域指的是一組服務器和工作站的集合。域將計算機賬戶和用戶及賬戶密碼集中放在一個共享數據庫內，使得用戶可以只使用一個賬戶名和密碼就能夠訪問網絡中的計算機。 建立一個AD域的過程大致可以分為兩步，首先需要在作為服務器的計算機上安裝AD，使這臺計算機成為DC（Domain Controller，域控制器）；然后為用戶創建用戶賬戶使其能夠登錄到AD域中，而將網絡中的其它計算機加入到AD域中使其成為域成員計算機也是必不可少的步驟。 一、準備工作 首先網絡中需要有一臺運行著Windows Server 2003的服務器，目前的主流硬件配置均可以滿足安裝AD域的需要，因此無需過多考慮。不過有一點需要注意，那就是硬盤中必須有一個NTFS文件格式的分區以備后用。 二、建立AD域 域控制器（DC）是AD域的核心，建立AD域的過程從一定意義上也可以說是將Windows Server 2003服務器升級為域控制器的過程。Windows Server 2003中提供了AD安裝向導，以方便用戶的安裝，具體的安裝步驟如下所述： 第1步 依次單擊“開始/管理工具/配置您的服務器向導”，在打開的“配置您的服務器”向導歡迎頁中依次單擊“下一步”按鈕。打開“服務器角色”向導頁，在服務器角色列表中單擊選中“域控制器（Active Directory）”選項，并依次單擊“下一步”按鈕打開“Active Directory安裝向導”，單擊“下一步”按鈕，如圖1。 圖1 選擇服務器角色 第2步 打開“操作系統兼容性”選項頁，該選項頁提示用戶運行Windows 95的客戶端將無法登錄到基于Windows Server 2003的AD域中。就目前的實際情況而言，Windows 95的身影基本上已經消失殆盡了，因此直接單擊“下一步”按鈕。 第3步 在打開的“域控制器類型”選項頁中需要指定該Windows Server 2003服務器擔任的角色。如果要創建一個全新的域，則保持“新域的域控制器”單選框的選中狀態。本文實例屬于這種情況，直接單擊“下一步”按鈕即可，如圖2。 圖1 選擇服務器角色 第4步 打開“創建一個新域”向導頁，AD（活動目錄）可以把域組織成域樹，然后再把域樹組織成森林。在本例中要創建的域是一個新域樹中的第一個域，同時也是新森林中的第一個域樹，因此保持“在新林中的域”單選框的選中狀態，并單擊“下一步”按鈕。 第5步 在打開的“新的域名”向導頁中需要為該域指定一個域名，在“新域的DNS全名”編輯框中鍵入準備使用的域名（如“cce.com.cn”），并單擊“下一步”按鈕，如圖3。 圖3 指定域名 第6步 打開“NetBIOS域名”向導頁，在這里可以為新域指定一個NetBIOS域名。在默認情況下，安裝向導會將域名中小圓點最左邊的部分作為NetBIOS域名。可以（建議）保留這個默認值，并單擊“下一步”按鈕。 NetBIOS域名在很多情況下很有用，例如在某些網絡中除了Windows 2000及以上版本的操作系統以外，可能還存在比較舊的Windows 98系統，而Windows 98系統是無法識別如“Cce．com．cn”這種形式的域名的。正是基于此問題，AD域為這些舊系統準備了一個它們所能識別的域名，即“NetBIOS域名”。 第7步 在打開的“數據庫和日志文件文件夾”向導頁中，可以為AD數據庫和事物日志文件指定存儲路徑。本例保持默認的路徑并單擊“下一步”按鈕。 AD域把AD數據庫存儲為兩部分，一部分是AD數據庫文件本身，另一部分是事務日志。如果將AD數據庫文件存儲在NTFS分區中，可以獲得明顯優于FAT分區的性能。而如果將事務日志文件存儲在跟AD數據文件不同的物理硬盤上（且使用不同的EIDE通道），則可以實現AD數據庫和日志的同時更新，所獲得的性能提高同樣非常明顯。 第8步 打開“共享的系統卷”向導頁，在該向導頁中需要指定“Sysvol”文件夾的存儲路徑，而該路徑必須指向NTFS格式的分區。單擊“瀏覽”按鈕定位至合適的路徑，并單擊“下一步”按鈕，如圖4。 圖4 指定sysvol文件夾存儲路徑 “Sysvol”文件夾中存儲有AD域中重要的用戶配置和控制信息文件（如“系統策略文件”、“默認配置文件”和“登錄腳本”等），并且該文件夾會自動地被復制到其它的DC中，實現域信息的同步更新。但是系統對“Sysvol”文件夾的自動復制需要NTFS分區的支持，這也是我們在“系統要求”部分所提到的需要一個NTFS分區的原因。 第9步 在打開的“DNS注冊診斷”向導頁中，會根據服務器的DNS配置給出相應的診斷結果。如果服務器未正確安裝和配置DNS服務，則可以點選“在這臺計算機上安裝并配置DNS服務器，并將這臺DNS服務器設為這臺計算機的首選DNS服務器”單選框，并單擊“下一步”按鈕。 第10步 打開“權限”向導頁，在這里需要設定用戶和組對象的默認權限。一般情況下采用默認設置即可，并單擊“下一步”按鈕。該向導頁中所提到的權限主要涉及到RAS（遠程訪問服務）服務器的匿名登錄問題。因為在NT4域中，RAS在沒有匿名登錄的域中是無法工作的。 如果確信公司網絡中的服務器系統均在Windows 2000 Server以上，則建議選擇“只與Windows 2000或Windows Server 2003操作系統兼容的權限”選項。因為該選項將關閉RAS服務器的匿名登錄，從而提高安全性。 第11步 在打開的“目錄服務還原模式的管理員密碼”向導頁中，用戶可以設置一組還原密碼。單擊“下一步”按鈕。在Windows 2000 Server和Windows Server 2003系統的啟動過程中，有一個選項可以用來重建被損壞的AD數據庫，并把它還原到內部一致的一個較早期版本。為了防止未經授權的還原操作破壞AD數據庫，才有了設置還原密碼的設計。 第12步 最后打開“摘要”向導頁，通過對照摘要信息確認前面所做的設置正確無誤，并單擊“下一步”按鈕開始AD的安裝配置過程。根據服務器的硬件配置，安裝配置所需要的時間不盡相同（大概需要10～20分鐘）。 在安裝配置過程中會提示安裝DNS服務，根據提示插入Windows Server 2003的安裝光盤（或者指定安裝源文件路徑）即可自動完成。AD安裝結束后連續單擊“完成”按鈕關閉“配置您的服務器向導”。然后重新啟動計算機，則該服務器已經升級為域控制器了。