Windows2018活动目录配置

  Windows2018最特有的功能是活动目录(ActiveDirectory)服务。它将Windows局域网的架构完全建立到Internet技术上，使Windows操作系统和Internet进一步融合。理解了活动目录，就能更深层次理解Windows2018网络的具体结构。下面简单介绍活动目录的主要特点和一些基本概念。

  活动目录分为静态的目录和动态的目录服务两部分。目录可以看作是一个层次结构的数据存储结构，用于存储各种应用对象，包括服务器、文件、打印机、网络用户、计算机账户、组织单位和安全策略等资源;而目录服务则是基于目录来提供的信息资源服务，如用户和资源管理、基于目录的网络服务等等。活动目录具有分布式计算的特点，即信息可以分散在多台不同的计算机上，并对用户隐藏底层细节，不管用户从何处访问或信息处在何处，都对用户提供统一的视图。这一方面保证了信息资源的透明性，另一方面也提高了访问速度和容错能力。Windows2018将登录验证以及目录对象的访问控制和安全性集成到活动目录中，通过一次网络登录，管理员可管理整个网络中的目录数据和组织单位，获得授权的网络用户可访问网络上任何地方的资源，从而减轻了系统管理复杂度。活动目录还集成了一些关键服务和关键应用，如域账户管理、域名服务、消息队列服务、电子邮件和网络管理等。

  为了更好地理解活动目录，应理解Windows2018中以下几个基本概念:1)域。Windows2018中的域概念是NT中的域概念向Internet技术的进一步延伸。Windows2018的域是活动目录的基本单位，也是计算机、用户对象的基本载体，如图3-1所示，每个小三角形代表一个域。一个域中必须至少有一个域控制器，也可以有多个域控制器。如果有多个域控制器，那么每个域控制器中用户账户都是相同的副本，它们都是平等的关系，在任何一个域控制器.上更改了用户账户信息后，该变动将同步到域中的其他域控制器.上。要创建Windows2018的域控制器，需要在安装Windows20182)域目录树和目录林。一个域可以是其他域的子域或父域，这些子域、父域构成.了一棵树，称为域目录树。如图3-1所示，域A、B、C、D就形成了一个域目录树，B是A子域;A是B的父域。域目录树的第一个域是该目录树的根(root)域,如A、root.com和1.com。域目录树实现了连续的域名空间，目录树上的域共享相同的DNS域名后缀，树中的每一个域共享共同的配置、模式对象和全局类别。多棵域目录树就构成了目录林，目录林中的各个域树不共享连续的命名空间，如root.com和1.com之间没有共享命名的关系，目录林中的每一目录树都拥有它自己的并且是惟一的命名空间。在目录林中的第一棵域目录树缺省地被创建为该目录林的根树。

  3)域命名。一个域目录树的所有域共享一个连续的名称空间，按照DNS标准，域名构,成应是该域的NetBIOS名加句点“”再加上父域的DNS标准域名，如图3-1,B域的NetBIOS名是“B”，其标准域名应是“B.A.com”。由于活动目录依赖于DNS作为定位服务，实现将计算机名解析为IP地址，所以当利用Windows2018构建活动目录时，必须同时安装配置相应的DNS.无论用户实现IP地址解析还是登录验证，都必须利用DNS在活动目录中定位服务器。在Windows2018中NetBIOS名已经逐渐失去意义，之所以保留NetBIOS名称，是因为要向下与NT兼容，同时与此相对应的WINS服务也处于慢慢被淘汰的过程中，保留WINS服务的目的也是要向下兼容。在WindowsNT中，为了有效地发挥WINS的动态特性，通常DNS与WINS配合使用，以获得更准确的解析结果，而在Windows2018中，由于DNS支持动态更新协议，就没有必要使用WINS了。

  4)信任关系。是指Windows域间信任关系，对于Windows2018,域之间的账户验证是通过基于KerberosV5安全协议的双向、可传递信息关系来完成。在一个域目录树中，相邻域(父域和子域)的信息关系是自动创建的，由于信任关系是可传递的，因此可以在目录树和目录林中的任何域之间进行用户和计算机的身份验证。

  5)组织单位。是一种目录对象类型，也可以看作是包含用户、组、计算机以及其他资源单位的活动目录容器。组织单位只能包括本域的对象，不能包括多个域的对象,管理范围比域更小。可以为组织单位设置组策略或管理权限，使域内的管理也基于逻辑层次结构。如图3-2所示，在Windows2018域domainl中有三个组织单位(OU);0U1、OU2和OU3,其中OU2包含了0U3。通过授予某用户对域中组织单位的管理权限，建立组织单位的管理员和域内的层次化管理机制。

  在Windows2018中，活动目录和DNS服务关系密切，两者集成在一起，共享相同的命名空间。首先要理解两者的差别，DNS只是一种命名解析服务，将域名解析为IP地址，DNS可以独立于活动目录单独使用;而活动目录则是一种提供信息储存和访问的服务，活动目录客户使用“轻量级目录访问协议(LDAP)”向活动目录服务器发送查询，要定位活动目录服务器，客户机需要查询DNS服务器，因此活动日录必须需要DNS才能工作。活动目录客户要登录到域，必须向DNS服务器查询运行LDAP服务的域控制器IP地址，然后才能登录。

  在首次安装Windows2018完毕后，并没有将本主机加入到域管理系统中，因此也就没有安装活动目录服务，此时可以通过服务器配置向导将本主机升级为域控制器或额外域控制器，升级过程中向导将安装活动目录服务软件。