在“服务器角色”页面上,单击“域控制器 (Active Directory)”,然后单击“下一步”。
该部分描述了该过程中的所有步骤,并概述了在配置域控制器期间必需做出的选择和决定。下列部分包含了这些配置步骤:
选择摘要
使用 Active Directory 安装向导
完成“配置您的服务器向导”
删除域控制器角色
选择摘要
在“配置您的服务器向导”的“选择摘要”页上,可复查并确认已选择的选项。如果在上一页面选择了“域控制器 (Active Directory)”,则将出现下列内容:
| ? |
运行 Active Directory 安装向导来将此服务器配置成域控制器
|
要应用“选择摘要”页面上显示的选择,请单击“下一步”。
使用 Active Directory 安装向导
单击“下一步”后,Active Directory 安装向导将自动启动。如果这是第一次在服务服务器上安装 Active Directory,请单击“Active Directory 安装向导”的“欢迎”页上的“Active Directory 帮助”,以获取有关 Active Directory 的详细信息。
仔细阅读 Active Directory 的有关信息之后,请单击“下一步”。在最后一页上单击“完成”之前,您可以从向导的任何位置返回到此页。在“操作系统兼容性”页上,阅读相关信息,然后单击“下一步”。如果这是第一次在运行 Windows Server 2003 的服务器上安装 Active Directory,请单击“兼容性帮助”获得更多信息。
该部分描述 Active Directory 安装向导中的下列步骤:
域控制器类型
创建新域
新的域名
NetBIOS 域名
数据库和日志文件文件夹
共享的系统卷
DNS 注册诊断
权限
目录服务还原模式管理员密码
摘要
域控制器类型
在“域控制器类型”页上,单击“新域的域控制器”。
完成后,单击“下一步”。
创建新域
在“创建一个新域”页面上,单击“在新林中的域”。
完成后,单击“下一步”。
新的域名
在“新的域名”页面上,键入新域的完整 DNS 名称。为您要创建的新 Active Directory 林提供完整的 DNS 名称(例如,headquarters.example.microsoft.com)。完整的 DNS 名称也称为完全限定的域名 (FQDN)。Active Directory 域以 DNS 名称命名,并使用与 DNS 相同的层次结构。当选择用于 Active Directory 林的 DNS 名称时,以组织预留在 Internet 上使用的已注册 DNS 域后缀开始,例如 microsoft.com。
完成后,单击“下一步”。
NetBIOS 域名
在“NetBIOS 域名”页上,验证 NetBIOS 名称。尽管 Active Directory 域是根据 DNS 命名标准来命名的,但在您创建 Active Directory 域时仍需要定义 NetBIOS 名称。NetBIOS 名应尽可能与 DNS 域名的第一个标签相匹配。当 Active Directory 域的某个 DNS 名的第一个标签与其 NetBIOS 名不同时,FQDN 将使用 DNS 域名,而不是 NetBIOS 名。例如,如果完整 DNS 域名中的第一个标签是“child”(child.microsoft.com 是 FQDN),NetBIOS 域名是“sales”,则 FQDN 应保持“child.microsoft.com”。
完成后,单击“下一步”。
数据库和日志文件文件夹
在“数据库和日志文件夹”页面上,键入要安装数据库和日志文件夹的位置,或单击“浏览”选择一个位置。要避免在安装或删除 Active Directory 时出现问题,非常重要的一点是确保您有足够的磁盘空间来承载目录数据库和日志文件。Active Directory 安装向导要求有 250 MB 磁盘空间用于 Active Directory 数据库,50 MB 用于日志文件。建议将这些文件保存在 NTFS 分区上。
完成后,单击“下一步”。
共享的系统卷
