活动目录相关概念
活动目录介绍
活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。
NT的"域(domain)"的概念是⽬录服务的⼀个基本单元。
"⼀次登录,Single Logon"在Windows NTServer 的环境下有了具体的应⽤,⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进⼀步发展了"活动⽬录(Active Directory)"。
活动⽬录充分体现了微软产品的"ICE",即集成性(Integration),深⼊性(Comprehensive),和易⽤性(Ease of Use)等优点。
活动⽬录是⼀个完全可扩展,可伸缩的⽬录服务,既能满⾜商业ISP的需要,⼜能满⾜企业内部⽹和外联⽹的需要。
活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。
它采⽤的是Exchange Server的数据存储,称为:Extens ible Storage Service (ESS)。
其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能⾮常优良。
这个数据存储之上已建⽴索引的,可以⽅便快速地搜索和定位。
活动⽬录的分区是"域(Domain)",⼀个域可以存储上百万的对象。
域之间还有层次关系,可以建⽴域树和域森林,⽆限地扩展。
在数据存储之上,微软建⽴了⼀个对象模型,以构成活动⽬录。
这⼀对象模型对LDAP有纯粹的⽀持,还可以管理和修改Schema。
Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义,其本⾝也是活动⽬录的内容之⼀,在整个域森林中是唯⼀的。
活动目录(Active Directory)系列
活动目录(Active Directory)系列之一:为什么我们需要域对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。
域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。
但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。
从今天开始,我们将推出 Active Directory系列博文,希望对广大学习AD的朋友有所帮助。
今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。
我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。
我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。
假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。
服务器的职能大家都知道,无非是提供资源和分配资源。
服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。
现在服务器 Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。
基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。
首先,如下图所示,我们在服务器上为张建国创建了用户账号。
活动目录 方案
活动目录方案引言在组织一场活动之前,制定一个清晰的活动目录方案非常重要。
活动目录方案是指对活动的目的、内容、时间安排、参与者以及预算等方面进行规划和安排的文件。
本文档将详细介绍一个完整的活动目录方案的编写过程和要点。
目录方案编写流程1. 确定活动目的和主题首先,明确活动的目的和主题,这将成为整个目录方案的核心。
活动目的应该是明确的、简洁的陈述活动的意义和目标,而主题则是将活动进行有机组织和联系的纽带。
2. 确定时间和地点确定活动举办的具体时间和地点。
考虑到参与者的时间安排和方便性,选择一个最适合的时间和地点来举办活动。
3. 确定活动内容和流程列出活动的具体内容和流程。
这包括开幕仪式、各项活动或项目的安排顺序、活动参与者之间的互动环节等。
务必考虑到活动的整体时长和每个环节的时间控制,确保活动的流程紧凑有序。
4. 确定参与者和招募计划明确活动的参与者范围和人数,并制定相应的招募计划。
招募计划应包括招募途径、招募时间和招募渠道等。
同时,需要考虑到参与者的需求和限制,尽可能满足不同参与者的需求和期望。
5. 确定预算和资源进行活动预算的规划,包括活动所需的经费、物资以及其他资源。
制定详细的预算方案,确保活动的经费使用合理、透明,并考虑到可能的变动和风险。
6. 制定宣传计划在活动目录方案中,也要包括对活动的宣传计划。
宣传计划应包括宣传渠道、宣传材料的制作和发布时间等。
通过有效的宣传,提高活动的知名度和参与度。
7. 确定活动评估和改进计划活动结束后,要进行评估和改进。
在目录方案中,也要包括对活动的评估和改进计划。
通过评估活动的效果和参与者的反馈,找出活动中的不足之处并提供改进的建议。
