《ActiveDirectory和域》由会员分享,可在线阅读,更多相关《ActiveDirectory和域(77页珍藏版)》请在金锄头文库上搜索。
1、第第6 6章 章 Active Active DirectoryDirectory和域和域Active Directory 简介Active Directory 的使用 6.1 活动目录Active Directory简介nActive Directory(AD)是Active Directory是存储网络上对象的相关 信息并使该信息可供用户和网络管理员使用的目录服务,是Windows的核心。nActive Directory可将网络中所有的资源集成在一个统一的全局目录下 ,资源可以包括各种软硬件资源、Internet和内部网络,如:文件、 外设、主机连接、数据库、Web访问、用户、服务以及其
2、他。nActive Directory存储各种对象的有关信息,并使该信息易于管理员和用户查找及使用。nActive Directory集成了安全性,通过网络登陆,系统管理员能够管理整个网络中的目录数据,而获得授权的网络用户也可以访问网络上的 任何地方的资源。 Active Directory简介nActive Directory包括两个方面:目录和与目录相 关的服务。q目录是存储各种对象的一个物理上的容器,从静态的 角度来理解活动目录与以前所结识的“目录”和“文件夹” 没有本质区别;q目录服务是使目录中所有信息和资源发挥作用的服务 ,活动目录是一个分布式的目录服务,信息可以分散 在多台不同的计
3、算机上,保证用户能够快速访问。Active Directory的服务功能及优点n高效地组织资源:AD服务把所有的可用资源按 照特有的目录方式进行存储和组织,可以应对网 络的扩展和资源的扩充;n简洁地查找资源:AD服务把资源组织成各个不 同的对象,使用AD服务工具可以方便地查找域 中的任何资源;n灵活地管理方式:AD服务提供了集中管理方式 和分布式管理方式,既发挥了集中式管理的安全 性,又考虑了分布式管理的效率。6.2 Active Directory结构nActive Directory是一个分布式的目录服务,因为信息 可以分散在多台不同的计算机上,保证各计算机用户 快速访问和容错;同时不管用
4、户从何处访问或信息处 在何处,对用户提供统一的视图,使用户更容易理解 和掌握。nActive Directory采用组织单元、域、域树、域林构成 的层次化的目录结构。nActive Directory主要包含三种角色:域控制器、成员 服务器、工作站。域(Domain)n域是Windows Server 2003目录服务的基本管理单位 ;n一个计算机网络最基本的单元就是“域”,活动目录可 以贯穿一个或多个域。n在独立的计算机上,域即指计算机本身;n一个域可以分布在多个物理位置上,同时一个物理位 置又可以划分不同网段为不同的域,每个域都有自己 的安全策略以及它与其他域的信任关系。n当多个域通过信任
5、关系连接起来之后,活动目录可以 被多个信任域共享。域树n域树由多个域组成。域树中的第一个域称作根域。相同 域树中的其他域为子域。相同域树中直接在另一个域上 一层的域称为父域。n具有公用根域的所有域构成连续名称空间。n域树中的域通过双向可传递信任关系连接在一起,且信 任关系是可传递的。域树示意图域林n域林包括多个域树。其中的域树不形成邻接的名称空间。 而且域林也有根域。域林的根域是域林中创建的第一个域 。域林中所有域树的根域与域林的根域建立可传递的信任 关系。JX双向信任域林示意图域控制器n在Windows Server 2003的网络环境中,各域必须至少有 一台域控制器(Domain Cont
6、roller,简写为DC),存储 此域中的Active Directory信息,并提供域相关服务,例如 :登录验证、名称解析等。换言之,没有域控制器,就没 有所谓的域。n在域中,可以同时存在多台域控制器,各域控制器都处于 平等关系。网管人员可以在域内任何一台域控制器上管理 Active Directory,包括建立帐号、设置组策略、委派控制 等。用户也可通过任何一台域控制器来登录域,并访问 Active Directory数据库。成员服务器与工作站nActive Directory中可以包含一些普通的服务器,称为成 员服务器。成员服务器不负责AD的管理,它的任务是完成应用相关的常规事项。nAc
7、tive Directory中也包含一些工作站,完成和用户进行数据和操作的交互,起到一个终端的作用。6.3 Active Directory中的重要概念n全局目录:保存了森林中所有对象的所有特征的信息库, 默认保存在森林中第一个域控制器上,也可指定某域控制 器存储。n复制:通过该功能确保森林中的任何一台域控制器的任何 更改都能同步反映到其他域控制器上;n信任:指不同域之间访问资源的权限控制;nDNS名称:使用用户友好的名字来标识AD中的所有资源 。6. 4 域间的信任关系n域和域之间的通信是通过信任发生。n信任关系是指在域之间建立的逻辑关系,以便允许通过身份验证,其中信任域负责受信域的登录验证
8、。n受信域中定义的用户帐户可以获得信任权利和权限,即使该用户帐户或组不在信任域的目录中。n域信任关系一般可分为单向、双向、可传递和不可传递四种。n1单向信任q是两个域之间创建的单向身份验证路径。这意味着 在域 A 和域 B 之间的单向信任中,域 A 中的用户 可以访问域 B 中的资源。但是域 B 中的用户不能 访问域 A 中的资源。n2双向信任q两个域之间的信任关系,在该关系中,两个域互相 信任。例如,A 域信任 B 域,并且 B 域也信任 A 域。n3可传递信任q在整个的一组域(例如域树)间流通、并在域和信任该 域的所有域之间形成的信任关系。例如,如果 A 域和 B 域之间存在可传递信任,并
