当前位置：首页 > 范文大全 > 实用文>WIN技巧：你的任务应该被自动化:活动目录

WIN技巧：你的任务应该被自动化:活动目录

2022-11-04 08:51:04 收藏本文下载本文

“有心磕药鸡”通过精心收集，向本站投稿了8篇WIN技巧：你的任务应该被自动化:活动目录，下面是小编为大家准备的WIN技巧：你的任务应该被自动化:活动目录，欢迎阅读借鉴。

篇1：WIN技巧：你的任务应该被自动化:活动目录

在一个忙碌的环境中，活动目录可能变得就像充满垃圾的仓库，从未被清理过，废弃的用户帐户、不存在的相关服务器和其他一些混乱的类别充斥在活动目录中，并且可能导致性能和管理中的问题。手工清理是非常繁琐的工作，并且很费时间，可能会引起更多的生产性工作。令人高兴的是，有了很多能够自动完成处理大量保持活动目录整洁这项工作的工具。

在这些工具中，最简单易用、最直接的工具之一就是特殊操作软件的活动目录看门人(Active Directory Janitor)(这款软件有三十天的试用期;一套软件售价199美元)。它可以迅速察看一个活动目录存储来查出所有的对象，这些是不再被看作符合比如说像是一个活动计算机和一个正在使用的用户帐户这样的，正在使用的实体。接下来，管理员可以得到一个报告。报告中列出了所有可疑的对象，如果管理员需要的话，他可以做删除、不可见或者重新排列这些可疑对象的操作。

当使用Active Directory Janitor扫描一个网络并保证准确探测(例如:用户最后一次登陆时间，这是查找一个不再使用的用户帐号的一种很有用的方法)时，Active Directory Janitor使用超过30种的定制特性，并且你可以要求它自动标记那些基于可靠条件是有安全风险的用户帐户，

Netpro公司的目录分析师(DirectoryAnalyzer)提供了不同的处理，除了同样做活动目录的深入分析分类的管理。软件检查活动目录因为一些像复制延时或者DNS矛盾这样的小问题，并且建议修复每一个做有标记的问题。这个工具还能为复制提供统计数据，以确定特定应用的效果(例如:Exchange)在活动目录上的情况，并且和像微软操作管理这样的框架应用相结合，这一项是被特别支持的。

如果你想用一种简单的方法来记录在活动目录中作的改变，公司的ChangeAuditor软件能够记录关于每一个相关联的活动目录AD的元数据:是谁做了改变，变化发生在什么时间，什么状况下。

Quest软件公司为活动目录管理设计了一款名为“针对活动目录的Quest管理组件(Quest Management Suite for Active Directory)”的软件。在这个包中有一个叫Reporter的程序，它同审核、追踪记录功能一起监控针对活动目录所作的所有改动DD例如，哪个人针对哪条记录在什么时候做了什么样的改动。并且显示这些改动是否是手工完成还是由其他的管理组件产品完成的。同时还有一个名为 ActiveRoles的程序包含在这个组件当中，这是一个加速活动目录配置或者根据特殊要求创建新的用户帐号组的程序。

篇2：你的任务应该被自动化:活动目录

篇3：你的任务应该被自动化:活动目录网络服务器

在一个忙碌的环境中，活动目录可能变得就像充满垃圾的仓库，从未被清理过，废弃的用户帐户、不存在的相关服务器和其他一些混乱的类别充斥在活动目录中，并且可能导致性能和管理中的问题。手工清理是非常繁琐的工作，并且很费时间，可能会引起更多的生产

在一个忙碌的环境中，活动目录可能变得就像充满垃圾的仓库，从未被清理过。废弃的用户帐户、不存在的相关服务器和其他一些混乱的类别充斥在活动目录中，并且可能导致性能和管理中的问题。手工清理是非常繁琐的工作，并且很费时间，可能会引起更多的生产性工作。令人高兴的是，有了很多能够自动完成处理大量保持活动目录整洁这项工作的工具。

当使用Active Directory Janitor扫描一个网络并保证准确探测(例如:用户最后一次登陆时间，这是查找一个不再使用的用户帐号的一种很有用的方法)时，Active Directory Janitor使用超过30种的定制特性，并且你可以要求它自动标记那些基于可靠条件是有安全风险的用户帐户。

