活动目录(Active Directory)系列

合集下载

Active Directory

Active Directory

1 Active Directory相关知识1.1Active Directory概述活动目录(Active Directory简称AD),是从win2000 开始引入的操作系统的重要组件。

AD可以认为是一个大的层次结构数据库,用来集中存储企业内部的用户帐户、计算机、打印机、应用程序、安全性与系统原则等各种重要资源。

AD允许网络用户通过单一登录就可以访问网络中任何位置的许可资源。

从开发人员角度看AD,可以理解AD是一种存放了应用程序所需要的特定资源信息的“数据库”。

AD还对这些资源信息的读取和查询进行了优化,而且它允许通过大量的用户定义以满足特定的商业和组织需要。

1.2几个相关术语简介1.2.1容器和非容器AD中的资源信息被组织成一个层次结构。

这个层次结构中的每一个实体都被简称为对象。

换句话说,AD中创建对象时,是把它们创建在一个层次结构中的。

该结构由两种类型的对象组成:Container(容器)和非Container(非容器)。

容器可容纳非容器或下一级的容器。

而非容器则不再包含其他对象,因此也常被成为叶或叶子对象。

在安装完活动目录后,操作系统已经默认自动创建了很多的Container,如Users, Builtin1.2.2 OUOU是Organizational Unit(组织单元或部门)的缩写。

OU是容器对象,它主要从逻辑的角度来管理和组织活动目录域。

可在其中放置用户、组、计算机、打印机、共享文件夹以及一个域内的其他部门。

部门(在Active Directory 用户和计算机界面中用文件夹表示)允许按逻辑关系组织并存储域中的对象。

如果有多个域,则每个域均可实现各自独立的部门层次。

如下图所示,部门中也可包含其他部门。

1.2.3 Naming ContextAD被分成许多部分,称之为分区或者命名上下文(Naming Context,简称NC)。

在AD中包含了三个命名上下文(Naming Context,NC):域命名上下文(Domain NC)、配置命名上下文(Configuration NC)和架构命名上下文(Schema NC)。

活动目录(ActiveDirectory)基础(图)网络服务器-电脑资料

活动目录(ActiveDirectory)基础(图)网络服务器-电脑资料

活动目录(ActiveDirectory)基础(图)网络服务器-电脑资料活动目录是Windows 2000 网络中目录服务的实现方式,。

目录服务是一种网络服务,它存储网络资源的信息并使得用户和应用程序能访问这些资源。

活动目录对象主要包括用户、组、计算机和打印机,然而网络中的所有服务器、域和站点等也可认为是活动目录中的对活动目录是Windows 2000网络中目录服务的实现方式。

目录服务是一种网络服务,它存储网络资源的信息并使得用户和应用程序能访问这些资源。

活动目录对象主要包括用户、组、计算机和打印机,然而网络中的所有服务器、域和站点等也可认为是活动目录中的对象。

活动目录架构◆ 含有活动目录中所有对象的定义;◆ 用对象类和对象属性来描述每个对象;◆ 在Windows 2000的网络中,整个森林只有一个架构;◆ 架构保存在活动目录中。

活动目录的逻辑结构活动目录的逻辑结构用来组织网络资源。

域(Domain)◆ 域是Windows 2000 活动目录的核心单元,是共享同一活动目录的一组计算机集合;◆ 域是安全的边界,在缺省的情况下,一个域的管理员只能管理他自己的域,一个域的管理员要管理其他的域,需要专门的授权;◆ 域是复制单位,一个域可包含多个域控制器,当某个域控制器的活动目录数据库修改以后,会将此修改复制到其他所有域控制器。

组织单元(Organizational Units,OU)◆ OU是域下面的容器对象,用于组织对活动目录对象的管理,是Windows 2000中最小的管理单元;◆ OU可用来匹配一个企业的实际组织结构,域的管理员可以指定某个用户去管理某个OU;◆ OU也可以像域一样做成树状的结构,即OU下面还可以有OU;◆ 使用OU可取代Windows NT4.0的多域网络,参见图1。