目录方案的编写要点清晰明确的语言目录方案需要使用清晰明确的语言,避免使用词汇模糊或含糊不清的表达方式。
方案的每一个部分都应该能够被读者直接理解和解释。
全面详尽的信息目录方案应提供全面详尽的信息,包括活动的时间、地点、内容、流程等方面。
活动目录详解(基础篇)
活动目录详解(基础篇)活动目录详解(基础篇)我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录(Active Directory)服务”,使得WIN2K系统与Internet上的各项服务和协议更加联系紧密,因为它对目录的命名方式成功地与”域名“的命名方式一致,然后通过DNS 进行解析,使得与在Internet上通过WINS解析取得一致的效果。
活动目录也说明了Microsoft在网络结构方面的策略转移,虽然在以前NT时代也有部分产品(如EXCHANGE SERVER、IIS等)提供过类似于活动目录的服务,然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。
活动目录的身影似乎在整个WIN2K系统中无处不在。
然而要真正了解“活动目录”的方方面面又谈何容易,下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析,希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。
一、活动目录的由来谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME 下“文件夹”,那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系,一个文件生成之后相对来说这个文件的所在目录也就固定了(当然可以删除、转移等,现在不考虑这些),也就是说它的属性也就相对固定了,是静态的。
这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小,并不能得出其它有关信息,这样就影响到了整体使用目录的效率,也就是影响了系统的整体效率,使系统的整个管理变得复杂。
因为没有相互关联,所以在不同应用程序中同一对象要进行多次配置,管理起来相当繁锁,影响了系统资源的使用效率。
为了改变这种效率低下的关系和加强与Internet上有关协议的关联,Microsoft公司决定在WIN2K中全面改革,也就是引入活动目录的概念。
理解活动目录的关键就在于“活动”两个字,千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解,那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹,正因为这个目录是活动的,所以它是动态的,它是一种包含服务功能的目录,它可以做到“由此及彼”的联想、映射,如找到了一个用户名,就可联想到它的账号、出生信息、E-mail、电话等所有基本信息,虽然组成这些信息的文件可能不在一块。
AD介绍和安装windows
介绍和安装windows server 2003 活动目录第一部分:介绍活动目录基本概念 1.什么是活动目录活动目录是一种目录服务,目录服务包括三方面的功能:组织网络中的资源,提供对资源的管理,对资源的控制,活动目录的服务通过将对网络中的各种资源的信息,保存到一个数据库中,来为网络中的用户和管理员提供对这些资源的访问、管理和控制,这个数据库叫活动目录数据库。
通过活动目录服务,管理员可以实现整个网络的集中管理。
2.什么是域和域控制器域是活动目录的一种实现形式,也是活动目录最核心的管理单位和复制单位,一个域由域控制器和成员计算机组成。
域控制器就是安装了活动目录服务的一台计算机。
在域控制器上,每一个成员计算机都有一个计算机账号,每一个域用户有一个域用户账号。
域管理员可以在域控制器上实现对域用户账号和计算机账号以及其他资源的管理。
域还是一种复制单位,我们在域中可以安装多台域控制器,域管理员可以在任何一台域控制器上创建和修改活动目录对象。
域控制器之间可以自动的同步,或者是复制这样一种更新。
3.什么是组织单位是活动目录中的一种对象,但它是一种容器类型的对象,也就是说OU可以包含其他对象。
使用OU,我们可以在域中组织对象,以方便对域的管理。
比如对域一个公司不同部门的用户的账户的管理。
使用OU,还可以实现委派管理控制以及在不同的OU上实现不同的组策略,委派管理控制是我们可以对每一个OU来指派一名或多名管理员。
让OU 管理员各自管理自己部门的对象。
每一个OU可以实现不同的组策略设置,我们可以设置用户的工作环境,用户的软件安装,等。
4.什么是数,森林和信任关系活动目录可以通过分层结构来实施。
树指的是根域和子域以及子域的子域所组成的这样一种逻辑结构。
而森林,是由多棵树组成的。
在一个树的内部,父域和子域之间是相互信任的,我们把这种信任关系称为父子信任,在一个森林内部,树和树之间也是相互信任的,这种信任关系称为树根信任。
活动目录知识点总结
活动目录知识点总结1. 活动目录的内容和范围活动目录通常包括各种可能的活动和事件,涵盖了组织内部的各项工作和业务。
这些活动可能涉及到会议、培训、庆祝活动、志愿者活动、团队建设、文化活动、户外运动、节日庆祝等各方面。
