第 16 讲 构建域控制器

企业需求

公司多台服务器，员工可能访问每一台服务器。

员工不希望每访问一台服务器就登录一次，管理员也不想分别在每台服务器上为同一员工创建多个帐号。

本讲任务

构建一域控制器，域名为 szpt.net

把成员服务器加入到域中

把一 XP 计算机加入到域中，同时可以访问两台服务上的共享文件

10.1.14.125域控制器szpt.com域

用户 用户

10.1.14.126成员服务器

基本知识

16.1.1 为什么需要域如果资源分布在多台服务器上，要在每台服务器分别为每一员工建立一个账户（共 M*N ），用户则需要在每台服务器上（共 M 台）登录

域的好处 服务器和用户的计算机都在同一个域中，用

户在域中只要拥有一个账号 用户只需要在域中拥有一个域账户，只需要

在域中登录一次就可以访问域中的资源了。

域控制器 用户信息存放在域中的域控制器 (DC ， Do

main Controller) 上

16.2.1 什么是活动目录 我们的电话本、地址本也是一种目录，微软

的活动目录（ AD ， Active Directory ）也是一种存放信息的方式而已

域控制器（ DC ， Domain Controller ）上存放有域中所有用户、组、计算机等信息。域控制器就把这些信息存放在活动目录中，活动目录实际上就是一个特殊的数据库

16.2.2 活动目录和 DNS Windows Server 2003 的活动目录和 DNS

是紧密不可分的，它使用 DNS 服务器来登记域控制器的 IP 、各种资源的定位等

在一个域林中至少要有一个 DNS 服务器存在。

Windows Server 2003 中域的命名也是采用 DNS 的格式来命名的。

16.2.3 活动目录中的组织单元（ OU ， Organization Unit ） 对象

用户、计算机、打印机、组等等 每个对象都有自己的属性以及属性值

组织单元（ OU ， Organization Unit ） 组织单元把这些对象按逻辑进行分组，便于管

理、查找、授权和访问。 组织单元有许多划分方法，也可以根据地理位

置进行划分

16.2.4 用户访问资源的过程

操作步骤

16.3.1 创建域 szpt.com 确认“本地连接”属性 TCP/IP 中首选 DNS

指向了自己 输入“ dcpromo” 命令打开“ Active Dir

ectory 安装向导”

安装配置 DNS选择“只在这台计算机上安装并配置 DNS” 。

这样在安装活动目录时可以一同安装 DNS ，并且把首选 DNS 指向自己

输入新域的 DNS 全名

指定新的 NetBIOS 名 可以改变活动目录数据库以及日志存放的路径 选择在该计算机上安装 DNS

如果网络中只有 Windows 2000 Server 和Windows Server 2003 的服务器，可以选择“只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限”

启动计算机 输入活动目录的恢复密码 等待安装 安装完毕后，确定“本地连接”属性中

的 TCP/IP设置，检查首选 DNS 是否指向了自己，确认后才重新启动计算机

重新启动计算机时，由于活动目录的存在，启动时间会变长

确认活动目录是否已经正常从“开始”→“管理工具”→“ Active Directory 用户和计算机”菜单中，打开 Active Directory 用户和计算机窗口，确认活动目录是否已经正常。

16.3.2 成员服务器、独立服务器 Windows Server 2003 服务器在域中可以有三种角色：域控制器、成员服务器和独立服务器。 当一 Windows Server 2003 服务器安装了活动目录，

服务器就成为了域控制器，域控制器可以对用户的登录等进行验证

Windows Server 2003 可以仅仅加入到域中，而不安装活动目录，这时服务器的主要目的是为了提供网络资源，服务器称为成员服务器

独立服务器和域没有什么关系，当服务器不加入到域中也不安装活动目录，服务器就称为独立服务器了

服务器角色的变化

服务器角色的变化

16.3.3 域控制器降级为成员服务器 输入“ dcpromo” 命令 回答是是否域中的最后一个域控制器

要输入新的管理员密码

输入新的管理员密码

16.3.4 独立服务器提升为成员服务器 也就是加入到域的过程：

确认“本地连接”属性中的 TCP/IP 首选 DNS指向了 szpt.com 域的 DNS 服务器

从“开始”→“控制面板”→“系统”菜单中，打开“系统属性”窗口，选择“计算机名”选项卡

点击“更改”按钮，打开“计算机名称更改”窗口

• 输入要加入的域的名字 szpt.com

• 输入要加入的域的管理员账户和密码

• 重新启动计算机

输入计算机名、域名

16.3.5 成员服务器降级为独立服务器 也就是从域中脱离的过程

• 选择“工作组”，并输入从域中脱离后要加入的工作组的名字

• 输入要脱离的域的管理员账户和密码

• 重新启动计算机即可

16.4.1 Active Directory 用户和计算机

可以查看域中有哪些计算机。

可以查看域中有哪些域控制器。

可以在域中创建组织单元、用户或者组

16.4.2 把 XP 等加入到域中 首先确认 DNS 指向了域控制器

加入到域中

加入到域中

16.4.3 加入域以后的变化

可以选择是登录到本地计算机，还是登录到域

登录到本地就不能使用域中的资源

登录到域就能使用域中的资源

文件权限可以分配给域中的用户了 user1 是 szpt 域

中的用户 user1 如果在其他

计算机上登录到域，就可以使用该计算机上的资源了。

小结

域的概念、为什么需要域？ 活动目录 域控制器的安装 如何加入到域 使用域