《Win2000域详解.doc》由会员分享,可在线阅读,更多相关《Win2000域详解.doc(7页珍藏版)》请在金锄头文库上搜索。
1、Win2000域详解 域结构简介1、域的含义:域是由一群以网络连接在一起的计算机所组成的,它们将计算机内的资源共享给其他人使用。2、与工作组结构网络区别:域内所有的计算机共享一个集中式的目录数据库,它包括整个域内的用户与安全数据。而工作组结构的网络,每台计算机的位置平等。可以相互的共享。3、域中的计算机类型:A、 域控制器:只有WIN2000SERVER才可以做域控制器,域控制器在一个网络中可以有多个。一台的目录数据库可以自动复制到别一个域服务器的目录数据库中,域可以审核登录用户的用户名和密码。多台域服务器共同审核用户的登录可以提高效率B、 成员服务器:域内的WIN2000服务器如果不是域控制
2、器,就是成员服务器,如果不加入域就独立服务器,成员服务器没有活动目录,不能审核域用户的登录,但它们都自己的本地安全数据库。以审核本地用户。C、 其他计算机:其他计算机可以用来访问这些计算机的资源。 活动目录定义一个电话本:其中有姓名、电话号、地址等,这些就是目录,我可以很容易从找到所需的数据。目录服务:就让用户很容易在目录中查找所要的数据。而在WIN2000中,存储用户、组、打印机等对象相关数据的位置称为目录数据库,负责提供目录服务的组件称为活动目录。1、 适用范围应用范围很广,可以在一台计算机、一个计算机网络,大至数据广域网的组合。2、 名称空间A、 名称空间的含义:就是一块划好的区域。在这
3、个区域内,可以利用某个名字来找到与这个名字有关的信息。B、 WIN2000中的活动目录就是“名称空间”,可以利用对象名称找到相关的数据。C、 WIN2000的名称结构采用了DNS的结构。3、对象与属性WIN2000中的资源都是以对象的形式存在,而一个对象通过属性来描述其特征。如用户就是一个对象类别。用户的姓、名、电话,就是用户的属性。4、容量与组织单位A、容量与对象相似,也有自己的名称,也有自己的属性,但它不是一个实体,而可以一组对象和其它容量。B、组织单位,就是一个容量,可以包括其他对象和组织单位。5、域目录树A、 域目录树:对一个包含多个域的网络,则可以将网络设置成域目录树的结构,也就是说
4、这些域以树状的形式存在。B、域目录树中的子域名包含着父域的域名C、域目录树中的所有的域共享一个活动目录。但活动目录中的数据分散地存储在各个域内。将各个域内的数据合并为一个活动目录。6、信任两个域之间,必须建立信任关系,才可以访问对方域内的资源,一个域加入到一个域目录树中后,这个域会自动信任其上一层域,并且这些信任关系具备双传递性。7、域目录林如果一个网络设置成多个域目录树的结构,那么可以让这些域目录树合并为一个域目录林。如A域与域。8、架构在活动目录内的对象类别等数据定义在架构内,如定义了用户这个对象类别内饮食了哪些属性等。在一个域目录林中的所有域目录树共享一个架构。9、全局编录A、 全局编录
5、的原因:活动目录内的数据分散存储在各个域内,而每一个域只存储与些域本身相关数据。WIN2000将存储在各个域内的数据合并为一个活动目录。为了让WIN2000用户可以快速找到其它域内的资源,WIN2000才设计了“全局编录”。B、 “全局编录”内包含着目录服务器中的每一个对象,不过只存储每个对象的部分属性,而不是全部属性。C、 “全局编录”的数据存储在全局编录服务器,系统默认第一台域控制器就是全局编录服务器。在域目录林共享一个全局编录服务器。10、站点A、 站点的含义:指的是一个或多个IP子网,这些子网之间是通过高速(512K),这些子网就是站点。B、 站点与域的区别:域是实体的分组,而站点是实
6、体的分组,、每个站点可能会包含多个域,而一个域也可以同时属于多个站点。11、名称活动目录内,每个对象都有一个名称,并且利用名称来识别每个对象。A 可分辨的名称(ND):它包含对象所在的完整路径,orthsalesobyong.B、 相对可分辨的名称(RDN):RDN是DN的完整路径中。C、 全局标识符:GUID是一个128的数值,所建立的任何一个对象,系统都会自动给这个对象指定一个唯一的GUID。GUID永远不会改变的。D、 用户主体名称VPN:这是一个用户的主体名称。 活动目录介绍 (一)目录服务 目录,是一个数据库,存贮了网络资源相关的信息,包括了资源的位置、管理等信息。 目录服务 是一种
7、网络服务,目录服务标记管理网络中的所有实体资源(比如计算机、用户、打印机、文件、应用等),并且提供了命名、描述、查找、访问以及保护这些实体信息的一致的方法,使网络中的所有用户和应用都能访问到这些资源。 (二)活动目录(Active Directory) 活动目录 是Windows 2000完全实现的目录服务,也是Windows 2000网络体系的基本结构模型,是Windows 2000网络操作系统的核心支柱,也是中心管理机构。 Microsoft在Windows 2000中提供的活动目录是一个全面的目录服务管理方案,也是一个企业级的目录服务,具有很好的可伸缩性。活动目录采用了Internet的
8、标准协议,它与操作系统紧密地集成在一起。活动目录不仅可以管理基本的网络资源,比如计算机对象、用户账户、打印机等,它也充分考虑了现代应用的业务需求,为这些应用提供了基本的管理对象模型,比如用户账户对象具有办公电话、手机、呼机、住址、上司、下属、电子邮件等属性。几乎所有的应用可以直接利用系统提供的目录服务结构,而且活动目录也具有很好的扩充能力,允许应用程序定制目录中对象的属性或者添加新的对象类型。 (三)活动目录的用处 (四)活动目录的逻辑结构 活动目录的逻辑结构非常灵活,它为活动目录提供了完全的树状层次结构视图,逻辑结构与前面我们讨论过的名字空间有直接的关系。逻辑结构为用户和管理员查找、定位对象
