S-01. 域服務安裝與配置 ❀ Windows Server 2008 R2

        【簡介】域英文叫 DOMAIN，是 Windows 網絡中獨立運作的機關，域之間互相通路則需要建立信任關系 (即 Trust Relation )。信任關系是連接配接在域與域之間的橋梁。當一個域與其他域建立了信任關系後，2 個域之間不但可以按需要互相進行管理，還可以跨網配置設定檔案和列印機等裝置資源，使不同的域之間實作網絡資源的共享與管理。

  什麼是域

        域既是 Windows 網絡作業系統的邏輯組織單元，也是Internet的邏輯組織單元，在 Windows 網絡作業系統中，域是安全邊界。域管理者隻能管理域的内部，除非其他的域顯式地賦予他管理權限，他才能夠通路或者管理其他的域，每個域都有自己的安全政策，以及它與其他域的安全信任關系。

        在域模式下，至少有一台伺服器負責每一台聯入網絡的電腦和使用者的驗證工作，相當于一個機關的門衛一樣，稱為“域控制器（Domain Controller，簡寫為DC）”。

        域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等資訊構成的資料庫。當電腦聯入網絡時，域控制器首先要鑒别這台電腦是否是屬于這個域的，使用者使用的登入賬号是否存在、密碼是否正确。如果以上資訊有一樣不正确，那麼域控制器就會拒絕這個使用者從這台電腦登入。不能登入，使用者就不能通路伺服器上有權限保護的資源，他隻能以對等網使用者的方式通路Windows共享出來的資源，這樣就在一定程度上保護了網絡上的資源。

  安裝域服務角色

        首先安裝Windows Server 2008 R2 系統。

        ① 在Windows工作列上點系統管理器圖示；

        ② 在左邊菜單欄點選【角色】，右邊點選【添加角色】；

        ③ 提示此向導是向伺服器安裝角色，點選【下一步】；

        ④ 因為是安裝域服務功能，是以在這裡隻需要選擇【Active Directory 域服務】；

        ⑤ 在安裝Active Directory 域服務之前，還需要安裝.Net Framework，點選【添加必需的功能】；

        ⑥ 回到選擇伺服器角色介面，點選【下一步】；

        ⑦ 顯示域服務簡介，點選【下一步】；

        ⑧ 提示要安裝兩個角色，點選【安裝】；

        ⑨ 很快兩個角色就安裝成功，點選【關閉】。

  配置域服務

        角色安裝後，還需要對域服務進行配置。

        ① 回到伺服器管理器，在角色菜單中可以看到多了一個Active Directory 域服務，邊上有個紅叉。滑鼠點選打開；

        ② 點選【運作Active Diectory域服務安裝向導】；

        ③ 顯示歡迎介面，點選【下一步】；

        ④ 提示作業系統的相容性，點選【下一步】；

        ⑤ 這裡選擇【在新林中建立域】，如果網絡裡已經有了多個域，就可以選擇上面的選項。點選【下一步】；

        ⑥ 輸入要建立的域名稱，要用.com的形式，然後點選【下一步】；

        ⑦ 林功能級别保持預設，然後點選【下一步】；

        ⑧ 域功能級别保持預設，然後點選【下一步】；

        ⑨ 其它域控制器選項，預設要安裝DNS服務，點選【下一步】；

        ⑩ 提示無法建立DNS伺服器的委派，是否要繼續，這裡點選【是】；

        ⑪ 顯示資料庫、日志檔案、SYSVOL的安裝目标，這裡保持預設，點選【下一步】；

        ⑫ 設定目錄服務還原模式密碼，這個密碼不能和Administrator相同，當域服務出現問題，進入還原模式時需要用到這個密碼；

        ⑬ 配置全部設定完成，點選【下一步】；

        ⑭ 安始配置域服務，需要等待一會兒；

        ⑮ 配置好了，點選【完成】；

        ⑯ 需要重新啟動系統 Active Directory 域服務才能生效，重新開機登入系統時，可以看到Administrator使用者名前面出現了域名。

  域常用設定

        現在就可以根據需要配置域了。

        ① 再次進入伺服器管理器，點選左邊菜單角色，可以看到Active Directory域服務左邊的紅色叉不見了，點選【Active Directory域服務】；

        ② 展開左邊Active Directory 域服務菜單，可以看到生成的域lw.com,以及下面的組織結構；

        ③ 在域名上點選滑鼠右鍵，選擇菜單【建立】－【組織機關】；

        ④ 輸入建立的組織機關名稱，名稱自定義，如果域了解為是一個大公司的話，組織機關就可以了解為是一個分公司；

        ⑤ 在建立的組織機關上點選滑鼠右鍵，選擇菜單【建立】－【組】；

        ⑥ 輸入組名，其它預設，點選【确定】；

        ⑦ 在建立的組織機關上點選滑鼠右鍵，選擇菜單【建立】－【使用者】；

        ⑧ 輸入使用者名資訊，點選【下一步】；

        ⑨ 輸入密碼，密碼要符合系統的設定要求，比如長度、多符号等。預設是下次登入更改密碼，為了省去麻煩，這裡選擇密碼永不過期；

        ⑩ 使用者設定完成，點選【完成】，就會建立一個使用者了；

        ⑪ 為了友善的管理多個使用者，可以把使用者加入組，輕按兩下剛才建立的Fortinet組；

        ⑫ 點選成員子菜單，點選【添加】；

        ⑬ 輸入需要加入到組的使用者名，點選【确定】；

        ⑭ 可以看到使用者已經加入到組中，如果需要加入多個使用者，可以再次點選添加。完成後點選【确定】。根據上面步驟，可以建立多個組和使用者，将使用者加入組内友善管理。

  檢視域結構

        在建立防火牆與域伺服器連接配接的時候，我們需要根據域結構輸入參數。

        ① 在Windows工作列上點選菜單圖示，在菜單中找到【管理工具】下的【ADSI編輯器】；

        ② 點選菜單【操作】下的【連接配接到】；

        ③ 預設為目前登入的域，點選【确定】；

        ④ 這樣就可以看到整個域結構了。