阿光, Windows, Server, 2003 R2, LAB, Active Directory, 網域服務, AD DS, Object, Container, Organization, OU, Domain, Domain Tree, Root Domain, Domain Forest

• 因為是 DC 伺服器，所以必需設定一組固定 IP。

【確立角色】

◤ 物件 ◢

◤ 樹系 ◢

容器（Container）並非一個實體，固然他跟物件很類似，但容器可以包括一群物件，預設會有以下 5 種容器（Container）：

網域樹狀目次（Domain Tree）是由多個網域所構成，網域之間則是透過可雙向傳遞資訊的信任關係，以階層式架構組織起來。此階層關係亦反應在網域的 DNS（Domain Name System）名稱 (以下圖)，最上層的網域稱為根網域（Root Domain）。

沒有 DC，就沒有所謂的網域。在一個網域中可以設置多台 DC，以提高網域的容錯能力，填補某一台 DC 故障時，還有其他 DC 可以維持網域的運作，不致於造成網域周全停擺，另外也能夠改良利用者登入的效力，因為多台 DC 可以分攤驗證利用者身份的負擔。

◤ 組織單位 ◢

Builtin：存放本機內建的帳戶群組
Computers，寄存加入網域的電腦物件
Domain Controllers，寄存網域控制站（簡稱 DC）
ForeignSecurityPrincipals：寄存來自傲任關係網域的物件
Users：寄存網域內利用者帳戶與群組

有了以上基本的 AD 概念後，我們來進行 LAB 實作，確立屬於自己的第一個網域。

◤ 容器 ◢

• 點選「起頭功能表」→「治理您的伺服器」→「新增或移除腳色」。

• 伺服器腳色有許多種，而企業一切根本架構（infrastructure）都是從「網域節制站」入手下手衍伸。

• 提醒利用者關於 Windows Server 2003 之相容性。

• 輸入新網域完全的 DNS 名稱，凡是都是「xxx.com」。

   

   

   

• 這裡記得將 Windows Server 2003 R2 CD1 安裝光碟掛載進去虛擬機。

   

  • 建議目次辦事還原模式的系統治理員與網域系統經管員帳戶暗碼設定不要溝通！

  ---

   
  

• 這邊出現診斷失敗，是因為筆者還沒有安裝 DNS 伺服器這個腳色，沒有關係，稍後他會主動安裝並設定 DNS 伺服器。

   

  最早是在 1996 年降生，並於 Windows 2000 中初次呈現，歷經 10 多年的成長，今朝 AD 已成為成熟的目錄服務元件。

   

• 這步調在安裝及設定 DNS 辦事，可能有點久，請耐心等候。

  ◤ Active Directory ◢

  
  

  從上面 LAB 操作下來會覺得建樹一個 AD 長短常簡單的工作。

  • 此刻，這台伺服器現已成為網域節制站，是否是很簡單啊？
  • 固然，潮男必然有潮男的作法，直接「WIN + R」在執行內輸入「dcpromo」就直接到以下畫面。

  若公司需要以分歧的組織結構來管理公司的帳戶，則可以在 AD 中豎立一個或多個組織單位（OU，Organization Unit），組織單元是一個具有收納能力的 AD 物件，可以在 OU 之中寄存 AD 物件，包孕利用者、群組、電腦等，讓組織佈局在 AD 中可以被真實地顯現出來，也輕易群組原則（Group Policy）的套用與集中管理。

  【寫在前面】

  簡直，筆者也認為成立一個 AD 長短常簡單的工作，但 AD 在企業裡只是 IT 情況一切根本架構的泉源，後續的服務拓展與經管保護才是一門真實的學問！

   

   

  在 Windows Server 2003 R2 的網路情況，各網域最少要有一部網域節制站儲存此 AD 資料庫，並提供網域相幹服務，例如：登入驗證、名稱解析等。

  網域（Domain）是由一群共用統一份 AD 資料庫的電腦所組成的集合，網域為 AD 的朋分單位，AD 是由最少一個網域所構成的鸠合。

  【寫在後面】

   

   
  

  踏入 SI 這條不歸路，AD 是新手必然要知道的工具也能夠說是常識（而且 LAB 一定是做到爛掉），他具有什麼功能和什麼長處，都要去細心領會並記下來，也許你不會是網域的治理者，但如果有客戶問起總要會答出個所以然，這才是自己的專業價值所在！
  

   

• 固然也是要成立一個新的「網域」。

• 利用權限設定。

   
  

   

   

• 這是我們第一個「新網域的網域控制站」。

   

  今朝只是個最先，後頭還有很多東西等著我們去學習呢！加油！
  

  一個中大型企業，員工人數眾多，此中利用者帳戶、用戶端電腦、工作站、伺服器、儲存設備、印表機等數目一日千裏，為了便利統一集中控管、簡化管理工作、加強網路平安性，於是 Active Directory（簡稱 AD）這概念就呈現。

   

  ---

• 資料庫資料夾、記實檔資料夾就保持預設位置便可。

  所有 AD 物件均具有全域唯一辨認元（GUID，Globally Unique Identifier）與存取控制清單（ACL，Access Control List）等兩項特征，物件的 GUID 永久不會改變，不管物件的名稱或屬性如何變動，運用程式仍可透過 GUID 找到物件。
  

  ◤ 網域樹狀目錄 ◢
  

   

   

• 專業的 SI 都使用自訂設定，養成這習慣可以讓我們自己決意哪些是需要哪些是不必要。

  樹系（Domain Forest）係將多個網域樹狀目次的根網域，透過信賴關係連系而成的糾合，即組成一個樹系 (以下圖)。

  樹系可以說是 AD 中最大的集合，樹系內所有的物件構成 AD。

   

• 「NetBIOS」網域名稱就維持不變，首要意圖是讓之前不支援 DNS 網域名稱的 Windows NT（含）舊系統可以透過 NetBIOS 名稱與此網域溝通，預設是 DNS 名稱最左邊的字串（最長 15 字元）。

  AD 最小貯存單位為物件（Object），每一個物件均有本身的 schema 屬性，可以貯存分歧的資料，像是利用者、群組、電腦、信箱或其他的根基物件等。

• 確認一切資訊沒有問題後就能夠點選下一步進行安裝腳色。

   

  AD 以樹狀的資料構造來構成網路辦事的資訊，在簡單的網路環境中（例如小公司），通常網域都只有一個（上圖），在中型或大型的網路中，網域可能會有很多個，或是和其他公司或組織的 AD 彼此保持（下圖）。
  

   

   

   

• 看到這畫面示意已完成 Active Directory 安裝精靈，點選完成後重新開機。

   

  ◤ 網域 ◢
  

  
  

  • IP 位址就請自行決意。

   

  • 在建立網域後的「登入 Windows」視窗，會額外要求輸入網域名稱以登入系統，這邊可以看到多了一個名為「登入到」的選單可以選擇，裡面也泛起方才建樹的網域名稱 CONTOSO。

  
  

  而確立網域的第一步就是要創立網域控制站，而成立網域節制站的第一個動作就是安裝 AD 腳色。
  

  • 共用的系統磁碟區也就保持預設位置便可。
  
  
  引用自: http://kuang1984tw.pixnet.net/blog/post/152347486-%E3%80%90%E6%B8%AC%E8%A9%A6%E7%92%B0%E5%A2%83%E3%8IT委外|MIS外包|資訊委外|主機代管|伺服器代管|虛擬主機|郵件代管|郵件託管|雲端方案|雲端主機|網站代管|網站託管