在“共享的系统卷”页面上,键入要安装 Sysvol 文件夹的位置,或单击“浏览”选择一个位置。Sysvol 文件夹必须存储在 NTFS 卷上,因为它包含的文件将在域或林中的域控制器之间进行复制。这些文件包括脚本、Windows NT 4.0 和更低版本的系统策略、NETLOGON 和 SYSVOL 共享以及组策略设置。
完成后,单击“下一步”。
DNS 注册诊断
在“DNS 注册诊断”页面上,确认 DNS 设置是否正确。
如果“诊断结果”下出现诊断错误,请单击“帮助”以获得如何解决错误的详细信息。
完成后,单击“下一步”。
权限
在“权限”页上,单击所需要的与 Windows 2000 之前版本的操作系统、Windows 2000 或 Windows Server 2003 操作系统的应用程序兼容性级别。
在运行 Windows NT 4.0 及更低版本的服务器上,系统会将用户和组信息的读取权限指派给匿名用户,这样,现有的应用程序(包括 Microsoft BackOffice、SQL Server 和一些非 Microsoft 应用程序)就能正常工作了。在 Windows 2000 和 Windows Server 2003 家族中,只有当 Anonymous Logon 组被添加到 Pre-Windows 2000 Compatible Access 组中时,Anonymous Logon 组的成员才具有读取该信息的权限。
|
与 Windows 2000 Server 之前的服务器操作系统兼容的权限
|
如果您要将 Anonymous Logon 组与 Everyone 安全组添加至 Pre-Windows 2000 Compatible Access 组,请单击此选项。
|
|
只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限
|
单击该选项可防止 Anonymous Logon 组成员获得对用户或组信息的读权限。
|
选择这些选项之一后,您可以手动在 Active Directory 对象的向后兼容性设置和高安全性设置之间进行切换。为此,请打开“Active Directory 用户和计算机”,然后将 Anonymous Logon 安全组添加到 pre-Windows 2000 Compatible Access 安全组中。
完成后,单击“下一步”。
目录服务还原模式管理员密码
在“目录服务还原模式的管理员密码”页面上,键入和确认要指派给该服务器的还原模式管理员帐户的密码。您应该使用强密码作为目录还原模式密码。详细信息,请参阅强密码。
要点
| ? |
您必须知道为该域控制器还原系统状态备份副本的密码。
|
当域控制器以目录服务还原模式启动时,您要使用该密码。如果这是第一次在服务器上安装 Active Directory,请单击“Active Directory 帮助”以获得有关还原模式密码的详细信息。
完成后,单击“下一步”。
摘要
阅读“摘要”页上的信息,然后单击“下一步”。
完成安装后,请单击“完成”。要重新启动计算机并应用更改,请单击“立即重新启动”。
完成“配置您的服务器向导”
服务器重新启动后,“配置您的服务器向导”将显示“此服务器现在是域控制器”页面。要复查由“配置您的服务器向导”对服务器所做的所有更改,或者要确保新的角色已成功安装,请单击“配置您的服务器日志”。“配置您的服务器向导”日志位于 systemroot\Debug\Configure Your Server.log 中。要关闭“配置您的服务器向导”,请单击“完成”。
完成“配置您的服务器向导”后,一定要访问“Windows Update”以下载任何可用的附加更新。详细信息,请参阅 Windows Update。
另外,还必须运行“安全配置向导”以进一步加强域控制器的安全。有关详细信息,请参阅Security Configuration Wizard。
删除域控制器角色
如果需要将服务器重新配置为另外一个角色,则可删除现有服务器角色。通过删除域控制器角色,您将从该服务器卸载 Active Directory。卸载 Active Directory 之后,该服务器将不再参与目录对象的复制和基于域的用户身份验证请求。
要删除域控制器角色,请执行以下操作之一重新启动“配置您的服务器向导”:
| ? |