Quest软件公司为活动目录管理设计了一款名为“针对活动目录的Quest管理组件(Quest Management Suite for Active Directory)”的软件。在这个包中有一个叫Reporter的程序，它同审核、追踪记录功能一起监控针对活动目录所作的所有改动――例如，哪个人针对哪条记录在什么时候做了什么样的改动。并且显示这些改动是否是手工完成还是由其他的管理组件产品完成的。同时还有一个名为 ActiveRoles的程序包含在这个组件当中，这是一个加速活动目录配置或者根据特殊要求创建新的用户帐号组的程序。

原文转自：www.ltesting.net

篇4：WIN技巧：如何用ADSI实现自动化的活动目录操作

网管们都应该知道，脚本对于减轻工作量来说是非常有用的，通过脚本，以前需要手工数小时才能完成的工作，现在只需要完全交给电脑自动处理就可以了。比如建立一个Visual Basic Scripting Edition (VBS)，Windows Management Instrumentation (WMI)就可以自动完成Windows系统中的多种任务。

而我们今天介绍的另一种脚本技术可以实现活动目录的自动化操作，这就是活动目录访问接口（Active Directory Service Interfaces ，ADSI)。使用ADSI，你可以完成任何通过Active Directory GUI界面可以完成的工作，比如创建、删除、修改目录对象（容器、用户、组，等等）。另外，ADSI可以通过查询目录来快速获得目录信息。

下面我就来介绍一下ADSI以及它对活动目录的基本操作。

绑定到目录

和使用Visual Basic 的GetObject方法绑定到WMI一样，你也可以基于Lightweight Directory Access Protocol (LDAP)使用GetObject方法绑定目录。在ADSI脚本中，首先需要指定一个LDAP驱动，这实际上是一个名为adsldp.dll的文件，只不过我们要加一个“LDAP:”作为前缀。这和我们使用WMI脚本的方法类似，只不过在WMI脚本中前缀变成了“Winmgmts:”。另外，你必须指定目录对象的路径，比如域、部门单元、用户组或者用户。LDAP驱动和目录路径结合起来被称为AdsPath。在这段代码中，我们会将LDAP和acme.com 域的Marketing单元绑定在一起。

在代码中我们会注意到，第一，AdsPath是被引号和括号包围的。我们在编辑ADSI脚本或其他任何脚本时，都应该使用纯文本编辑器，比如Notepad，因为在Microsoft Word中带有智能标记功能，由它编写出来的脚本代码不会被主机识别出来。第二，注意我们是如何设计对象路径的。所有域名都采用了两个字符来标识，而这两个字符并不是随便写的，它们被称为Attribute Type。它与Object Class一起使用，用来标明是属于容器对象还是叶子对象。表A列出了这种表示方法的含义。

举个例子，假如我们希望绑定westcoast.acme.com域中Finance OU里面Managers组的成员Mary，我们可以使用这段代码。

另外，对于用户和组来说，cn属性类型也表示容器，比如“Users”、“Computers”、“Domain Controllers”等。

绑定之后

正如我们所期望的，当我们将对象绑定到活动目录后，就可以执行四种基本的操作了。每种操作都由一种方法实现，如表B所示。

如果打算使用其中任何一种方法，还需要在语句中以参数的形式提供相应的信息，比如“创建什么内容？”之类的，

假设现在我们要在acme.com的Marketing OU中创建一个名为MSmith的用户，我们可以使用这段代码。

代码中前两行表示告诉脚本要绑定到活动目录，然后建立一个名为MSmith 的User对象类。接下去两行看起来可能会有些陌生，下面我就来解释一下。对于一个用户，他具有多种属性可以进入存储在活动目录的数据库（查看User属性就能看到了），比如电话号码、姓名、办公室位置等。在这些属性中，只有用户名即代码中的“sAMAccountName”是建立用户所必须的。因此第三行使用Put方法修改第二行所建立的用户的属性。当然，我们也可以再添加一些别的属性。

第四行是用来将修改（创建对象或修改属性等动作）提交给活动目录的，它使用了一个叫做SetInfo的方法。如果没有这最后一行代码，脚本不会对活动目录产生任何影响。

我们还可以使用Get方法获取活动目录对象的属性。通过这段代码，我们显示了Marketing OU中的description属性。

rootDSE

在上面任何一个代码范例中，我们都没有指定服务器名，这是由于ADSI支持“无服务器绑定”，也就是我们不需要输入域控制器的名称。借由这种特性，我们其实也不必输入AdsPath。当然我们可以将脚本绑定到根目录，也就是所谓的Root Directory Service Entry (rootDSE)，然后利用它的属性绑定到当前的域。

