默认的windows 2003 server,AD是随domian controller一起发布的。所以我们首先要在windows 2003上安装domian controller。安装下图所示运行“Configure Your Wizard”。
Welcome首页。
这里选择列表中的“Domain Controller (Active Directory)”,当前的状态是未经配置。
开始AD的安装。
选择新域的域控制器。
选择为新的域森林创建域。
输入该域域名。
输入域的NetBIOS name,这是为了适应较早的Windows版本。
我们忽略诊断失败的信息,因为没有DNS,选择以后解决问题,手工配置DNS(不需要解决)。
选择许可兼容win2000及win2003。
输入“Restore Mode Administrator password”。
配置好参数,系统开始为创建域控制器及AD做一些工作。
完成。
安装、设定结束会要求重新启动。
OS重启之后,会看到这个界面。
我们可以配置AD的用户信息了,按照下图点击运行“Active Directory Users and Computers”。
我们首先为Domain Controller添加一个OU(Organization Unit)-rdteam。在OU-rdteam下再添加两个OU,group和people。
按照下面图面的方法在OU-people下添加两个User,foolbear和jeff。
这里为用户设定密码规则,注意密码要求较高,请配合特殊符号、混合大小写、混合字母数字等。
下面显示了创建好的两个user。
类似的方法在OU-group下创建2个group,platform和application。
编辑group platform的member,将user foolbear添加到该group。同样将user jeff添加到group application中。
由于在创建user的时候,策略会要求用户改密码,我们在这里人工Reset Password。
好了,上面已经做好了准备工作。现在来测试ldap的链接状况。我们这里推荐一个工具LDAP Browser\Editor,这个工具需要JRE的支持。按照下图设定参数,Host中填写该域控制器的IP adddress;可以直接点击Fetch DNs来取得Base DN;User DN填写前面我们创建的user-foolbear或jeff。
点击Connect,就可以show出该ldap中的内容,如我们刚才创建的OU、group、user等。
FYI:
- PHP LDAP 访问 Windows AD
- 用ldap方式访问AD域的的错误一般会如下格式:
LDAP: error code 49 - 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 52e, vece
其中粗体部分的意思如下:
* 525 - 用户没有找到
* 52e - 证书不正确
* 530 - not permitted to logon at this time
* 532 - 密码期满
* 533 - 帐户不可用
* 701 - 账户期满
* 773 - 用户必须重设密码
没有评论 :
发表评论