Win2000 Active Directory y configuración de instalación

  

Después de comprender el principio de Active Directory, ahora podemos instalar y configurar Active Directory. El proceso de instalación y configuración de Active Directory no es muy complicado. Debido a que WIN2K proporciona un asistente de instalación, simplemente siga las indicaciones paso a paso. El sistema requiere configuración. Sin embargo, el trabajo de preparación antes de la instalación es más complicado, y Active Directory puede instalarse correctamente solo si se comprende por completo. A continuación presentaré en detalle la instalación y configuración de Active Directory y su preparación.

Primero, la preparación de Active Directory antes de la instalación

En el anterior sabemos que "Active Directory" es un servicio clave en todo el sistema WIN2K, no está aislado, está asociado con muchos protocolos y servicios Tiene una relación muy estrecha y se relaciona con la estructura del sistema y la seguridad de todo el sistema WIN2K. Instalar Active Directory no es tan simple como instalar un componente normal de Windows. Se requiere una serie de planificación y preparación antes de la instalación. De lo contrario, no podrá disfrutar de las ventajas de Active Directory y no podrá instalar correctamente el servicio de Active Directory.

1. Antes de instalar Active Directory, debe asegurarse de que ya hay una máquina con WIN2K Server o Advanced Server instalado, y al menos una partición NTFS, y el protocolo DNS se ha configurado para TCP /IP, y se proporciona el servicio DNS. Soporte para registros SRV y protocolos de actualización dinámica.

2, seguido de la planificación de la estructura de dominio de todo el sistema, Active Directory puede contener uno o más dominios, si la estructura de directorios de todo el sistema no está bien planificada, el nivel no está claro, no se puede jugar bien La superioridad del Active Directory. Elegir el dominio raíz aquí (es decir, el dominio básico de un sistema) es una clave. La elección del nombre de dominio raíz puede ser la siguiente:

1) Puede usar un nombre de dominio DNS ya registrado como el nombre de dominio raíz de destino activo. La ventaja es que las redes públicas y privadas de la empresa utilizan el mismo nombre DNS.

2) También podemos usar un subdominio de un nombre de dominio DNS registrado como el nombre de dominio raíz de Active Directory.

3) Seleccione un nombre de dominio que sea completamente diferente del nombre de dominio DNS registrado para Active Directory. Esto permite que la red corporativa presente dos estructuras de nombres completamente diferentes internamente y en Internet.

4) Asigne un nombre a la parte pública de la red corporativa con un nombre de dominio DNS ya registrado, y la red privada usa otro nombre de dominio interno para separar las dos partes del espacio de nombres, de modo que se acceda a cada parte. En la otra parte, debe usar el espacio de nombres de la otra persona para identificar el objeto.

3, otra es hacer la planificación de nombres de dominio y cuenta, porque uno de los significados de usar Active Directory es hacer que las redes internas y externas usen un servicio de directorio unificado, usando un esquema de nombres unificado para facilitar la administración de la red. Y contactos de negocios. El nombre de dominio de Active Directory suele ser el nombre DNS completo del dominio, pero para garantizar la compatibilidad con versiones anteriores, cada dominio tiene preferiblemente el nombre de una versión anterior de WIN2K para usar en computadoras que ejecutan sistemas operativos de versiones anteriores de WIN2K. La cuenta de usuario está en Active Directory. Cada cuenta de usuario tiene un nombre de inicio de sesión de usuario, un nombre de inicio de sesión de usuario de la versión anterior de WIN2K (el nombre de cuenta del administrador de cuentas de seguridad) y un sufijo de nombre primario de usuario. Al crear una cuenta de usuario, el administrador ingresa su nombre de inicio de sesión y selecciona el nombre principal del usuario. Active Directory recomienda que los usuarios que inician sesión antes de WIN2K utilicen los primeros 20 bytes del nombre de inicio de sesión de este usuario. La estrategia de nomenclatura de Active Directory es el primer paso en el sistema de red de planificación empresarial, que afecta directamente a la estructura básica de la red e incluso afecta el rendimiento y la escalabilidad de la red. Active Directory proporciona un buen modelo de referencia para las empresas modernas, teniendo en cuenta la estructura multinivel de la empresa, teniendo en cuenta la naturaleza distribuida de la empresa e incluso proporcionando un modelo de nomenclatura completamente consistente para el acceso directo a Internet.

El llamado nombre principal de usuario está compuesto por el nombre de la cuenta de usuario y el nombre de dominio del dominio en el que se encuentra la cuenta de usuario. Este es el uso estándar para iniciar sesión en el dominio WIN2K. El formato estándar es: (como una dirección de correo electrónico personal). Pero no incluya el signo @ en el nombre de inicio de sesión del usuario o el nombre principal del usuario. Active Directory Este símbolo se agrega automáticamente cuando se crea el nombre principal del usuario. Los nombres primarios de los usuarios con varios signos @ no son válidos.

