活动目录系列之一:基本概念
3.什么是活动目录
简化管理 提高效率 强化安全 应用核心
大纲
IT的挑战 活动目录的概念 活动目录的商业价值
简化IT管理 强化网络安全 提高工作效率
“后AD”时代
IT面临的挑战
用户身份管理
每套应用系统都有独立的用户目录 没有严格的密码策略,很容易被攻破 确保用户安全地访问网络和资源 Helpdesk的成本增加
提高效率
强化IT系统安全
安全策略保护操作系统
安全模版强制实施企业级安全 配置 防止用户随意修改客户端桌面 设置发生故障 使用软件限制策略控制
用户只能使用某些应用程序 用户不能运行的应用程序
自动跟踪安全事件和配置修改
强化IT系统安全
强制用户使用严格的密码策略 密码策略的细粒度管理
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
充分挖掘AD潜能
提高最终用户工作效率
IT基础架构优化(IOI)
即时通信
提高IT工作效率
协作平台
系统运维优化
MIIS身份整合 活动目录 委派管理 桌面控制 组策略应用
简化IT管理 强化网络安全 提高工作效率
© 2003-2004 Microsoft Corporation. All rights reserved.
微软产品
•Product Information •Privileges •Profiles •Policies •Automated deployment
活动目录介绍
活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。
NT的"域(domain)"的概念是⽬录服务的⼀个基本单元。
"⼀次登录,Single Logon"在Windows NTServer 的环境下有了具体的应⽤,⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进⼀步发展了"活动⽬录(Active Directory)"。
活动⽬录充分体现了微软产品的"ICE",即集成性(Integration),深⼊性(Comprehensive),和易⽤性(Ease of Use)等优点。
活动⽬录是⼀个完全可扩展,可伸缩的⽬录服务,既能满⾜商业ISP的需要,⼜能满⾜企业内部⽹和外联⽹的需要。
活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。
它采⽤的是Exchange Server的数据存储,称为:Extens ible Storage Service (ESS)。
其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能⾮常优良。
这个数据存储之上已建⽴索引的,可以⽅便快速地搜索和定位。
活动⽬录的分区是"域(Domain)",⼀个域可以存储上百万的对象。
域之间还有层次关系,可以建⽴域树和域森林,⽆限地扩展。
在数据存储之上,微软建⽴了⼀个对象模型,以构成活动⽬录。
这⼀对象模型对LDAP有纯粹的⽀持,还可以管理和修改Schema。
Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义,其本⾝也是活动⽬录的内容之⼀,在整个域森林中是唯⼀的。
活动目录(Active Directory)系列
活动目录(Active Directory)系列之一:为什么我们需要域对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。
域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。
但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。
从今天开始,我们将推出 Active Directory系列博文,希望对广大学习AD的朋友有所帮助。
今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。
我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。
我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。
假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。
服务器的职能大家都知道,无非是提供资源和分配资源。
服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。
现在服务器 Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。
基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。
首先,如下图所示,我们在服务器上为张建国创建了用户账号。
活动目录设计方案
活动目录设计方案1. 引言在现代社会中,各种活动和事件的数量不断增加。
为了方便人们快速找到感兴趣的活动,设计一个清晰、易用的活动目录成为了重要任务。
本文档将介绍一种活动目录设计方案,旨在提供给用户一个高效、便捷的浏览和搜索活动的工具。
2. 功能需求2.1 活动浏览•用户可以通过活动目录浏览所有已发布的活动。
•活动可以按照不同的分类进行浏览,如时间、地点、类型等。
2.2 活动详情•用户可以点击活动列表中的活动,查看详细的活动信息。
•活动详情页应该包含活动的标题、时间、地点、组织者、描述等信息。
2.3 活动搜索•用户可以根据自己的需求进行活动搜索。
搜索条件可以包括活动名称、时间、地点等。
2.4 活动发布•组织者可以通过活动目录发布新的活动。
•活动发布需要包括活动的基本信息、描述、时间、地点等。
3. 技术需求3.1 前端开发•使用HTML、CSS和JavaScript来实现活动目录的前端界面。
•利用响应式设计,使得活动目录在不同设备上都能有良好的显示效果。
3.2 后端开发•使用一门后端开发技术,如Python、Java、Node.js等,来构建后台服务器。
•将活动数据存储在数据库中,并提供API 供前端访问和操作数据。
3.3 数据库设计•设计一个活动数据库,用于存储活动相关的信息,如活动名称、时间、地点、描述等。
•利用合适的关系型数据库或非关系型数据库来实现数据库的设计和管理。
3.4 安全性•在设计和开发过程中,要考虑用户数据的安全性。
•通过合适的身份验证和访问控制机制,确保只有授权用户才能发布、修改或删除活动。
4. 实施计划•第一周:确定需求和功能列表,开始进行前端界面设计。
•第二周:完成前端界面设计,开始进行后端开发和数据库设计。
•第三周:完成后端开发和数据库设计,进行系统测试和调试。
•第四周:根据测试结果进行修复和优化,完成文档编写和提交。
5. 风险和挑战•界面设计可能不符合用户期望,需要进行多次迭代和修改。
微软AD活动目录介绍
ATL.