具体的做法是通过rootDSE中一个被称作defaultNamingContext的属性找到AdsPath，然后再利用AdsPath绑定到当前域。这里的“当前域”是指用户登录的域。假设当前域为westcoast.acme.com，这段代码显示了如何不注明AdsPath即可进行绑定。

在代码中，我们首先绑定到rootDSE，然后利用Get方法获得了defaultNamingContext属性并将其赋值给一个字符串变量。最后我们使用这个字符串变量作为域名的引用。在这个例子中，字符串变量strADsPath的实际值应该是LDAP://DC=westcoast, DC=acme, DC=com 。

绑定变量到rootDSE的好处在于，不管当前的域是什么都可以使用同一脚本。为了显示这种方法的实用价值，我们在自己的活动目录实验室中进行了测试，目标是在三个不同的域中各建立500个用户，其用户名分别为User1、User2......以此类推。你可以想象，假如采用活动目录的GUI界面，我们需要花费多长的时间才能创建完这些用户。而当我们在每个域中都采用这段脚本，你会发现完成这个任务是一件相当简单的事情。

实际上，有关ADSI的内容远不止我们在这篇文章中所涉及到的。想获取更多有关 ADSI的知识，请访问微软MSDN网站上的 “Using Active Directory Service Interfaces” 。

篇5：WIN技巧：DNS在活动目录中的应用

WIN2K作为一个崭新的操作系统，它的最大特点就是引入了活动目录，而活动目录的一个最大的特点就是把DNS和活动目录紧密结合在了一起，活动目录使用域名服务DNS 作为它的定位服务，同时对标准的DNS作了扩充。由于DNS 是使用最为广泛的定位服务，所以不仅在Internet 上，甚至在许多企业内部网络中也使用DNS 作为定位服务。在利用WINNT4.0 构建的网络系统中，对每一台主机的唯一标识信息是它的NetBIOS名，系统是利用WINS服务、信息广播方式及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，从而实现信息通讯。在内部网络系统中（也就是通常我们所说的局域网中），利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上对一台主机的唯一标识信息是它的FQDN格式的域名（如www.163.com），在Internet是利用DNS标准来实现将域名解析为相应IP地址。如果WINNT4.0 构建的网络系统同Internet连通，则NT网络中的每一台主机也都有相应域名，其域名的解析是通过WINNT4.0 所支持的DNS 服务来实现的。在WINNT4.0 中配置和实现DNS完全由人为手工来规划、设计和实现，由上述可见，在WINNT4.0 网络系统中，每一台主机既有NetBIOS名又由域名，而实际意义基本相同，这在一定程度上增加了网管人员的管理负担，同时出使整个网络管理显得更加混乱。

在WIN2K的活动目录中，最基本的单位是域（Domain），通过父域和子域的模式将域组织起来形成树，父域和子域之间是完全双向的信任关系，且信任关系传递，其组织结构同DNS系统类似。在活动目录中命名策略基本按照Internet标准来实现，遵照DNS和LDAP3.0两种标准，活动目录中的域和DNS系统中的域采用完全相同的命名方式，即活动目录中的域名就是DNS域名。那么在活动目录中依赖于DNS作为定位服务，实现将名字解析为IP地址。所以当我们利用WIN2K 构建活动目录时，必须同时安装配置相应的DNS，无论用户实现IP地址解析还是登录验证，都利用DNS在活动目录中定位服务器。活动目录与DNS系统的这种紧密集成，意味着活动目录同时非常适合于Internet和Intranet环境，这也是微软创建适用于Internet的网络操作系统的思想的一种体现。企业可以把活动目录直接连接到Internet以简化与客户和合作伙伴之间的信息通讯。另外WIN2K中的DNS服务允许客户使用DNS动态更新协议（RFC 2136）来动态更新资源记录，通过缩短手工管理这些相同记录的时间，提高DNS管理的性能。运行WIN2K的计算机能动态地注册他们的DNS名称和IP地址。

