の詳細な説明
Active Directoryの原理を理解した後、今やActive Directoryをインストールして構成することができます。
インストールウィザードは、プロンプトに従ってシステム要件に従ってください。ただし、インストール前の準備作業はより複雑で、Active Directoryを完全に理解している場合にのみActive Directoryを正しくインストールできます。以下に、Active Directoryのインストールと設定、およびその準備について詳しく説明します。
まず、インストール前のActive Directoryの準備
これまで、 "Active Directory"はWIN2Kシステム全体の中で重要なサービスであることを知っていましたが、孤立したものではなく、多くのプロトコルやサービスと密接な関係にあります。また、WIN2Kシステム全体のシステム構造とセキュリティにも関連しています。 Active Directoryのインストールは、通常のWindowsコンポーネントのインストールほど簡単ではありませんので、インストールの前に一連の計画と準備が必要です。そうでないと、Active Directoryの利点を享受できず、またActive Directoryサービスを正しくインストールできません。
1.まず、Active Directoryをインストールする前に、WIN2K ServerまたはAdvanced Serverがインストールされたマシンと少なくとも1つのNTFSパーティションがあり、DNSプロトコルがTCP /IP用に設定され、DNSサービスがSRVレコードをサポートすることを確認します。そして動的更新プロトコル。
2、システム全体のドメイン構造を計画することによって続いて、システム全体のディレクトリ構造がうまく計画されていない場合、Active Directoryは1つまたは複数のドメインを含めることができます優位性ここでルートドメイン(つまりシステムの基本ドメイン)を選択することが重要です。ルートドメイン名の選択は次のようになります。
1)アクティブな宛先ルートドメイン名として、すでに登録されているDNSドメイン名を使用できます。利点は、企業のパブリックネットワークとプライベートネットワークが同じDNS名を使用することです。
2)登録したDNSドメイン名のサブドメインをActive Directoryのルートドメイン名として使用することもできます。
3)Active Directoryに登録されているDNSドメイン名とは完全に異なるドメイン名を選択してください。これにより、企業ネットワークは、内部的にもインターネット上にも、まったく異なる2つの命名構造を提示できます。
4)すでに登録されているDNSドメイン名を使用して企業ネットワークのパブリック部分に名前を付けます。プライベートネットワークは、別の内部ドメイン名を使用して名前空間から2つの部分を分離します。他人の名前空間を使用して画像を識別する必要があります。
3、もう1つはドメインとアカウントの命名計画を行うことです。ActiveDirectoryを使用する意味の1つは、ネットワーク管理とビジネス上の連絡を容易にするために統一命名方式を使用して、内部および外部ネットワークで統一ディレクトリサービスを使用することです。 。 Active Directoryドメイン名は通常ドメインの完全なDNS名ですが、下位互換性を確保するために、各ドメインは旧バージョンのWIN2Kのオペレーティングシステムを実行しているコンピュータで使用するために旧バージョンのWIN2Kの名前を持つことが好ましい。ユーザーアカウントはActive Directoryにあり、各ユーザーアカウントには、ユーザーログイン名、以前のバージョンのWIN2Kのユーザーログイン名(セキュリティアカウントマネージャのアカウント名)、およびユーザーのプライマリ名サフィックスがあります。 Active Directoryでは、以前のバージョンのWIN2Kのユーザーログインでは、このユーザーのログイン名の最初の20バイトを使用することをお勧めしています。 Active Directory命名戦略は、企業計画ネットワークシステムの最初のステップであり、ネットワークの基本構造に直接影響を与え、さらにネットワークのパフォーマンスとスケーラビリティにも影響を与えます。 Active Directoryは、企業のマルチレベル構造を考慮し、企業の分散性を考慮し、さらにインターネットへの直接アクセスのための完全に一貫した命名モデルを提供するなど、現代の企業に適した参照モデルを提供します。
いわゆるユーザーメイン名は、ユーザーアカウント名と、そのユーザーアカウントが存在するドメインのドメイン名で構成されています。これはWIN2Kドメインにログインするための標準的な使い方です。標準形式は次のとおりです。
[email protected](個人の電子メールアドレスのように)。ただし、ユーザーのログイン名またはユーザーのプライマリ名に@記号を含めないでください。 Active Directoryこのシンボルは、ユーザーのプライマリ名が作成されたときに自動的に追加されます。複数の@記号があるユーザーのプライマリ名は無効です。
Active Directoryでは、デフォルトのユーザーのプライマリ名サフィックスは、ドメインツリー内のルートドメインのDNS名です。ユーザーの組織が部署と地域で構成されるマルチレベルドメインツリーを使用している場合、基盤となるユーザーのドメイン名は非常に長くなる可能性があります。このドメインのユーザーの場合、デフォルトのユーザーのプライマリ名はgrandchild.child.root.comです。このドメインのユーザーのデフォルトのログイン名は
