域指的是一组服务器和工作站的集合。域将计算机账户和用户及账户密码集中放在一个共享数据库内，使得用户可以只使用一个账户名和密码就能够访问网络中的计算机。

建立一个AD域的过程大致可以分为两步，首先需要在作为服务器的计算机上安装AD，使这台计算机成为DC（Domain Controller，域控制器）；然后为用户创建用户账户使其能够登录到AD域中，而将网络中的其它计算机加入到AD域中使其成为域成员计算机也是必不可少的步骤。

一、准备工作

首先网络中需要有一台运行着Windows Server 2003的服务器，目前的主流硬件配置均可以满足安装AD域的需要，因此无需过多考虑。不过有一点需要注意，那就是硬盘中必须有一个NTFS文件格式的分区以备后用。

二、建立AD域

域控制器（DC）是AD域的核心，建立AD域的过程从一定意义上也可以说是将Windows Server 2003服务器升级为域控制器的过程。Windows Server 2003中提供了AD安装向导，以方便用户的安装，具体的安装步骤如下所述：

第1步 依次单击“开始/管理工具/配置您的服务器向导”，在打开的“配置您的服务器”向导欢迎页中依次单击“下一步”按钮。打开“服务器角色”向导页，在服务器角色列表中单击选中“域控制器（Active Directory）”选项，并依次单击“下一步”按钮打开“Active Directory安装向导”，单击“下一步”按钮，如图1。

图1 选择服务器角色

第2步 打开“操作系统兼容性”选项页，该选项页提示用户运行Windows 95的客户端将无法登录到基于Windows Server 2003的AD域中。就目前的实际情况而言，Windows 95的身影基本上已经消失殆尽了，因此直接单击“下一步”按钮。

第3步 在打开的“域控制器类型”选项页中需要指定该Windows Server 2003服务器担任的角色。如果要创建一个全新的域，则保持“新域的域控制器”单选框的选中状态。本文实例属于这种情况，直接单击“下一步”按钮即可，如图2。



图1 选择服务器角色

第4步 打开“创建一个新域”向导页，AD（活动目录）可以把域组织成域树，然后再把域树组织成森林。在本例中要创建的域是一个新域树中的第一个域，同时也是新森林中的第一个域树，因此保持“在新林中的域”单选框的选中状态，并单击“下一步”按钮。

第5步 在打开的“新的域名”向导页中需要为该域指定一个域名，在“新域的DNS全名”编辑框中键入准备使用的域名（如“cce.com.cn”），并单击“下一步”按钮，如图3。



图3 指定域名

第6步 打开“NetBIOS域名”向导页，在这里可以为新域指定一个NetBIOS域名。在默认情况下，安装向导会将域名中小圆点最左边的部分作为NetBIOS域名。可以（建议）保留这个默认值，并单击“下一步”按钮。

NetBIOS域名在很多情况下很有用，例如在某些网络中除了Windows 2000及以上版本的操作系统以外，可能还存在比较旧的Windows 98系统，而Windows 98系统是无法识别如“Cce．com．cn”这种形式的域名的。正是基于此问题，AD域为这些旧系统准备了一个它们所能识别的域名，即“NetBIOS域名”。

第7步 在打开的“数据库和日志文件文件夹”向导页中，可以为AD数据库和事物日志文件指定存储路径。本例保持默认的路径并单击“下一步”按钮。

AD域把AD数据库存储为两部分，一部分是AD数据库文件本身，另一部分是事务日志。如果将AD数据库文件存储在NTFS分区中，可以获得明显优于FAT分区的性能。而如果将事务日志文件存储在跟AD数据文件不同的物理硬盘上（且使用不同的EIDE通道），则可以实现AD数据库和日志的同时更新，所获得的性能提高同样非常明显。

第8步 打开“共享的系统卷”向导页，在该向导页中需要指定“Sysvol”文件夹的存储路径，而该路径必须指向NTFS格式的分区。单击“浏览”按钮定位至合适的路径，并单击“下一步”按钮，如图4。



图4 指定sysvol文件夹存储路径

“Sysvol”文件夹中存储有AD域中重要的用户配置和控制信息文件（如“系统策略文件”、“默认配置文件”和“登录脚本”等），并且该文件夹会自动地被复制到其它的DC中，实现域信息的同步更新。但是系统对“Sysvol”文件夹的自动复制需要NTFS分区的支持，这也是我们在“系统要求”部分所提到的需要一个NTFS分区的原因。

第9步 在打开的“DNS注册诊断”向导页中，会根据服务器的DNS配置给出相应的诊断结果。如果服务器未正确安装和配置DNS服务，则可以点选“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机的首选DNS服务器”单选框，并单击“下一步”按钮。

第10步 打开“权限”向导页，在这里需要设定用户和组对象的默认权限。一般情况下采用默认设置即可，并单击“下一步”按钮。该向导页中所提到的权限主要涉及到RAS（远程访问服务）服务器的匿名登录问题。因为在NT4域中，RAS在没有匿名登录的域中是无法工作的。

如果确信公司网络中的服务器系统均在Windows 2000 Server以上，则建议选择“只与Windows 2000或Windows Server 2003操作系统兼容的权限”选项。因为该选项将关闭RAS服务器的匿名登录，从而提高安全性。

第11步 在打开的“目录服务还原模式的管理员密码”向导页中，用户可以设置一组还原密码。单击“下一步”按钮。在Windows 2000 Server和Windows Server 2003系统的启动过程中，有一个选项可以用来重建被损坏的AD数据库，并把它还原到内部一致的一个较早期版本。为了防止未经授权的还原操作破坏AD数据库，才有了设置还原密码的设计。

第12步 最后打开“摘要”向导页，通过对照摘要信息确认前面所做的设置正确无误，并单击“下一步”按钮开始AD的安装配置过程。根据服务器的硬件配置，安装配置所需要的时间不尽相同（大概需要10～20分钟）。

在安装配置过程中会提示安装DNS服务，根据提示插入Windows Server 2003的安装光盘（或者指定安装源文件路径）即可自动完成。AD安装结束后连续单击“完成”按钮关闭“配置您的服务器向导”。然后重新启动计算机，则该服务器已经升级为域控制器了。

OVER