从“管理您的服务器”中,单击“添加或删除角色”。默认情况下,“管理您的服务器”会在您登录时自动启动。要打开“管理您的服务器”,请依次单击“开始”和“控制面板”,双击“管理工具”,然后双击“管理您的服务器”。
|
| ? |
要打开“配置您的服务器向导”,请依次单击“开始”和“控制面板”,双击“管理工具”,再双击“配置您的服务器向导”。
|
在“服务器角色”页面上,单击“域控制器 (Active Directory)”,然后单击“下一步”。在“角色删除确认”页面上,检查“总结”下列出的项目,选中“删除域控制器角色”复选框,单击“下一步”,然后按照 Active Directory 安装向导中的步骤进行操作。
接下来的步骤:完成其他任务
完成 Active Directory 安装向导后,服务器即被配置为域控制器。可使用它来存储数据,管理对象并为用户、计算机和应用程序提供信息。至此,您已经为新的林创建了一个域控制器。
下表列出了您可能要在域控制器上执行的一些其他任务。
|
将新域控制器保护在上锁的房间内。
|
确保任何人都无法物理访问该域控制器。
|
域控制器;保护 Active Directory
|
|
使用强密码加密技术。
|
保护新域控制器的帐户密码信息的安全性。
|
系统密钥实用程序
|
|
检查并验证每个用户的有效性。
|
使用公钥加密来增强整个林中的安全性。
|
公钥基础结构
|
|
要求所有域用户使用强密码。
|
防止对组织未经授权的访问。
|
强密码
|
|
启用审核策略。
|
接收那些可能会造成安全隐患的操作的通知。
|
审核策略
|
|
强制实施用户帐户帐户锁定。
|
减小攻击者通过重复登录企图危及您所在域安全的可能性。
|
用户和计算机帐户
|
|
强制实施用户帐户密码历史。
|
减小攻击者危及您所在域安全的可能性。
|
强制密码历史
|
|
强制实施用户帐户密码最长使用期限和密码最短使用期限。
|
减小攻击者危及您所在域安全的可能性。
|
密码最短使用期限;密码最长使用期限
|
|
实施 SID 筛选。
|
防止恶意用户企图将提升的用户权限授予其他用户帐户的攻击。
|
Microsoft 网站 (http://www.microsoft.com/) 上的“Using Security Identifier (SID) Filtering to Prevent Elevation of Privilege Attacks”(使用安全标识符 (SID) 筛选来防止权限提升攻击)。
|
|
实施智能卡。
|
提供防篡改用户身份验证和电子邮件安全。
|
智能卡概述
|
|
限制用户、组和计算机访问共享资源并筛选组策略设置。
|
保护资源的安全。
|
组类型
|
|
创建林信任(适当时)。
|
管理两个林之间的安全关系并简化跨林的安全管理和身份验证。
|
林信任
|
|
将用户权限分配到新的安全组。
|
特别定义域中成员的管理角色。
|
组类型
|
为新的子域创建域控制器
当您想创建与一个和多个现存域共享连续名称空间的域时,就要为新的子域创建域控制器。意思是,新域的名称中包含父域的完整名称。例如,在下面的插图中可以看到,child.microsoft.com 是 microsoft.com 的子域。作为最佳做法,应将新域创建为林根域的子域。
本主题说明为组织中的新子域配置域控制器时必须执行的基本步骤。
此过程包括使用“配置您的服务器向导”和“Active Directory 安装向导”来在此服务器上安装 Active Directory。完成设置域控制器后,可以完成其他配置任务。
本主题包含:
开始之前
配置域控制器
接下来的步骤:完成其他任务
开始之前
将服务器配置为域控制器之前,请验证:
| ? |
该服务器的 TCP/IP 配置,特别是用于 DNS 名称解析的设置是否均正确。详细信息,请参阅配置 TCP/IP 使用 DNS。
|
| ? |
现有的所有磁盘卷都使用 NTFS 文件系统。Active Directory 要求至少存在一个 NTFS 卷存储 SYSVOL 文件夹及其内容。FAT32 卷安全性不好,而且不支持文件和文件夹压缩、磁盘配额、文件加密或单个文件权限。
|
| ? |
Windows 防火墙已启用。详细信息,请参阅在不允许例外的情况下启用 Windows 防火墙。
|
| ? |