此外,活动目录还会列出与活动相关的资源和信息,如场地、设备、人力、财务支持、相关政策和规定等。
活动目录的内容需要根据组织的具体情况进行补充和调整,以确保其覆盖了组织内所有可能的活动需求。
2. 活动目录的编制和更新活动目录的编制通常需要由组织的相关部门或团队协作完成。
在编制活动目录时,需要充分征求各部门的意见和需求,以确保列出的活动种类和所需资源符合各方的实际需求。
此外,活动目录还需要定期更新,以适应组织发展和变化。
更新活动目录需要持续收集和整理各项活动和资源信息,并及时更新到目录中,确保其内容的准确性和实用性。
3. 活动目录的作用和意义活动目录对组织具有重要的作用和意义。
首先,活动目录可以帮助团队成员更好地了解和利用组织内部的资源和支持,以促进活动的顺利进行。
其次,活动目录有利于管理者规划和协调各项活动,提高工作效率和团队协作能力。
另外,活动目录还可以促进各部门之间的信息共享和资源整合,加强团队之间的沟通和合作。
总之,活动目录的健全和使用对于组织的正常运转和发展都具有重要的意义。
4. 活动目录的管理和使用为了充分发挥活动目录的作用,组织需要建立健全的活动目录管理机制,并提供相关培训和支持。
在活动目录的使用中,需要保证其信息的及时性、准确性和保密性。
此外,还需要制定相关的使用规定和流程,鼓励和引导团队成员充分利用活动目录,促进团队协作和活动效率。
在实际使用活动目录时,团队成员需要了解并遵守相关的规定和流程,如查阅活动目录前需要提前申请、记录活动使用情况等。
在活动目录的管理中,需要设立专门的管理者或管理员,负责活动目录的更新、维护和使用监督。
此外,还可以借助现代化的信息技术手段,如活动管理软件、云端服务等,提升活动目录的管理效率和便利性。
第一章 活动目录(Active Directory)综述
第一章活动目录(Active Directory)综述内容摘要Windows 2000 操作系统的功能非常强大,用户要了解如何实现这些功能,以及它对完成企业目标能够提供哪些帮助,首先必须了解其核心:活动目录目录服务。
活动目录在实施组织的网络,进而实现组织的商业目标中占有重要地位。
通过本章学习,您将了解到以下一些主要内容:目录服务和活动目录的概念活动目录的优点活动目录的逻辑结构组织信息在逻辑结构中的流通活动目录的安全机制活动目录的目录服务模块考点提示本章主要概括了活动目录中的主要概念性知识,读者应重点熟悉以下内容:逻辑结构/物理结构的作用和区别信任关系1.1 目录和目录服务一般来说,目录是用来存储信息的信息源,如电话簿用来存储电话号码、文件系统用来存放文件信息。
而在计算机网络上下文环境中,目录(又称数据存储区)是存储网络对象信息的分层结构。
对象包括共享资源,如服务器、共享卷和打印机;网络用户和计算机帐户;域、应用程序、服务、安全策略,以及网络上的其他所有内容。
以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例:一般情况下,目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。
用户通过目录服务来使用目录中的信息,如用户可能需要使用网络中的某样资源,如打印机,但不知道它在网络上确切位置,有了目录服务,用户只要了解该打印机的一项属性,就可以通过查询活动目录来使用它。
我们可以把目录服务看作既是一个管理工具,同时也是一个面向最终用户的工具。
系统管理员用它可以定义、安排和管理对象(如打印机、用户)及其特征,以使它们能被用户和应用程序使用;而用户可以用它来获得感兴趣的信息。
换一个角度,理解目录服务就是要理解它和目录的不同之处:它既是目录信息源,又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。
理想情况下,目录服务会使物理拓扑和协议(两个服务间传输数据所用的格式)透明化;这样,即使用户不知道资源的物理连接位置和连接方法,也能够访问资源。
活 动 目 录
·查找的方法
计机查找域控制器分为以下几个步骤:
⑴ 首先用户登录域,开始使用活动目录以及域控制器提供的特定服务,启动网络登录服 务的用户计算机使用一个API接口——DsGetDcName和服务器进行数据交流;
·增量区域传送:它是上一条的补充,它只允许新的或修改过的数据文件在DNS服务器 之间复制。
1. 安装DNS前的准备: 安装Windows 2000的DNS需要的条件: ·安装Microsoft Windows 2000 Advance Server系统的并被配置为标准服务器的计算机; ·一个静态的IP地址和相应的子网掩码; ·所要配置的DNS域名以及正向查找区域名和反向查找区域名。 对所要安装DNS的计算机配置DNS后缀: ⑴ 以系统管理员的身份登录系统; ⑵ 调入“我的电脑”的属性界面对话框,选择“网络标识”页面,点击“其它”; ⑶ 在“DNS后缀和NetBIOS计算机名”界面中的“此计算机的主DNS后缀”文本框中填 入所要设置的域名,再将打开的所有界面中点击“确定”完成设置,重新启动计算机。
计算机网络技术
活动目录
知识点: ·活动目录概述:活动目录的组成、活动目录的逻辑结构、活动目录的物理结构。 ·DNS和活动目录的集成:DNS的作用、DNS解析、活动目录的集成区域、安装和配置DNS。 ·创建域:创建域前的准备、创建域的过程、域的配置和管理。 ·活动目录下的用户管理与资源发布:创建和管理用户帐户及使用组、在活动目录中发布资 源;委派管理控制。
