第10章 活动目录域、树和树林

活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。

NT的"域（domain）"的概念是⽬录服务的⼀个基本单元。

"⼀次登录，Single Logon"在Windows NTServer 的环境下有了具体的应⽤，⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来，⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。

Windows 2000 Server在Windows NT Server 4.0的基础上，进⼀步发展了"活动⽬录（Active Directory）"。

活动⽬录充分体现了微软产品的"ICE"，即集成性（Integration），深⼊性(Comprehensive)，和易⽤性(Ease of Use)等优点。

活动⽬录是⼀个完全可扩展，可伸缩的⽬录服务，既能满⾜商业ISP的需要，⼜能满⾜企业内部⽹和外联⽹的需要。

活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。

它采⽤的是Exchange Server的数据存储，称为：Extens ible Storage Service （ESS）。

其特点是不需要事先定义数据库的参数，可以做到动态地增长，性能⾮常优良。

这个数据存储之上已建⽴索引的，可以⽅便快速地搜索和定位。

活动⽬录的分区是"域（Domain）"，⼀个域可以存储上百万的对象。

域之间还有层次关系，可以建⽴域树和域森林，⽆限地扩展。

在数据存储之上，微软建⽴了⼀个对象模型，以构成活动⽬录。

这⼀对象模型对LDAP有纯粹的⽀持，还可以管理和修改Schema。

Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义，其本⾝也是活动⽬录的内容之⼀，在整个域森林中是唯⼀的。

CEAC培训认证体系------CEAC-2201典型企业网络设计教学大纲一、学习时间：本课程建议教学时数为24学时，二、课程介绍一个没有设计的企业网络会造成大量的资源浪费，管理起来很复杂，使用很不方便，从而降低系统的可靠性。

这些都是设计缺陷带来的后果。

一个良好的网络满足企业的需求，表达企业的管理结构，并且体现简洁易于扩展易于实现的原则。

要达到这样的目标，必须经过周密的规划和设计。

在这门课程学习完之后，你可以获得：分析企业需求的能力设计典型企业的网络管理结构的能力实现典型企业的网络建设和管理的能力本门课程以案例为主。

我们提出了几个具有典型意义的企业的案例，在针对这个案例的设计中，学员除了学习到相应的知识和技术外，同时也充分了解了设计中的实际因素（包括费用，物理位置等等），更重要的是学员掌握了设计的基本原则。

在整个课程中，学员在教师的指导下，通过对典型企业的需求进行分析，从而能独立设计出相应的解决方案，并且完成方案的实施。

在这样一个完整的过程中，通过反复讨论、设计、实现、讲评，学员能够掌握构建一个企业网的方法。

三、课程性质、地位和任务CEAC国家信息化计算机教育认证项目是在信息产业部的领导下，由中国电子商务协会、CEAC国家信息化培训认证管理办公室统一组织实施。

CEAC培训认证体系按照企事业单位的实际需求，以决策层、管理层和实施层分类设置课程。

教学内容以最新技术为基础，覆盖了各主流厂商软件，教学模式以案例教学与实践训练相结合。

CEAC项目的目的是帮助企业和政府培养具有分析能力、设计能力、实现能力和解决问题能力的实用型信息化人才。

CEAC-2201典型企业网络设计，根据网络管理员的实际需求，培训内容包括：活动目录的安装、配置与管理，管理活动目录域名系统，管理活动目录和域名系统的复制，组策略的实现与管理，远程安装服务的安装与配置，活动目录的安全解决方案等。

通过本课程的学习，用户应能够高效地搭建一个适合自己需要的网络，简化网络管理。

《应用系统集成与管理》指导活动目录的域、域树、森林的实现与管理【实训目的】1.理解Active Directory、域、域树、森林等概念；2.掌握创建域的方法；3.熟悉创建域树和森林的方法；4.了解如何解决在创建域、树、森林过程中出现的问题的方法。

【参考资料】1．戴有炜. Windows Server 2003用户管理指南, 清华大学出版社, 20042．戴有炜. Windows Server 2003 Active Directory配置指南, 清华大学出版社, 2004【实训内容】1.建立Windows Server 2003域建立域的方法是先安装一台独立服务器或成员服务器，然后在将其升级为域控制器。

