Active Directory 管理分步指南[3]

返回页首

使用“Active Directory 域和信任关系”管理单元

“Active Directory 域和信任关系”管理单元为林中的所有域树提供一个图形视图。使用此工具，管理员可以管理林中的每个域；管理域之间的信任关系；配置每个域的操作模式（纯模式或混合模式）；并为林配置其他用户主体名称 (UPN) 后缀。

启动“Active Directory 域和信任关系”管理单元

要启动该管理单元，请按照以下步骤操作：

1.	在“HQ-CON-DC-01”上，单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 域和信任关系”。此时将出现“Active Directory 域和信任关系”管理单元（如图 1 所示）。 图 1. “Active Directory 域和信任关系”管理单元

用户主体名称 (UPN) 为用户登录到 Active Directory 提供了易于使用的命名样式。UPN 的样式基于 Internet 标准 RFC 822，有时将其称为“邮件地址”。默认 UPN 后缀是林 DNS 名称，它是林中第一个树中第一个域的 DNS 名称。在本指南和本系列的其他分步指南中，默认 UPN 后缀是“contoso.com”。

您可以添加其他的 UPN 后缀，这可以提高登录安全性。您也可以为所有用户提供单一 UPN 后缀以简化用户登录名称。UPN 后缀仅在 Windows Server 2003 域中使用，而且不一定是有效的 DNS 域名。

要添加其他 UPN 后缀，请按照以下步骤操作：

更改域和林功能

Windows Server 2003 Active Directory 中引入的域和林功能提供了一种在网络环境中启用全域或全林 Active Directory 功能的方法。根据您的网络环境，您可以使用不同级别的域功能和林功能。

如果域或林中的所有域控制器均运行 Windows Server 2003，并且将功能级别设置为 Windows Server 2003，则可以使用所有的全域和全林功能。如果域或林中不但包括运行 Windows Server 2003 的域控制器，还包括运行 Windows NT^® 4.0 或 Windows 2000 的域控制器，则您只能使用一部分 Active Directory 全域和全林功能。

在 Windows 2000 混合模式和纯模式下，允许在 Active Directory 中启用其他功能。混合模式域可以包含 Windows NT 4.0 备份域控制器，但不能使用通用安全组、组嵌套和安全 ID (SID) 历史记录功能。如果将域设置为纯模式，则可以使用通用安全组、组嵌套和 SID 历史记录功能。运行 Windows 2000 Server 的域控制器不支持域和林功能。

警告：在提升域功能级别后，不能将运行早期版本操作系统的域控制器加入该域。例如，如果将域功能级别提升为 Windows Server 2003，则不能将运行 Windows 2000 Server 的域控制器添加到该域中。

域功能启用的功能会影响整个域，而且只能影响该域。可以使用四种域 功能级别：Windows 2000 混合模式（默认）、Windows 2000 纯模式、Windows Server 2003 过渡和 Windows Server 2003。默认情况下，域在 Windows 2000 混合功能级别运行。

要提升域功能，请按照以下步骤操作：

返回页首

使用“Active Directory 用户和计算机”管理单元

要启动“Active Directory 用户和计算机”管理单元，请按照以下步骤操作：

图 2 显示了“Active Directory 用户和计算机”管理单元的关键组件。

图 2. “Active Directory 用户和计算机”管理单元

认识 Active Directory 对象

下表中描述的对象是在 Active Directory 的安装过程中创建的。