《微软活动目录技术深入剖析》由会员分享,可在线阅读,更多相关《微软活动目录技术深入剖析(133页珍藏版)》请在金锄头文库上搜索。
1、 微软活动目录技术深入剖析 Active Directory活动目录简介 为什么需要域为什么需要域 如果资源分布在多台服务器上,要在每台服务器分别为每一员工建立一 个账户(共M*N),用户则需要在每台服务器上(共M台)登录 域的好处域的好处 服务器和用户的计算机都在同一个域中,用户在域中只要拥有一个账号 用户只需要在域中拥有一个域账户,只需要在域中登录一次就可以访问域中 的资源了。 部署部署AD DS 建立第1个域 具体来说,建立第1个域就是要建立第1部域控制器(Domain Controller,以下简称为DC) 而建立DC的第1个动作就是执行Dcpromo.exe但是必须具有系统管理员权限
2、才能执 行此程序,因此务必先以具有系统管理员权限的用户帐户登入。 建立第一部DC 以下的示范步骤,系假设目前的网络无任何域,所要建立的是整个网络的第一个域又 称为根域(Root Domain)。 新增角色并未建立新增角色并未建立DC 安装Windows Server 2008后,启动时预设会自动开启初始化设定工作视窗, 虽然可以在此窗口中点选新增角色,接着选取安装Active Directory域服务, 以使该计算机扮演DC角色。 然而,这种作法并未真正建立DC,到了最后一个画面还是要求必须执行 Dcpromo.exe,如下图。 执行执行Dcpromo.exe 请按开始钮,输入dcpromo、
3、按Enter键: 执行执行Dcpromo.exe 之后按完成钮,再按立即重新启动钮。 重新启动后若要确认此计算机是否已经是DC,从开始/系统管理工具 菜单是否出现关于Active Directory的命令即可得知: 执行执行Dcpromo.exe 先前在第6步骤所设的密码,系使用于当AD数据库毁损时,可在开机启动 Windows Server 2008之前按F8键,进入目录服务还原模式,重建AD数据库。 由于此重建动作会改变既有的AD资料,为防止滥用,因此必须以密码保护, 而且此密码不必和域系统管理员的密码相同。 域中的计算机域中的计算机 除了域控制器之外,域中的计算机还可区分成以下两类: 成
4、员服务器(Member Server) 工作站(Workstation) 成员服务器成员服务器 安装Windows Server 2012、2008、Windows Server 2003 / 2003 R2、 Windows 2000 Server等系统,加入了域、但不是DC的计算机。 或是安装Windows NT Server系统,且加入域的电脑,都算是成员服务器。 由于这些服务器都是域的成员,所以审核使用者身份的工作,都交由DC执 行,使用者只要通过DC的身份验证,即可依据设定的权限来使用服务器所 提供的服务。 换言之,成员服务器都信任DC的身分验证。 最好停用成员服务器的本机账户最好停
5、用成员服务器的本机账户 虽然加入了域,但是成员服务器上仍保留本机的帐户数据库,因此使用者 仍可利用这些本机帐户,登入该服务器。 对域的安全管理而言,这些本机账户可能会是漏洞,所以我们可以停用成 员服务器的本机帐户,强迫使用者一律以域账户登入。 工作站工作站 所有安装以下操作系统,而且加入域的计算机都算是工作站: Windows NT Workstation Windows 2000 Professional Windows XP Professional Windows 7/vista商用入门版、商用进阶版和旗舰版 Windows 8(家庭版除外) Windows 10(家庭版除外) 工作站工
6、作站 使用者可利用这些工作站登入域,存取域中的资源、执行应用程序等等, 但是Windows Server 2008的某些新功能,必须搭配Windows 7的工作站才 能发挥效果。同样的Windows Server 2012的某些新功能,必须搭配 Windows 8版本以上的工作站才能发挥效果。 而工作站本身仍然保留了本机帐户的数据库,使用者利用本机账户登入工 作站时,只能使用本机(该工作站)的资源,但无法存取域上的资源。 域外的计算机域外的计算机 首选,应该要知道哪些计算机不能加入AD域? 执行Linux、Unix等等非Windows系统的电脑,理所当然地不能加入AD域。 但是可以以模拟域成员
7、计算机的方式通过LADP协议验证域用户身份。 此外, Windows 95 / 98 / Me、Windows XP家庭版、Windows 7家庭入门 版、Windows 7家庭进阶版,也都没有加入域的功能。 独立服务器独立服务器 简单地说,未加入域的服务器就是独立服务器无论安装的是 Windows或非Windows的服务器操作系统。 它一旦加入域后,角色即转换为成员服务器。 相反地,成员服务器如果退出域,则又成为独立服务器。如果在 独立服务器上执行Dcpromo.exe,则可升级为DC。 独立服务器独立服务器 客户端计算机客户端计算机 无论是执行何种操作系统,只要未加入域,而且不是独立服务器
8、的电脑,都 可以归为此类。 使用者虽然不能用它们登入域,但仍可利用域帐户,透过这些计算机存取 域资源。 将独立服务器加入域将独立服务器加入域 建立域之后,通常会优先将网络上的独立服务器加入域,以便集中管理。 以下示范将Windows Server 2008独立服务器加入域的步骤(此步骤亦 适用于Windows 7)。 1.修改首选修改首选DNS服务器的设定服务器的设定 加入域的先决条件是要能够连结到该域的DC,而要连到DC就必须先设定 正确的DNS服务器地址。 先前建立DC的时候,其实已经将该域的DNS服务器和DC安装在一起了。 换言之,域里的DC和DNS服务器实为同一部电脑,所以应该将独立服
