架構基于活動目錄的公共計算機機房

摘要：活動目錄是Windows server 2000/2003的目錄管理方式，它是一種層次化、樹狀、可擴展、可伸縮的目錄結構。通過存儲網絡對象的信息，管理員和用戶可以方便地管理和使用目錄信息。該文重在論述如何設計好一個活動目錄， 以及運用活動目錄來解決學院公共計算機機房的架構等實際問題。

關鍵詞：活動目錄；架構；組策略

中圖分類號：TP308文獻標識碼：A文章編號：1009-3044(2008)33-1383-03

Construct Public Computer Room Based on Active Directory

CHEN Kong-Yan

(Dept. of Computer Engineering， Nanjing Instiute of Technology， Nanjing 211100， China)

Abstract: Active Directory is the Windows server 2000/2003 directory management. It is a level of the tree， which can be expanded， scalable directory structure. Through stored information of network object， administrators and accounts can easily manage and use the directory information. This article put emphasis on how to design an Active Directory， and solves the practical problem of the computer room construction.

Key words: active directory; construct; group policy

1 引言

隨著信息化建設的迅速發展，企業、學校的計算機數量越來越多，傳統的單機模式已不能滿足管理的需要。如何架構計算機網絡是一個值得深究的問題。

微軟公司從Windows2000服務器版開始便引入了活動目錄，活動目錄是一套用于改進Windows網絡操作系統管理、安全性和互操作性的完整的目錄服務集，在一個龐大的分布式系統中發揮著網絡集線器的作用。Windows server活動目錄能很好地管理其內部的計算機和用戶帳戶，它能把網絡上的大量資源收集起來，以分布式的方式保存在多個服務器上，并建立相應的索引機制，無論用戶在網絡的什么位置登錄，都能很快地訪問到他們想要訪問的資源。本文論述了活動目錄的規劃、安裝， 以及運用活動目錄來解決公共計算機機房如何架構的實際問題。

2 安裝活動目錄的意義

2.1 簡化管理、方便使用

安裝活動目錄分層地組織域中的資源，域控制器中保存著域目錄的一份完整副本，在任意一臺域控制器上做出修改，更新內容將被復制到該域中的所有其他域控制器。活動目錄提供一個單一的入口來登錄所有網絡資源， 管理員可以登錄任意一臺計算機并管理網絡中任何計算機上的對象，從而簡化的管理。

2.2 具有很強的可伸縮性和可擴展性

活動目錄可包含一個或多個域，每個域具有一個或多個域控制器，以便調整目錄的規模以滿足任何網絡的需要。多個域可組成為域樹，多個域樹又可組成為樹林，活動目錄也就隨著域的伸縮而伸縮。

活動目錄具有很強的可擴展性，管理員可以在計劃中增加新的對象類，或者給現有的對象類增加新的屬性。計劃包括可以存儲在目錄中的每一個對象類的定義和對象類的屬性。

2.3 提高了安全性

活動目錄和其安全性服務（如Kerberos，PKI等）緊密結合，相輔相成，共同完成安全任務和協同管理。活動目錄存儲了域安全政策的信息，例如域用戶口令的限制政策和系統訪問權限等，實施了基于對象的安全模型和訪問控制機制。在活動目錄中的每個對象都有一個獨有的安全性描述，定義了瀏覽或更新對象屬性所需要的訪問權限。不過，當LDAP客戶端訪問域時，不是由活動目錄決定訪問控制，而是由系統來實施訪問安全控制。

2.4 提高了集成性

活動目錄集成了關鍵服務，如DNS、MSMQ（消息隊列服務）；集成了關鍵應用，如電子郵件、網管、ERP等；集成了關鍵數據訪問，如ADSI、OLE DB等；還集成了關鍵的安全性，如Kerberos第五版本和公開密鑰基礎設施等。

