Win2000 Active Directory y configuración de instalación

Después de comprender el principio de Active Directory, ahora podemos instalar y configurar Active Directory. El proceso de instalación y configuración de Active Directory no es muy complicado, porque WIN2K proporciona un asistente de instalación. Simplemente siga. configurar de acuerdo con los requisitos del sistema paso a paso. Sin embargo, el trabajo de preparación antes de la instalación es relativamente complicado. Sólo con un conocimiento completo de Active Directory se puede instalar y configurar Active Directory correctamente. Ahora presentaré en detalle la instalación y configuración de Active Directory y su preparación.

1. Preparación antes de la instalación de Active Directory

Sabemos anteriormente que "Active Directory" es un servicio clave en todo el sistema WIN2K. No está conectado con muchos. protocolos Tiene una relación muy estrecha con el servicio y también involucra la estructura del sistema y la seguridad de todo el sistema WIN2K. Instalar "Active Directory" no es tan simple como instalar componentes normales de Windows. Se requiere una serie de planificación y preparativos antes de la instalación. De lo contrario, al menos no podrá disfrutar de las ventajas que ofrece Active Directory y, en el peor de los casos, no podrá instalar el servicio "Active Directory" correctamente.

1. Primero, antes de instalar Active Directory, debe asegurarse de que WIN2K Server o Advanced Server se haya instalado en una máquina, que haya al menos una partición NTFS y que el protocolo DNS se haya configurado para TCP. /IP y DNS El servicio admite registros SRV y protocolos de actualización dinámica.

2. El segundo paso es planificar la estructura de dominios de todo el sistema. Active Directory puede contener uno o más dominios si la estructura de directorios de todo el sistema no está bien planificada y la jerarquía no está clara. no funcionará bien. Elegir el dominio raíz (que es el dominio básico de un sistema) es clave aquí. Hay varias opciones para seleccionar el nombre de dominio raíz:

1) Puede utilizar un nombre de dominio DNS registrado como raíz. de la actividad. Nombre de dominio, la ventaja de esto es que la red pública y la red privada de la empresa utilizan el mismo nombre DNS.

2) También podemos utilizar un nombre de subdominio de un nombre de dominio DNS registrado como nombre de dominio raíz del directorio activo.

3) Seleccione un nombre de dominio para Active Directory que sea completamente diferente del nombre de dominio DNS registrado. Esto permite que la red corporativa presente dos estructuras de nombres completamente diferentes internamente y en Internet.

4) Asigne un nombre a la parte pública de la red empresarial con un nombre de dominio DNS registrado y utilice otro nombre de dominio interno para la red privada para separar las dos partes del espacio de nombres. Esto hace que cada parte deba usarse. el espacio de nombres de la otra parte para identificar el objeto al acceder a la otra parte.

3. Otro paso es planificar el nombre de dominio y cuenta, porque uno de los significados de usar Active Directory es utilizar un servicio de directorio unificado para redes internas y externas y adoptar un esquema de nombre unificado para facilitar el acceso a la red. Gestión y tratos comerciales. El nombre de dominio de Active Directory suele ser el nombre DNS completo del dominio, pero para garantizar la compatibilidad con versiones anteriores, cada dominio también tiene un nombre anterior a WIN2K para usar en computadoras que ejecutan sistemas operativos anteriores a WIN2K. Cuentas de usuario En Active Directory, cada cuenta de usuario tiene un nombre de inicio de sesión de usuario, un nombre de inicio de sesión de usuario anterior a WIN2K (nombre de cuenta del Administrador de cuentas de seguridad) y un sufijo de nombre principal de usuario. Al crear una cuenta de usuario, el administrador ingresa su nombre de inicio de sesión y selecciona el nombre principal del usuario. Active Directory recomienda que los inicios de sesión de usuarios anteriores a WIN2K utilicen los primeros 20 bytes del nombre de inicio de sesión de este usuario. La estrategia de nombres de Active Directory es el primer paso para que una empresa planifique su sistema de red. La estrategia de nombres afecta directamente la estructura básica de la red e incluso afecta el rendimiento y la escalabilidad de la red. Active Directory proporciona un buen modelo de referencia para las empresas modernas, teniendo en cuenta la estructura multinivel de la empresa y la naturaleza distribuida de la empresa, e incluso proporciona un modelo de nombres completamente consistente para el acceso directo a Internet.

El llamado nombre principal de usuario se refiere al nombre de la cuenta de usuario y el nombre de dominio que indica el dominio donde se encuentra la cuenta de usuario. Este es un uso estándar para iniciar sesión en un dominio WIN2K. El formato estándar es: usuario@dominio.com (como una dirección de correo electrónico personal). Pero no incluya un signo @ en el nombre de inicio de sesión del usuario ni en el nombre principal del usuario.

Active Directory agrega automáticamente este símbolo al crear el nombre principal del usuario. Los nombres principales de usuario que contienen varios signos @ no son válidos.