9、务器 上的首选DNS服务器,设为DC的IP地址。 2.修改成员隶属的设定修改成员隶属的设定 请按开始钮,在电脑项目上按右钮、执行内容命令: 修改成员隶属的设定修改成员隶属的设定 加入域后的电脑,其名称预设会出现在DC的Active Directory使用者和电 脑窗口的Computers容器中: 退出域和退出域和DC降级降级 先前已经介绍了升级为DC和加入域的方法,这一节将继 续说明退出域和DC降级的方法。 退出域 加入工作组 DC降级 运行dcpromo 林与域功能级别林与域功能级别 先前在升级为DC的过程,曾遇到选择林功能级别(Forest Functional Level)和域功能级别(
10、Domain FunctionalLevel)的交谈窗,当时都暂 时采用默认值。 Windows Server 2012提供的林功能级别 Windows 2000、Windows Server 2003、Windows Server 2008 和Windows Server 2012 域功能级别 Windows 2000原生、Windows Server 2003Windows Server 2008 和Windows Server 2012 功能级别的种类与高低功能级别的种类与高低 愈新的操作系统代表愈高的功能级别,因此Windows Server 2012的等级 最高; Windows S
11、erver 2008其次,Windows Server 2003次之; Windows2000(原生)的等级最低。 在选择林和域功能级别时,要注意域功能级别不能低于林功能级别。 假设林功能级别为Windows Server 2003,则域功能级别就只有Windows Server 2003、Windows Serer 2008、 Windows Serer 2012可选。 不同功能级别的影响不同功能级别的影响 选择不同的功能级别,对于林或域会造成以下的影响: 哪些DC可以加入林或域:虽然都是DC,但是所执行的操作系统可能是Windows 2000、Windows 2003或Windows 20
12、08,因此在不同的功能级别会限制某些DC不能 加入林或域。 林或域支持哪些功能:在不同的功能级别,林或域所支持的功能也有差异。 功能级别愈高,所支持的功能愈多。 林功能差异林功能差异 不同林功能级别的主要功能差异如下表: 域功能差异域功能差异 不同域功能级别的限制条件与功能差异如下表: 变更域变更域/林功能级别林功能级别 请以隶属于Domain Admin群组的使用者账户登入,而后执行开始/系统 管理工具/ Active Directory域及信任命令,并如下操作: 变更功能级别时的注意事项变更功能级别时的注意事项 Functional levels: Determine the AD DS
13、features available in a domain or forest Restrict which Windows Server operating systems can be run on domain controllers in the domain or forest Supported Domain Controller Operating Systems Windows 2000 Windows 2000 native Windows Server 2003 Windows Server 2003 Windows Server 2008 Windows Server
14、2008 ForestsDomain Windows Server 2008 Windows Server 2003 Windows 2000 Windows Server 2008 Windows Server 2003 Windows Server 2008 Supported functional levels: 何谓目录何谓目录 其实目录早已存在日常生活中,例如电话簿可用来查询用户的电话号码、 姓名与地址,就是一种目录。 而计算机的文件系统记录了文件夹与档案的名称、建立日期、修改日期、 储存位置等等 从以上的例子可知,目录是用来记载特定环境中、一群对象的相关信息。 在此所谓的对象,泛指
15、环境中的各种独立个体包括人、事、物。 目录与数据库的差异目录与数据库的差异 目录与数据库都是用来储存资料,两者的确很相似。不过,深入比较其细 节,就会发现通常有以下两点差异: 目录强调查询,数据库重视异动。 目录对于查询动作做过优化,因此查询的速度很快,适合处理变动少、查询 多的数据。 数据库则是重视异动(Transcation),适合处理变动较多的数据。 目录以树状架构为主,数据库以关系型数据表为主。 目录的架构目录的架构 目录的架构是指在目录中储存对象的方式,明白这方面的知识,有助于未 来的维护和设计工作。 目录树 对象的属性 目录树目录树 若目录中的对象是以阶层式树状架构来组织,则该架构
16、称为目录 树(Directory Tree),包含以下两类的对象: 容器对象(Container Object):这类对象的下层可再存放其他对象。位于 整个目录树顶端的容器对象,称为根对象(Root Object)。 非容器对象(Non-container Object):这类对象的下层不可再存放其他对 象。非容器对象必定是位于目录树的末端,又称为叶对象(Leaf Object)。 目录树目录树 整体的架构图如下: 对象的属性对象的属性 在目录树中,各对象都有所谓的属性 (Attribute),记载着该对象的 特性。对象与属性的关系,类似于数据库中纪录与字段的关系。 举例来说:使用者(User)对象有公司名称部门名称和电话号码这些 属性,但是文件夹对象就没有这些属性,而有建立日期和大小等属性。 属性的内容通常称为属性值,不同对象的某些属性值可以相同、某些则必 须唯一。 例如:A、B两位使用者隶属于相同部门,所以它们的公司名称、部门名称,甚至电话 号码都相同,但是员工编号就绝对不能相同。 X.500和和L