3. 配置DNS : 安装完DNS服务后,还需要为DNS创建正向及反向的查找区域: ⑴ 创建及配置正向查找区域
⑵ 创建及配置反向查找区域
第10章_活动目录服务
2. 活动目录服务的对象 在活动目录中目录服务的对象通常包括共享 资源、 网络用户账户、 计算机帐户、 服务、 资源 、 网络用户账户 、 计算机帐户 、 服务 、 数据库和其他任意对象, 数据库和其他任意对象 , 每种对象的管理方 法类似。 在所有对象中, 法类似 。 在所有对象中 , 最常见的管理对象 就是活动目录中的计算机和用户。 就是活动目录中的计算机和用户。 Derectory用户和计算机管理单 3. Active Derectory用户和计算机管理单 元的组成 Directory用户和计算机管理单 4. Active Directory用户和计算机管理单 元中的对象管理类别图10-2 森林的组成
人民邮电出版社
10.1.3 目录服务管理 1.目录服务概述 目录服务是W2000-SER提供的一种基本网络服 目录服务是W2000-SER提供的一种基本网络服 利用目录服务, 务 。 利用目录服务 , 用户或者是管理者无需 知道对象的确切名称, 即可通过对象的一个 知道对象的确切名称 , 或多个属性, 查找到计算机网络中的对象。 或多个属性 , 查找到计算机网络中的对象 。 2000域方式网络中 最主要的目录服务有: 域方式网络中, 在W2000域方式网络中,最主要的目录服务有: 用户管理、 计算机管理、 资源管理、 用户管理 、 计算机管理 、 资源管理 、 基于目 录的网络服务和基于网络的应用管理。 录的网络服务和基于网络的应用管理。
第10章 活动目录服务 10章
10.1
Windows 2000活动目 录概述
10.1.1 Windows 2000活动目录的基本概念 活动目录的基本概念 1. 活动目录及其组织结构与特点 活动目录的Active Directory, 简称AD AD。 活动目录的 Active Directory , 简称 AD 。 它 2000是 在 W2000-SER 中 使 用 的 目 录 服 务 , 也 是 2000网络体系结构中最重要的概念 网络体系结构中最重要的概念。 W2000网络体系结构中最重要的概念。 目录(Directory)和文件目录( 2. 目录(Directory)和文件目录(File Directory) Directory) (1 ) 目录 2000中 在 Windows 2000 中 , 目录是用来存储各种对 象的一个物理容器, 象的一个物理容器 , 用它来管理的对象可以 人民邮电出版社 计算机、 用户账户、 是 : 域 、 组 、 计算机 、 用户账户 、 文件目录 和打印机等。 和打印机等。
活动目录服务
◆3.3.2 查找域控制器目录内容
在Windows 2000中,活动目录是一个网络清单,包括网络中的域、域 控制器、用户、计算机、联系人、组、组织单位及网络资源等各个方面的 信息,使管理员对这些内容的查找更加方便。要查找目录内容,可参照下 面的演示实例:单击该超链接观看演示 (3.3.2)
7
◆3.3.3 连接到其他域
18
⒌ 要设置组的管理者,选择“管理者”选项卡。要更改组管理人, 单击“更改”按钮,打开“选择用户或联系人”对话框为改组选择管理者; 要查看管理者的属性,单击“查看”按钮进行查看;如果要清除管理者对 组的管理,单击“清除”按钮即可。 ⒍ 属性设置完毕,单击“确定”按钮保存设置并关闭属性对话框。
8
3.4 组和组织单位管理
在Windows 2000网络较为高级的管理中,会使用组单位,它试图正在取 代WORKGROUP的概念。本节主要介绍组和组单位的创建与管理。
◆3.4.1 组和组织单位概述
了解几个概念:
组:是Windows 2000从Windows NT系统继承下来的安全管理形式,
是指活动目录或本地计算机对象,包含用户、联系人、计算机和其他组 等。使用组,主要是为了方便管理访问目的和权限相同的一系列用户和 计算机账户。
单击该超链接观看演示3.4.2(1)
11
二、创建新组织单位: 创建新组织单位:
⑴ 在“Active Directory用户和计算机”窗口的控制台目录树中,展 开域节点。右击域节点或者可添加组织单位的文件夹节点,选择“新建 ”/“组织单位”命令,打开 “新建对象-组织单位”对话框。 ⑵ 在“名称”文本框中输入新创建组织单位的名称。 ⑶ 单击“确定”按钮即完成组织单位的创建。
3.1 活动目录服务
网络管理项目教程(Windows Server 2022)(微课版)2.2 活动目录的基本概念
Active Directory证Active Directory域 Active Directory Active Directory轻Active Directory权
书服务 (AD CS)
服务 (AD DS)
组织单元(Organization Unit,OU) 将域再进一步划分成多个组织单元以便于管理。
域树(Tree) 可将多个域组合成为一个域树。
域林(Forest) 一个域林或多个域树的集合。
