第10章 活动目录域、树和树林

NTDS Settings Properties
General Object Security
NTDS Settings
启用或者禁用 全局编录GC
全局编录
10-3活动目录的物理结构（Physical Structure）
– 与逻辑结构相互独立，之间没有必然的联系 – 一般用来配置管理网络交流 – DC和站点组成活动目录的物理结构
组织单元OU（Organizational Units）
网络管理模式 组织结构
Sales Users
Vancouver Sales
Computers
Repair
• 利用OU可以把对象组织到一个逻辑结构中，使 其最好地适应你的组织需求 • 可以把管理控制权委派给OU内的对象，通过指 定权限到一个或几个用户和组
建立一个GC服务器
AD Sites and Services Console Window Help
Active View
Tree Name Type New Active Directory Connection Active Directory Sites and Services Sites New Default-First-Site-Name All Tasks Servers ATLANTA LONDON Inter-Site Transports Subnets New Window from Here Delete Refresh 属性 Help Description: Domain Controller Query Policy: Default Query Policy Description
•域
•域
•目录树 •OU
•OU
•域 •域
•目录林
•域
•OU
•目录树
•域 •Domain
域
安全边界 – 域管理员只能在域内进行管理，除非明确得到 其它域的授权 复制单元 – 域控制器DC在域内参加复制，并且包含它的 域目录信息的完整副本
复制 Windows 2003 域
安全边界
复制 管理 安全策略 组策略
• DNS的节点 • AD的对象 • 并相对应
• 活动目录和Internet
– 如DNS的.com服务器中包含microsoft.com – 使别的域利用Internet来查找microsoft.com – 反之，你也可通过microsoft.com—.com来查找 Internet上的域名服务器的资源记录
DNS主机名称和Windows 2003计算机名称
DNS
―.‖
com. microsoft sales training computer1

DNS的主机记录和AD计算机对象对应 同一物理计算机

DNS允许计算机查找AD中的DC
活动目录
training.microsoft.com Builtin Computers Computer1
活动目录架构（Schema）
对象类 例如： • • • • 活动目录架构 动态获得 动态更新 通过DACLs保护对象和属性 属性 例如：
用户属性 可能包括：
accountExpires department distinguishedName middleName
计算机
属性列表
accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName …
单向不可传递信任关系
域 Windows NT 4.0
什么是目录树
目录树根 域
父域
父域
contoso.msft
子域
子域
sales.contoso.msft 连续的名字空间，
（域后缀延续 ）
sales.contoso.msft
新域
什么是目录林?
一个目录林是一个或多个目录树 在目录林中的目录树不共同一个连 续的名字空间
DNS域名空间 Internet
―.‖
com.
（DNS根域）
AD域名空间
microsoft
training
microsoft.com
sales
training. microsoft.com
computer1
= DNS节点(域/计算机)
sales. microsoft.com = AD域
• 要点：
– 使域和计算机成为

目录林
contoso.msft
目录树
nwtraders.msft
目录树
sales. 在目录林中的所有域共用 contoso.msft
marketing. nwtraders.msft
sales. nwtraders.msft
一个公共配置、架构 Schema、全局目录GC
什么是目录林根域?
目录林根域是在林中第
• 服务资源记录（SRV记录）
– 2003计算机通过DNS的SRV记录来查找DC
• 本域、特定域、树状结构中的域 • 还可查找全局目录GC、Kerberos KDC服务器 的域控制器
– 将服务和DNS计算机名称一一对应
• 服务记录和资源记录
SRV 记录格式
字段
Service
描述
指定服务名，如LDAP或kerberos 指出传输协议的形式，如TCP或UDP 指定资源记录中提到的域名 指定标准DNS资源记录的连线时间值（秒） 指定标准DNS资源记录的类值，在Internet里，总为IN 指定主机的优先权，客户尝试与最低优先权的主机相连 指定负担调节机理，随机选择较高负担的服务记录 显示该主机的服务端口 指定支持提供该服务的主机的全称域名（FQDN）
_Service._Protocol.DcType._msdcs.DNS域名
怎样使用DNS来查找域控制器
1
2
用户登录，或AD搜索
网络登录收集客户机信息
3
发送带有客户信息的DNS查询 DNS查询合适的SRV记录 返回IP地址列表
4 5
SRV 记录
区域数据库
6Leabharlann Baidu
客户
客户机联系域控制器 域控制器响应
DNS 服务器
组织结构