[email protected]です。この問題を解決するために、WIN2Kでは、メイン名を作成した後、ユーザーはルートドメインの後に対応するユーザー名を追加するだけでよいと規定されています。上記の長いリストの代わりに、同じユーザーがより簡単なログイン
[email protected]でログインできるようにします。
4、最後のドメイン間のアカウント認証を可能にするためにKerberos V5セキュリティプロトコルに基づく双方向の推移的な信頼関係を通して、WIN2Kコンピュータのために、ドメイン間の信頼関係を設定することに注意を払うことです。ドメインがドメインツリー内に作成されると、信頼関係が隣接ドメイン(親ドメインと子ドメイン)間で自動的に確立されます。ドメインフォレストでは、フォレストのルートドメインとフォレストに追加された各ドメインツリーのルートドメインとの間に信頼関係が自動的に確立されます。これらの信頼関係が推移的である場合は、ドメインツリー間またはドメインフォレスト内の任意のドメイン間でユーザーとコンピュータを認証できます。
Windowsドメインを以前のバージョンのWIN2KからWIN2Kドメインにアップグレードした場合、WIN2Kドメインはそのドメインと他のドメイン間の既存の一方向の信頼関係を自動的に維持します。以前のバージョンのWIN2KのWindowsドメインに対するすべての信頼関係を含みます。ユーザーが新しいWIN2Kドメインをインストールし、WIN2Kより前のドメインと信頼関係を確立したい場合は、それらのドメインと外部の信頼関係を作成する必要があります。
第2に、Active Directoryのインストール
WIN2K SERVERをインストールするときに "Active Directory"オプションをインストールすることを選択した場合、すべての新しいインストールはメンバーサーバーとしてインストールされます。この時点でActive Directoryをインストールした場合、システム内のすべてのドメイン名を再び変更することはできません... "#:。一般に、システムのインストール時にActive Directoryをインストールすることは選択しません。そのため、Active Directoryに関連するプロトコルとシステム構造を具体的に計画する時間があります。ディレクトリサービスは、後でDcprom oコマンドを使ってインストールする必要があります。 Windows NT 4.0をインストールする場合のように、システムがドメインコントローラとメンバサーバーを区別し、2つを変換できないため、ディレクトリサービスを有効期間の代わりにアンインストールすることもできます。
Dcpromoは、ドメインコントローラーの構築プロセスを段階的に案内するグラフィカルウィザードで、新しいドメインフォレスト、ドメインツリー、またはドメインコントローラーの別のバックアップを作成するのに非常に便利です。 DNSサーバー、DHCPサーバー、証明書サーバーなどの他の多くのネットワークサービスは、ポリシー管理を容易にするために将来Active Directoryと統合することができます。このグラフィカルインターフェイスウィザードについて特別なことは何もありませんが、最初にActive Directoryの意味を理解し、インストールの前に一連の計画を立てていれば、すべてのインストール作業を完了するのは簡単です。
Active Directoryのインストール後、3つのActive Directory Microsoft管理インターフェイス(MMC)があります。1つはActive Directoryユーザーとコンピュータの管理で、主にドメイン管理の実装に使用され、1つはActive Directoryドメインとドメインの信頼関係です。主にマルチドメインの関係を管理するために使用される管理;別のサイトにドメインコントローラを配置できるActive Directoryのサイト管理もあります。一般的なLANの範囲では、サイトのサイト内のドメインコントローラ間の複製は自動的に行われ、サイト間のドメインコントローラ間の複製には、複製トラフィックを最適化し、スケーラビリティを向上させるための管理者設定が必要です。セックスActive Directory管理インターフェイスから、サイト、ドメイン、および組織単位を右クリックしてグループポリシー管理インターフェイスを起動し、オブジェクトの詳細管理を実装することもできます。
サイト、ドメイン、および組織単位の場合、管理者は承認を簡単に管理することもできます。それらを右クリックして、承認管理ウィザードを起動し、どの管理者がどのオブジェクトに対する管理権限を持つかを設定します。たとえば、企業の内部テクニカルサポートセンターの管理者には、ユーザーパスワードをリセットする権限しかなく、ユーザーアカウントを作成および削除する権限はありません。このより詳細な管理方法は「粒状化」されています。
さらに、Active Directoryではディレクトリサービスのバックアップと復元の必要性も十分に考慮されていますWIN2KバックアップツールにはActive Directoryをバックアップするオプションがあります。災害による悪影響を確実に軽減するため。
zh-CN"],null,[1],zh-TW"]]]