ActiveDirectory安装指南.doc

晨虹信息技术驻深圳实用代维小组 Active Directory安装指南 撰写：Harry.Hall 编辑：Harry.Hall 目 录 1.0建立域之前的准备工作 - 3 - 1.1 DNS域名 - 3 - 1.2 DNS服务器 - 3 - 1.3足够的空间 - 3 - 1.4一个NTFS磁盘分区 - 3 - 2.0建立域 - 4 - 2.1建立域中第一台域控制器 - 4 - 2.2添加额外的域控制器（备份服务器） - 11 - 2.3创建子域 - 14 - 2.4检验Active Directory是否正常 - 18 - 2.4.1检查主机名称与IP地址 - 18 - 2.4.2利用DNS控制台来检验SRV记录 - 19 - 2.4.3利用NSLOOKUP工具来检验SRV记录 - 19 - 2.4.4检查Active Diretory数据库文件与SYSVOL文件夹 - 21 - 3.0域用户与组帐户的管理 - 23 - 3.1组织单位(OU) - 23 - 3.2用户登陆帐户 - 23 - 3.2.1建立UPN后缀 - 24 - 3.3帐户一般管理工作 - 26 - 3.4域控制器之间数据的复制 - 31 - 4.0 组策略设置 - 31 - 4.1组策略具体设置 - 32 - 5.0限制软件的运行 - 41 - 5.1建立软件哈希规则 - 42 - 5.2建立路径规则 - 44 - 6.0建立证书规则 - 46 - 6.1建立INTELNET区域规则 - 46 - 7.0发布共享资源到Active Directory - 46 - 7.1共享文件夹的发布 - 46 - 7.2共享打印机的发布 - 47 - 7.3查找Active Directory内的资源 - 48 - 8.0服务器备份与恢复 - 49 - 9.0结束 - 49 - 域控制器架设 1.0建立域之前的准备工作 DNS域名 DNS服务器 足够的磁盘空间 一个NTFS硬盘分区 1.1 DNS域名 由于Windows Server 2003的域名是采用DNS的架构与命名方式,因此必须为域取一个符合DNS格式的域名,在此我们把域名定为:. 1.2 DNS服务器 在域中,域控制器会将自己登记到DNS服务器内,以便让其它计算机可以通过DNS服务器来通过DNS服务器来寻找这台域控制器,因此网络中必须要有一台DNS服务器,而且这个DNS服务器还必须满足以下条件: 必须支持本地服务资源记录(SRV记录) 支持动态更新(虽然不一定要支持,但为了减轻管理员的工作负担,强烈建议要求支持) 增量区域传送 快速区域传送 可以采用以下二种方式来架设DNS服务器 在独立的服务器或成员服务器上升级为域服务器 使用现有的DNS服务器或是另外安装一台DNS服务器 我们选择前者:在独立的服务器上升级域服务器,系统会自动在这台服务器上安装DNS服务器. 1.3足够的空间 实际需要多少硬盘空间,需要视AD数据库对象数量而定,但建议至少要保留250M空间来存储AD数据库,另外还需要50M空间来存储日志文件,如果这台DC同时还扮演GC的角色,则需要保留更多的可用空间,在此,我们C盘保留6G以上空间. 1.4一个NTFS磁盘分区 域控制器需要一个能够提供安全设置的硬盘分区来存储SYSVOL文件夹,而只有NTFS的磁盘分区才具备安全设置的功能.SYSVOL文件夹内存储着以下数据: 开机关机等脚本文件(scripts) Windows NT 4.0 的系统基本配置 NETLOGON共享文件夹 SYSVOL共享文件夹 组策略设置 如果是FAT32分区,可以用以下命令在WINDOWS环境且不损坏数据的前提下转换为NTFS格式: Cmd convert c: /fs:ntfs 因为C盘被系统占用,所以无法立即马上进行进行转换工作,可以选择在系统下次重启时进行转换.我们在装新系统之前,把磁盘进行的是NTFS格式分区,所以,我们可以免了这一步. 2.0建立域 建立方法是先用windows 2003 Server安装一台独立的服务器,然后将其升级为域控制器(域名为:), 同时为主域服务器建立一个额外域控制器。然后再用三台服务器创建三个以此域名为命名空间的子域(,,). 2.1建立域中第一台域控制器 建立一个新林 建立此林中第一个域树 建立此域树中第一个域 建立此域中第一个域控制器 有二种方法可以建立整个网络中的第一台域控制器 利用Active Directory安装向导 标准安装 利用Active Directory安装向导 我们采