理解了活動(dòng)目錄的原理之后，現(xiàn)在我們就可以進(jìn)行活動(dòng)目錄的安裝與配置了，活動(dòng)目錄的安裝配置過程并不是很復(fù)雜，因?yàn)閃IN2K中提供了安裝向?qū)В恍璋凑仗崾疽徊讲桨聪到y(tǒng)要求設(shè)定即可。但安裝前的準(zhǔn)備工作顯得比較復(fù)雜，只有充分理解了活動(dòng)目錄的前提下才能正確地安裝配置活動(dòng)目錄。下面我就詳細(xì)地介紹一下活動(dòng)目錄的安裝與配置及其準(zhǔn)備了。

一、活動(dòng)目錄的安裝前的準(zhǔn)備

在前面我們知道“活動(dòng)目錄”是整個(gè)WIN2K系統(tǒng)中的一個(gè)關(guān)鍵服務(wù)，它不是孤立的，它與許多協(xié)議和服務(wù)有著非常緊密和關(guān)系，還涉及到整個(gè)WIN2K系統(tǒng)的系統(tǒng)結(jié)構(gòu)和安全。安裝“活動(dòng)目錄”不是安裝一般Windows組件那么簡(jiǎn)單，在安裝前要進(jìn)行一系列的策劃和準(zhǔn)備。否則輕則根本無法享受到活動(dòng)目錄所帶來的優(yōu)越性，重則不能正確安裝“活動(dòng)目錄”這項(xiàng)服務(wù)。

1、首先在 安裝活動(dòng)目錄之前，必須保證已經(jīng)有一臺(tái)機(jī)器安裝了WIN2K Server 或者Advanced Server，且至少有一個(gè)NTFS分區(qū)， 而且已經(jīng)為TCP/IP 配置了DNS協(xié)議，并且DNS服務(wù)支持SRV記錄和動(dòng)態(tài)更新協(xié)議。

2、其次是要規(guī)劃好整個(gè)系統(tǒng)的域結(jié)構(gòu)，活動(dòng)目錄它可包含一個(gè)或多個(gè)域，如果整個(gè)系統(tǒng)的目錄結(jié)構(gòu)規(guī)劃得不好，層次不清就不能很好地發(fā)揮活動(dòng)目錄的優(yōu)越性。在這里選擇根域（就是一個(gè)系統(tǒng)的基本域）是一個(gè)關(guān)鍵， 根域名字的選擇可以有以下幾種方案：

1）可以使用一個(gè)已經(jīng)注冊(cè)的DNS 域名作為活動(dòng)目的根域名，這樣的好處在于企業(yè)的公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)使用同樣的DNS名字。

2）我們還可使用一個(gè)已經(jīng)注冊(cè)的DNS域名的子域名作為活動(dòng)目錄的根域名。

3）為活動(dòng)目錄選擇一個(gè)與已經(jīng)注冊(cè)的DNS域名完全不同 的域名。這樣可以使企業(yè)網(wǎng)絡(luò)在內(nèi)部和互聯(lián)網(wǎng)上呈現(xiàn)出兩種完全不同的命名結(jié)構(gòu)。

4）把企業(yè)網(wǎng)絡(luò)的公共部分用一個(gè)已經(jīng)注冊(cè)的DNS域名進(jìn)行命名，而私有網(wǎng)絡(luò)用另一個(gè)內(nèi)部域名，從名字空間上把兩部分分開，這樣做就使得每一部分要訪問另部時(shí)必須使用對(duì)方的名字空間來標(biāo)識(shí)對(duì)象。

3、再一個(gè)就是要進(jìn)行域和帳戶命名策劃，因?yàn)槭褂没顒?dòng)目錄的意義之一就在于使內(nèi)、外部網(wǎng)絡(luò)使用統(tǒng)一的目錄服務(wù)，采用統(tǒng)一的命名方案，以方便網(wǎng)絡(luò)管理和商務(wù)往來。活動(dòng)目錄域名通常是該域的完整DNS名稱，但是為確保向下兼容，每個(gè)域最好還有一個(gè)WIN2K以前版本的名稱，以便在運(yùn)行WIN2K以前版本的操作系統(tǒng)的計(jì)算機(jī)上使用。用戶帳戶在活動(dòng)目錄中，每個(gè)用戶帳戶都有一個(gè)用戶登錄名、一個(gè)WIN2K以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個(gè)用戶主要名稱后綴。在創(chuàng)建用戶帳戶時(shí)，管理員輸入其登錄名并選擇用戶主要名稱，活動(dòng)目錄建議 WIN2K 以前版本的用戶登錄名使用此用戶登錄名的前 20 個(gè)字節(jié)。活動(dòng)目錄命名策略是企業(yè)規(guī)劃網(wǎng)絡(luò)系統(tǒng)的第一個(gè)步驟，命名策略直接影 響到網(wǎng)絡(luò)的基本結(jié)構(gòu)，甚至影響網(wǎng)絡(luò)的性能和可擴(kuò)展性。活動(dòng)目錄為現(xiàn)代企業(yè)提供了很好的參考模型，既考慮到了企業(yè)的多層次結(jié)構(gòu)，也考慮到了企業(yè)的分布式特性，甚至為直接接入Internet提供完全一致的命名模型。

所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 WIN2K 域的標(biāo)準(zhǔn)用法。標(biāo)準(zhǔn)格式為：(象個(gè)人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號(hào)。活動(dòng)目錄 在創(chuàng)建用戶主要名稱時(shí)自動(dòng)添加此符號(hào)。包含多個(gè) @ 號(hào)的用戶主要名稱是無效的。