通过组织OU，可建立一个层次结构
ou
ou
ou
ou
ou
ou
ou
ou
深层次/浅层次的结构
ou
ou
目录树和目录林
双向可传递信任关系
contoso.com
目录林
目录树
nwtraders.com
china. contoso.com
japan. contoso.com
Tree
china. nwtraders.com japan. nwtraders.com
• 定义复制和登录发生的时间和地点
• 域控制器DC
– 存储AD的副本，管理信息的变化和复制 – 一至多个，建议最少两个容错
10-4概述
• DNS和AD集成—2003关键特性
– 使用相同的分层命名结构 – 域、计算机成为AD的对象/DNS资源记录 – 客户机可通过查询DNS找到DC（或其它对 象） – 使DNS主区域结构存储于AD，并随AD复制
MCSE:Windows2003
周建波
Email:zjb58@163.com
10
Windows 2003中的 活动目录介绍
10-1活动目录介绍
• 活动目录存储整个网络上资源的信 息
– 便于用户查找、管理和使用这些资源
– 小型网络：UNC(通一命名标准）路 径 – 大型网络：难以确定资源位置、名称 – 所以需要目录服务快速定位资源
Protocol
Name Ttl
Class
Priority Weight
Port
Target
_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft.
由域控制器配置的服务记录
SRV记录
ldap._tcp.DNS域名. _ldap._tcp.站点名._sites.dc. _msdcs.DNS域名.
一个建立的域
目录林
目录树根域
目录林根域 全局目录
配置和架构
nwtraders.msft
目录树
企业Enterprise Admins contoso.msft sales.contoso.msft Schema Admins
目录树
marketing.nwtraders.msft
全局目录服务器（GC服务器）
对象 属性 打印机名 打印机位置 Users Don Hall Suzan Fine 活动目录 Printers Printer1 Printer2 Printer3 属性 名 姓 登录名 属性值
打印机
用户
• 对象：网络资源
• 属性：关于对象的信息
目录服务使用用户可以通过查找对象的一个或多 个具体属性来确定对象的位置
• 指DNS的AD集成区域
10-5活动目录中的DNS角色介绍
• 名字解析（正向，反向）
– DNS将计算机名称转化为IP地址 – 计算机使用DNS在网络中互相查找
• Windows 2003域的命名协定
– 2003AD使用DNS的域名命名标准 – DNS域和AD域共享一公共的分层命名结构
• 如microsoft.com
• 对用户透明、高效 • 不需要知道资源的物理位置，如何连接
10-1.1什么是活动目录?
目录服务：存储网络资源的信息，使信息可有效利用
实质为后台服务，表现为管理、用户工具目录服务
目录服务的功能

集中管理

组织 管理
资源
单点管理 用户只需登录一次，就可访 问整个活动目录的资源

控制
活动目录对象
对象属性
Domain
Domain
Domain
Domain
全局目录
查询 利用通用组成员身 份的信息登录网络
GC服务器 Domain Domain
GC和登录过程
GC服务器
•User登录
•域
•域
•域
•域
•域
•GC提供 • 为用户帐号提供通用 组权利信息 • 当用户登录用一个用 户主要名称UPN（如： www@gpmsce.com）时， 提供域信息
用户
打印机
轻型目录访问协议（LDAP）
• 为活动目录中的对象标识LDAP命名路径 • 标识名DN（完整路径）
– 如：CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft
• 相对标识名RDN
– 如： CN=Suzan Fine • DC 域组件 • OU 组织单元 • CN 普通名字
10-2活动目录的逻辑结构(logic
Structure)
• 具有伸缩性，包括下列组件：
– 域Domain：核心单元 – 组织单元OU – 域目录树与目录树Tree\Forest – 全局目录GC
逻辑结构:组织网络资源
• 活动目录使你能够通过名字（属性）找到资源，而 不是物理位置,这样使网络的物理结构对用户透明 域Domains 组织单元OU 树Tree和林Forest
_gc._tcp.DnsForestName.
_gc._tcp.站点名._sites. Dns林名. _kerberos._tcp. DNS域名. _kerberos._tcp.站点名. _sites.DNS域名.

运行Windows 2003的域控制器额外注册SRV记录 _msdcs 子 域，格式如下:
7
8
客户发送请求到域 控制器 运行在DC上的 LDAP服务器
10-8活动目录的集成区域
在活动目录中存储主要区域 DNS区域复制随AD复制进行
AD集成区域
区域 数据库 DNS服务器 活动目录
查找标准
允许计算机在该域中查找LDAP服务器，所有 DC配置这个记录 允许计算机查找该域控制器和该站点，所有 DC配置这个记录 允许计算机DNS域名查找该林全局目录服务 器，仅GC且为2003DC配置这个记录 允许计算机查找该林该站点的的全局目录服 务器，仅GC且为2003DC配置这个记录 允许计算机在该域中查找KDC服务器，所有 K5DC配置这个记录 允许计算机查找该域该站点的KDC服务器， 所有K5DC配置这个记录
• 查找活动目录的物理成分
– DNS通过提供的服务来验证域服务器 – 计算机使用DNS来查找DC和GC
10-6 DNS和活动目录
• DNS域和AD域使用相同的
– 分层命名结构和域名 – 但实际上域名空间是不同的
• 好处：
– 使2003网络计算机能够利用DNS
• 查找提供AD相关服务的DC和计算机
DNS和活动目录的域名空间
Computer2
FQDN = computer1.training.microsoft.com Windows 2003 计算机名 = Computer1
• DNS主机名与AD中计算机帐号是相同的
– 计算机名可认为是特殊的域名
• FQDN：完全有效域名
– 计算机的全称域名 – 计算机的全名
10-7活动目录中DNS名字解析