图1树和森林(Trees and Forests)树(Trees):由一个或多个域构成。

Windows 2000中的树共享连续的名字空间;树具有双向、传递信任,即缺省情况下,Windows 2000中父域和子域、树和树之间的信任关系都是双向的,而且是可传递的。

ad域控林的概念-概述说明以及解释

ad域控林的概念-概述说明以及解释

ad域控林的概念-概述说明以及解释1.引言1.1 概述在AD域控林的概念中,"AD" 是Active Directory的缩写,它是微软公司开发的一种目录服务,用于中小型企业或大型企业管理网络用户、计算机和其他设备。

而"域控林"则是指将多个AD域(Domain)通过域间信任(Trusts)关系连接在一起,形成一个逻辑上的林(Forest),实现统一管理和集中控制的架构。

AD域控林的概念为企业提供了一种灵活而高效的管理网络资源的方式,能够实现跨域资源共享、集中权限管理、统一安全政策等功能。

通过建立AD域控林,企业可以实现资源的统一管理和集中化管理,提高了系统的可靠性和安全性。

总的来说,AD域控林为企业提供了一种强大的网络管理架构,能够满足复杂的管理需求,提高系统的可靠性和安全性,是现代企业网络管理的不可或缺的重要组成部分。

1.2 文章结构文章结构主要分为引言、正文和结论三部分。

在引言部分,将通过概述、文章结构和目的介绍ad域控林的基本概念和写作目的,引导读者对本文主题有一个整体的了解。

在正文部分,将主要从ad域控林的定义、组成和优势三个方面展开介绍,分别对ad域控林的概念进行详细解读,介绍其由哪些组成部分构成,以及ad域控林相比其他体系的优势所在。

在结论部分,将总结ad域控林的重要性,展望其未来发展方向,并通过结语对全文进行一个简要的总结,为读者留下深刻的印象。

1.3 目的目的部分主要介绍了本文讨论ad域控林的目的和意义。

在当今的信息化时代,企业和组织面临着日益复杂的信息技术环境和安全挑战,ad 域控林作为一种新型的网络架构解决方案,具有较强的应用前景和市场需求。

本文旨在深入探讨ad域控林的定义、组成和优势,帮助读者了解ad 域控林的基本概念和作用,推动其在实际应用中的推广和发展。

通过本文的阐述,读者将对ad域控林有更深入的了解,为其在企业和组织中的应用提供参考和指导。

active directory基本概念

active directory基本概念

active directory基本概念Active Directory(AD)是由Microsoft开发的一种目录服务,用于在网络中管理和组织用户、计算机、打印机等资源。

它提供了一个集中式数据库和认证服务,用于在组织内建立和维护网络中的对象的层次结构。

以下是一些关于Active Directory 的基本概念:1. 目录服务(Directory Service):• Active Directory 是一个目录服务,其主要作用是存储和组织网络中的对象信息,如用户、计算机、打印机等。