“安全配置向导”已安装和启用。有关“安全配置向导”的信息,请参阅安全配置向导概述。
|
下表列出了在添加域控制器之前需要了解的信息。
|
确定您希望将域控制器添加到的 Active Directory 域的 DNS 域名。
|
需要提供这个新子域的父域的 DNS 域名。
|
|
在安装 Active Directory 时确认网络速度是否足够。
|
要在其上安装 Active Directory 并创建子域的服务器应拥有通过高速连接访问网络的权限。
|
|
确定哪些站点需要域控制器。
|
如果您的网络划分为多个站点,那么通常一种较好的做法是在每个站点中至少放入一台域控制器以提高网络性能。当用户登录网络时,作为登录过程的一部分必须联系域控制器。如果客户端必须连接位于不同站点的域控制器,那么登录过程可能会耗费很长的时间。
|
|
确定是否希望新的域控制器承载全局编录。
|
全局编录存储域控制器林中所有 Active Directory 对象的副本。全局编录存储林中其主持域的目录中所有对象的完整副本,以及所有其他域中所有对象的部分副本。要优化多站点环境的网络性能,请考虑为选定站点添加全局编录。在单站点环境中,通常单个全局编录即可满足常见 Active Directory 查询的需要。然而,在多站点环境中,建议您在每一个站点都使用全局编录。有关在多站点环境中何时添加全局编录的详细信息,请参阅全局编录和站点。
|
|
获取创建子域所必需的管理凭据。
|
要添加新的子域,您必须是 Active Directory 中 Domain Admins 组(在父域中)或 Enterprise Admins 组的一名成员,或者您必须被委派了适当的权限。
|
接下来的步骤:完成其他任务
完成 Active Directory 安装向导后,服务器即被配置为域控制器。您可以使用它存储数据、管理对象以及为用户、计算机和应用程序提供信息。此时,您已经创建了一个新域控制器或为现有域创建了额外的域控制器。
下表列出了您可能要在域控制器上执行的一些其他任务。
|
将新域控制器保护在上锁的房间内。
|
确保任何人都无法物理访问该域控制器。
|
域控制器;保护 Active Directory
|
|
使用强密码加密技术。
|
保护新域控制器的帐户密码信息的安全性。
|
系统密钥实用程序
|
|
要求所有域用户使用强密码。
|
防止对组织未经授权的访问。
|
强密码
|
|
启用审核策略。
|
接收那些可能会造成安全隐患的操作的通知。
|
审核策略
|
|
强制实施用户帐户帐户锁定。
|
减小攻击者通过重复登录企图危及您所在域安全的可能性。
|
用户和计算机帐户
|
|
强制实施用户帐户密码历史。
|
减小攻击者危及您所在域安全的可能性。
|
强制密码历史
|
|
强制实施用户帐户密码最长使用期限和密码最短使用期限。
|
减小攻击者危及您所在域安全的可能性。
|
密码最短使用期限;密码最长使用期限
|
|
实施 SID 筛选。
|
防止恶意用户企图将提升的用户权限授予其他用户帐户的攻击。
|
Microsoft 网站 (http://www.microsoft.com/) 上的“Using Security Identifier (SID) Filtering to Prevent Elevation of Privilege Attacks”(使用安全标识符 (SID) 筛选来防止权限提升攻击)。
|
|
实施智能卡。
|
提供防篡改用户身份验证和电子邮件安全。
|
智能卡概述
|
|
限制用户、组和计算机访问共享资源并筛选组策略设置。
|
保护资源的安全。
|
组类型
|
|
将用户权限分配到新的安全组。
|
特别定义域中成员的管理角色。
|
组类型
|
为新域树创建域控制器
当您想创建一个具有与林中的其他域不相关的 DNS 名称空间的域时,就需要为新域树创建一个域控制器。这就是说,树根域(及其所有子域)的名称可以不必包含父域的完整名称。一个林中可以包含一个或多个域树。例如,在下面的插图中可以看到,msn.com 是 microsoft.com 林中一个新的域树。
本主题说明为组织中的新域树配置域控制器时必须执行的基本步骤。
