《实用网络操作系统 第2版 普通高等教育十一五 国家级规划教材 教学课件 ppt 作者 史宝会 第06章 活动目录管理》由会员分享,可在线阅读,更多相关《实用网络操作系统 第2版 普通高等教育十一五 国家级规划教材 教学课件 ppt 作者 史宝会 第06章 活动目录管理(69页珍藏版)》请在金锄头文库上搜索。
1、人民邮电出版社,第6章 活动目录,人民邮电出版社,主要内容,6.1 活动目录概述 6.2 活动目录的特性 6.3 安装活动目录 6.4 域控制器管理 6.5 用户和计算机账户管理 6.6 组和组织单元管理,人民邮电出版社,6.1 活动目录概述,6.1.1 活动目录简介 一、活动目录的重要性 1、增强信息的安全性 2、基于策略的管理 3、强的可扩展性 4、强的可伸缩性 5、智能的信息复制 6、与 DNS 紧密集成 7、与其他目录服务具有互连性 8、具有灵活的查询,人民邮电出版社,6.1.1 活动目录简介,二、Windows Server 2003产品家族中AD的新增功能和改进特性 1集成和生产力
2、 2性能和伸缩性 3系统管理和配置管理 4组策略特性 5安全性增强,人民邮电出版社,6.1.2 目录形式的数据存储,在各台域控制器之间进行复制的目录数据类型 一、域数据 包含了与域中的对象有关的信息 二、配置数据 描述了目录的拓扑结构 三、架构数据 对目录中存储的所有对象和属性数据的正式定义,人民邮电出版社,6.1.3 活动目录相关名词术语,一、名字空间 名字空间理解为任何给定名字的解析边界,这个边界就是指这个名字所能提供或关联、映射的所有信息范围 二、对象 对象是活动目录中的信息实体 三、容器 容器是活动目录名字空间的一部分 ,其属性代表存放对象的空间 四、目录树 目录树是指由容器和对象构成
3、的层次结构,人民邮电出版社,6.1.3 活动目录相关名词术语,五、域 域是Windows Server 2003网络系统的安全性边界 六、组织单元 组织单元是可将用户、组、计算机和其他单元放入活动目录的容器中 七、域树 域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间,人民邮电出版社,6.1.3 活动目录相关名词术语,八、域林 域林是指由一个或多个没有形成连续名字空间的域树组成 九、站点 站点是指包括活动目录域服务器的一个网络位置,通常是一个或多个通过TCP/IP连接起来的子网。 十、域控制器 域控制器是使用活动目录安装向导配置的Windows Server 2003的计算
4、机,人民邮电出版社,6.1.4 活动目录的结构,一、逻辑结构 1域、域树、域林 2组织单元,活动目录逻辑结构示意图,人民邮电出版社,6.1.4 活动目录的结构,二、物理结构 1站点 使用站点的意义主要在于以下3点 (1)提高了验证过程的效率 (2)平衡了复制频率 (3)可提供有关站点连接信息 2域控制器 域控制器是指运行Windows Server 2003版本的服务器,它保存了活动目录信息的副本。 域控制器管理目录信息的变化,并把这些变化复制到同一个域中的其他域控制器上,使各个域控制器上的目录信息处于同步。 域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜
5、索,人民邮电出版社,6.2 活动目录的特性,6.2.1 活动目录的集成性 Windows Server 2003操作系统活动目录的集成性主要是指它结合了3个方面的管理内容:用户和资源管理、基于目录的网络服务和基于网络的应用管理。另外,Windows Server 2003操作系统活动目录还广泛地采纳了因特网标准,把众多的因特网服务都集成在一起,增强自身网络管理功能。,人民邮电出版社,目录管理的基本对象是用户和计算机,还包括文件、打印机等资源。用户对象的属性非常丰富,不但有常见的账号名、口令等,还包括邮件信箱和个人主页地址、在公司中的职位关系等,可以在活动目录中给用户对象发送邮件和访问其个人主页
