《活动目录概念 网络操作系统》由会员分享,可在线阅读,更多相关《活动目录概念 网络操作系统(47页珍藏版)》请在金锄头文库上搜索。
1、第七章 活动目录介绍 7.1 概述 7.2 活动目录介绍 7.3 活动目录逻辑结构 7.4 活动目录物理结构 7.5 管理windows 2003网络的方法 7.6 活动目录中的DNS角色介绍 7.7 安装活动目录 7.8 验证活动目录安装 7.9 域控制器管理 7.10 活动目录管理工具7.1 概述Windows Server 2003有两种网络工作环境 1、工作组 2、域 默认是工作组网络应用环境工作组网络环境 工作组网络也称为“对等式”的网络,网络中 每台计算机的地位都是平等的,它们的资 源以及管理是分散在每台计算机之上。 工作组环境的特点就是资源分散管理,每 台计算机都有自己的“本机安
2、全账户数据库” ,称为SAM数据库。它位于 C:WINDOWSsystem32config文件夹中, 用户登录验证在本地进行。工作组应用举例 假如我们有这样一种应用场景:有5000台 电脑的一个公司,我们希望账户Bob可以访 问每台电脑内的资源或者可以在每台电脑 上登录。那么在工作组环境 中,我们必须 要在这5000台电脑的每台机器上创建Bob 这个账户。一旦Bob想要更换密码,必须要 更改5000次,管理工作量非常宠大。域网络环境 在Windows Server 2003的域环境中 ,域内所有的 计算机共享一个集中式的目录数据库(又称为活动 目录数据库),域管理员可以基于域的“目录数据 库”
3、来进行集中管理网络资源,如管理用户账户、 计算机账户、打印机、文件资源、权限设置、组策 略设置等。 用户账号登录是在DC进行验证,用户账号一旦加 入域,就可以访问本域或有信任关系的其他域上所 有资源(当然该用户有权限才行)。 7.2 活动目录介绍 7.2.1 什么是活动目录? 7.2.2 活动目录对象 7.2.3 轻型目录访问协议(LDAP)7.2.1 什么是活动目录 目录是一个数据库,存贮了网络资源相关 的信息 。 活动目录是Windows server 2003一种目录 服务,目录服务是一种网络服务,它标记 管理网络中的所有实体资源(比如计算机 、用户、打印机、文件、应用等),并且 提供了
4、命名、描述、查找、访问以及保护 这些实体资源的方法,使网络中的所有用 户和应用都能访问到这些资源。 活动目录功能 集中组织、管理和控制网络资源访问的方 法。活动目录使物理网络拓扑和协议透明 化,网络上的用户可以访问任何网络资源 ,而不需要知道资源在什么地方和物理上 它是如何连接到网络上的。7.2.2 活动目录对象 活动目录对象代表网络资源,如用户、组 、计算机和打印机。 当创建对象时,对象的性质或属性存贮描 述对象的信息。用户可以通过查找具体属 性来确定活动目录中对象的位置。7.2.3 轻型目录访问协议(LDAP ) Lightweight Directory Access Protocol
5、LDAP是用于查询和更新活动目录的目录服务协议 。一个活动目录对象可以由一系列域组件、OU和 普通名字来代表,它们组成了活动目录中命名路 径。LDAP命名路径是用来访问活动目录对象的。 它包括标识名和相对标识名。 如标识名: CN=suzan,ou=scales,dc=contoso,dc=msft 其中:CN 、OU表示相对标识名。 标识名代表访问对象的路径。7.3 活动目录的逻辑结构 活动目录的逻辑结构具有伸缩性,它为设 计活动目录的单一控制提供一种方法。活 动目录的逻辑结构包括以下部分。 域(Domain) 组织单元(Organization Unit,OU) 域目录树(Domain T
6、ree) 域目录林(Forest) 如下图所示。域、OU、树、森林域(Domain) 域是安全的最小边界 域的管理员只能在域内管理,除非得到其它域的明确 授权。每个域都有自己的安全策略和其它域的安全关 系。 域是复制的单元 域控制器以复制的形式参与控制,它们含有关于它们 域的目录信息的副本。 域是活动目录中逻辑结构的核心单元。一个域包 含许多计算机,它们由管理员设定,共用一个目 录数据库。一个域有一个唯一的名字,给那些由 域管理员集中管理的用户帐户和组帐户提供访问 。 组织单元(Organization Unit,OU) 一个组织单元(OU)就是一个可以把对象 组织到一个域内的容器对象。一个O
7、U可以 包含的对象有:用户帐户、组、计算机、 打印机和其它OU。利用OU可以简化网络 管理 OU层次结构:利用OU可以把对象组织到一个 逻辑层次结构的组中。 OU管理控制:可以把管理控制权委派给OU内 的对象。域目录树(Domain Tree) 域树是由一组具有连续命名空间的域组成 的 。域目录树(续)上图中最上层的域名为,这个域是这棵域树的根域(root domain),此根域下面有2个子域,分别是和 。从图中我们可以看出他们的命名空间具有连续性 。 例如,域 的后缀名包含着上一层父域的域名 。其实子域和 还都可以 有自己的子域,图中没有给出而已。 每个子域都有一个与父域之间的双向、传递信任
8、关系。 例如, 域信任,域也信 任,则域也直接信任域 域树内的所有域共享一个Active Directory(活动目录),这个活动目录 内的数据分散地存储在各个域内,且每一个域只存储该域内的数据, 如该域内的用户账户,计算机账户 等,Windows Server 2003将存储 在各个域内的对象总称为Active Directory。域目录林(Forest) 林(Forest)是有一棵或多棵域树组成的,每棵 域树独享连续的命名空间,不同域树之间没有命 名空间的连续性。林中第一棵域树的根域也整个 林的根域,同时也是林的名称 。 域林中的所有域树共享同一个表结构、配置和全 局目录。域林中的所有域树