这些对象按照层次结构进行组织,形成一个树状的目录。

2. 域(Domain):•在Active Directory中,域是一个逻辑上的组,用于组织和管理网络中的对象。

每个域都有一个唯一的域名,域内的对象可以相互共享资源和认证信息。

3. 林(Forest):•一个林(Forest)是一个包含一个或多个域的集合。

域与域之间可以建立信任关系,形成一个林。

每个林都有一个共享的林根(Forest Root),所有域都共享这个林根。

4. 域控制器(Domain Controller):•域控制器是运行Active Directory服务的服务器。

每个域至少有一个域控制器,它存储了该域的目录信息,并提供认证和授权服务。

5. 组织单位(Organizational Unit,OU):•组织单位是用于组织和管理域内对象的容器。

OU可以包含用户、组、计算机等,并可以在OU内应用特定的策略。

6. 组(Group):•组是一种将用户、计算机等对象集合在一起的方式,以便更轻松地管理这些对象的权限和设置。

7. 用户和计算机账户:• Active Directory存储了用户和计算机的信息,包括登录名、密码、权限等。

用户和计算机账户可以被组织在域内的不同容器中。

8. 域名服务(DNS):• Active Directory使用DNS来命名和定位域控制器。

管理员操作手册AD域控及组策略管理CTO

管理员操作手册AD域控及组策略管理CTO

AD域控及组策略管理目录一、ActiveDirectory(AD)活动目录简介错误!未指定书签。

1、工作组与域的区别...................... 错误!未指定书签。

2、公司采用域管理的好处.................. 错误!未指定书签。

3、ActiveDirectory(AD)活动目录的功能..... 错误!未指定书签。

二、AD域控(DC)基本操作 .............. 错误!未指定书签。

1、登陆AD域控........................... 错误!未指定书签。

2、新建组织单位(OU).................... 错误!未指定书签。

3、新建用户.............................. 错误!未指定书签。

4、调整用户.............................. 错误!未指定书签。

5、调整计算机............................ 错误!未指定书签。

三、AD域控常用命令.................... 错误!未指定书签。

1、创建组织单位:(dsadd)................. 错误!未指定书签。

2、创建域用户帐户(dsadd)................. 错误!未指定书签。

3、创建计算机帐户(dsadd)................. 错误!未指定书签。

4、创建联系人(dsadd)..................... 错误!未指定书签。

5、修改活动目录对象(dsmod)............. 错误!未指定书签。

6、其他命令(dsquery、dsmove、dsrm)..... 错误!未指定书签。

四、组策略管理......................... 错误!未指定书签。

1、打开组策略管理器...................... 错误!未指定书签。

活动目录Active Directory的安装与配置

活动目录Active Directory的安装与配置
3、选择[创建一个新域的域目录树],单击[下一步]。
4、选择[创建一个新域的域目录林],单击[下一步]。
5、在[新域DNS全名]中输入要创建的域名,单击[下一步]。
6、安装向导自动将域名控制器的NetBIOS名设置为“jiji”,单击[下一步]。
7、显示数据库、目录文件及Sysvol文件的保存位置,一般不必做做修改,单击[下一步]。
活动目录的应用起源于Windows NT 4.0,在Windows 2003 Server中得到进一步的应用和发展,具有可扩展性和可调整性,并将结构化数据存储作为目录信息逻辑和分层组织的基础。
活动目录的优点在于:1.基于策略的管理;2.扩展性;3.可调整性;4.信息复制;5.与DNS的集成;6.灵活的查询;7.信息安全性。
实验的分析与思考:
Active Directory的优点有与DNS集成,灵活的查询,可扩展性,基于策略的管理,可伸缩性,信息复制,信息安全,互操作性。
实验结论及体会:
通过Active Directory的安装实验,体会到了Active Directory的强大功能,与DNS集成,可以不用单独配置DNS服务了,灵活的查询,可扩展性,基于策略的管理,可伸缩性,信息复制,信息安全,互操作性。尤其是其信息复制,配置成功一个域后可以复制该域,不用重新多次的建立。
13、重新启动计算机是,由于活动目录的存在,启东时间会变长。启动后,用管理员账户登录,选择“开始”“管理工具”“Active Directory用户和计算机”选项,弹出“Active Directory用户和计算机”窗口。确认活动目录是否已经正常。
14、添加用户帐户:
①首先启动Active Directory用户和计算机管理器,单击User容器会看到在安装Active Directory时自动建立的用户帐户;

第一章 活动目录(Active Directory)综述

第一章 活动目录(Active Directory)综述

第一章活动目录(Active Directory)综述内容摘要Windows 2000 操作系统的功能非常强大,用户要了解如何实现这些功能,以及它对完成企业目标能够提供哪些帮助,首先必须了解其核心:活动目录目录服务。

活动目录在实施组织的网络,进而实现组织的商业目标中占有重要地位。

通过本章学习,您将了解到以下一些主要内容:目录服务和活动目录的概念活动目录的优点活动目录的逻辑结构组织信息在逻辑结构中的流通活动目录的安全机制活动目录的目录服务模块考点提示本章主要概括了活动目录中的主要概念性知识,读者应重点熟悉以下内容:逻辑结构/物理结构的作用和区别信任关系1.1 目录和目录服务一般来说,目录是用来存储信息的信息源,如电话簿用来存储电话号码、文件系统用来存放文件信息。