6、等。在活动目录中,支持全局性的查找,例如查找在整个网络中的双面打印的彩色打印机等。,人民邮电出版社,基于活动目录的应用服务是Windows Server 2003平台上的新一代的应用程序,它使应用开发人员可以扩展活动目录的Schema和UI两个对象,通过ADSI/ADO编程在活动目录中发布服务绑定信息,通过组策略配置应用程序。比较典型的基于目录的应用的例子是网络会议。在活动目录的环境中,你只要在NetMeeting中敲入同事的E-mail别名,就可以通过活动目录中的定位服务,与其进行对话和桌面协作等,非常方便。,人民邮电出版社,活动目录完全采用了因特网标准协议,甚至连用户账号都可以用“用户名域
7、名”来表征,进行网络登录。,人民邮电出版社,6.2.2 活动目录的深入性 Windows Server 2003操作系统活动目录的深入性主要体现在其企业级的可伸缩性、安全性、互操作性、编程能力和升级能力上。 活动目录的域树和域林的组建方法,可帮助用户使用容器层次来模拟一个企业的组织结构。,人民邮电出版社,6.2.3 活动目录的易用性 Windows Server 2003活动目录主要体现在其简易的安装和管理上 3个活动目录的管理界面(MMC) 一个是活动目录用户和计算机管理,主要用于实施对域的用户和计算机进行管理; 一个是活动目录的域和域信任关系的管理,主要用于管理多域的委托和信任关系; 一个
8、是活动目录的站点管理,可以把域控制器置于不同的站点进行管理 。,人民邮电出版社,6.2.4 活动目录的安全性 安全性通过登录身份验证以及目录对象的访问控制集成在活动目录之中。通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单元,经过授权的网络用户可以访问网络任意位置的资源。基于策略的管理则简化了网络的管理,即便是那些最复杂的网络也是如此。,人民邮电出版社,活动目录通过对象访问控制列表以及用户凭据保护其存储的用户账户和组信息。因为活动目录不但可以保存用户凭据,而且可以保存访问控制信息,所以登录到网络上的用户既能够获得身份验证,又可以获得访问系统资源所需的权限。例如,在用户登录到网络
9、上的时候,安全系统首先利用存储在活动目录中的信息验证用户的身份。然后,在用户试图访问网络服务的时候,系统会检查在服务的自由访问控制列表(DCAL)中所定义的属性。,人民邮电出版社,6.3 安装活动目录,6.3.1 活动目录安装规划 活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点 一、DNS与活动目录 DNS用一起名字解析 活动目录用于目录管理 二、规划活动目录 规划DNS 规划用户的域结构 规划用户的委派模式,人民邮电出版社,6.3.2 活动目录安装前的准备 (1)在安装活动目录之前,必须保证已经有一台机器安装了W
10、indows Server 2003 或者Windows 2000 Advanced Server,且至少有一个NTFS分区,而且已经为TCP/IP 配置了DNS协议,并且DNS服务支持SRV记录和动态更新协议。,人民邮电出版社,(2)要规划好整个系统的域结构,活动目录可包含一个或多个域,如果整个系统的目录结构规划得不好,就不能很好地发挥活动目录的优越性。选择根域(就是一个系统的基本域)是关键,根域名字的选择可以有以下几种方案。,人民邮电出版社, 可以使用一个已经注册的DNS 域名作为活动目录根域名,这样的好处在于企业的公共网络和私有网络使用同样的DNS名字。 还可使用一个已经注册的DNS域名
11、的子域名作为活动目录的根域名。 为活动目录选择一个与已经注册的DNS域名完全不同的域名。这样可以使企业网络在内部和因特网上呈现出两种完全不同的命名结构。,人民邮电出版社, 把企业网络的公共部分用一个已经注册的DNS域名进行命名,而私有网络用另一个内部域名,从名字空间上把两部分分开,这样做就使得每一部分要访问另一部分时必须使用对方的名字空间来标志。,人民邮电出版社,(3)要进行域和账户命名策划,因为使用活动目录的意义之一就在于使内、外部网络使用统一的目录服务,采用统一的命名方案,以方便网络管理和商务往来。活动目录域名通常是该域的完整DNS名称,但是为确保向下兼容,每个域最好还有一个Windows