联合身份验证服务 型目录服务(AD限管理服务目录服务能提供的功能
服务器及客户端计算机管理 用户服务管理 资源管理 基础网络服务支撑 策略配置
典型的AD结构图
对象 Active Directory以对象为基本单位,采用 层次结构来组织管理对象。
域(Domain) 域是Active Directory的基本单位和核心单元, 是Active Directory的分区单位。
活动目录里几个重要的概念
活动目录里几个重要的概念目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。
使用LDAP(端口389)轻量级目录访问协议工作,在域环境下所有用户及计算机等帐户信息均保存在一个数据库中,这个数据库位置%systemroot%\ntds\ntds.dit。
AD(活动目录)的逻辑结构包含如下组件:域/子域/树/森林/OU等。
主要侧重于对网络资源的组织。
AD的物理结构包含如下组件:DC(域控制器)/site(站点)/OM(操作主机)。
主要侧重于对网络资源的配置和优化。
下面介绍有关几个重要的概念:1.DN:(可辨别名称)--用来表示一个对象在AD中具体存储位置,类似于文件的绝对路径。
如:cn=user1,ou=sails, dc=blog,dc=com 该用户存在域的sails OU 下,用户名为user1.cn=users (默认的容器users也以cn表示)dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。
2.UPN(用户主名)用户名@域名,即用户登录时可以采用,如jack@,也可以更改此后缀。
修改:domain.msc后,在根右击--属性--更改UPN后缀,然后在用户属性-帐号中选择其后缀。
用户登录可以使用此UPN.但必须在用户属性里进行相应的更改(即启用此Upn后缀)3.SID (安全标识符)用户/组都有唯一whoami /user 当前用户的SIDwhoami /all 当前用户的详细信息(包含所属组的SID)getsid \\dc1 test \\dc1 test (安装suptools)psgetsid \\dc1 test 下载工具包。
4.AD数据库的目录分区:(AD数据库虽然是一个文件,但却是以目录分区的形式组成的)schema 架构分区 ---森林的对象类和属性,在森林级别复制。
configuration 配置分区--所有DC的位置、site,在森林级别复制。
活动目录(Active Directory)概念和编程使用
普通目录及其面临的困难谈到计算机目录及其相关技术,总能让我们想到无时不在使用的文件系统目录、灵巧实用的专用工具集目录、海量存储的网络资源目录等等。
是的,这是一个异常熟悉的领域:在文件系统目录里,我们存储文件及其大小、创建日期、类型等信息;在诸如记事本类的专用工具集目录里,我们存放日程安排、联系方式、人员地点等信息;在网络资源目录里,我们以分层架构存放网络上所有对象的相关资料,这些对象包罗了网络里使用的各种资源:共享目录、共享打印机、应用程序、服务、服务器、用户帐号、组、域…可以这样说,从使用计算机的那一刻起,我们就从未离开过目录!曾经,这样的目录让我们随心所欲地处理我们的资源!然而,正是这样的目录,在Internet下却面临许多麻烦:种类繁多、数量日增的目录让我们很难准确定位想要的资源;系统目录、应用程序特定目录、网络资源目录中到底谁存储了我们需要的信息?如何能用一致的方式登录这些不同的资源?怎样能轻松地维护不同系统上的远程资源?能否通过可视化的程序界面在这些资源间交互?初识Active Directory活动目录要解决这些问题,你可以使用Micrsoft提供的活动目录Active Directory 对象,它提供一种构造复杂计算机网络的简单方法,用来存储公共文件夹、对象信息、打印机、服务等数据;Active Directory的适用范围很大,它可以用在小自一台计算机,一个计算机网络,大至数个广域网络(WAN)的结合。
它可以包含这个范围中所有的对象:文件、打印机、应用程序、服务器、域,以及用户等等。
与普通意义上的目录不同的是,Active Directory 活动目录以分层树状结构排列成节点树,每个节点表示网络上的一个资源或服务,并且包含一组可检索和操作的属性。
Active Directory 是提供复杂网络统一视图的Windows目录服务,它减少了开发人员必须处理的目录和命名空间的数量。
Directory Service目录服务同时,专门针对Active Directory活动目录的Directory Services目录服务则让目录中的信息可用,Directory Service(目录服务)是让用户很容易地在目录内寻找到所需要的对象的一种服务。
活动目录知识点
活动目录知识点1. 什么是活动目录?活动目录是一个组织或公司中的一种重要工具,用于记录和管理各种活动的信息。
它通常包括活动的名称、日期、地点、参与者和其他相关细节。
活动目录可以帮助团队成员更好地理解和组织活动,并确保活动的顺利进行。
2. 为什么需要活动目录?活动目录是一个重要的管理工具,有多个原因需要使用它: - 管理活动信息:活动目录可以集中记录和管理所有活动的信息,这样可以方便团队成员查找和了解活动的细节。