而在计算机网络上下文环境中,目录(又称数据存储区)是存储网络对象信息的分层结构。

对象包括共享资源,如服务器、共享卷和打印机;网络用户和计算机帐户;域、应用程序、服务、安全策略,以及网络上的其他所有内容。

以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例:一般情况下,目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。

用户通过目录服务来使用目录中的信息,如用户可能需要使用网络中的某样资源,如打印机,但不知道它在网络上确切位置,有了目录服务,用户只要了解该打印机的一项属性,就可以通过查询活动目录来使用它。

我们可以把目录服务看作既是一个管理工具,同时也是一个面向最终用户的工具。

系统管理员用它可以定义、安排和管理对象(如打印机、用户)及其特征,以使它们能被用户和应用程序使用;而用户可以用它来获得感兴趣的信息。

换一个角度,理解目录服务就是要理解它和目录的不同之处:它既是目录信息源,又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。

理想情况下,目录服务会使物理拓扑和协议(两个服务间传输数据所用的格式)透明化;这样,即使用户不知道资源的物理连接位置和连接方法,也能够访问资源。

activedirectory活动目录教程

activedirectory活动目录教程

Active Directory教程Active Directory教程活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。

Microsoft Active Directory服务是Windows平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

在本期技术教程中,我们将介绍Active Directory在虚拟化方面的使用技巧。

使用Active Directory追踪VM随着很多企业部署越来越多的虚拟化平台,如何区分物理服务器和虚拟服务器也变得越来越难。

有一种标识服务器对象(无论是虚拟环境还是物理环境)的方法是使用每一台计算机对象Active Directory中的Description属性。

那么具体该如何操作呢?使用Active Directory标识和追踪虚拟机使用脚本进行Description查询添加自定义Active Directory计算对象属性定位虚拟机Active Directory快照Windows Server 2008允许管理员对Active Directory进行快照。

在作出任何主要的Active Directory修改之前创建快照,以便在需要的时候使用副本数据库恢复。

如何使用Windows Server 2008里的Active Directory快照?使用Windows Server 2008里的Active Directory快照Active Directory实用技巧如何创建一个Windows AD组?如何在vSpere中使用这个组控制虚拟基础架构的管理人员?在Active Directory环境里,如何诊断和解决登录性能缓慢的难题?taskpad是什么?对Active Directory数据库有何作用?使用Windows Active Directory组控制vSpere管理权限解决在Active Directory环境里Windows登录性能问题在Active Directory管理里创建taskpad view使用Active Directory标识和追踪虚拟机在本系列文章的第一篇文章中,TechTarget中国的虚拟化专家Chris Wolf将介绍如何使用Active Directory跟踪虚拟化资源。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

活动目录(Active Directory)系列之一:为什么我们需要域
对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始,我们将推出 Active Directory系列博文,希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。

我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。

服务器的职能大家都知道,无非是提供资源和分配资源。

服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。

现在服务器 Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。

基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。

首先,如下图所示,我们在服务器上为张建国创建了用户账号。

然后在共享文件夹中进行权限分配,如下图所示,我们只把共享文件夹的读权限授予了用户张建国。

好,接下来张建国就在客户机Perth上准备访问服务器上的共享文件夹了,张建国准备访问资源\\Florence\人事档案,服务器对访问者提出了身份验证请求,如下图所示,张建国输入了自己的用户名和口令。

如下图所示,张建国成功地通过了身份验证,访问到了目标资源。

看完了这个实例之后,很多朋友可能会想,在工作组模式下这个问题解决得很好啊,我们不是成功地实现了预期目标嘛!没错,在这个小型网络中,确实工作组模型没有暴露出什么问题。

但是我们要把问题扩展一下!现在假设公司不是一台服务器,而是500台服务器,这大致是一个中型公司的规模,那么我们的麻烦就来了。

如果这500台服务器上都有资源要分配给张建国,那会有什么样的后果呢?由于工作组的特点是分散管理,那么意味着每台服务器都要给张建国创建一个用户账号!张建国这个用户就必须痛不欲生地记住自己在每个服务器上的用户名和密码。