9、且 B 域信任 C 域,则 A 域 也信任 C 域。 可传递信任可以是单向的,也可以是双 向的。n4非传递信任q多域环境中的一种信任关系,仅限制在两个域之间。例 如,如果 A 域具有和 B 域的非传递信任,并且 B 域信 任 C 域,则 A 域和 C 域之间没有信任关系。 非传递信 任可以为单向或双向。6.5 域结构n通常有4种基本类型的域结构:q单一域模型q主域模型q多主域模型q完全信任模型。n企业根据其规模、地理分布以及其他资源条件,可以 选择不同的域结构。单一域模型n单一域模型(Single Domain Model)是最常见也是最适合小型 企业的模式。n优点:没有由于太多域所衍生的复
10、杂的管理问题,也没有域间的信任 关系,所有资源整合在单一域中, 便于集中控制管理。n缺点:域中的帐户等资料均需由域 控制器来管理与验证,集中负载过 大。服务器服务器工作站域控制器主域模型n主域模型(Master Domain Model)适用于规模较完 备的企业,可依照部门来规划域。其中一个域为主域 。信任信任信任主域从域从域从域n在主域模型结构中,所有域的帐户将统一由主域进行管理 ,其它的域为“从域”。而从域到主域之间有信任关系。n主域负责帐户的维护,其他从域可负责其他文件或打印服 务,但不需要建立任何帐户资料,。n优点是:虽然主域负责帐户的维护,但是每个从域可以决 定用户/组操作该域的权限
11、,并不是完全控制在主域中。n其缺点在于:帐户集中在主域中,容易造成主域网络流量 激增而拥塞。多主域模型n多主域模型(Multiple Master Domain)可以克服主 域模型的缺点。该模型的结构与主域模型类似,但是 可以有多个主域,并且各主域间具有双向信任关系, 在不同非主域之间也可以存在信任。n优点是:可以克服主域模型的缺点,帐户进行分散管 理,减轻了单一主域的压力。n其缺点是:帐户分散在不同的主域间会增加管理上的 困难度。多主域模型信任信任信任主域主域从域从域从域从域完全信任模型n完全信任模型是无法采取集中式管理帐户的情况下使用的方式。n所有的域地位都是平等的,无主、从域之分。n每个
12、域自行管理自己域内的帐户,并在各域之间建立双向的信任 关系,使所有的域都可以合法存取其它域的资源。信任信任信任信任信任6.6 规划Active DirectorynActive Directory成功的关键在于合理的规划;n考虑实际q有多少部门、部门间的隶属关系如何q员工的数量和主机的数量q部门、主机、人员是否会有较大变化q网络拓扑是什么q是否有异地的分支机构q。n规划q需要多少个域q哪些域组成一个域树q哪些域树组成一个域森林q每个域中规划多少个管理模块6.7 域的建立n建立域控制器n建立域的第一步即建立域控制器,换言之,当第一台 域控制器建立时,同时也创建了第一个域、第一个林 、第一个站点,
13、并安装了Active Directory。建立域控 制器的具体操作步骤如下:n(1)打开“开始”菜单,选择“管理工具”菜单中的“管理 您的服务器”命令启动配置向导,在此管理介面中出 现该服务器已具备功能。“管理您的服务器”界面(2)选择“添加或删除角色”命令,出现“配置您的 服务器向导”介面。(3)单击“下一步”,选择要安装的服务器角色,在此要 安装的是域控制器(Active Directory),若对话框中显示 本服务器并未配置该项,则选中该项。(4)确认选项,点选“下一步”,将运行Active Directory安装 向导将此服务器设置为域服务器。(5)出现Active Directory
14、安装向导欢迎介面。(6)点击“下一步”,出现设置操作系统兼容性的对话 框,说明运行Active Directory的Windows版本要求,运 行Windows98以前的版本的计算机将无法登录到运行 Windows Server 2003的域控制器或访问域资源。(7)单击“下一步”,打开选择域控制器类型对话框, 用户可以选择新建一个域控制器或是在现有域中添加 一个额外域控制器,新建第一个域控制器时,需选择“ 新域的域控制器” 。(8)单击“下一步”,打开“创建一个新域”对话框,用户可以从中 选择创建域的类型: 在新林中的域:表示创建一个新域或让新域独立于当前的域林。 在现有域树的子域:表示把新
15、域作为现有域的子域。 在现有的林中的域树:表示创建一个与现有树分开的、新的域树 。 创建第一个域时,选择在创建一个新的在新林中的域。 (9)单击“下一步”,打开“为新域命名”对话框,用户可以 为新域输入一个DNS域名。(10)单击“下一步”,打开“指定新域的NetBIOS”对话框, NetBIOS域名是早期的Windows版本的计算机用来识别新域的,用 户可以较入新名称,也可以接受系统默认的域名,默认情况下, 域NetBIOS名即域名的第一部分。(11)单击“下一步”,打开“数据库和日志文件文件夹”对话框。 用户在此要指明保存Active Directory数据库和Active Directo
16、ry日志 的位置,如果以后需要可恢复性的操作,用户可以将数据库和日 志放在不同的硬盘上。(12)单击“下一步”,打开“共享的系统卷”对话框。用户需指定 作为系统卷共享的文件夹,系统默认的SYSVOL文件就用来存放 域的公用文件的服务器副本,并且文件夹中的内容被复制到域中 的所有域控制器,在此要注意SYSVOL文件夹必须要放置在NTFS 卷上,如硬盘中并无NTFS分区,就无法继续安装下去。(13)单击“下一步”,如果服务器未安装DNS,或DNS配置不正确, 便会出现下图所示,域控制器需要有DNS的支持,可以根据具体情况 通过对话框中所给出的三个选项来解决这个问题,以使安装可以继续 。(14)单击“下一步”,打开“权限”对话框,可从中选择用 户和组对象的默认权限。(15)单击“下
