WIN03域的组建全过程

可以手动安装域名服务 (DNS) 和 DCPromo(创建 DNS 和 Active Directory 的命令行工具),也可以使用“Windows Server 2003 管理服务器”向导进行安装。本节使用手动工具来完成安装。

使用手动工具安装 DNS 和 Active Directory

1. 单击“开始”按钮,单击“运行”,键入“DCPROMO”,然后单击“确定”。
2. 在出现“Active Directory 安装向导”时,单击“下一步”开始安装。
3. 阅读“操作系统兼容性”信息后,单击“下一步”。
4. 选择“新域的域控制器”(默认),然后单击“下一步”。
5. 选择“在新林中的域”(默认),然后单击“下一步”。
6. 对于“DNS 全名”,键入“contoso.com”,然后单击“下一步”。(这表示一个完全限定的名称。)
7. 单击“下一步”,接受将“CONTOSO”作为默认“域 NetBIOS 名”。(NetBIOS 名称提供向下兼容性。)
8. 在“数据库和日志文件文件夹”屏幕上,将 Active Directory“日志文件文件夹”指向“L:\Windows\NTDS”,然后单击“下一步”继续。
9. 保留“共享的系统卷”的默认文件夹位置,然后单击“下一步”。
10. 在“DNS 注册诊断”屏幕上,单击“在这台计算机上安装并配置 DNS 服务器”。单击“下一步”继续。
11. 选择“只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限”(默认),然后单击“下一步”。
12. 在“还原模式密码”和“确认密码”中,键入密码,然后单击“下一步”继续。

注意:在生产环境中,应使用复杂的目录服务还原密码。

图 3.  Active Directory 安装选项摘要
图 3. Active Directory 安装选项摘要

 
13. 图 3 中显示的是“Active Directory 安装选项摘要”。单击“下一步”开始安装 Active Directory。在出现提示时,请插入 Windows Server 2003 安装 CD。
14. 单击“确定”,对已为 DNS 服务器动态分配了 IP 地址这一提示信息作出确认。
15. 如果有多个网络接口,在“选择连接”下拉列表中选择“10.0.0.0 网络接口”,然后单击“属性”。
16. 在“此连接使用下列项目”部分下面,单击“Internet 协议 (TCP/IP)”,然后单击“属性”。
17. 选择“使用下面的 IP 地址”,然后在“IP 地址”中键入“10.0.0.2”。按两次“Tab”键,然后在“默认网关”中键入“10.0.0.1”。在“首选 DNS 服务器”中键入“127.0.0.1”,然后单击“确定”。单击“关闭”继续。
18. 在“Active Directory 安装向导”完成后,单击“完成”。
19. 单击“立即重新启动”以重新启动计算机。

授权 DHCP 服务器

1. 在计算机重新启动后,按“Ctrl+Alt+Del”组合键,并以“administrator@contoso.com”的身份登录到服务器上。将密码保留为空。
2. 单击“开始”菜单,选择“管理工具”,然后单击“DHCP”。
3. 单击“hq-con-dc-01.contoso.com”。右键单击“hq-con-dc-01.contoso.com”,然后单击“授权”。
4. 关闭“DHCP”管理控制台

Active Directory 示例结构

该通用结构基于的是虚构组织“Contoso”。“Contoso”的 DNS 名为“contoso.com”,它是使用前面介绍的“Active Directory 安装向导”配置的。图 4 中显示的是示例 Active Directory 结构。

图 4.  示例 Active Directory 结构
图 4. 示例 Active Directory 结构

 

该结构最有趣的部分是域 (contoso.com):Accounts、Headquarters、Production、Marketing、Groups、Resources、Desktops、Laptops 和 Servers 组织单位 (OU)。在图 4 中用文件夹(书)来表示这些组织单位。OU 表示管理委派和组策略应用,而不仅仅是反映业务单位。有关 OU 结构设计的深入探讨,请参阅“Designing and Deploying Directory and Security Services”(设计和部署目录和安全服务)。