由于活动目录与DNS已经集成在一起，因此在WIN2K中NetBIOS名已经逐渐失去意义，与此相对应的WINS服务也处于慢慢被淘汰的过程中。在WINNT中为了有效的发挥WINS的动态特性，我们通常将DNS与WINS 进行集成，这样能获得更准确的解析结果。但是，WINS并不是Internet标准协议，而DNS解决动态维护机器名与IP地址对照表的方案是动态DNS。动态DNS并不需要用到WINS，因为它允许动态分配IP地址的客户可以直接注册到DNS服务器上，即时更新DNS对照表。

WIN2K支持动态DNS，运行活动目录服务的机器可动态地更新DNS表。WIN2K网络中可以不再需要WINS服务，但是WIN2K仍然支持WINS，这是由于向后兼容的原因。那么如果网络系统不再使用WINS，用户登录到网络时，客户机如何找到域控制器呢？这是因为WIN2K在实现DNS时，对标准的DNS进行了扩展，在DNS表中增加了一种新的记录类型SRV记录，它指向活动目录的域控制器。所以如果网络系统已经全面升级到WIN2K，那么就可以不再使用WINS 服务了。而在WIN2K中，由于支持动态更新协议（RFC 2136），这种集成也变得没有必要了。DNS这个由一系列解释请求（RFCs）标准组成的在Internet上广泛采用开放的协议，已经成为网络技术中的统一的标准化的规范。WIN2K的目标是在Internet和Intranet环境中得到广泛应用，那么它的名称解析模式就应该完全遵守单一的DNS标准，

上面主要讲了一下DNS在活动目录中的应用情况，但或许有人要问原来在WINNT4.0中没有用活动目录，只用DNS来解析域名，到底活动目录与DNS之间有什么区别，它们之间又是如何结合的呢？下面就来具体讲一下。

1、活动目录与DNS的区别

(1)、存储的对象不同

DNS和活动目录的结合是Windows服务器的最主要特点，DNS域和活动目录域对不同的名字空间使用同一样的域名。但它们各自存储不同的数据，因此管理不同的对象。DNS存储它的区域和资源记录，活动目录存储域和域中的对象。对DNS来说，域名是以DNS的层命名结构为基础的，是一种倒树型结构：一个根域，下面的域既是父域又是子域。每一个DNS域中的计算机可以通过完全合格域名（FQDN）进行识别。每一个与因特网连接的WIN2K域都有一个DNS名字，并且每一个WIN2K域中的计算机也都有一个DNS名字。因此，域和计算机即代表活动目录对象，又代表域节点。

(2)、解析所用的数据库不同

DNS是一种名字解析服务，DNS是通过DNS服务器接受请求查询DNS数据库来把域或计算机解析为IP地址的。DNS客户发送DNS名字查询到它们设定的DNS服务器，DNS服务器接受请求后或通过本地DNS数据库解析名字，或查询因特网上的DNS数据库，DNS不需要活动目录就可以起作用。

活动目录是一种目录服务，活动目录通过域控制器接受请求查询活动目录数据库来把域对象名字解析为对象记录。活动目录用户是通过LDAP协议（一种进入目录服务的协议）向活动目录服务器发送请求，为了定位活动目录数据库，需要借助于DNS，也就是说，活动目录把DNS作为定位服务，把活动目录服务器解析为IP地址，活动目录不能没有DNS的帮助。DNS可以独立于活动目录，但是活动目录必须有DNS的帮助才能工作。为了活动目录能够正常的工作，DNS服务器必须支持服务定位（SRV）资源记录，资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址。

除了要求WIN2K网络的DNS服务器支持SRV资源记录外，微软还建议DNS服务器提供对DNS的动态升级。DNS动态升级定义了一个DNS服务器在一定值内自动升级的协议，如果没有此协议，管理员不得不手动配置域控制器产生的新的记录。新的WIN2K的 DNS服务既支持SRV资源记录，又支持动态升级。如果你选择其它的非WIN2K为基础的DNS服务器，那么你必须证实它支持SRV资源记录。对于一个合法的支持SRV资源记录但是不支持动态升级的DNS服务器，在你把WIN2K服务器升级为域控制器时，必须使它的资源记录手动升级。这些可以用Netlogon.dns文件来完成，该文件是由活动目录智能安装向导创建的，存在于文件夹％systemroot%System32config中。