9、通过Kerberos信任关 系建立起来,所以每个域树都知道Kerberos信任 关系,不同域树可以交叉引用其他域树中的对象 。 全局目录(Global Catalog) 全局目录是一个域控制器,存储查询的副本并把 他们整理到全局目录中。在活动目录中建立的第 一个域控制器自动成为全局目录服务器。管理人 员也可配置另外的全局目录服务器来平衡来自登 录的查询和验证的流量。 全局目录使用户能够执行下列重要功能: 寻找整个目录林中的活动目录信息,不管数据在什么 位置。 利用通用组成员身份的信息登录网络。 7.4 活动目录的物理结构(physical structure) 在活动目录中,逻辑结构与物理结构
10、不同 ,并且是互相独立的。逻辑结构用来组织 网络资源,而物理结构用来配置和管理网 络流量,物理结构定义了复制和登录发生 的时间和地点。物理结构由两部分组成: 域控制器 站点域控制器(Domain Controller) 域控制器(Domain Controller)是活动目录的存 储地方,也就是说活动目录存储在域控制器内。 安装了活动目录的计算机就称为域控制器,其实 在你第一次安装活动目录的 时候,你安装活动目 录的那台计算机就成为了域控制器。一个域可以 有一台或多台域控制器。最经典的做法是做一个 主辅域控。 当一台域控制器的活动目录数据库发生改动时, 这些改动的数据将会复制到其他域控制器的活
11、动 目录数据库内。 站点(Sites) 站点由一个或几个通过高速连接在一起的IP 子网组成。通过定义站点,可以为活动目 录配置访问和复制拓扑,在最有效链接和 时间安排复制和登录。 创建站点的两个基本原因是: 优化复制流量 使用户能够使用可靠、高速的连接登录到域控 制器上。活动目录的物理结构和逻辑结构的关系 站点映射网络的物理结构,而域映射组织 的逻辑结构。活动目录的逻辑结构和物理 结构是彼此独立的。主要特点: 物理结构和逻辑结构之间没有必然联系。 活动目录允许在一个站点可以有几个域,一个 域也可以属于几个站点。 站点和域名字空间之间没有必然联系7.5 管理windows server 2003
12、网络的方法 利用活动目录和组策略能够提高管理效率,主要表现在三 个方面。 集中管理 集中管理用户、计算机,打印机和来自中心的网络资源。 管理用户环境。 组策略把活动目录容器(站点、域和OU)作为管理单元。设置在容 器上的组策略可以影响容器内所有用户和计算机。在计算机启动或 用户登录时,windows 2003把组策略设置应用到用户和计算机上。 具体涉及三方面内容: 1.在用户登录时控制用户的使用权限,确定它们不能访问的内容。 2.集中管理应用程序的安装、服务包、操作系统更新和软件修复、更新 和删除。 3.配置用户数据、无论用户在线或暂时脱机,都跟随用户与网络相连接 。 委派管理控制权。 把某些
13、对象的管理特权委派给组织内特定的组。7.6 活动目录中的DNS角色介绍 DNS为活动目录提供主要功能如下: 名称解析 DNS将计算机名转换成IP地址 计算机使用DNS在网络上互相定位 Windows 2003域的命名约定 Windows 2003 使用DNS命名标准为域命名 DNS域和活动目录域的名称共享一个公共的分层命名结构 定位活动目录的物理组件 通过DNS提供的服务来识别域控制器 计算机使用DNS来定位域控制器和全局目录服务器Windows Server 2003Windows Server 2003新增加一个称为新增加一个称为“域或林功能域或林功能”的特性,它的特性,它 分为不同的级别
14、,每一个级别有不同的功能。分为不同的级别,每一个级别有不同的功能。 Windows Server 2003Windows Server 2003的的“域功能域功能”设置只会影响本域,不会影响设置只会影响本域,不会影响 其他域,域功能分为三个级别:其他域,域功能分为三个级别: Windows 2000Windows 2000混合模式混合模式:这个级别内的域控制器可以是:这个级别内的域控制器可以是Windows Windows Server 2003Server 2003,Windows 2000 ServerWindows 2000 Server与与Windows NT4.0 ServerWin
15、dows NT4.0 Server,这是默这是默 认值。认值。 Windows 2000Windows 2000原始模式原始模式:这个级别内的域控制器可以是:这个级别内的域控制器可以是Windows Windows Server 2003Server 2003,Windows 2000 ServerWindows 2000 Server。 Windows Server 2003Windows Server 2003:这个级别内的域控制器只能是这个级别内的域控制器只能是Windows Windows Server 2003Server 2003。 Windows Server 2003Windows Server 2003的的“林功能林功能”也分为也分为Windows 2000Windows 2000、Windows Windows Server 2003Server 2003过渡版及过渡版及Windows Server 2003Windows Server 2003三个级别。三个级别。7.7.1