此过程包括使用“配置您的服务器向导”和“Active Directory 安装向导”来在此服务器上安装 Active Directory。完成设置域控制器后,可以完成其他配置任务。
本主题包含:
开始之前
配置域控制器
接下来的步骤:完成其他任务
开始之前
将服务器配置为域控制器之前,请验证:
| ? |
该服务器的 TCP/IP 配置,特别是用于 DNS 名称解析的设置是否均正确。详细信息,请参阅配置 TCP/IP 使用 DNS。
|
| ? |
现有的所有磁盘卷都使用 NTFS 文件系统。Active Directory 要求至少存在一个 NTFS 卷存储 SYSVOL 文件夹及其内容。FAT32 卷安全性不好,而且不支持文件和文件夹压缩、磁盘配额、文件加密或单个文件权限。
|
| ? |
Windows 防火墙已启用。详细信息,请参阅在不允许例外的情况下启用 Windows 防火墙。
|
| ? |
“安全配置向导”已安装和启用。有关“安全配置向导”的信息,请参阅安全配置向导概述。
|
| ? |
下表列出了在添加域控制器之前需要了解的信息。
|
|
在安装 Active Directory 时确认网络速度是否足够。
|
要在其上安装 Active Directory 的服务器应拥有通过高速连接访问网络的权限。
|
|
确定是否希望新的域控制器承载全局编录。
|
全局编录存储域控制器林中所有 Active Directory 对象的副本。全局编录存储林中其主持域的目录中所有对象的完整副本,以及所有其他域中所有对象的部分副本。要优化多站点环境的网络性能,请考虑为选定站点添加全局编录。在单站点环境中,通常单个全局编录即可满足常见 Active Directory 查询的需要。然而,在多站点环境中,建议您在每一个站点都使用全局编录。有关在多站点环境中何时添加全局编录的详细信息,请参阅全局编录和站点。
|
|
获取添加新域树所需的管理凭据。
|
要创建新的域树,您必须是 Active Directory 中 Domain Admins 组(在林根域中)或 Enterprise Admins 组的一名成员,或者您必须被委派了适当的权限。
|
接下来的步骤:完成其他任务
完成 Active Directory 安装向导后,服务器即被配置为域控制器。您可以使用它存储数据、管理对象以及为用户、计算机和应用程序提供信息。此时,您便创建了一个新域,或为现有域创建了额外的域控制器。
下表列出了您可能要在域控制器上执行的一些其他任务。
|
将新域控制器保护在上锁的房间内。
|
确保任何人都无法物理访问该域控制器。
|
域控制器;保护 Active Directory
|
|
使用强密码加密技术。
|
保护新域控制器的帐户密码信息的安全性。
|
系统密钥实用程序
|
|
要求所有域用户使用强密码。
|
防止对组织未经授权的访问。
|
强密码
|
|
启用审核策略。
|
接收那些可能会造成安全隐患的操作的通知。
|
审核策略
|
|
强制实施用户帐户帐户锁定。
|
减小攻击者通过重复登录企图危及您所在域安全的可能性。
|
用户和计算机帐户
|
|
强制实施用户帐户密码历史。
|
减小攻击者危及您所在域安全的可能性。
|
强制密码历史
|
|
强制实施用户帐户密码最长使用期限和密码最短使用期限。
|
减小攻击者危及您所在域安全的可能性。
|
密码最短使用期限;密码最长使用期限
|
|
实施 SID 筛选。
|
防止恶意用户企图将提升的用户权限授予其他用户帐户的攻击。
|
Microsoft 网站 (http://www.microsoft.com/) 上的“Using Security Identifier (SID) Filtering to Prevent Elevation of Privilege Attacks”(使用安全标识符 (SID) 筛选来防止权限提升攻击)。
|
|
实施智能卡。
|
提供防篡改用户身份验证和电子邮件安全。
|
智能卡概述
|
|
限制用户、组和计算机访问共享资源并筛选组策略设置。
|
保护资源的安全。
|
组类型
|
|
将用户权限分配到新的安全组。
|
特别定义域中成员的管理角色。
|
组类型
|
posted on 2007-11-15 20:54
dandelionbao 阅读(105)
评论(0) 编辑 收藏 所属分类:
计算机技术