在Windows 2003中，各种网络服务以服务器角色出现，方便了用户对网络资源进行分配与管理。应用服务器角色对网络进行管理，均需要有活动目录服务、域名系统服务、动态主机配置协议服务、Windows Internet命名服务的配合与支持。本文将向你重点讲解上述活动目录服务务的实现方法与技巧。

(一)什么是活动目录

活动目录(Active Directory)是用于Windows 2003的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。
(二)DNS与活动目录

由于活动目录与DNS(Domain Name System，域名系统)集成，共享相同的名称空间结构，因此注意两者之间的差异非常重要：
1.DNS 是一种名称解析服务
DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收名称查询，然后通过本地存储的文件解析名称查询，或者查询其他DNS服务器进行名称解析。DNS不需要活动目录就能运行。
2.活动目录是一种目录服务
活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol，LDAP)”向活动目录服务器发送查询。要定位活动目录服务器，活动目录客户机将查询DNS。活动目录需要DNS才能工作。
即活动目录用于组织资源，而DNS用于查找资源；只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。DNS是活动目录的关键组件，如果没有 DNS，活动目录就无法将用户的请求解析成资源的IP地址，因此在安装和配置活动目录之前，我们必须对DNS有深入的理解。
(三) 规划活动目录

在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计，让用户和管理员在使用时更为方便。
1.规划DNS
如果用户准备使用活动目录，则需要首先规划名称空间。当DNS域名空间可在Windows 2003中正确执行之前，需要有可用的活动目录结构。所以，从活动目录设计着手并用适当的DNS名称空间支持它。
在Windows 2003中，用DNS名称命名活动目录域。选择DNS名称用于活动目录域时，以保留在Internet上使用的已注册DNS域名后缀开始(如 microsoft.com)，并将该名称和单位中使用的地理(部门)名称结合起来，组成活动目录域的全名。例如，microsoft的sales组可能称他们的域为“sales.microsoft.com”。这种命名方法确保每个活动目录域名是全球唯一的。而且，这种命名方法一旦被采用，使用现有名称作为创建其他子域的父名称以及进一步增大名称空间以供单位中的新部门使用的过程将变得非常简单。
2.规划用户的域结构
最容易管理的域结构就是单域。规划时，用户应从单域开始，并且只有在单域模式不能满足用户的要求时，才增加其他的域。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。在一个域中，可以使用组织单元(OU，Organizational Units)来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。
3.规划用户的委派模式
用户可以将权限下派给单位中最底层部门，方法是在每个域中创建组织单元树，并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限，用户不再需要那些定期登录到特定账户的人员，这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组，可以仍保留这些账户以备少数管理员偶尔使用。
(四)安装活动目录服务

运行活动目录安装向导将Windows 2003计算机升级为域控制器会创建一个新域或者向现有的域添加其他域控制器。
1.安装前的准备工作
首先，也是最重要的一点，就是你必须有安装活动目录的管理员权限，否则无法安装。在安装活动目录之前，要确保系统盘为NTFS分区。同时，已做好了DNS服务器的解析，如lanyi.com。 
2.安装域控制器
在安装活动目录前首先确定DNS服务正常工作，下面我们来安装根域为lanyi.com的域控制器。
(1)依次单击“开始→设置→控制面板”菜单项，在“控制面板”对话框中双击“管理工具”项，然后在出现的对话框中双击“管理你的服务器向导”选项，启动配置向导。单击“添加或删除角色”选项，单击“下一步”按钮。
(2)在“配置选项”对话框中，选择“自定义配置”选项。单击“下一步”按钮。
(3)在“服务器角色”对话框中，选择“域控制器(Active Directory)”选项，单击“下一步”按钮，将启动活动目录安装向导。单击“下一步”按钮。
注意：你也可以运行位于C:\Windows \system32目录下的dcpromo.exe文件，启动活动目录安装向导。
(4)由于用户所建立的是域中的第一台域控制器所以在“域控制器类型”对话框中选择“新域的域控制器”选项。单击“下一步”按钮。
(5)在“创建一个新域”对话框中选择“在新林中的域”选项。单击“下一步”按钮。
(6)在“新的域名”对话框中的“新域的DNS全名”框中输入需要创建的域名，这里是lanyi.com。单击“下一步”按钮。
(7) 在“NetBIOS域名”对话框中，更改NetBIOS名称。运行非Windows操作系统客户端将使用NetBIOS域名。可保持默认设置，单击“下一步”按钮。
(8)在“数据库和日志文件文件夹”对话框中，将显示数据库、日志文件的保存位置，一般不作修改。单击“下一步”按钮。
(9) 在“共享的系统卷”对话框中，指定作为系统卷共享的文件夹。Sysvol文件夹存放域的公用文件的服务器副本。Sysvol广播的内容被复制到域中的所有域控制器，其文件夹位置一般不作修改。单击“下一步”按钮。
(10)在“配置DNS”对话框中，单击“下一步”按钮。(如果在安装活动目录之前未配置DNS服务器，可在此让安装向导配置DNS，推荐使用这种方法。)
(11)在“权限”对话框中为用户和组选择默认权限，考虑到现在大多数网络环境中仍然需要使用Windows 2003以前的操作系统，所以选择“与Windows 2000之前的服务器操作系统兼容的权限”选项，单击“下一步”按钮。
(12)在“目录服务恢复模式的管理员密码”对话框中输入以目录恢复模式下的管理员密码。单击“下一步”按钮。
此时，安装向导将显示安装摘要信息。单击“下一步”按钮即可开始安装，安装完成之后，重新启动计算机即可。
3.删除活动目录