2.5 降低總體擁有成本

總體擁有成本（TCO）是擁有計算機的實際成本，主要包括維護成本、培訓成本、技術支持成本以及相應的升級成本等。在活動目錄中應用組策略，可以對整個域中所有的計算機生效，這將大大減少分別在每一臺計算機上配置的時間，從而降低了總體擁有成本。

3 安裝和配置活動活動目錄

3.1 安裝第一個域控制器（根域）

在安裝活動目錄前可以先安裝、配置好DNS服務，也可以在安裝活動目錄的過程中安裝配置DNS，下面我們來安裝根域為jszx.njit的域控制器。配置ActiveDirectory活動目錄服務器的步驟如下：

1) 啟動AD安裝向導

方法一：開始/程序/管理工具/配置服務器/ Active Directory /啟動AD安裝向導。

方法二：熟練后一般常用，開始/運行：dcpromo。

2) 選擇“新域的域控制器”單選按鈕，創建新的子域、新的域目錄樹或新的目錄林；

3) 選擇“創建一個新的域目錄樹”單選按鈕，創建一個新域；

4) 選“創建一個新的域目錄林”單選按鈕，創建一個新的域目錄林；

5) 在“新域的DNS全名”編輯框中為新域指定一個域名；

6) 在“域NetB IOS名”編輯框中為輸入一個NetB IOS名稱；

7) 在“數據庫位置”編輯框中輸入ActiveDirectory 數據庫的位置，在“日志位置”編輯框中輸入ActiveDirectory日志的位置；

8) 在“文件夾位置”編輯框中指定作為系統卷共享的文件夾位置；

9) 選擇“是，在這臺計算機上安裝和配置DNS”單選按鈕，安裝和配置DNS；

11) 在“密碼”和“確認密碼”編輯框中輸入管理員密碼；

12) 向導開始配置本地服務器作為目錄服務器的主機；

13) 單擊“完成”按鈕，關閉向導，重新啟動計算機即可。

3.2 配置DNS

在創建獨立的域目錄林過程中， 創建了新域控制器， 把服務器作為DNS服務器， 在DNS服務器正向搜索區域中自動添加本域， 正向搜索區域和本域域名相同，因此， 除本域的正向搜索區域已加進正向搜索區域外， 還要手動添加其它的域到本域NDS的正向搜索區域中， 這些域為本域用戶跨網段登錄提供名稱解析。

3.3 建立子域

1) 以本機管理員身份登錄，在獨立或成員服務器上，啟動AD安裝向導。DNS指向目錄林根域已有DC所用的DNS服務器，以便找到已有DC。

2) 選擇：新域的域控制器，下一步，在現有的樹中創建一個新的子域。

3) 輸入父域名，如：jszx.njit；輸入子域名，如kn，則子域為kn.jszx.njit。其他步驟基本雷同安裝第一個域控制器的步驟。

3.4 計算機加入域

為了更好地管理網絡中的資源，充分利用活動目錄的特點，需要把網絡中的客戶端計算機加入到域，管理員就可以對域中的計算機進行集中的配置和管理。客戶端計算機加入到域的過程：右擊“我的電腦”， 選擇“屬性” ，在彈出的“系統屬性”對話中單擊“計算機名”標簽，單擊“更改”按鈕 ，在“隸屬于”選項區域中選中“域”單選按鈕，在空白處輸入要加入域的DNS名稱（如jszx.njit ）， 單擊確定按鈕， 在出現的對話框中輸入有加入該域權限的用戶名稱和密碼，單擊“確定”按鈕即可。

4 運用活動目錄，解決公共機房網絡架構

4.1 公共機房的活動目錄架構

活動目錄結構具有四個基本組件：域規劃、站點拓撲規劃、目錄林、組織單位規劃。活動目錄設計主要是考慮三個方面：管理策略、安全性的需要、未來業務的發展和適應性。

下面以某學院公共計算機機房為例介紹如何通過活動目錄進行網絡架構：

該學院共有三個校區，拓撲結構如圖1，在三個校區都設有公共計算機機房，校區之間通過光線連接，我們希望通過WINDOWS2003活動目錄進行網絡架構，具體要求：1) 整個網絡組織使用一個架構；2) 減少三個校區的公共計算機機房的網絡通信量，不同校區應用不同的安全組策略；3) 在樹林根域中提供目錄服務和DNS容錯能力；4) 減少活動目錄流量的復制，所有活動目錄中的對象都是在一個域中進行復制。