而服务器管理员也好不到哪儿去,每个用户账号都重新创建500次!如果公司内有 1000人呢?我们难以想象这么管理网络资源的后果,这一切的根源都是由于工作组的分散管理!现在大家明白为什么工作组不适合在大型的网络环境下工作了吧,工作组这种散漫的管理方式和大型网络所要求的高效率是背道而驰的。

既然工作组不适合大型网络的管理要求,那我们就要重新审视一下其他的管理模型了。

域模型就是针对大型网络的管理需求而设计的,域就是共享用户账号,计算机账号和安全策略的计算机集合。

从域的基本定义中我们可以看到,域模型的设计中考虑到了用户账号等资源的共享问题,这样域中只要有一台计算机为公司员工创建了用户账号,其他计算机就可以共享账号了。

这样就很好地解决刚才我们提到的账号重复创建的问题。

域中的这台集中存储用户账号的计算机就是域控制器,用户账号,计算机账号和安全策略被存储在域控制器上一个名为Active Directory的数据库中。

上述这个简单的例子说明的只是域强大功能的冰山一角,其实域的功能远远不止这些。

从下篇博文我们将开始介绍域的部署以及管理,希望大家在使用过程中逐步增加感性认识,对域有更加深入及全面的了解,能够掌握好Active Directory这个微软工程师必备的重要知识点。

活动目录(Active Directory)系列之二:基本概念
目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。

使用LDAP(端口389)轻量级目录访问协议工作,在域环境下所有用户及计算机等帐户信息均保存在一个数据库中,这个数据库位置%systemroot%\ntds\ntds.dit。

AD(活动目录)的逻辑结构包含如下组件:域/子域/树/森林/OU等。

主要侧重于对网络资源的组织。

AD的物理结构包含如下组件:DC(域控制器)/site(站点)/OM(操作主机)。

主要侧重于对网络资源的配置和优化。

下面介绍有关几个重要的概念:
1.DN:(可辨别名称)--用来表示一个对象在AD中具体存储位置,类似于文件的绝对路径。

如:cn=user1,ou=sails, dc=blog,dc=com 该用户存在域的sails OU下,用户名为user1. cn=users (默认的容器users也以cn表示)
dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。

2.UPN(用户主名)用户名@域名,即用户登录时可以采用,如jack@,也可以更改此后缀。

修改:domain.msc后,在根右击--属性--更改UPN后缀,然后在用户属性-帐号中选择其后缀。

用户登录可以使用此UPN.但必须在用户属性里进行相应的更改(即启用此Upn后缀)
3.SID (安全标识符)用户/组都有唯一
whoami /user 当前用户的SID
whoami /all 当前用户的详细信息(包含所属组的SID)
getsid \\dc1 test \\dc1 test (安装suptools)
psgetsid \\dc1 test 下载工具包。

4.AD数据库的目录分区:(AD数据库虽然是一个文件,但却是以目录分区的形式组成的)schema 架构分区---森林的对象类和属性,在森林级别复制。

configuration 配置分区--所有DC的位置、site,在森林级别复制。

domain 域分区--每个域的各种对象等信息,在域级别复制。

application 应用程序分区—DNS,可以自定义。

通过adsiedit.msc来查看前三个目录(事先装支持工具)
5.site:在物理位置上区分,一组高速可靠的一个子网或多个子网。

(管理AD复制)
优点:
a. 优化登录
b. 优化复制
6.域:安全的边界,复制的单元。

7.操作主机:(OM)--FSMO
森林范围内唯一的有两种:
架构主机:负责森林内架构的统一regsvr32 schmmgmt.dll
域命名主机:负责森林范围内域的添加和删除。

域范围内唯一的有三种:
RID主机:建用户时用于分发ID号。

PDC主机:时间同步,密码最小化周期、密码锁定、组策略维护等。

基础结构主机:负责跨域对象的引用和更新。

森林范围内唯一两种OM默认由林根域的第一台DC承担。

域范围内唯一的三种OM默认由域内的第一台DC承担。

相关文档
最新文档