9、提供了极大的方便。活动目录中的逻辑单元包括:域、组织单元(Organizational Unit,简称OU)、域树、域森林。 1、 域(Domain) 域 既是Windows网络系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows 2000系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域。每个域都有自己的安全策略,以及它与其他域的安全信任关系。 2、 OU(Organizational Unit) OU 是一个容器对象,我们可以把域中的对象组织成逻辑组,所以OU纯粹是一个逻辑概念,它可以帮助我们简化管理工作。OU
10、可以包含各种对象,比如用户账户、用户组、计算机、打印机,甚至可以包括其他的OU。所以我们可以利用OU把域中的对象形成一个完全逻辑上的层次结构,对于一个企业来讲,我们可以按部门把所有的用户和设备组成一个OU层次结构,也可以按地理位置形成层次结构,还可以按功能和权限分成多个OU层次结构。由于OU层次结构局限于域的内部,所以一个域中的OU层次结构与另一个域中的OU层次结构完全独立。 3、 树 当多个域通过信任关系连接起来之后,所有的域共享公共的表结构(schema) 、配置和全局目录(global catalog),从而形成 域树 。域树由多个域组成,这些域共享同一个表结构和配置,形成一个连续的名字
11、空间。树中的域通过信任关系连接起来。活动目录包含一个或多个域树。 4、 森林 域森林 是指一个或多个没有形成连续名字空间的域树。域林中的所有域树共享同一个表结构、配置和全局目录。域林中的所有域树通过Kerberos信任关系建立起来,所以每个域树都知道Kerberos信任关系,不同域树可以交叉引用其他域树中的对象。 (五)其它 (1)域控制器(Domain Controller) 域控制器是指运行Windows 2000 Server版本的服务器,它保存了活动目录信息的副本。域控制器管理目录信息的变化,并把这些变化复制到同一个域中的其他域控制器上。域控制器也负责用户的登录过程,以及其他与域有关的
12、操作,比如身份认证、目录信息查找等。 一个域可以有多个域控制器。规模较小的域可以只需要两个域控制器,一个实际使用,另一个用于容错性检查;规模较大的域可以使用多个域控制器。 Windows 2000的域结构与Windows NT 4的域结构不同的是,活动目录中的域控制器没有主次之分,活动目录采用了多主机复制方案,每一个域控制器都有一个可写入的目录副本。在某一个时刻,不同的域控制器中的目录信息可能有所不同,一旦活动目录中的所有域控制器执行同步操作之后,最新的变化信息就会一致。 (2)活动目录与DNS 活动目录使用域名服务DNS作为它的定位服务,同时也对标准的DNS作了扩充。在活动目录中使用DNS的
13、最大好处在于,我们可以使Windows 2000域与Internet上的域统一起来,即Windows域名也是DNS域名。 (3)Active Directory命名规范 a.辨别名( distinguished name (DN) 活动目录中的每一个对象都会有一个唯一的辨别名DN。DN由域名、对象名组成: DC=com/DC=contoso/OU=Users/OU=Teacher/CN=James Smith 表示用户对象James Smith在域中的Users组织单元中的Teacher单元中 b.User Principal Name : 由用户登录名和域名组成,如 JamesS。 域运行模
14、式 (1) 混合模式 。混合模式的域既可以有Windows 2000的域控制器,也可以有Windows NT 4的域控制器。这是一个过渡模式,利用这种模式,我们可以对现有的系统逐步升级。但是,在混合模式下,活动目录中有些功能不能很好地发挥出来。 (2) 准模式 。活动目录的标准模式要求所有的域控制器都必须运行Windows 2000。只有在这个时候,活动目录的所有功能和特性才能充分体现出来。活动目录的安装 运行 Active Directory 安装向导将 Windows 2000 Server 计算机升级为域控制器会创建一个新域或者向现有的域添加其他域控制器。创建域控制器可以: 创建网络中的
15、第一个域。 在树林中创建其他的域。 提高网络可用性和可靠性。 提高站点之间的网络性能。要创建 Windows 2000 域,必须在该域中至少创建一个域控制器。创建域控制器也将创建该域。不可能有没有域控制器的域。如果确定用户的单位需要一个以上的域,则必须为每个附加的域至少创建一个域控制器。树林中的附加域可以是:新的子域、新域树的根。 安装步骤示例 1、安装域中第一台域控制器在安装 Active Directory 前首先确定DNS服务正常工作,下面用户来安装根域为 的域中第一台域控制器。步骤1 利用配置服务器启动位于 %Systemroot%system32 中的 Active Directory 安装向导程序 DCPromo.exe。如图1单击下一步 步骤2 由于用户所建立的是域中的第一台域控制器所以选择新域的域控制器 单击下一步步骤3 选择创建一个新域的域目录树 ,单击下一步步骤4 选择创建一个新域的域目录林, 单击下一步步骤5 在新域的 DNS 全名中输入要创建得域名,如图 2单击下一步