- 提高沟通效率:通过活动目录,团队成员可以快速了解活动的时间、地点和参与者,从而提高沟通效率。
- 管理资源:活动目录可以帮助团队成员更好地分配资源,例如场地、设备和人员,以确保活动的成功举办。
- 保持组织一致性:通过活动目录,团队成员可以共享和了解组织内部的所有活动,从而保持组织的一致性和协调性。
3. 活动目录的组成部分活动目录通常包括以下组成部分: - 活动名称:活动的名称是活动目录的核心信息,它能够快速传达活动的主题和目的。
- 活动日期和时间:活动目录应包括活动的具体日期和时间,以便团队成员能够合理安排自己的时间。
- 活动地点:活动目录还应该包括活动的具体地点,以便团队成员能够及时到达。
- 参与者:活动目录还应该记录活动的参与者,例如主持人、讲师、嘉宾和观众等,以便组织者能够及时与他们联系。
- 其他细节:活动目录还可以包括其他细节,如活动的主题、议程、费用、注册方式等。
4. 如何创建一个有效的活动目录?创建一个有效的活动目录需要以下几个步骤: 1. 确定活动的目标和主题:首先,你需要明确活动的目标和主题,这样才能更好地记录和管理活动。
2. 收集活动信息:收集关于活动的所有必要信息,包括活动的时间、地点、参与者和其他细节。
3. 选择合适的工具:选择一个适合你的团队的工具来创建和管理活动目录,例如电子表格、项目管理工具或在线日历等。
4. 建立活动目录模板:根据你的需求,建立一个活动目录模板,包括必要的字段和信息,以便于后续活动的记录和管理。
活动目录的概念
活动目录的概念域域提供了多项优点:§组织对象。
§发布有关域对象的资源和信息。
§将组策略对象应用到域可加强资源和安全性管理。
§委派授权使用户不再需要大量的具有广泛管理权利的管理员。
要创建域,用户必须将一个或更多的运行 Windows 2000 Server的计算机升级为域控制器。
域控制器为网络用户和计算机提供Active Directory 目录服务、存储目录数据并管理用户和域之间的交互作用,包括用户登录过程、验证和目录搜索。
每个域至少必须包含一个域控制器。
域树和域林活动目录中的每个域利用 DNS 域名加以标识,并且需要一个或多个域控制器。
如果用户的网络需要一个以上的域,则用户可以创建多个域。
共享相同的公用架构和全局目录的一个或多个域称为域林。
如图 6.1 中所示,如果树林中的多个域有连续的DNS 域名,则该结构称为域树。
如图6.2所示如果相关域树共享相同的 Active Directory 架构以及目录配置和复制信息,但不共享连续的 DNS 名称空间,则称之为域林。
域树和域林的组合为用户提供了灵活的域命名选项。
连续和非连续的 DNS 名称空间都可加入到用户的目录中。
6.1.2. 域和帐户命名Active Directory 域名通常是该域的完整 DNS 名称。
但是,为确保向下兼容,每个域还有一个 Windows 2000 以前版本的名称,以便在运行 Windows 2000 以前版本的操作系统的计算机上使用。
用户帐户在 Active Directory 中,每个用户帐户都有一个用户登录名、一个 Windows 2000 以前版本的用户登录名(安全帐户管理器的帐户名)和一个用户主要名称后缀。
在创建用户帐户时,管理员输入其登录名并选择用户主要名称。
Active Directory 建议 Windows 2000 以前版本的用户登录名使用此用户登录名的前 20 个字节。
活动目录基本概念解析
网络环境
AD概念理解
工作组~原始社会:各服务器(人)各自为政 域~国家:一定范围内实现集中管理,中央集权 AD森林~联合国:实现多个基本管理范围(国家,
域)的联合管理。减少这些基本范围内的重复管理 工作。方便之间资源调用。
AD概念理解
➢ 定义联合国
1. 谁能加入联合国 2. 共同遵守的设定和规则 3. 不干涉别国内政
活动目录的相关术语
5 、域树: 要架设一个内含多个域的网络,则可以将网
络设置成“域树”的架构,即这些域是以树状形 式存在。
域树由多个域组成,这些域共享同一个结构 和配置,形成一个连续的名字空间。域树中的域 通过双向可传递信任关系连接在一起。
域目录树的概念
如果多个域环境使用了连续的命名空间(类似我 们平时说的都姓一个姓氏),称这样的多域结构 为活动目录树。
轻型目录访问协议(LDAP)
可分辨名称(Distinguished Name,DN),对象在 AD中的完整路径:
CN=user1, OU=Market1, OU=Market, DC=abc,DC= com
DC=abc,DC= com
OU=Market OU=Market1
CN=user 1
DC:域组件 OU:组织单元 CN:普通名字
特点: 1、域环境定义了安全边界:安全边界的作用保证了域环
境的管理者只能在自己的域环境内部行使管理员的权利。
2、域环境也是活动目录服务数据库的复制单元:域内
可以存在多台域控制器,所有的域控制器都能够执行对活 动目录的查询等工作,同时把活动目录数据库的变化复制 给其他的域控制器。
安全边界
复制 管理 安全策略 组策略
灵活的活动目录查询能力:
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
域和活动目录win2003支持的网络结构1、工作组结构图的网络(对等式网络)网络上没有专门的服务器,没有集中的数据库所有的资源分散在不同的网络上的计算机都由本机的本地用户安全数据库审核。
