《windows系统安全活动目录PPT课件.ppt》由会员分享,可在线阅读,更多相关《windows系统安全活动目录PPT课件.ppt(91页珍藏版)》请在金锄头文库上搜索。
1、 48页648889 1 第四章 活动目录 2 4 1活动目录基础4 2活动目录组件4 3活动目录对象4 4活动目录的使用和管理4 5保护ActiveDirectory 3 4 1活动目录基础 1背景计算一直趋向于更大的网络和更为分布式的方向发展现代操作系统必须提供对分布式资源 实体和关系进行管理的机制 2定义活动目录是一个以层次化方式保存用户在网络中所能接触到的各种对象相关信息的场所 诸如 用户名 用户描述 密码 打印机 共享资源等信息 域森林 树 域 组织 类 对象 属性 4 3目录服务的作用目录服务为用户和资源对象及属性提供了存储位置目录可以分布在网络中的多台计算机上 而无需考虑地理位置
2、目录可以复制 更能防止访问失败 目录可以分割保存 允许存储大量的对象允许用户使用对象的名称或属性就可以搜索到相应的网络资源 集中管理软件安装 服务配置目录的安全性可由管理员统一定义和实施 5 4完成活动目录上述功能的一些机制分层的域结构域间可传递的信任关系组策略 用户可以对目录中的每个域及对象定义访问控制轻量级目录访问协议 LightweightDirectoryAccessProtocol LDAP 可用于和活动目录以及支持LDAP的其他目录或应用程序进行交流 多主复制全局目录 GC 即保存在一个或多个域服务器上的一个数据库 并执行两个关键目录任务 登录和查询 什么是多主复制 活动目录为了在
3、分布式环境中提供很好的性能 可靠性和灵活性 采用 多主复制 MultimasterReplication 技术 通过安装域控制器 可在整个网络环境中创建目录的多份副网络中任何地方发生变化都会在整个网络中自动复制 6 5活动目录开放设计 活动目录所支持的一些最重要的Internet标准 DNS WIN2000放弃了wins服务 采用DNS作为其内在的地址定位服务每个域 计算机都有一个DNS名称如域 其中的一台计算机为 LDAP 所有对活动目录的访问都是通过LDAP进行的X 500 活动目录信息模型源自X 500信息模型Kerberos 活动目录的认证协议 7 4 1活动目录基础4 2活动目录组件
4、4 3活动目录对象4 4活动目录的使用和管理4 5保护ActiveDirectory 8 4 2活动目录组件 使用活动目录 可将资源组织在一个逻辑结构中域 Domain 组织单位 OrganizationalUnit OU 域树 Tree 和信任域森林 Forest 物理结构站点 Site 9 逻辑结构组件 域和组织单位组成等级层次结构多重域能够组成树森林 10 逻辑结构组件 1域 Domain 创建初始域控制器的同时也就创建了域 不可能创建没有域控制器的域 活动目录由一个或多个域组成同一个域中的计算机共享配置 架构和全局编录域是网络中复制和安全性的基本单元 11 1 1域控制器 Domain
5、Controller 域控制器保存了整个域范围内的目录数据 并管理用户域交互 包括用户登录 验证和目录搜索 域控制器的生成安装活动目录就能把Windows服务器变成域控制器安装时可以选择创建一个新域 也可以分配给一个现存的域 一个域可以有多个域控制器一个域控制器只能控制一个域 12 活动目录与域控制器 活动目录只能在域控制器上运行 与域控制器集成在一起 为用户和管理员提供了信息搜索和集中管理的地方 13 域控制器之间的角色Windows2000域控制器之间扮演的是 对等 角色 支持 多主机复制 可在所有域控制器之间复制活动目录信息 WindowsNTServer主域控制器 PDC 和备份域控制
