这节课我们一起来学习Win2003域的安装配置，用户管理、委派管理、辅助域控建立、子域建立及域管理介绍及域信任。

在Windows中AD（活动目录）是用来存储用户帐户、组、打印机、共享文件夹等对象目录的，它负责目录数据库的保存、新建、删除、修改及查询等服务。

域部署过程如下：

1、利用Windows2003安装域控制器;

2、在Active Directory中创建OU，用户帐户及组；

3、将客户机Windows XP或Windows2000 professional加入域；

4、辅助域控建立；

5、子域建立；

6、域信任关系；

7、从Win2000到Win2003

一、安装第一台域控制器（管理员密码设置一个简单的123456）

在安装域控制器之前要决定你是AD中的林根还是树或是子域，以及是域中的第一个DC还是第一台之后的DC,如果是AD中第一就好办啦.

安装DC之前要注意把你的DC上的DNS指向自己，域有域名所以需要DNS做域名解析，所以建议大家在安装的域控制器的时候就把DNS指向自己，然后在安装DC的时候选择在DC上安装DNS。（如果你对DNS比较熟的话可以将DNS安装在其它的DNS上）。

安装之前有几点要注意的：

1、需要固定IP，指向DNS为自己；

2、需要有NTFS分区存放sysvol文件夹

3、Windows 2003 Web Edition无法安装为DC

在运行中输入“Dcpromo”打开安装向导，

在这里直接点击“下一步”，

这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”，

在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”，

既然是第一台域控，那么当然也是选择“在新林中的域”，

在这里我们要指定一个域名，我在这里指定的是demo.com，

这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

在这里要指定AD数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。

这里是指定SYSVOL文件夹的位置，还是那句话，没有特殊情况，不建议修改:NTFS分区存放是必须的。

注：一般情况下都在这个时直接安装DNS，如果己经安装了DNS就无需WIN2003安装光盘。

单击“下一步”，

这是一个权限的选择项，在这里，我选择第二项:“只与Windows 2000或Window 2003操作系统兼容的权限”，因为在我做实验的整个环境里，并没有Windows 2000以前的操作系统存在”，

这里是一个重点，还原密码，希望大家设置好以后一定要记住这个密码，千万别忘记了，因为在后面的关于活动目录恢复的文章上要用到这个密码的,

这是确认画面，请仔细检查刚刚输入的信息是否有误，尤其是域名书写是否正确，因为改域名可不是闹着玩的，如果有的话可以点上一步进入重输，如果确认无误的话，那么点“下一步”就正式开安装了,

几分钟后，安装完成

完成后，选择“立即重新启动”

然后来看一下安装了AD后和没有安装的时候有些什么区别，首先第一感觉就是关机和开机的速度明显变慢了，再看一下登陆界面:

多出了一个“登陆到”的选择框:

进入系统后，右键点击“我的电脑”选“属性”，点“计算机”

怎么样?和安装AD以前不一样吧，其它的比如没有本地用户了，在管理工具里多出么多图标什么的，这些将在以后的文章里讲述，这里就不再详谈了。

二、创建用户及委派

完装完必后可打开“AD用户和计算机”对帐户、组、计算机、OU、策略等等进行管理.

先来新建一个用户，展开“demo.com”，在“Users”上击右键，点“新建”-“用户”:

然后出现一个新建用户的向导，在这里，我新建了一个名为“swg”的用户，并且把密码设为“永不过期”。

这样点“下一步”，直到完成，就可以完成用户的创建。然后在“demo.com”上点击右键，先择“委派控制”:

就会出现一个“委派控制向导”:

点击“下一步”:

点击中间的“添加”按钮，并输入刚刚创建的“swg”帐号:

然后点“确定”:

再点“下一步”:

在上面的画面中，暂时不需要让该用户去“管理组策略链接”，所以在这里，仅仅选择“将计算机加入到域”，然后点“下一步”:

最后是一个信息核对画面，要是没有什么问题的话，直接点“完成”就可以了。

注：当我们完成了委派之后，如果想去掉委派可以打开“AD用户和计算机”查看---高级功能,然后在委派的容器上右击“属性”---安全性中可以进行定制（添加、修改、删除）三、将Windows XP加入到DC

