我是阿光。不是兩光

【寫在前面】

◤ Active Directory ◢

一個中大型企業，員工人數眾多，其中使用者帳戶、用戶端電腦、工作站、伺服器、儲存設備、印表機等數量與日俱增，為了方便統一集中控管、簡化管理工作、加強網路安全性，於是 Active Directory（簡稱 AD）這概念就出現。

最早是在 1996 年誕生，並於 Windows 2000 中首次出現，歷經 10 多年的發展，目前 AD 已成為成熟的目錄服務元件。

AD 以樹狀的資料結構來組成網路服務的資訊，在簡單的網路環境中（例如小公司），通常網域都只有一個（上圖），在中型或大型的網路中，網域可能會有很多個，或是和其他公司或組織的 AD 相互連結（下圖）。

◤ 物件 ◢

AD 最小儲存單元為物件（Object），每個物件均有自己的 schema 屬性，可以儲存不同的資料，像是使用者、群組、電腦、信箱或其他的基本物件等。

所有 AD 物件均具有全域唯一識別元（GUID，Globally Unique Identifier）與存取控制清單（ACL，Access Control List）等兩項特性，物件的 GUID 永遠不會改變，無論物件的名稱或屬性如何變更，應用程式仍可透過 GUID 找到物件。

◤ 容器 ◢

容器（Container）並不是一個實體，雖然他跟物件很類似，但容器可以包含一群物件，預設會有以下 5 種容器（Container）：

Builtin：存放本機內建的帳戶群組
Computers，存放加入網域的電腦物件
Domain Controllers，存放網域控制站（簡稱 DC）
ForeignSecurityPrincipals：存放來自信任關係網域的物件
Users：存放網域內使用者帳戶與群組

◤ 組織單位 ◢

若公司需要以不同的組織結構來管理公司的帳戶，則可以在 AD 中建立一個或多個組織單位（OU，Organization Unit），組織單位是一個具有收納能力的 AD 物件，可以在 OU 之中存放 AD 物件，包括使用者、群組、電腦等，讓組織結構在 AD 中可以被真實地呈現出來，也方便群組原則（Group Policy）的套用與集中管理。

◤ 網域 ◢

網域（Domain）是由一群共用同一份 AD 資料庫的電腦所組成的集合，網域為 AD 的分割單位，AD 是由至少一個網域所構成的集合。在 Windows Server 2003 R2 的網路環境，各網域至少要有一部網域控制站儲存此 AD 資料庫，並提供網域相關服務，例如：登入驗證、名稱解析等。

沒有 DC，就沒有所謂的網域。在一個網域中可以設置多台 DC，以提高網域的容錯能力，彌補某一台 DC 故障時，還有其他 DC 可以維持網域的運作，不致於造成網域全面停擺，另外也可以改善使用者登入的效率，因為多台 DC 可以分攤驗證使用者身份的負擔。

◤ 網域樹狀目錄 ◢

網域樹狀目錄（Domain Tree）是由多個網域所組成，網域之間則是透過可雙向傳遞資訊的信任關係，以階層式架構組織起來。此階層關係亦反映在網域的 DNS（Domain Name System）名稱 (如下圖)，最上層的網域稱為根網域（Root Domain）。

◤ 樹系 ◢

樹系（Domain Forest）係將多個網域樹狀目錄的根網域，透過信任關係結合而成的集合，即構成一個樹系 (如下圖)。樹系可以說是 AD 中最大的集合，樹系內所有的物件構成 AD。

【建立角色】

有了以上基本的 AD 概念後，我們來進行 LAB 實作，建立屬於自己的第一個網域。

而建立網域的第一步就是要建立網域控制站，而建立網域控制站的第一個動作就是安裝 AD 角色。

• 因為是 DC 伺服器，所以必須設定一組固定 IP。

• IP 位址就請自行決定。

• 點選「開始功能表」→「管理您的伺服器」→「新增或移除角色」。

• 專業的 SI 都使用自訂設定，養成這習慣可以讓我們自己決定哪些是必要哪些是不必要。

• 伺服器角色有很多種，而企業一切基礎架構（infrastructure）都是從「網域控制站」開始衍伸。

• 當然，潮男一定有潮男的作法，直接「WIN + R」在執行內輸入「dcpromo」就直接到以下畫面。

• 提醒使用者關於 Windows Server 2003 之相容性。

• 這是我們第一個「新網域的網域控制站」。

• 當然也是要建立一個新的「網域」。

• 輸入新網域完整的 DNS 名稱，通常都是「xxx.com」。
  範例為◤contoso.com

• 「NetBIOS」網域名稱就維持不變，主要用意是讓以前不支援 DNS 網域名稱的 Windows NT（含）舊系統可以透過 NetBIOS 名稱與此網域溝通，預設是 DNS 名稱最左邊的字串（最長 15 字元）。

• 資料庫資料夾、記錄檔資料夾就維持預設位置即可。

• 共用的系統磁碟區也就維持預設位置即可。

• 這邊出現診斷失敗，是因為筆者尚未安裝 DNS 伺服器這個角色，沒有關係，稍後他會自動安裝並設定 DNS 伺服器。

• 使用權限設定。

• 建議目錄服務還原模式的系統管理員與網域系統管理員帳戶密碼設定不要相同！

• 確認一切資訊沒有問題後就可以點選下一步進行安裝角色。

• 這裡記得將 Windows Server 2003 R2 CD1 安裝光碟掛載進去虛擬機。

• 這步驟在安裝及設定 DNS 服務，可能有點久，請耐心等候。

• 看到這畫面表示已經完成 Active Directory 安裝精靈，點選完成後重新開機。

• 在建立網域後的「登入 Windows」視窗，會額外要求輸入網域名稱以登入系統，這邊可以看到多了一個名為「登入到」的選單可以選擇，裡面也出現剛剛建立的網域名稱 CONTOSO。

• 現在，這台伺服器現已成為網域控制站，是不是很簡單啊？

【寫在後面】

踏入 SI 這條不歸路，AD 是新手一定要知道的東西也可以說是常識（而且 LAB 一定是做到爛掉），他具有什麼功能以及什麼優點，都要去仔細了解並記下來，或許你不會是網域的管理者，但要是有客戶問起總要會答出個所以然，這才是本身的專業價值所在！

從上面 LAB 操作下來會覺得建立一個 AD 是非常簡單的事情。

的確，筆者也認為建立一個 AD 是非常簡單的事情，但 AD 在企業裡只是 IT 環境一切基礎架構的源頭，後續的服務拓展與管理維護才是一門真正的學問！

目前只是個開始，後頭還有許多東西等著我們去學習呢！加油！