6、器 BDC 之间扮演的是 主 从 角色 只有PDC有目录的可读写副本 PDC会把目录信息的只读副本复制到BDC中 14 1 2域间的信任关系所有Windows2000中的信任关系 在森林范围内 都是双向可传递的 而森林外是单向的 Transitive TwoWay Shortcut TwoWay External OneWay 15 1 3混合模式域和本地模式域 Win2000以后 域模式有下面两种可能的情况 混合模式域 MixedMode 既有WindowsNT域控制器又有windows20 03域控制器的域混合模式是默认的安装模式本地模式域 NativeMode 只有Windows20 0
7、3域控制器的域 混合模式域 本地模式域升级所有的域控制器切换过程不可逆 16 逻辑结构组件 2组织单元 OU 组织单元是一种目录对象 也是一个容器 它被用作把同在一个域中的对象组织到逻辑管理组中 可在一个组织单元中放置用户 组 计算机 打印机 共享文件夹以及一个域内的其他组织单位 组织单位主要用来委派对用户 组及资源集合的管理权限 组织单位是委派管理权限的最小分组 其特殊在于可连接组策略 17 逻辑结构组件 3域树 具有连续命名空间的多个域称为树 所谓具有连续的命名空间即多个域有相同的上级域名 目录树中所有域共享相同的配置 架构和全局编录通常我们将一个企业的总公司和分公司的域配置为树 其中总公
8、司的域称为父域 而分公司的域称为子域 18 逻辑结构组件 4域森林不构成连续命名空间的域树的集合 这些目录树通过双向的可传递信任关系链接在一起 林的根域 在ActiveDirectory中建立的第一个域被称为林的根域 19 在域森林中多个域树之间没有连续的名称空间所有的域树共享架构 配置和全局编录森林中的不同树通过树根之间的信任关系联系为一个整体 所有的域树独立运作 但可以在整个组织内实现通讯所有的域树之间默认存在双向可传递信任关系 Globalcatalog GC 20 全局编录 GlobalCatalog GC 全局编录是一个域树或者域森林中的所有对象信息的中心仓库 全局编录服务器默认情况
9、下 全局编录在域森林的初始域控制器上自动创建 该域控制器就称为全局编录服务器 可以随意配置任何域控制器为全局编录服务器 21 全局目录的任务 了解 在客户登录时 向域控制器提供通用组成员信息用户登录网络时 必须存在一台全局编录服务器 否则只能登录到本地上述情况的例外是 域管理组中的成员 在客户查询目录信息时 使其能够方便快捷的执行跨所有域的搜索 而不用具体考虑信息所在的域多个全局编录服务器会减少客户查询的时间 但是会导致网络的复制通信量增加 推荐在每一个主要站点上设置一台全局编录服务器 22 4 2活动目录组件 逻辑结构域 Domain 组织单位 OrganizationalUnit OU 域
10、树 Tree 域森林 Forest 物理结构站点 Site 23 4 2 2物理组件 站点 物理结构反映了网络架构 站点 定义为一个或多个TCP IP子网 这些子网通过高速链接 如T1或者以太网 连接起来 它们主要用于确定复制拓扑 以便进行有效而快速的复制 24 注意 Windows2000网络中 站点链路并不是自动产生的 而是必须用ActiveDirectorySitesAndSnap In工具来创建 其中用到了活动目录中的KnowledgeConsistencyChecker KCC 服务自动生成 25 站点 活动目录复制 每个域控制器活动目录中保存的信息被分成三类 域 架构和配置数据域数
11、据 包含该域内所有对象信息 这些信息被复制到该域的每个域控制器 不超出该域的范围 架构数据 包含在活动目录中创建的所有对象 属性 的约束信息 这些数据对域森林中所有域通用 被复制到森林的所有域控制器 配置数据包含副本拓扑和相关元数据 对域森林中所有域通用 也被复制到森林的所有域控制器 设域控制器还是GC服务器 还将保存第四种信息为所有域保存 域数据 的部分副本 GC保存的属性子集包括那些在搜索操作中最常用的属性 26 站点 活动目录复制 站点内复制 其中的三个域控制器复制森林的架构数据 配置数据以及具有每个对象完整属性的所有目录对象 27 站点间复制 站点间的复制通过桥头堡控制器进行站点间复制