在活動(dòng)目錄中，默認(rèn)的用戶主要名稱后綴是域樹中根域的 DNS名。如果用戶的單位使用由部門和區(qū)域組成的多層域樹，則對(duì)于底層用戶的域名可能很長。對(duì)于該域中的用戶，默認(rèn)的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認(rèn)的登錄名可能是。這要一來用戶登錄時(shí)就要輸入的用戶名可能太長，輸入起來就非常不方便，WIN2K為了解決這一問題，規(guī)定在創(chuàng)建主要名稱后用戶只要在根域后加上相應(yīng)的用戶名， 使同一用戶使用更簡(jiǎn)單的登錄名; 就可以登錄，而不是前面所提到的那一長串。

4、最后就是要注意設(shè)置規(guī)劃好域間的信任關(guān)系，對(duì)于WIN2K計(jì)算機(jī)，通過基于 Kerberos V5 安全協(xié)議的雙向、可傳遞信任關(guān)系啟用域之間的帳戶驗(yàn)證。在域樹中創(chuàng)建域時(shí)，相鄰域（父域和子域）之間自動(dòng)建立信任關(guān)系。在域林中，在樹林根域和添加到樹林的每個(gè)域樹的根域之間自動(dòng)建立信任關(guān)系。如果這些信任關(guān)系是可傳遞的，則可以在域樹或域林中的任何域之間進(jìn)行用戶和計(jì)算機(jī)的身份驗(yàn)證。

如果將 WIN2K 以前版本的 Windows域升級(jí)為WIN2K域時(shí)，WIN2K域?qū)⒆詣?dòng)保留域和任何其他域之間現(xiàn)有的單向信任關(guān)系。包括WIN2K以前版本的Windows域的所有信任關(guān)系。如果用戶要安裝新的WIN2K域并且希望與任何WIN2K以前版本的域建立信任關(guān)系，則必須創(chuàng)建與那些域的外部信任關(guān)系。

二、活動(dòng)目錄的安裝

所有的新安裝都是安裝成為Member Server，如果您在新安裝WIN2K SERVER時(shí)選擇安裝了“活動(dòng)目錄”選項(xiàng)，則系統(tǒng)就會(huì)出現(xiàn)類似于“如果您此時(shí)安裝活動(dòng)目錄則系統(tǒng)中的所有域名就不能再次改變……”之類的提示。一般情況下我們?cè)谛掳惭b系統(tǒng)時(shí)不選擇安裝活動(dòng)目錄，以便我們有時(shí)間來具體規(guī)劃與活動(dòng)目錄有關(guān)的協(xié)議和系統(tǒng)結(jié)構(gòu)。目錄服務(wù)都需要事后用 Dcprom o的命令特別安裝。目錄服務(wù)還可以卸載，而不用象在安裝Windows NT 4.0那樣，一開始就要定終身，系統(tǒng)會(huì)區(qū)分域控制器還是Member Server，兩者之間不可轉(zhuǎn)換。

Dcpromo是一個(gè)圖形化的向?qū)С绦颍龑?dǎo)用戶一步一步地建立域控制器，可以新建一 個(gè)域森林，一棵域樹，或者僅僅是域控制器的另一個(gè)備份，非常方便。很多其他的網(wǎng)絡(luò)服 務(wù)，比如DNS Server、DHCP Server和 Certificate Server等，都可以在以后與活動(dòng)目錄 集成安裝，便于實(shí)施策略管理等。 這個(gè)圖形化界面向?qū)С绦蛞矝]有什么特別之處，只要我們?cè)谇懊胬斫夂昧嘶顒?dòng)目錄的含義，并進(jìn)行了安裝前的一系列規(guī)劃，則可以很容易完成所有的安裝任務(wù)。

在活動(dòng)目錄安裝之后，主要有三個(gè)活動(dòng)目錄的微軟管理界面（MMC），一個(gè)是活動(dòng)目 錄用戶和計(jì)算機(jī)管理，主要用于實(shí)施對(duì)域的管理；一個(gè)是活動(dòng)目錄的域和域信任關(guān)系的管 理，主要用于管理多域的關(guān)系；還有一個(gè)是活動(dòng)目錄的站點(diǎn)管理，可以把域控制器置于不 同的站點(diǎn)。一般局域網(wǎng)的范圍內(nèi)，為一個(gè)站點(diǎn)，站點(diǎn)內(nèi)的域控制器之間的復(fù)制是自動(dòng)進(jìn)行 的；站點(diǎn)間的域控制器之間的復(fù)制，需要管理員設(shè)定，以優(yōu)化復(fù)制流量，提高可伸縮性。 從活動(dòng)目錄管理界面，還可以在站點(diǎn)、域和組織單元中用鼠標(biāo)右鍵點(diǎn)擊，啟動(dòng)組策略 （Group Policy）的管理界面，實(shí)施對(duì)對(duì)象的細(xì)致管理。

對(duì)于站點(diǎn)、域和組織單元，管理員還可以方便地進(jìn)行管理授權(quán)。右鍵點(diǎn)擊它們就可以啟動(dòng)'管理授權(quán) 向?qū)?，一步一步地設(shè)定哪些管理員對(duì)于哪些對(duì)象有什么樣的管理權(quán)限。比如說企業(yè)內(nèi)部 技術(shù)支持中心的管理員，只有復(fù)位用戶口令的權(quán)限，沒有創(chuàng)建和刪除用戶賬號(hào)的權(quán)限。這 種更細(xì)致的管理方法，成為'顆粒化'。

另外，活動(dòng)目錄還充分地考慮到了備份和恢復(fù)目錄服務(wù)的需要，WIN2K備份工具中有專門備份活動(dòng)目錄的選項(xiàng)，在出現(xiàn)意外事故的時(shí)候，可以在機(jī)器啟動(dòng)時(shí)按F8進(jìn)入安全恢復(fù)模式，保證減少災(zāi)難的惡性影響。