2、域结构的网络域是管理员定义的一组对象的集合(计算机、用户和组),域是一个安全边界,是由网络上的计算机组成,域中的资源存放在集中数据库内,便于用户的查找和使用,便于管理员的管理。
●域中计算机的角色域控制器在win2000域内,只有win2000 server 才可做域控制器;win2003内只有WEB版不可以做DC;DC内存储了该域的AD数据库,它负责审核域用户的登录、域中资源的管理等;域内可以有多台域控制器,它们的地位是平等的;多台DC之间按照一定的频率相互复制数据库保持同步(即保持地位平等);NT域内也有多台域控制器,但只能有一台PDC管理域,其余为BDC注:额外域控制器的辅助功能:)容错功能;)相互减轻负担;)提高用户的访问效率。
成员服务器1)具有服务器版本的操作系统;2)属于某个域中;3)没有存储AD数据库的称为成员服务器。
注:服务器级的操作系统:windows NT服务器操作系统win2000server以上版本win2003所有版本其它成员)本身加入某个域中)是非服务器版本的操作系统例如:win2000 pro、win99、winNT workstation 等注:独立服务器1)本身是服务器版本操作系统;2)不属于任何域的计算机。
活动目录地相关概念(一)活动目录是微软目录服务的一种机制,它是用来存储网络上的用户账户、计算机、打印机等资源信息,方便用户的查找和使用。
活动目录指的是用户在使用资源时不需要了解该资源存放在哪台计算机上和哪台计算机上有哪些资源!、名称空间所谓的名称空间,实际是划分好的区域,在该区域可以通过名称查找到与该名称相关的信息。
win2000/2003的AD与DNS紧密地整合在一起,其名称空间采用的是DNS架构,其域名也采用DNS格式,如:,等!、对象及其属性Win2003 的AD数据库将所有资源都当作对象来处理,如用户、计算机、打印机等都是对象,属性是用于描述对象信息提,如用户对象的电话号码,电子邮件等。
、OU|组织单元OU是一种比较特殊的容器,类似于文件夹,用于存放对象和其他OU,还具有“组策略”的功能。
、域域是管理员定义的一组对象的集合(计算机、用户和组),域是一个安全边界,是由网络上的计算机组成,域中的资源存放在集中数据库内,便于用户的查找和使用,便于管理员的管理。
、域树是多个域按照一定的层次排列,构成倒置的树状结构,且共享一个连续的名称空间。
其中最上层的是这棵域树的根域,下一层称为它的子域。
域树内的所有域共享一个AD,此AD内的数据分散地存储在各个域内,且每一个域内只存储该域内的数据。
、信任关系两个域之间必须建立了“信任关系”之后,才可以访问对方的资源。
)单向信任:如果A域的用户可以访问B域的资源,但B域的用户不可以访问A域的资源,称为单向信任;)双向信任:如果A域的用户可以访问B域的资源,B域的用户也可以访问A域的资源,称双向信任;)可传递信任:如果A域信任B域,B域信任C域,则A域也信任C域,则称此信任具有可传递性。
而因传递得到的信任关系称为隐性的信任关系。
注:win2003的域树上,父域和子域之间具备双向的、可传递的信任关系。
实际上,同一棵域树上的任意两个域之间都是双向的信任关系。
这个信任的功能是通过Kerberos安全协议来实现的,因此也被称为Kerberos信任。
、域林由一个域树或多个域树组成,它们各自有着独立的名称空间。
第一个域树的根域就是整个树林的根域,同时其名称也是这个树林的名称。
注:Win2003的域树林中,同一个树林内的域树的根域之间具有双向的、可传递的信任关系。
实际上,同一个域林上的任意两个域之间都是双向的信任关系。
实践:1、创建一个新域的域控制器创建一个新域DC时应注意的几个问题;1)选定要创建域的计算机,管理员身份登录;2)设置静态IP地址;3)设置DNS服务器;4)至少要有一个NTFS分区;5)适当的空间大小,至少300M;6)取一个符合DNS结构的域名。
步骤:1)开始——运行——输入dcpromo,启动AD安装向导;1)在“域控制器类型”窗口中,选择“新域的域控制器”;2)在“创建一个新域”窗口中,选择“新林中的域”;3)在新的域名页面中,输入域的完整合法域名;4)在“NETBIOS”域名窗口中确认Netbios;5)在“数据库和日志文件文件夹”窗口,接受数据库和日志文件夹的默认位置,或者单击“浏览”选择另一个位置;6)在“共享的系统卷”窗口中,接受Sysvol文件夹的位置,或者单击“浏览”选择另外一个位置;7)在“DNS注册诊断”窗口,确认是否一个现有的DNS服务器负责该林,或者如果不存在DNS服务器,选择在这台计算机上安装并配置DNS服务器;9)在“权限”窗口中,选择一个权限选项(取决于将要访问该域控制器的客户端的windows 版本);9)检查“总结”窗口,如果需要修改某些地方,单击“上一步”重新配置。
如果一切正常,单击“下一步”开始安装。
所有文件复制到硬盘驱动器之中,重新启动计算机。