填充 Active Directory

本节介绍如何手动创建附录 A 中描述的 OU、用户和安全组。

创建组织单位和组

创建 OU 和安全组

1. 单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。
2. 单击“contoso.com”旁边的“+”号将其展开。单击“contoso.com”本身,显示其在右窗格中的内容。
3. 在左窗格中,右键单击“contoso.com”,指向“新建”,然后单击“组织单位”。
4. 在名称框中键入“Accounts”,然后单击“确定”。
5. 重复步骤 3 和 4 以创建“Groups”和“Resources”OU。
6. 在左窗格中单击“Accounts”。此时将在右窗格中显示其内容。(此过程开始时它是空的。)
7. 右键单击“Accounts”,指向“新建”,然后单击“组织单位”。
8. 键入“Headquarters”,单击“确定”。
9. 重复步骤 7 和 8,在“Accounts”中创建“Production”和“Marketing”OU。完成后,OU 结构应与图 5 中显示的内容相似。

图 5.  创建组织单位
图 5. 创建组织单位
查看大图

 
10. 使用同样的方法,在“Resources”OU 中创建“Desktops”、“Laptops”和“Servers”。
11. 右键单击“Groups”,指向“新建”,然后单击“组”以创建两个安全组。要添加的两个组是“Management”和“Non-management”。每个组的设置应该是“全局”和“安全”。单击“确定”分别创建每个组。完成所有步骤后,最终的 OU 结构应与图 6 中显示的内容相似。

图 6.  最终的 OU 结构
图 6. 最终的 OU 结构
查看大图

 

创建用户帐户

创建用户帐户

1. 在左窗格中,单击“Headquarters”(在“Accounts”中)。此时将在右窗格中显示其内容。(在此过程开头时它为空。)
2. 右键单击“Headquarters”,指向“新建”,然后单击“用户”。
3. 键入“Christine”作为“名”;键入“Koch”作为“姓”。(注意,在“姓名”框中将自动显示全名。)
4. 键入“Christine”作为“用户登录名”。窗口应与图 7 相似。

图 7.  添加用户
图 7. 添加用户

 
5. 单击“下一步”。
6. 在“密码”和“确认密码”中,键入“pass#word1”,然后单击“下一步”继续。

注意:默认情况下,Windows Server 2003 要求所有新创建的用户使用复杂密码。可通过组策略禁用密码复杂性要求。

7. 单击“完成”。此时,Christine Koch 作为用户显示在右窗格的“Reskit.com/Accounts/Headquarters”下面。
8. 重复步骤 2 到 7,为“Headquarters”OU 添加附录 A 中列出的名称。完成后,“Headquarters”OU 屏幕应与图 8 相似。

图 8.  “Headquarters”OU 中列出的用户
图 8. “Headquarters”OU 中列出的用户
查看大图

 
9. 重复步骤 1 到 8,在“Production”和“Marketing”OU 中创建用户。

将用户添加到安全组中

将用户添加到安全组中

1. 在左窗格中,单击“Groups”。
2. 在右窗格中,双击“Management”组。
3. 单击“成员”选项卡,然后单击“添加”。
4. 单击“高级”,然后单击“立即查找”。
5. 按住“Ctrl”键并单击用户名,从下面部分中选择所有相应的用户。在突出显示所有成员后,单击“确定”。(附录 A 中列出了属于该安全组成员的用户。)再次单击“确定”,将这些成员添加到“Management”安全组中。单击“确定”关闭“Management 安全组属性”页。

图 9.  Management 安全组成员是从三个 OU 中挑选的
图 9. Management 安全组成员是从三个 OU 中挑选的

 
6. 重复步骤 2 到 5,为 Non-management 组添加成员。
7. 关闭“Active Directory 用户和计算机”管理单元。

附录 A: Active Directory 成员

用户

OU 全名 登录名 组成员身份
Headquarters Koch, Christine Christine Management
  West, Paul Paul Management
  Clark, Molly Molly Management
  Sprenger, Christof Christof Management
  Schleger, Yvonne Yvonne Management
  Nash, Mike Mike Management
  Brink, Monica Monica Non-management
Production Ola, Preeda Preeda Management
  Grande, Jon Jon Non-management
  Hector, Clair Clair Non-management
  Kim, Jim Jim Non-management
  Nay, Lorraine Lorraine Management
  Randall, Cynthia Cynthia Non-management
  Browne, Kevin F. Kevin Non-management
Marketing Fitzgerald, Charles Charles Management
  Mustafa, Ahmad Ahmad Non-management
  Narp, Sylvie Sylvie Non-management

 

当加入域时遇到:指定的网络名已不再可用这个问题时可以尝试查看 《解决加入域出错问题-指定的网络名已不再可用》这篇文章。

本文转自网络网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。