2．两者的结合方法

既然DNS和活动目录有如此大的区别，那么它们是怎样结合在一起的呢？主要有以下几种途径：

(1)、活动目录域和DNS域使用一样的层次结构，

虽然功能和目的不一样，一个组织的DNS名字空间和活动目录空间有着一样的结构

。

(2)、DNS区可以存储在活动目录中

如果你使用WIN2K DNS服务，那么主域可以存储在活动目录中为其它活动目录域控制器提供复制服务，并且为DNS服务提供增强的安全措施。

(3)、活动目录客户使用DNS定位域控制器

对于一个特定的域，为了定位域控制器，活动目录客户向它们设定的DNS服务器请求资源记录。当一个公司使用WIN2K服务器版作为它们的网络操作系统时，活动目录被认为是注册的法定DNS名字根域下的一个或多个层次结构的WIN2K域。

根据DNS的命名规则，DNS名字的被句点（.）分开的每一部分代表DNS树型层次结构的一个节点，并且代表WIN2K域树型层次结构的一个潜在的活动目录域。DNS的根节点以空白表示（“”），活动目录名字空间的根节点没有父域，它提供活动目录的LDAP进入点。

篇6：升级Win 到Windows 活动目录

1.adprep /forestprep

想在包含Windows Server 2000或Windows Server 2003域域环境中添加Windows Server 2008域控制器前需要拓展活动目录schema.

要进行这个操作,用户帐号必须拥有Enterprise Admins ,Schema Admins ,schema master 所在域的Domain Admins这3个权限.

1.插入Windows Server 2008安装光盘，定位到\sources\adprep目录，运行adprep /forestprep.

2.活动目录Schema拓展成功.

2.adprep /rodcprep

想在包含Windows Server 2000或Windows Server 2003域域环境中添加Windows Server 2008只读域控制器前需要先拓展森林架构.

要进行这个操作,用户帐号必须拥有Enterprise Admins权限.

1.插入Windows Server 2008安装光盘，定位到\sources\adprep目录，运行adprep /rodcprep

3.adprep /domainprep /gpprep

在之前做完Schema拓展之后,还需要进行域拓展.

要进行这个操作,用户帐号必须拥有Domain Admins权限.

1.插入Windows Server 2008安装光盘，定位到\sources\adprep目录，运行adprep /forestprep.提示现有域不是纯模式.

2.打开ADUC,提升域功能级别为2000纯模式.如果只包含Windows Server 2003的服务器可以直接提升成Windows Server 2003模式.

3.再次进行拓展,操作成功.

4.升级Windows Server 2008为额外域控制器

1.在运行中输入compmgmtlauncher呼出“Server Manager”

2.添加新角色

3.进入添加角色向导

4.安装ADDS

6.安装完成.

7.在运行中输入dcpromo来安装活动目录

8.进入ADDS安装向导

9.选择添加现有域的额外域控制器

10.点击“Set”来输入拥有操作权限的账号密码

12.输入用户名(domain\user name)和密码

13.账号设置完成,点击下一步

14.选择域

15.选择站点

16.选择是否附加安装DNS和GC

17.选择从哪台DC上进行复制

篇7：WIN技巧：让你系统更好的管理挑战活动目录故障

挑战活动目录故障

当您管理的网络不断扩大，软件、硬件和网络服务不断增多，这些资源如何有效管理？不同应用系统的令人头痛的用户安全验证如何统一？微软的活动目录（AD，Active Directory）是最好的解决方案，

活动目录的由来

力，并且为您的整个网络架构提供了一个集中的信息知识库。它大大简化了用户和计算机的管理，并且提供了网络资源的更便捷的访问方式。

活动目录的相关术语

活动目录是一项较新的技术，有许多术语或许是不曾听说过的，所以有必要了解活动目录相关术语。

1．层次化的目录结构

活动目录是由对象（Object）、组织单元（OU）、域（Domain）、域树（Tree）、森林（Forest）构成的层次结构。活动目录为每个域建立一个目录数据库的副本，这个副本只存储用于这个域的对象。如果多个域之间有相互关系，它们可以构成一个域树。在每个域树中，每个域都拥有自己的目录数据库副本存储自己的对象，并且可以查找域树中其他目录数据库的副本。多个域树构成森林。这种层次结构使得企业网络具有很强的扩展性，便于组织、管理及目录定位。