、创建额外DC、成员服务器、成员、子域、加入域树林的准备工作) PING DC、DNS的IP地址;) PING 域名能通,可以进一步操作;不能通,则按以下步骤操作:C:>net stop netlogonC:>net start netlogonC.释放缓存:C:>ipconfig /flushdns显示缓存:C:>ipconfig /displaydns3、创建额外DC、成员服务器、成员、子域、加入域树林活动目录地相关概念(二)7.架构AD内的对象和属性是定义在架构内的,架构定义了对于某种对象,用那些属性来描述它及这些属性对应的数据类型,取值范围等信息。
一个林内的所有域外树使用相同的架构,且Schema Admins组的用户与应用程序可以在架构内新增对象类或属性。
8.DC与AD复制AD存储在DC内,当一台DC内的AD数据发生变动后,这些变动的数据会被自动复制到其他DC内。
AD数据复制有以下两种模式:多主机复制:在这种模式中可以直接更新任何一台DC内的AD对象,更新后该对象会被复制到其它DC中。
AD的大部分数据都使用多主机复制模式。
单主机复制:在这种模式中,由其中一台DC(称为“操作主机”)负责处理和接收对象的变更,再由它复制到其他所有的主机中。
9、全局编录“全局编录”由DC来实现,该DC不但存储了自身所有对象的详细信息,而且存储了所在域林中其他所有域的所有对象的部分主要信息。
默认情况下为域林的第一台域控制器,也可以另外指定其他DC作为“全局编录”。
10、轻型目录访问协议(LDAP)是一种用来查询和更新AD目录服务通信协议。
Win2003域利用“LDAP命名路径”来表示对象在AD内的位置,以便访问AD内的对象。
LDAP名称路径包含以下内容:1)可分辨名称(DN):它是对象在AD内的完整路径。
如:CN=bigshi,OU=清网组,OU=南区,DC=2) 相对可分辨名称(RDN):在DN的完整路径中,用来代表某个对象的部分路径。
如CN=bigshi3)全局惟一标识符(GUID):是一个128bit的数值,对于任何一个对象,系统在建立时都会指定一个惟一的GUID给这个对象。
对象名称可以改变,但其GUID永远不会改变;4)用户规则名(UPN):它的格式类似于电子邮件账户。
如:bigshi@.11.站点:是由一个或多个IP子网组成的。
一般若子网之间是通过高速且可靠的链路串接起来,网络之间速度足够快且足够稳定,则可将这些子网放在同一站点。
反之,应将这些子网规划为不同站点。
注:站点和域之间没有必然的联系。
域是网络的逻辑分组,而站点是网络的物理分组。
一个站点可以包含多个域,一个域也可以包含多个站点。
站点和AD复制关系紧密,它通常用于规划AD复制的拓扑:1、站内复制:同一站点内的DC的复制是采用“改变通知”的方式,也即当某台DC的AD内有数据变动时,默认它会在15秒后通知同一站点内的其他DC,后者若需要,则会请求复制。
注: 1)站内复制数据不会被压缩;2)站内复制会自动产生复制拓扑;3)默认情况下同一树林内的所有DC均属同一站点,该站点在安装域林中第一台DC时被自动创建。
2、站间复制:默认情况下不同站点内的DC之间不进行AD复制,但可手工设置。
该复制采用“排定计划”的方式,即在排定的时间内才会进行复制的工作。
注:1)站间复制的数据不被压缩;2)站间复制通过桥头服务器来实现;3)站间复制要事先建立站点链接。
域功能与林功能●域功能级别域功能只会影响到域,会影响到其他的域。
分为以下3种级别:1、Windows 2000混合模式这个级别内的DC可以是win2003、win2000 server与WinNTserver. 默认为混合模式;2、Windows 2000原始模式这个级别内的DC可以是Win2003与Win2000;3、Windows server 2003这个级别内的DC只能是win2003●林功能级别林功能会影响到该林内所有域。
分为3个级别:1、Windows 2000 这个级别内的DC可以是win2003、win2000 serv与WinNT server. 默认为该模式;2、Windows server2003过渡版这个级别内的DC可以是win2003和winNT server,但不可是win2000 server.3、Windows server 2003 这个级别内的DC只能是win2003.AD数据库被逻辑地分为多个目录分区,它们分别是:1、架构目录分区它存储着整个林中所有对象与属性的定义数据,也存储着如何建立这些对象与属性的规则。
整个林共享一份相同的架构分区,它会被复制到整个林中的所有DC;2、配置目录分区其内存储着整个AD的结构,如有哪些域、站点、DC等数据。
整个林共享一份相同的配置分区,它会被复制到整个林中的所有DC中;3、域目录分区每一个域各有一个域目录分区,其中存储着该域内的对象,如用户、组、计算机等对象。
每一个域各自拥有一份域目录分区,它只会被复制到同一个域内的所有DC中,并不会被复制到其他域的DC 中;4、应用程序目录分区一般,该目录分区是由应用程序建立的,其内存储着与此应用程序有关的数据。
如:DNS服务器会在AD中建立应用程序分区。
操作主机AD内的大部分数据都是利用“多主机复制模式”,但也有少部分数据是采用“单主机操作模式”来复制。
此时,就需借助操作主机。
AD内共定义了五个操作主机角色:1. 架构主机2. 域命名主机3. RID主机4. PDC主机5. 基础结构主机注:1)整个林中只有一台“架构主机”与“域命名主机”,默认由林根域内的第一台DC扮演;2)每一个域拥有自己的“RID主机”、“PDC主机”、“基础结构主机”。