12、 在更新消息从一个站点复制到另一个站点上的桥服务器时 这些信息就会通过站内复制被复制到该站点内的其他域控制器 28 总结 站点是指在物理上有较好的线路连接的能实现较快通信速率的计算机的集合 一般指局域网LAN 站点之间一般是通过慢速连接来实现信息通信 一般是指广域网 WAN 站点是对网络上计算机的实际的物理分布的一种客观反映 站点是独立于域的站点映射网络的物理结构 域映射组织的逻辑结构网络的物理结构和域结构之间也没有必然的联系 活动目录允许在一个站点出现多个域 也允许一个域出现在多个站点中 29 4 1活动目录基础4 2活动目录组件4 3活动目录对象4 4活动目录的使用和管理4 5保护Acti
13、veDirectory 30 4 3活动目录对象 名称空间和命名环境对象和对象命名 31 4 4 1名称空间和命名环境 名称空间 解析给定名称的空间如DNSActiveDirectory也有一个自己的名称空间 名称可以被解析为一个对象 名称空间被分成三个命名环境域命名环境 存储适用于域的所有对象和属性只能用于它所在的域域中每个控制器 DomainController 都有它的一个副本 配置定义了复制拓扑及与AD配置有关的其他数据 即其中存在哪些域 域控制器的位置等等 是个目录林范围的命名环境 所有林中每个AD都拥有这个命名副本架构定义了可在ActiveDirectory中存储哪些对象 属性和操
14、作规则 属于目录林的范畴 在林中的每一个域控制器上存储 32 4 4 2对象和对象命名 活动目录对象活动目录对象是组成网络的实体一个对象是一些显式命名的属性集合 对象属性就是指在目录中对象的特征 33 对象的分类容器对象可存储其它对象如域 组织单元 文件夹等 叶对象 非容器对象 不能存储其它对象 如计算机 用户 文件等 34 对象的标准属性活动目录架构中每一类别的对象都可以保证下列标准属性 目录数据存储区中的每一对象都具有唯一的标识 即全局唯一标识符 GUID 目录对象名称与LDAP标准的兼容性即LDAPDN和RDN对于安全主体 用户 计算机或组 拥有的友好名称 即安全主体名称活动目录将为以上
15、这些属性生成具体的值 而其他属性值由人输入 35 对象的命名规则1与LDAP相关的名称 包括DN和RDN2全局唯一标识符 GUID 3安全主体名称4安全标识符 36 1LDAP识别名称DN与相对识别名称RDNDN DistinguishedName RDN RelativeDistinguishedName所有对活动目录对象的访问都是通过LDAP进行的 LDAP定义了在目录中查询和修改信息时将执行的操作以及安全访问目录中信息的方式 37 DN和RDNDN定义了到对象的完整路径 完整路径包括对象名称以及知道域根节点的所有父对象名称 DN标识了域层次中的唯一对象DN都是按照到根节点的引用来构造的
16、RDN则是DN中属于对象完整路径属性的一部分 38 39 一个LDAPDN示例 cn eric ou gongfangou Teachingdc cumtcsdc net 40 2全局唯一标识符 GlobaluniqueIdentifier GUID GUID是在对象创建时由活动目录分配的128位数字 GUID不能被修改和删除 41 3安全主体名称安全主体分三类 用户 组 计算机 安全主体名称是在单个域内用来唯一标识用户 计算机或组的名称安全主体名称在域内必须唯一 而在域间则无需唯一 42 其中用户主体名称 UserPrincipalName 在活动目录中 每个用户账户都有一个格式如下的用户主体名称 如 对于域中的用户pcc而言pcc 43 4安全标识符 SecurityIdentifier SID SID是Windows2000系统安全子系统为安全主体对象 即用户 组和计算机账户 创建的唯一数字 48位 每个账户都会在首次创建时获得唯一的一个SIDWindows2000系统的内部进程引用的是账户的SID 而不是账户的用户或组名 44 不同环境中的对象名称 对象处于单一域内由活动目录生