2．对象、组织单位

对象可以是一个用户、一台打印机或一个网络共享。它有描述它们的属性。组织单元可以是组织的任何部分，组织单位也称为容器（OU，Organizational Units）。组织单位是可以将对象和其他单位放入活动目录的容器中的，组织单位的主要用途是委派管理权。

3．域、域控制器

域是活动目录的核心单元，是对象（如计算机、用户等）的容器，这些对象有相同的安全需求、复制过程和管理。域名是基于通常的Internet“域名系统”结构。一个域可以有多个服务器，每个服务器存储域中的所有对象，没有主服务器，所有服务器都是同等的。这是一个多主机模型，对象可以在域的多个服务器之间复制。

4．域树、森林

一个域可以是其他域的子域或父域，这些子域、父域构成了一棵树D域树。域树实现了连续的域名空间，域树中的域层次越深级别越低，一个“.”代表一个层次，如域child.china.com 就比 china.com这个域级别低，因为它有两个层次关系，而china.com只有一个层次。多棵域树构成了森林，森林中的每一棵域树都有自己的唯一命名空间，

5．组策略

组策略是用户或计算机初始化时用到的配置设置。组策略设置定义了系统管理的用户的桌面环境的多个组件，实现软件自动分发和升级。组策略的实施限制了用户对计算机和网络的更改权限，提高了管理员管理网络结构的能力。

6．AD服务接口（ADSI）

ADSI是一个目录服务接口，它可用于编写应用程序以访问和管理AD和基于LDAP（轻型目录访问协议）的不同目录，简化了开发和管理跨平台多个目录系统的分布式应用程序，是实现单点登录的有效手段。

活动目录的意义

Windows是PC机的大脑，那么“目录服务”就是网络的灵魂。微软活动目录的作用主要体现在以下几方面。

1．单点登录

由于活动目录是以LDAP协议为基础的，各应用程序可通过ADSI调用AD的用户验证，这样统一了各应用系统的用户和密码，实现单点登录。

集成了关键的安全性，如Kerberos第五版本和公开密钥基础设施等，用户授权管理和目录进入控制已经整合在活动目录当中了，而它们都是Windows 操作系统的关键安全措施。

3．以策略为基础，管理更加简化

通过组策略您可以决定目录对象和域资源的进入权限，什么样的域资源可以被用户使用，以及这些域资源怎样使用等，从而帮助您更加经济高效地管理企业。

4．信息的复制性

活动目录使用多主机复制，使您能在任何域控制器上同步更新目录。多主机模式提供容错和负载平衡。

5．与DNS紧密结合

活动目录使用域名系统（DNS）来为服务器目录命名，AD将Internet的名称空间的概念和操作系统的目录服务融合在一起，这有利于在TCP/IP网络中计算机之间的相互识别和通信。

6．具有很强的可伸缩性和可扩展性

活动目录可包含在一个或多个域中，每个域具有一个或多个域控制器，以便您调整目录的规模以满足任何网络的要求。多个域可以合并为一棵域树，多个域树又可合并为树林，活动目录也就随着域的伸缩而伸缩，较好地适应了单位网络的变化。管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。

篇8：WIN技巧：使用Vmware搭建虚拟的活动目录实验室

俄勒冈州的波特兰市技术服务局计划采用Windows Server 2003的活动目录技术，我们的工作人员发现，只有通过一个具有实用性的活动目录试验室，才能将这个计划中遇到的问题一一解决，而建立一个能够解决实际问题的活动目录试验室，至少需要两个森林（forest），每个森林包含三个域，并且总共需要16个域控制器。

现在问题出现了：目前没有足够的服务器用来搭建试验室，而购买全新服务器需要至少8万美元，我们也没有这部分预算。因此，我们的技术人员开始研究如何在只有两台服务器的情况下通过VMware GSX Server来实现我们的需求。下面我就来描述一下我们是如何建立这个活动目录试验室的。