可以利用两种方法来建立整个网络中的第一台域控制器：1)利用Active Directory安装向导；2)标准安装。

在建立域之前，要先完成以下准备工作：●DNS域名；●DNS服务器。

可以采用两种方式来架设DNS服务器，1)在独立服务器或成员服务器升级为域控制器时，系统会自动在这台服务器上安装Microsoft DNS服务器；2)使用现有的DNS服务器，或是另外安装一台DNS服务器，然后在这台DNS服务器内建立一个用来支持Active Directory域的区域。

●足够的硬盘空间；●一个NTFS硬盘分区。

2.确认Active Directory是否正常Active Directory安装完成之后，应检查DNS的SRV记录、SYSVOL文件夹、Active Directory数据库文件等数据是否已经正常建立等。

3.建立域树和森林具有树状结构的多个域构成域树，域树中最上层是根域，其下有子域，子域下还可以有子域的子域。

要建立子域，必须先安装一台独立服务器，或利用一台隶属于其他域的现有成员服务器，然后将这台服务器升级为子域的域控制器。

建立子域时要首先为子域的域控制器指定DNS服务器的IP地址。

把一个域树添加到另一个域树中就形成最初的森林。

域与活动目录单元十二域与活动目录本单元要点：域、域树和域林活动目录安装域控制器活动目录的管理域、域树和域林工作组就是将不同的电脑按功能分别列入不同的组中，以方便管理。

工作组名并没有太多的实际意义，只是在“网上邻居”的列表中实现一个分组而已。

“工作组”就像一个自加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网上计算机共享资源的浏览。

在主从式网络中，资源集中存放在一台或者几台服务器上，如果仅仅只有一台服务器，问题就很简单，在服务器上为每一位员工建立一个账户即可，用户只需登录该服务器就可以使用服务器中的资源。

然而如果资源分布在多台服务器上呢？如图所示12-1所示，要在每台服务器分别为每一员工建立一个账户，用户需要在每台服务器上登录，感觉又回到了对等网的模式。

图12-1 域是一个安全的边界，也可以理解为服务器控制网络上的计算机能否加入的计算机组合。

在使用了域之后，如图12-2所示，服务器和用户的计算机都在同一域中，用户在域中只要拥有一个账户，用账户登录后即取得一个身份，有了该身份便可以在域中漫游，访问域中任一台服务器上的资源。

图12-2 在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器”，它包含了这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

随着网络的不断发展，有的企业的网络大的惊人，当网络有十万个用户甚至更多时，域控制器存放的用户数据量很大，更为关键的是如果用户频繁登录，域控制器可能因此不堪重负。

在实际的应用中，我们在网络中划分多个域，每个域的规模控制在一定的范围内，同时也是出于管理上的要求，将大的网络划分成小的网络，每个小的网络管理员管理自己所属的账户，如图12-3所示。

图12-3 为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A的用户想要访问B域中的资源，让域B信任域A就行了。

域和林信任关系的设计考虑（一）信任关系基础在大型网络中，通常存在多个域，甚至多个林，在具体配置这些域和林之前，先要了解它们之间的默认和可配置的信任关系，以便恰当地配置各级域，以及各个林之间的信任关系。

这也是域、林之间安全、有效访问的基础。

1．什么是信任信任是域或林之间建立的关系，它可使一个域(或林)中的用户由处在另一个域(或林) 中的域控制器来进行验证。

Windows NT中的信任关系与Windows 2000和Windows Server 2003操作系统中的信任关系不同。

(1)Windows NT中的信任在Windows NT 4．0及其以前版本中，信任仅限于两个域之间，而且信任关系是单向和不可传递的。

如图5—8所示，指向受信任域的直箭头显示了非传递的、单向信任。

(2)Windows Server 2003和Windows 2000 Server操作系统中的信任Windows 2000 Server和Windows Server 2003林中的所有信任都是可传递的、双向信任。