首先设置一下TCP/IP相关属性，一定要保证可以ping通DC域名,当然要把DNS的指向到DC的IP地址了，因为DC 就是DNS服务器。

接下来转到客户端，看看怎么把XP进来，在实验中采用的客户端操作系统是Windows XP专业版，需要大家注意的是Windows XP 的Home版由于针对的是家庭用户，所以不能加入域，大家别弄错了哟，我们先来设置一下这台XP的网络:

计算机名:TestXP

IP:192.168.5.5

子网掩码:255.255.225.0

DNS服务器:192.168.5.1，

设置完网络以后，在“我的电脑”上击右键，选“属性”，点“计算机名”。

在这里把“隶属于”改成域，并输入:“demo.com”，并点确定，这是会出现如下画面:

输入刚刚在域控上建的那个“swg”的帐号，点确定:

出现上述画面就表示成功加入了，然后点确定，点重启就算OK了。来看一下登陆画面有没有什么不一样:

看到那个“登陆到”了吧，可以选择域登陆还是本机登陆了，在这里选择域“DEMO”，这样就可以用域用户进行登陆了。进入系统后，在“我的电脑”上击右键，选“属性”，点“计算机名”:

安装完毕后就可以在“AD用户和计算机”中Computers中查看到其相应的计算机名,如果有需要可以将计算机名转移动不同的容器中。

四、辅助域控制器建立

1、在建立辅助域控前我们先要在要建立辅助域控的服务器上建立一个DNS协助区域。在此前要主DNS服务器允许区域复制，否则会报错。

到这里DNS辅助区域建立完成，我们以相同的方式建立反向区域的辅助服务器。

2、我们在第二台服务器上执行DCPROMO来安装第二台域控器，步骤与建立第一台

域控差不多，中间有几个地方选择不一样，我们要注意一定要选择现在域的额外域控。

然后输入域管理员的帐户、密码及域名，然后下一步

下面的步骤基本与第一台域控安装时一样，这里我们可以看到这个服务器将配置成Demo.com域的额外域控。在安装过程中我们看到的一些信息与第一台域控时有所不同，

安装完成了，重启计算机。

我们到站点和服务管理器中去看，此时我们就可以看到有两台服务器，里面有自动建立的自动复制链接。两个域控之间信息复制正常，辅助域控建立完成。

五、子域建立（根域的域功能模式必须是纯模式）

在要建立子域的服务器上将首选DNS指向根DNS服务器，然后执行DCPROMO AD安装向导，根据向导选择建立新域控制器，然后再选择在现在域树中的子域。

指定父域并确定子域域名

如果DNS配置正确就会通过DNS注册诊断，如果DNS配置不正确那么就要检查一下这台服务器是否能够与根DNS服务器通信。

下面的步骤基本一样，最后完成了，我们再来检查一下站点与服务里这些服务器的复制是否自动建立并能够正常复制。

为是确保了域的客户机在父域无法联系时能够正常登陆，我们在子域的域控上做一个DNS服务，由父域进行委派DNS，子域就基本配置完成了。

六、域信任关系

域信任是两个域之间沟通的桥梁，两个域相互信任之后，双方的用户便可以访问对方域的资源，利用对方的计算机进行登录。

域的信任有信任与被信任之分，如A域信任B域，则B域被A域信任；此时B 域的用户可以访问A域内的资源，若B域不信任A域，那么A域内的用户是无法访问B域内的，一个域信任另一个域，而被信任域不信任此信任域，这种信任关系为单向信任关系；或被信任域同时也信任了信任域，这样两个域就相互信任了，两个域内的用户都可以访问对方域内的资源了，这种信任关系称为双向信任。

信任的各类共有六种，首先是父域与子域之间的信任为“父－子”信任，这种信任关系在建立子域的时候就会被自动建立并且是双向信任，还有一种会被自动建立的信任就是“树－根目录”信任，也是双向信任，即同一个林中，林根域与其他树根域在林建立的时候建立双向信任，他们子域也会自动建立双向信任。快捷信任是指两个根域双向信任后，其子域之间可以建立信任关系。林信任是指两个Win2003林之间建立的信任关系，这种信任会被传递到林中的域树，所有域内的用户可以访问其他域内的资源，不论此域位于哪个林内。Win2003域与非Win2003域之间可以通过外部信任来建立信任关系，位于不同林中的域也可以通过外部信任来建立信任关系。外部信任是不具备传递性的，只有建立了信任关系的两个域之间可以互相访问。Win2003域与非Windows系统之间可以信任关系，这种信任关系称为领域信任，领域信任可以单向的也可以是双向的，也可以在“传递性”和“传递性”之间传递。下面我们就一起来学习如何建立域信任关系。