En Active Directory, el sufijo del nombre principal del usuario predeterminado es el nombre DNS del dominio raíz en el árbol de dominios. Si la organización del usuario utiliza un árbol de dominios de varios niveles que consta de departamentos y regiones, el nombre de dominio del usuario subyacente puede ser muy largo. Para los usuarios de este dominio, el nombre principal de usuario predeterminado puede ser grandchild.child.root.com. El inicio de sesión predeterminado para los usuarios de este dominio puede ser usuario@grandchild.child.root.com. Esto significa que el nombre de usuario que el usuario debe ingresar al iniciar sesión puede ser demasiado largo, lo cual es muy inconveniente de ingresar. Para resolver este problema, WIN2K estipula que después de crear el nombre principal, el usuario solo necesita agregar el nombre. nombre de usuario correspondiente después del dominio raíz Permite que el mismo usuario inicie sesión utilizando el nombre de inicio de sesión más simple usuario@root.com en lugar de la larga lista mencionada anteriormente.

4. El último paso es configurar y planificar la relación de confianza entre dominios. Para computadoras WIN2K, habilite la verificación de cuentas entre dominios a través de una relación de confianza transitiva bidireccional basada en el protocolo de seguridad Kerberos V5. Cuando crea un dominio en el árbol de dominios, las relaciones de confianza se establecen automáticamente entre dominios adyacentes (dominios principal e secundario). En un bosque de dominio, se establece automáticamente una relación de confianza entre el dominio raíz del bosque y el dominio raíz de cada árbol de dominio agregado al bosque. Si estas relaciones de confianza son transitivas, los usuarios y las computadoras pueden autenticarse entre cualquier dominio en un árbol o bosque de dominios.

Si actualiza un dominio de Windows con una versión anterior de WIN2K a un dominio WIN2K, el dominio WIN2K conservará automáticamente la relación de confianza unidireccional existente entre el dominio y cualquier otro dominio. Incluye todas las relaciones de confianza para dominios de Windows anteriores a WIN2K. Si un usuario está instalando un nuevo dominio WIN2K y desea establecer una relación de confianza con cualquier dominio de versión anterior de WIN2K, se debe crear una relación de confianza externa con esos dominios.

2. Instalación de Active Directory

Todas las instalaciones nuevas se instalan como servidor miembro. Si elige instalar la opción "Active Directory" al instalar WIN2K SERVER, el sistema le indicará. Aparecerá algo similar a "Si instala Active Directory en este momento, todos los nombres de dominio en el sistema no se pueden cambiar nuevamente...". Generalmente, no elegimos instalar Active Directory cuando instalamos un nuevo sistema, para tener tiempo de planificar específicamente los protocolos y la estructura del sistema relacionados con Active Directory. Los servicios de directorio deben instalarse especialmente más adelante mediante el comando Dcprom o. El servicio de directorio también se puede desinstalar, en lugar de configurarlo de por vida al principio como cuando se instala Windows NT 4.0. El sistema distinguirá entre controladores de dominio y servidores miembro, y no habrá conversión entre los dos.

Dcpromo es un asistente gráfico que guía a los usuarios paso a paso para crear un controlador de dominio. Puede crear un nuevo bosque de dominio, un árbol de dominio o simplemente otra copia de seguridad del controlador de dominio, lo cual es muy conveniente. . Muchos otros servicios de red, como el servidor DNS, el servidor DHCP y el servidor de certificados, se pueden instalar integrados con Active Directory más adelante para facilitar la gestión de políticas. No hay nada especial en este asistente de interfaz gráfica. Siempre que comprendamos el significado de Active Directory y llevemos a cabo una serie de planificación antes de la instalación, podremos completar fácilmente todas las tareas de instalación.

Una vez instalado Active Directory, hay tres interfaces de administración de Microsoft (MMC) principales para Active Directory. Una es la administración de usuarios y equipos de Active Directory, que se utiliza principalmente para implementar la administración de dominios. Dominio. La gestión de relaciones de confianza de dominio se utiliza principalmente para gestionar relaciones de múltiples dominios. También existe la gestión de sitios de directorio activo, que puede colocar controladores de dominio en diferentes sitios. Generalmente, dentro del alcance de una red de área local, es un sitio y la replicación entre controladores de dominio dentro del sitio se realiza automáticamente; la replicación entre controladores de dominio entre sitios requiere configuración del administrador para optimizar el tráfico de replicación y mejorar la escalabilidad.

Desde la interfaz de administración de Active Directory, también puede hacer clic con el botón derecho en sitios, dominios y unidades organizativas para iniciar la interfaz de administración de políticas de grupo para implementar una administración detallada de objetos.

Para sitios, dominios y unidades organizativas, los administradores también pueden realizar fácilmente la autorización de gestión. Haga clic derecho sobre ellos para iniciar el "Asistente de autorización de administración" para establecer qué administradores tienen qué derechos de administración para qué objetos, paso a paso. Por ejemplo, el administrador del centro de soporte técnico interno de una empresa solo tiene autoridad para restablecer las contraseñas de los usuarios, pero no tiene autoridad para crear o eliminar cuentas de usuario. Este método de gestión más detallado se convierte en "granularización".

Además, Active Directory también considera plenamente las necesidades de los servicios de directorio de copia de seguridad y recuperación. La herramienta de copia de seguridad WIN2K tiene una opción especial para realizar una copia de seguridad de Active Directory. Cuando ocurre un accidente, puede presionar F8 cuando la máquina. Se inicia Ingrese al modo de recuperación segura para garantizar que se reduzca el impacto negativo de los desastres.