因此，信任关系中的两个域都是受信任的。

如图5—9所示，如果域A信任域B，且域B信任域C，则域C中的用户(授予适当权限时)可以访问域A 中的资源。

只有Domain Admins 组的成员可以管理信任关系。

2．信任类型域和域之间的通信是通过信任发生的。

信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证管道。

使用“Active Directory安装向导"时，将会创建两个默认信任，而使用“新建信任向导"或Netdom命令行工具可创建另外4种类型的信任。

(1)默认信任在默认情况下，当使用“Active Directory安装向导"在域树或林根域中添加新域时，系统会自动创建双向的可传递信任。

表5-3中定义了两种默认信任类型。

表5—3 两种默认信任(2)其他信任在使用“新建信任向导”或Netdom命令行工具时，可创建其他4种类型的信任：外部信任、领域信任、林信任和快捷信任。

1,活动目录存储关于用户,计算机和网络资源并且使网络资源能够被用户和应用程序访问这些资源。

2.活动目录提供规范化的名称,描述,定位,访问,管理方法和保护这些资源信息。

3.与组策略相结合,活动目录可以使管理员使用同样的管理界面在中心位置管理分布式桌面,网络服务和应用程序。

4.任意写出活动目录所提供的四个功能:集中的控制网络资源,实现用户一次登录访问整个网络,集中的委派资源的管理可扩展,优化网络流量。

5.活动目录逻辑结构包括的组件有对象,组织单元,域,域树,林。

6.域树是以层次结构组织在一起的域。

7.活动目录的物理结构组成:域控制器,活动目录结点,活动目录分区。

8.每一个域控制器包含的活动目录分区:目录分区,配置分区,架构分区,可选的应用程序分区。

9.只有架构主控和域命名主控在目录林范围唯一。

10.目录林中的每个域都有自己的PDC仿真器,RID主控,和基础结构主控。

二、判断1.活动目录可以使网络上的用户访问任何资源,而不需要知道资源在什么位置或物理上它是如何连接到网络上的。

(T)2.通过集中的控制活动目录中的服务器,共享文件夹和打印机等网络资源,允许所有用户的访问。

(F)3.域是活动目录中逻辑结构的核心单元。

(T)4.目录林是一个域目录树。

(F)5.物理结构是用来管理和组织资源的。

(F)6.标示名是对象在容器中的唯一标识,在同一个容器中不能有两个相同的名称的对象。

(T)7.一个目录林中只有一个构架,所以同一个林中的所有域对不同对象的定义一致。

(T)8.目录分区存储域控制器所在域的所有对象副本,目录分区只在同一域的域控制器之间复制。

(T)9.可以通过随即访问控制列表保护所有对象类属性(T)10.在目录回复模式下,活动目录AD仍可正常工作。

(F)三、选择题1.通过使用(A)对象,你可以很容易地定位和管理对象。

A组织单元。

B域C域树D林2.(C)的作用就是保证域的管理员只能在该域内有必要的管理权限,除非管理员得到其他域的明确授权。

Windows 2000活动目录详解之结构篇本文章由站长朋友黄振宇原创。

经授权发表。

在上一篇对活动目录有个基本了解之后下面我就来接触一下活动目录实质上的一面——活动目录的结构。

上篇我们讲到活动目录是包括两方面：目录和目录相关的服务。

目录是存储各种对象的一个物理上的容器，与我们平常所说的目录没什么区别，目录管理的基本对象是用户、计算机、文件以及打印机等资源。

而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理，它才是WIN2K活动目录的关键和精髓所在。

目录服务是WIN2K网络*作系统的核心支柱，也是中心管理机构，所以目录服务的引入对整个*作系统带来了革命性的变化，不仅系统平台上的各基础模块，比如网络安全机制、用户管理模块等发生了变化，而且上层应用的运作方式以及开发模式也有了相应的变化。

这样来理解“活动目录”是不是觉得更加容易？同时活动目录是一个分布式的目录服务，因为信息可以分散在多台不同的计算机上，保证各计算机用户快速访问和容错；同时不管用户从何处访问或信息处在何处，对用户都提供统一的视图，使用户觉得更加容易理解和掌握WIN2K系统的使用。

活动目录集成了WIN2K服务器的关键服务，如域名服务(DNS)，消息队列服务（MSMQ），事务服务（MTS）等。

在应用方面活动目录集成了关键应用，如电子邮件、网络管理、ERP等。

要理解活动目录，我们必须从它的逻辑结构和物理结构入手。

一、活动目录的逻辑结构“逻辑”两个字相信大家平时见的比较多，如我们常说的“逻辑思维、逻辑分析”等，也许大家一讲到“逻辑”两个字就觉得十分抽象，难以理解。

其实我们在这里所讲的“逻辑结构”，我觉得还是很好理解的，“逻辑”一般与“物理”是对等的，我们知道“物理上的”是指实实在在的，那么“逻辑上的”不就是指非物理上的，非实体的东西，它是一种抽象的东西，比如讲一种“关系”、一个“空间、范围”等。