默认的windows 2003 server,AD是随domian controller一起发布的。所以我们首先要在windows 2003上安装domian controller。安装下图所示运行“Configure Your Wizard”。
![](http://lh3.ggpht.com/_Eyd_-h7bEhI/SjYdl8khr5I/AAAAAAAALc0/nVbjo4rf3rk/s400/1.jpg)
Welcome首页。
![](http://lh5.ggpht.com/_Eyd_-h7bEhI/Sid31kSXwTI/AAAAAAAALZg/Qa9H8IUBR-Q/s400/2.jpg)
这里选择列表中的“Domain Controller (Active Directory)”,当前的状态是未经配置。
![](http://lh6.ggpht.com/_Eyd_-h7bEhI/Sid32TcRznI/AAAAAAAALZo/hc7gLUkGwZ8/s400/3.jpg)
开始AD的安装。
![](http://lh6.ggpht.com/_Eyd_-h7bEhI/Sid3244n9AI/AAAAAAAALZw/QWK60TAcsBk/s400/4.jpg)
选择新域的域控制器。
![](http://lh3.ggpht.com/_Eyd_-h7bEhI/Sid33F3XLhI/AAAAAAAALZ4/IRcuNt0rjY4/s400/5.jpg)
选择为新的域森林创建域。
![](http://lh5.ggpht.com/_Eyd_-h7bEhI/SjYXDmHYZXI/AAAAAAAALZ8/YStGFyraF6I/s400/6.jpg)
输入该域域名。
![](http://lh6.ggpht.com/_Eyd_-h7bEhI/SjYXEJpvkUI/AAAAAAAALaE/DYhjgMX_8bE/s400/7.jpg)
输入域的NetBIOS name,这是为了适应较早的Windows版本。
![](http://lh4.ggpht.com/_Eyd_-h7bEhI/SjYXEgL_8WI/AAAAAAAALaI/W3aOzP_vXQA/s400/8.jpg)
我们忽略诊断失败的信息,因为没有DNS,选择以后解决问题,手工配置DNS(不需要解决)。
![](http://lh6.ggpht.com/_Eyd_-h7bEhI/SjYXFeNCuuI/AAAAAAAALaM/15CtvZwM7zQ/s400/9.jpg)
选择许可兼容win2000及win2003。
![](http://lh5.ggpht.com/_Eyd_-h7bEhI/SjYXF6x7SwI/AAAAAAAALaQ/DLzaCKmc4EY/s400/10.jpg)
输入“Restore Mode Administrator password”。
![](http://lh6.ggpht.com/_Eyd_-h7bEhI/SjYXGR9SdGI/AAAAAAAALaU/B6MQ0m6_OGU/s400/11.jpg)
配置好参数,系统开始为创建域控制器及AD做一些工作。
![](http://lh5.ggpht.com/_Eyd_-h7bEhI/SjYXHMgGxgI/AAAAAAAALaY/M-2XYbiH7CU/s400/12.jpg)
完成。
![](http://lh6.ggpht.com/_Eyd_-h7bEhI/SjYXHsC9pHI/AAAAAAAALac/gbYPDCRfhMA/s400/13.jpg)
安装、设定结束会要求重新启动。
![](http://lh4.ggpht.com/_Eyd_-h7bEhI/SjYXIHglqKI/AAAAAAAALag/iTU70B5Wk-o/s400/14.jpg)
OS重启之后,会看到这个界面。
![](http://lh4.ggpht.com/_Eyd_-h7bEhI/SjYXIrAvO8I/AAAAAAAALak/4_6DuWO5c-g/s400/15.jpg)
我们可以配置AD的用户信息了,按照下图点击运行“Active Directory Users and Computers”。
![](http://lh4.ggpht.com/_Eyd_-h7bEhI/SjYXJM4doNI/AAAAAAAALao/QvP62Y-MxSU/s400/16.jpg)
我们首先为Domain Controller添加一个OU(Organization Unit)-rdteam。在OU-rdteam下再添加两个OU,group和people。
![](http://lh5.ggpht.com/_Eyd_-h7bEhI/SjYXPGty3rI/AAAAAAAALbQ/TBQ1r8hgx0I/s400/17.jpg)
按照下面图面的方法在OU-people下添加两个User,foolbear和jeff。
![](http://lh5.ggpht.com/_Eyd_-h7bEhI/SjYXJplEXDI/AAAAAAAALas/cUDwkQOzgyE/s400/18.jpg)
这里为用户设定密码规则,注意密码要求较高,请配合特殊符号、混合大小写、混合字母数字等。
![](http://lh6.ggpht.com/_Eyd_-h7bEhI/SjYXKPGfjpI/AAAAAAAALaw/0a5eAY-pvoQ/s400/19.jpg)
下面显示了创建好的两个user。
![](http://lh5.ggpht.com/_Eyd_-h7bEhI/SjYXKoG4FcI/AAAAAAAALa0/TsXXVjybQtw/s400/20.jpg)
类似的方法在OU-group下创建2个group,platform和application。
![](http://lh4.ggpht.com/_Eyd_-h7bEhI/SjYXLX9I4DI/AAAAAAAALa4/7ckiXh165_M/s400/21.jpg)
编辑group platform的member,将user foolbear添加到该group。同样将user jeff添加到group application中。
![](http://lh6.ggpht.com/_Eyd_-h7bEhI/SjYXL3uAP9I/AAAAAAAALa8/48MljXbw6Aw/s400/22.jpg)
![](http://lh5.ggpht.com/_Eyd_-h7bEhI/SjYXMTjpIzI/AAAAAAAALbA/TQLaBaW0_oQ/s400/23.jpg)
由于在创建user的时候,策略会要求用户改密码,我们在这里人工Reset Password。
![](http://lh6.ggpht.com/_Eyd_-h7bEhI/SjYXM_yEbnI/AAAAAAAALbE/3Em9c7B4Mqo/s400/24.jpg)
好了,上面已经做好了准备工作。现在来测试ldap的链接状况。我们这里推荐一个工具LDAP Browser\Editor,这个工具需要JRE的支持。按照下图设定参数,Host中填写该域控制器的IP adddress;可以直接点击Fetch DNs来取得Base DN;User DN填写前面我们创建的user-foolbear或jeff。
![](http://lh4.ggpht.com/_Eyd_-h7bEhI/SjYXNSV8kcI/AAAAAAAALbI/rRu79LqSdR0/s400/25.jpg)
点击Connect,就可以show出该ldap中的内容,如我们刚才创建的OU、group、user等。
![](http://lh4.ggpht.com/_Eyd_-h7bEhI/SjYXOVQYtJI/AAAAAAAALbM/tpwJTNN1lAc/s400/26.jpg)
FYI:
- PHP LDAP 访问 Windows AD
- 用ldap方式访问AD域的的错误一般会如下格式:
LDAP: error code 49 - 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 52e, vece
其中粗体部分的意思如下:
* 525 - 用户没有找到
* 52e - 证书不正确
* 530 - not permitted to logon at this time
* 532 - 密码期满
* 533 - 帐户不可用
* 701 - 账户期满
* 773 - 用户必须重设密码
没有评论 :
发表评论