设计上的难题

由于企业网络的安全需求，在企业内的两个机构的数据和目录对象必须可以受对方机构保护。而在对方机构中，这种安全需求并不严格。据此，主要存在的问题就是：

1.一个单一的森林结构是否能满足这种安全需求？

2.如果不行，那么势必要采取分离的安全森林结构，这时该如何处理两个森林间互操作的问题，尤其是邮件传递？

3.遇到的问题该如何解决？

4.在森林间使用防火墙会对活动目录造成什么影响？

我们认为寻求答案的最佳途径就是建立一个包含两个森林的网络实验室。在每个森林里，我们会建立一个空的根域以及两个子域。每个森林中的一个子域会包含四个域控制器，而剩下的域则包含两个域控制器。之后我们会建立多种服务器，包括全局目录、域名系统（DNS）、Windows Internet 名称服务（WINS）、动态主机配置协议（DHCP）以及文件/打印服务器。另外，我们会在每个森林里安装一个Microsoft Exchange 2003 Server、一个Microsoft Identity Integration Server 2003，并安装防火墙（采用Check Point）。

大救星VMware

在一般情况下，上述的网络实验室造价肯定便宜不了，而当采用了VMware GSX Server（VMware许可证售价2500美元），我们可以在一台物理服务器上建立多达八个独立的虚拟服务器。这样，我们只需要使用现有的两台服务器就可以搭建起这个复杂的网络实验室了。

VMware GSX Server通过分区来实现其功能，每个虚拟服务器都处在独立的安全的虚拟机中。每个虚拟机所运行的操作系统和应用软件也都是独立的，系统资源则按需分配给任何有需要的虚拟机。

首先，我们要安装一个叫做“主操作系统（host operating system）”的Vmware，它有针对Windows或Linux的好几个版本，然后我们安装Vmware软件，

接着我们就可以创建虚拟机了，并在每个虚拟机上安装所谓的“客户操作系统（guest operating system）”，这个系统可以和主机操作系统一致，也可以和它不同。每个独立的客户机操作系统可以是桌面版或服务器版的Windows，Linux或Novell NetWare系统。

在这里唯一需要注意的是，用户创建的虚拟机越多，所需的系统资源就越高。在我们这个例子中，我们为两台服务器各配备了4GB内存，才基本达到我们的要求。记住，内存不光是给虚拟机用的，主操作系统和Vmware自身也对内存有所需求。

实现我们的设计

据IT部门表示，由于企业中不同部门的许多用户（部门主管）需要访问这些构成实验室的虚拟机，因此我们决定开放Windows终端服务（Windows Terminal Services）以便他们访问。为了能让我们的实验室与实际办公网络分开，而又能与办公网络互通，我们在防火墙上采用了网络地址转换（Network Address Translation,NAT）技术。这样每个虚拟机都有一个虚拟网段的IP地址，可以通过Windows终端服务利用相对应的RDP IP地址访问每个虚拟机。

根据这种方案，我们设计了两个森林结构，如图A所示：

两个物理服务器分别都是一个测试台，它们有自己的IP地址，每个服务器上设置了一个森林。同时，每个服务器上都有三个域，每个服务器分配了8个虚拟服务器。

当安装了Vmware软件后，用户可以通过基于网络的VMware 管理界面（VMware Management Interface）来建立和配置虚拟服务器。在Web浏览器中输入Vmware软件所在系统的IP地址并输入默认的Vmware管理端口8222，就可以进入VMware 管理界面了。如图B所示：

登录进管理界面后，屏幕会显示虚拟网络实验室的一个森林中的全部虚拟服务器，如图C所示：

当建立好虚拟服务器后，用户就可以在其上安装客户端操作系统以及其它所需的应用软件了，这和在物理服务器上安装操作系统和软件没有什么区别。

省钱很重要

采用VMware GSX Server后，就好像凭空多出了好几台服务器，我们可以顺利的搭建网络实验室用来进行活动目录的试验。同时，项目的费用也远低于我们最开始设想的。仅仅采用了两台现有的服务器，而不是16台，不但节省了14台服务器的费用，还节省了机架空间，这本来也是一笔不小的开支。另外，两台物理服务器的资源可以说完全被我们利用到了，没有一点浪费

【WIN技巧：你的任务应该被自动化:活动目录】相关文章：

1.中考作文技巧：是否该被

2.WIN技巧：解封exe文件

3.活动目录方案

4.WIN技巧：教你一招让你轻松处理系统的变量值

5.WIN技巧：[]你必须学会的几个常用网络测试命令！

6.WIN技巧：WIN03校园Web服务器常见问题(图)

7.WIN技巧：软件限制策略保证脚本安全

8.WIN技巧：详述WIN验证机制的安全测试

9.WIN技巧：手工打造更强大的WIN系统

10.WIN技巧：让命令提示符自动显示文件和目录名