12、 Server 2003以前版本的名称,以便在运行Windows Server 2003的计算机上使用。,人民邮电出版社,用户账户在活动目录中,每个用户账户都有一个用户登录名、一个Windows Server 2003以前版本的用户登录名(安全账户管理器的账户名)和一个用户主要名称后缀。在创建用户账户时,管理员输入其登录名并选择用户主要名称,活动目录建议 Windows Server 2003 以前版本的用户登录名使用此用户登录名的前 20 个字节。,人民邮电出版社,活动目录命名策略是企业规划网络系统的第一个步骤,命名策略直接影响到网络的基本结构,甚至影响网络的性能和可扩展性。活动目录为现代企
13、业提供了很好的参考模型,既考虑到了企业的多层次结构,又考虑到了企业的分布式特性,甚至为直接接入因特网提供完全一致的命名模型。,人民邮电出版社,所谓用户主要名称是指由用户账户名称和表示用户账户所在的域的域名组成。这是登录到Windows Server 2003操作系统域的标准用法。标准格式为:(像个人的电子邮件地址)。但不要在用户登录名或用户主要名称中加入“”号。活动目录在创建用户主要名称时自动添加此符号。包含多个“”号的用户主要名称是无效的。,人民邮电出版社,在活动目录中,默认的用户主要名称后缀是域树中根域的 DNS名。如果用户的单位使用由部门和区域组成的多层域树,则对于底层用户的域名可能很长
14、。对于该域中的用户,默认的用户主要名称可能是 。该域中用户默认的登录名可能是 。,人民邮电出版社,用户登录时就要输入太长的用户名,非常不方便,Windows Server 2003为了解决这一问题,规定在创建用户主要名称后,只要在根域后加上相应的用户名,使同一用户使用更简单的登录名:就可以登录,而不是前面所提到的那一长串。,人民邮电出版社,(4)注意设置规划好域间的信任关系,对于Windows Server 2003计算机,通过基于 Kerberos V5 安全协议的双向、可传递信任关系启用域之间的账户验证。在域树中创建域时,相邻域(父域和子域)之间自动建立信任关系。在域林中,根域和添加到域林
15、的每个域树的根域之间自动建立信任关系。如果这些信任关系是可传递的,则可以在域树或域林中的任何域之间进行用户和计算机的身份验证。,人民邮电出版社,如果将Windows Server 2003以前版本的域升级为Windows Server 2003域时,Windows Server 2003域将自动保留域和任何其他域之间现有的单向信任关系。包括Windows Server 2003以前版本的域的所有信任关系。如果用户要安装新的Windows Server 2003域并且希望与任何Windows Server 2003以前版本的域建立信任关系,则必须创建与那些域的外部信任关系。,人民邮电出版社,6.
16、3.3 安装活动目录 一、 活动目录的安装 安装Windows Server 2003时,系统并没有安装活动目录。 用户可以根据目录网络中的域情况创建新域控制器、新建子域、新建域目录树或目录林等,可将现有的服务器设置为备份域控制器,加入旧域、旧目录树或目录林。,人民邮电出版社,安装AD,(1)安装DNS 添加删除程序Windows 组件,选择DNS (2)安装AD。 开始所有程序管理工具配置您的服务器配置您的服务器向导服务器角色选择域控制器((Active Directory) 开始运行运行的文件框中输入命令Dcpromo,人民邮电出版社,按向导提示安装AD,人民邮电出版社,二、创建子域和域树,1创建子域,2创建域林中的第二棵域树,人民邮电出版社,二、活动目录的删除 要删除活动目录,单击“开始”,选择“运行”命令,打开“运行”对话框。在“打开”下拉