运行dcpromo.exe文件，根据向导提示即可删除活动目录。
(五)备份与恢复活动目录

在Windows 2003中，备份与恢复活动目录是一项非常重要的工作。你不能单独备份活动目录，因为Windows 2003将活动目录作为系统状态数据的一部分进行备份。系统状态数据包括注册表、系统启动文件、类注册数据库、证书服务数据、文件复制服务、集群服务、域名服务和活动目录等8部分，通常情况下只有前3部分。这8部分都不能单独进行备份，必须作为系统状态数据的一部分进行备份。
1.备份活动目录
如果一个域内存在不止一台域控制器，当重新安装其中的一台域控制器时，备份活动目录并不是必需的，你只需要将其中的一台域控制器从域中删除，重新安装，并使之回到域中，那么另外的域控制器自然会将数据复制到这台域控制器上。如果一个域内只有一台域控制器，那就有必要对活动目录进行备份。
(1)单击 “开始→程序→附件→系统工具→备份”菜单项，以启动备份或还原向导。单击“高级模式”选项，打开“备份工具”对话框，单击“备份向导”按钮。单击“下一步”按钮。
(2)在“要备份的内容”对话框中，选择“只备份系统状态数据”选项。单击“下一步”按钮。
(3)在“备份类型、目标和名称”对话框中，输入备份数据文件名，单击“下一步”按钮，完成备份向导。
2.活动目录的恢复
有两种办法可以恢复活动目录。
第一种方法是从域的其他域控制器上恢复数据，前提是域内必须还有一台域控制器是可用的，这时当损坏的域控制器重新安装并加入到它原来的域时，域控制器之间会自动进行数据复制，活动目录也会随之恢复。　
另一种方法就是从备份介质进行恢复。通常情况下，整个网络环境中只有一台域控制器，因此从介质恢复活动目录是经常遇到的事情。
从备份介质进行活动目录恢复有两种方式可以选择：验证方式(Authoritative Restore)和非验证方式(Nonauthoritative Restore)。
3.非验证方式恢复
通常情况下，Windows 2003使用非验证方式恢复。活动目录从备份介质中恢复以后，域内其他的域控制器会在复制过程中使用新的数据覆盖旧的数据。
要实现非验证恢复，目录服务必须处于离线状态。同时，你必须使域服务器处于“目录服务恢复模式”。重新启动服务器，按下F8键展开系统启动高级菜单，选择其中的“目录服务恢复模式”选项。当Windows 2003出现用户登录窗口时，输入本地管理员账户和密码，登录成功后，就可以进行恢复操作了。
注意：这里并不是在活动目录中的管理员账号和密码。
(1)单击“开始→程序→附件→系统工具→备份”菜单项，以启动备份或还原向导。单击“高级模式”选项，打开“备份工具”对话框，单击“还原向导”按钮。单击“下一步”按钮。
(2)在“还原项目”对话框中，选择相应的备份文件，单击“下一步”按钮，完成数据恢复，重新启动机器即可。
注意：通常情况下，你不能恢复60天以前备份的活动目录数据。
4.验证方式恢复

验证模会将从备份介质恢复过来的数据强行复制到域内所有的域控制器上，无论从备份以后数据是否发生了变化。验证模式恢复活动目录通常用于活动目录在域内某台域控制器上发生了严重的错误，而且这种错误通过复制扩散到了域内的其他域控制器上。
为实现验证方式恢复，你必须首先实现非验证方式恢复，然后使用NTDSUTIL命令行工具实现验证式恢复。
重新启动服务器，按下F8键展开系统启动高级菜单，选择其中的“目录服务恢复模式”选项。当Windows 2003出现用户登录窗口时，输入本地管理员账户和密码，登录成功后，就可以进行恢复操作了。
(1)单击“开始→运行” 菜单项，在出现的对话框中输入“ntdsutil”，启动命令行工具。　
恢复整个活动目录数据库，可使用下列命令：
authoritative restore
restore database
(2)恢复部分活动目录数据，使用下列命令：
authoritative restore
restore subtree ou=works,dc=lanyi,dc=com
第二行命令需要根据实际情况确定，比如你的域名字是lanyi.com，要恢复的OU是Works，即为上式中的：restore subtree ou=works,dc=lanyi,dc=com，依此类推。
最后使用quit命令退出，重新启动机器即可。
注意：有关活动目录的管理与使用已超出本文讲述范围，读者可参看相关图书。