En Active Directory, el sufijo de nombre primario del usuario predeterminado es el nombre DNS del dominio raíz en el árbol del dominio. Si la organización del usuario utiliza un árbol de dominios multinivel que consta de departamentos y regiones, el nombre de dominio para el usuario subyacente puede ser muy largo. Para los usuarios en este dominio, el nombre primario del usuario predeterminado podría ser grandchild.child.root.com. El nombre de inicio de sesión predeterminado para los usuarios en este dominio puede ser. En este caso, el nombre de usuario que se ingresará cuando el usuario inicie sesión puede ser demasiado largo y es muy incómodo de ingresar. Para resolver este problema, WIN2K estipula que después de crear el nombre principal, el usuario solo necesita agregar el nombre de usuario correspondiente después del dominio raíz. Permita que el mismo usuario inicie sesión con un nombre de inicio de sesión más simple en lugar de la larga lista mencionada anteriormente.

4, lo último es prestar atención para establecer la relación de confianza entre el dominio de planificación, para computadoras WIN2K, a través de la relación de confianza transitiva bidireccional basada en el protocolo de seguridad Kerberos V5 para habilitar la autenticación de cuenta entre dominios. Cuando se crea un dominio en un árbol de dominios, las relaciones de confianza se establecen automáticamente entre dominios adyacentes (dominios primarios y secundarios). En el bosque de dominio, las relaciones de confianza se establecen automáticamente entre el dominio raíz del bosque y el dominio raíz de cada árbol de dominio agregado al bosque. Si estas relaciones de confianza son transitivas, puede autenticar usuarios y equipos entre el árbol de dominios o cualquier dominio en el bosque de dominios.

Si actualiza un dominio de Windows de una versión anterior de WIN2K a un dominio de WIN2K, el dominio de WIN2K conservará automáticamente la relación de confianza unidireccional existente entre el dominio y cualquier otro dominio. Incluye todas las relaciones de confianza para dominios de Windows de versiones anteriores de WIN2K. Si un usuario desea instalar un nuevo dominio WIN2K y desea establecer una relación de confianza con cualquier dominio antes de WIN2K, debe crearse una relación de confianza externa con esos dominios.

Segundo, la instalación de Active Directory

Todas las instalaciones nuevas se instalan como Servidor Miembro, si elige instalar la opción "Active Directory" cuando instala el SERVIDOR WIN2K, el sistema Aparece un mensaje similar a "Si instala Active Directory en este momento, no se pueden volver a cambiar todos los nombres de dominio en el sistema ...". En general, no elegimos instalar Active Directory cuando instalamos el sistema, por lo que tenemos tiempo para planificar específicamente el protocolo y la estructura del sistema relacionados con Active Directory. Los servicios de directorio deben instalarse posteriormente con el comando Dcprom o. El servicio de directorio también se puede desinstalar, en lugar de tener que durar toda la vida, como en el caso de instalar Windows NT 4.0, el sistema distinguirá entre un controlador de dominio y un servidor miembro, y los dos no se pueden convertir.

Dcpromo es un asistente gráfico que guía a los usuarios a través del proceso de creación de un controlador de dominio paso a paso. Es muy conveniente crear un nuevo bosque de dominio, un árbol de dominio o simplemente otra copia de seguridad de un controlador de dominio. Muchos otros servicios de red, como el servidor DNS, el servidor DHCP y el servidor de certificados, pueden integrarse con Active Directory en el futuro para facilitar la administración de políticas. Este asistente de interfaz gráfica no tiene nada de especial. Si entendemos el significado de Active Directory en el frente y tenemos una serie de planes antes de la instalación, es fácil completar todas las tareas de instalación.

Después de la instalación de Active Directory, hay principalmente tres Microsoft Active Interface (MMC) de directorio activo, uno es usuario de Active Directory y administración de la computadora, se utiliza principalmente para implementar la administración de dominios, uno es dominio de Active Directory y La administración de las relaciones de confianza de dominio se usa principalmente para administrar relaciones de múltiples dominios, también hay una administración de sitio de Active Directory, que puede colocar controladores de dominio en diferentes sitios. En el rango general de LAN, para un sitio, la replicación entre controladores de dominio dentro del sitio es automática, la replicación entre controladores de dominio entre sitios requiere configuraciones de administrador para optimizar el tráfico de replicación y mejorar la escalabilidad. El sexo Desde la interfaz de administración de Active Directory, también puede hacer clic con el botón derecho en el sitio, el dominio y la unidad organizativa para iniciar la interfaz de administración de la directiva de grupo e implementar la administración detallada del objeto.

Para sitios, dominios y unidades organizativas, los administradores también pueden administrar fácilmente las autorizaciones. Haga clic con el botón derecho en ellos para iniciar el Asistente para administrar autorización, que establece qué administradores tienen derechos administrativos sobre qué objetos. Por ejemplo, el administrador del centro de soporte técnico interno de la empresa solo tiene el derecho de restablecer la contraseña del usuario y no tiene permiso para crear y eliminar cuentas de usuario. Este método de gestión más detallado se ha "granularizado".

Además, Active Directory también considera completamente la necesidad de realizar copias de seguridad y restaurar los servicios de directorio. La herramienta de copia de seguridad WIN2K tiene la opción de realizar una copia de seguridad de Active Directory. En caso de un accidente, puede presionar F8 cuando se inicia la máquina. El modo de recuperación segura garantiza que se reduzca el impacto vicioso de los desastres.

Copyright © Conocimiento de Windows All Rights Reserved