針對以上要求，我們做如下設計

1) 由于Schema 在樹林中唯一，所以在整個組織中只建一個樹林。

2) 為減少不同地理位置的復制流量和實現組策略，在每個校區建立一個域，即：在A校區（主校區）建立根域jszx.njit；在森林中建立兩個子域，即：在B校區建立子域syzx.jszx.njit，在C校區建立子域kn.jszx.njit，在所有域上安裝DNS 服務器，在子域中建立輔助區域。不同校區的同學在公共計算機機房使用自己的域帳號，可以方便地登錄到所在校區的域服務器，如果需要也可以登錄到其他校區的域服務器，即學生能在不同校區可以選擇要登錄的域服務器。3) 在樹林的根域中設置兩個域控制器，在每個校區都配置好DNS，保證提供目錄服務與DNS 容錯能力。

通過以上規劃設計，某學院公共計算機機房的活動目錄構架如圖2。

4.2 活動目錄的應用

所有的組織單位都在域控制器Domain Controller(DC)中建立，它門作為活動目錄的對象保存在活動目錄中，在“Active Directory 用戶和計算機”活動目錄中建立如圖3所示的公共計算機機房活動目錄組織結構。最下面的一級為用戶名，其他的為組織單位，為了方便管理我們創建了分年級、分學院、分班級的多級組織單位，在最低層的組織單位班級中，利用自己開發的創建域用戶程序為每位同學創建一個帳號（學生證號碼），同時我們創建了“管理組”，在其下又創建了二級組織單位“管理員帳號”、“公用帳號”、“教師帳號”， 在這三個組中各創建了一些帳號，分別共機房管理人員管理計算機、學生計算機等級考試、上課教師使用。

創建這種活動目錄結構后，管理員可以編輯不同的組策略，限制不同用戶的登錄時間、訪問權限等，從而對學生帳號進行良好的管理，同時通過采用組策略，管理員可以使用登錄腳本完成客戶機器的軟件安裝，如安裝VB軟件，具體方法如下：1) 把VB軟件拷貝到服務器（IP地址210.29.161.251）的某一目錄下（如E:\\VB），設置為共享。2) 編輯A.BAT文件，內容：NET USERX: \\\\210.29.161.251\\vb ;X:\\SETUP.EXE。3) 編輯“管理員帳號”的組策略，設置登錄腳本名：X:\\ SETUP.EXE， 同時把處理文件A.BAT拷貝到“瀏覽”窗口的Logon目錄中即可。4) 在客戶機上用“管理員帳號”的組中的帳號（如cky）登錄域服務器，客戶機會運行登錄腳本，完成VB的安裝。同樣通過上述方法可以完成對客戶機硬盤的清理、病毒庫的升級的清理等工作，從而提高了管理機房的工作效率。

圖1 某學院公共計算機機房校區分布

圖2 某學院公共計算機機房的活動目錄構架

圖3 公共計算機機房活動目錄組織結構

5 小結

公共計算機機房通過合理地架構活動目錄，結合域策略，幾年來我們高效安全地管理了三個校區的一千多臺計算機以及近1.5萬個帳號。一方面為學生提供了豐富的網絡資源，另一方面保證了網絡資源的安全性。

參考文獻：

[1] 卓越，王紅.Windows 2000 培訓教程[M].北京:人民郵電出版社，2002.

[2] 王曄譯.理解活動目錄服務[M].北京: 科學出版社，2003.

[3] 施光偉.Windows2000Server配置與管理[M].北京:清華大學出版社，2001.

[4] 殷強.Win 2k活動目錄[M].北京:清華大學出版社，2003.