre de inicio de sesión y selecciona el nombre principal del usuario. Active Directory recomienda que el inicio de sesión del usuario para la versión anterior de WIN2K use los primeros 20 bytes del nombre de inicio de sesión de este usuario. La estrategia de nomenclatura de Active Directory es el primer paso en el sistema de red de planificación empresarial, que afecta directamente a la estructura básica de la red e incluso afecta el rendimiento y la escalabilidad de la red. Active Directory proporciona un buen modelo de referencia para las empresas modernas, teniendo en cuenta la estructura multinivel de la empresa, teniendo en cuenta la naturaleza distribuida de la empresa e incluso proporcionando un modelo de nomenclatura completamente consistente para el acceso directo a Internet.
El llamado nombre principal del usuario está compuesto por el nombre de la cuenta de usuario y el nombre de dominio del dominio en el que se encuentra la cuenta de usuario. Este es el uso estándar para iniciar sesión en el dominio WIN2K. El formato estándar es:
[email protected] (como una dirección de correo electrónico personal). Pero no incluya el signo @ en el nombre de inicio de sesión del usuario o el nombre principal del usuario. Active Directory Este símbolo se agrega automáticamente cuando se crea el nombre principal del usuario. Los nombres primarios de los usuarios con varios signos @ no son válidos.
En Active Directory, el sufijo de nombre primario del usuario predeterminado es el nombre DNS del dominio raíz en el árbol de dominios. Si la organización del usuario utiliza un árbol de dominios multinivel que consta de departamentos y regiones, el nombre de dominio para el usuario subyacente puede ser muy largo. Para los usuarios en este dominio, el nombre primario del usuario predeterminado podría ser grandchild.child.root.com. El nombre de inicio de sesión predeterminado para los usuarios en este dominio podría ser
[email protected]. En este caso, el nombre de usuario que se ingresará cuando el usuario inicie sesión puede ser demasiado largo y es muy incómodo de ingresar. Para resolver este problema, WIN2K estipula que después de crear el nombre principal, el usuario solo necesita agregar el nombre de usuario correspondiente después del dominio raíz. Permita que el mismo usuario inicie sesión con un inicio de sesión más simple
[email protected] en lugar de la larga lista mencionada anteriormente.
4, lo último es prestar atención para configurar la relación de confianza entre el dominio, para computadoras WIN2K, a través de la relación de confianza transitiva de dos vías basada en el protocolo de seguridad Kerberos V5 para habilitar la autenticación de cuentas entre dominios. Cuando se crea un dominio en un árbol de dominios, las relaciones de confianza se establecen automáticamente entre dominios adyacentes (dominios primarios y secundarios). En el bosque de dominio, las relaciones de confianza se establecen automáticamente entre el dominio raíz del bosque y el dominio raíz de cada árbol de dominio agregado al bosque. Si estas relaciones de confianza son transitivas, puede autenticar usuarios y equipos entre el árbol de dominios o cualquier dominio en el bosque de dominios.
Si actualiza un dominio de Windows de una versión anterior de WIN2K a un dominio de WIN2K, el dominio de WIN2K conservará automáticamente la relación de confianza unidireccional existente entre el dominio y cualquier otro dominio. Incluye todas las relaciones de confianza para dominios de Windows de versiones anteriores de WIN2K. Si un usuario desea instalar un nuevo dominio WIN2K y desea establecer una relación de confianza con cualquier dominio antes de WIN2K, debe crear una relación de confianza externa con esos dominios. En segundo lugar, la instalación de Active Directory
Todas las instalaciones nuevas se instalan como Servidor Miembro, si elige instalar la opción "Active Directory" cuando instala el SERVIDOR WIN2K, el sistema aparecerá de forma similar a "Si En este punto, si instala Active Directory, todos los nombres de dominio en el sistema no se pueden cambiar nuevamente ... ". En general, no elegimos instalar Active Directory cuando instalamos el sistema, por lo que tenemos tiempo para planificar específicamente el protocolo y la estructura del sistema relacionados con Active Directory. Los servicios de directorio deben instalarse posteriormente con el comando Dcprom o. El servicio de directorio también se puede desinstalar, en lugar de tener que durar toda la vida, como en el caso de instalar Windows NT 4.0, el sistema distinguirá entre un controlador de dominio y un servidor miembro, y los dos no se pueden convertir.
Dcpromo es un asistente gráfico que guía a los usuarios a lo largo del proceso de creación de un controlador de dominio paso a paso. Es muy conveniente crear un nuevo bosque de dominio, un árbol de dominio o simplemente otra copia de seguridad de un controlador de dominio. Muchos otros servicios de red, como el servidor DNS, el servidor DHCP y el servidor de certificados, pueden integrarse con Active Directory en el futuro para facilitar la administración de políticas. Este asistente de interfaz gráfica no tiene nada de especial. Si entendemos el significado de Active Directory en el frente y tenemos una serie de planes antes de la instalación, es fácil completar todas las tareas de instalación.
Después de la instalación de Active Directory, hay tres Active Directory Microsoft Management Interface (MMC), una es la administración de usuarios y equipos de Active Directory, que se utiliza principalmente para implementar la administración de dominios, una es la relación de confianza de dominios y dominios de Active Directory Administración, utilizada principalmente para administrar relaciones de múltiples dominios, también hay una administración de sitios de Active Directory, que puede colocar controladores de dominio en diferentes sitios. En el rango general de LAN, para un sitio, la replicación entre controladores de dominio dentro del sitio es automática, la replicación entre controladores de dominio entre sitios requiere configuraciones de administrador para optimizar el tráfico de replicación y mejorar la escalabilidad. El sexo Desde la interfaz de administración de Active Directory, también puede hacer clic con el botón derecho en el sitio, el dominio y la unidad organizativa para iniciar la interfaz de administración de la directiva de grupo e implementar la administración detallada del objeto.
Para sitios, dominios y unidades organizativas, los administradores también pueden administrar fácilmente las autorizaciones. Haga clic con el botón derecho en ellos para iniciar el Asistente para administrar autorización, que establece qué administradores tienen derechos administrativos sobre qué objetos. Por ejemplo, el administrador del centro de soporte técnico interno de la empresa solo tiene el derecho de restablecer la contraseña del usuario y no tiene permiso para crear y eliminar cuentas de usuario. Este método de gestión más detallado se ha "granularizado".
Además, Active Directory también considera completamente la necesidad de hacer una copia de seguridad y restaurar los servicios de directorio. La herramienta de copia de seguridad WIN2K tiene la opción de hacer una copia de seguridad de Active Directory. En caso de un accidente, puede presionar F8 para ingresar al modo de recuperación segura cuando se inicia la máquina. Asegurar que se reduzca el impacto vicioso de los desastres.