前面我们提到，父－子信任是自动建立的，我们来看一下，我们之前所做的子域与父域之间是否会自动建立“父－子信任”。打开域和信任关系管理器查看域信任关系：在父域上我们可以看到这样的域信任关系：

在子域上我们可以看到这样的信任关系：

我们可以看到父域与子域之间的信任关系已经被自动建立，那么域的信任是如何来建立的呢。在建立信任之前我们要确定要建立哪们关系的信任，是双向信任还是单向信任，单向信任是内传还是外传，下面我们一起动手来做一下：

打开域和信任关系管理器，

选择新建信任，启动信任向导

输入要与此域建立信任的域的标准域名

系统通过DNS没有解析到输入的域，会让我们选择建立领域信任或是两个Windows 域之间的信任，此时我们需要解决两个域之间DNS解析问题，

解决了两个域之间解析问题后系统会自动识别对方域为Windows域还是非Windows 域，这里我们选择单向信任，由LM.com域外传信任到Demo.com域，即Lm.com域信任Demo.com域，而Demo.com域被Lm.com域信任却不信任Lm.com域，这样Demo.com域的用户可以访问Lm.com域内的资源而Lm.com域内的用户却无法访问Demo.com域内的资源，这种单向信任需要双方设置相同的信任密码。

确认传出信任

这时我们会收到错误信息，由于对方域没有建立信任关系，所以我们在确认传出信任前要在对方域建立单向的传入信任。

我们在对方域中建立一个单向内传信任

这里我们要注意，必须输入刚才Lm.com域建立单向外传信任时所输入的密码

下一步我们需要验证Lm.com域的管理员的用户及密码来确认传入信任

输入正确后，信任被传入，信任关系建立成功

我们再回到Lm.com域来确认传出信任

到这里由Lm.com域传出的单向信任建立完毕。Demo.com域内的用户可以根据相应的权限访问Lm.com域内的资源了。

七、从Win2000域升级到Win2003域

1、确认当前的Windows 2000域控制器工作正常，并且都打了Service Pack 4

2、确认Windows 2000活动目录中的5个FSMO角色都在第一台Windows 2000域控制器上（默认情况就是这样的）。

3、在Windows 2000域控制器的光驱中插入Windows Server 2003安装光盘。在命令行方式下进入光盘上的\\I386目录，运行以下命令：adprep /forestprep。该命令成功完成之后，再运行以下命令：adprep /domainprep。这一步是必须的，否则在Win2003服务器提升为域控的时候会提示域林架构未准备好！只有在承载架构操作主机的域中，才需要运行adprep /forestprep 和adprep /domainprep 两者。

4、完成这一步之后，我们便扩展了当前的Windows 2000活动目录林的架构，这样就可以将Windows Server 2003加入到活动目录林中作为其中的域控制器，或者将现有的Windows 2000域控制器升级为Windows Server 2003。

5、在新服务器上安装Windows Server 2003，确认这台Windows Server 2003网络连接正常，可以访问域控制器和DNS服务器。将其配置为使用固定IP地址，并指定DNS 服务器地址。

6、在Windows Server 2003上运行dcpromo命令将其升级为域控制器，并在升级时选择使其成为现有Windows 2000域的额外的域控制器。

7、在Windows Server 2003上安装DNS服务，确认它已经和原来的Windows 2000 DNS服务器上的数据复制同步后，将它的DNS服务器地址指向自己。

8、将这台Windows Server 2003域控制器设为全局编录（Glocal Catalog）服务器，将原Win2000域控上的5个角色转移到这台服务器上。

9、完成以上操作之后，新的Windows Server 2003域控制器便替代了原来的第一台Windows 2000域控制器的角色，但我们需要等待一段时间使原来的Windows 2000域控制器上的和全局编录及FSMO角色相关的活动目录信息完全复制到Windows Server 2003域控制器上。建议您观察一两天时间，并确认新的Windows Server 2003域控制器/DNS服务器一切工作正常后，再将原来的Windows 2000域控制器降级。

10、当不再需要Win2000域控并且所有的Windows 2000域控制器都成功降级，当前域中只剩下Windows Server 2003域控制器后，我们便可以提升当前域/活动目录林的功能级别，以便应用Windows 2003活动目录中的一些新特性。下载本文