• 操作主机
森林范围内:
Schema Master Domain Naming Master
域范围内:
PDC Emulator RID Master Infrastructure Master
操作主机介绍
只有作为操作主机的域控制器才能对活动目录信息作相应改变 在操作主机上作的改变将会复制到其他的域控制器 任何域控制器可以作为操作主机 操作主机角色可以转移
一个域是一个复制单元
域控制器包含域中信息的完整集合,并且参 与域信息的复制
复制
Windows 2000 Domain
域的性能
能力
复制单元 大小 命名
NT 4.0 对象 Windows 2003 属性
40,000 对象
NetBIOS 建立新域
1,000,000+ 对象
DNS 在域内建立管理委派 到OU
活动目录的结构
活动目录逻辑结构 活动目录物理结构 Sites及活动目录的复制
活动目录逻辑结构
域 组织单元 树和森林 全局编录 Domains Organizational Units Trees and Forests Global Catalog
域 Domains
域是一个安全边界
域管理员只能在本域中执行管理操作,除非 他被明确地赋予其他域管理员身份
Server2
打印机 打印机
名称:Printer1 名称:Printer1 Type:HP4Si Type:HP4Si Color:No Color:No Duplex:Yes Duplex:Yes Location:3rd Floor Location:3rd Floor
活动目录
Microsoft® Active Directory® 服务是Windows® 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。
通过在Windows 2000操作系统的基础之上进行扩展,Windows Server 2003产品家族改进了Active Directory的易管理性,并且简化了迁移和部署工作的复杂程度。
特别地,对于应用程序开发人员以及独立软件开发商(ISV),他们会发现Windows Server 2003中的Active Directory将是他们开发基于目录的应用程序的最佳选择。
Active Directory已经得到了增强,以便降低企业的整体拥有成本(TCO)和操作的复杂性。
各种新的功能和改进特性被添加到了产品的各个层面上,以提高系统的通用性,简化管理以及提升可靠性。
利用Windows Server 2003,组织可以在受益于成本节省的同时,提高各类不同企业要素的共享和管理效率。
本文面向IT管理员,网络系统设计人员或者任何渴望了解Windows Server 2003中的Active Directory所具有的主要增强和新增功能的人员。
本文首先介绍了Active Directory的基本概念,然后重点讲述了Windows Server 2003产品家族中的Active Directory所拥有的新增特性和改进功能:• 集成和生产力• 性能和伸缩性• 系统管理和配置管理• 组策略功能• 安全性增强Active Directory 的基本概念Active Directory是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。
(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。
第01章_活动目录介绍
工作组
搭建 OS 地位 规模 身份 验证 安全 默认 随意 平等 不宜太大,建议不超过10台
域
Windows Server+AD=DC Windows Serve操作系统做DC DC DC管理成员 不限
NTLM,单向验证,即计算机验证 Kerberos,双向验证,域中访问 用户身份,用户无法验证计算机 共享资源无需输入用户名密码 一台一台操作 通过组策略部署
Domain Domain Domain Domain Domain Domain
Global Catalog
Queries Group membership when user logs on
Global Catalog Server
全局编录的功能
查找目录林中任意位置的信息,不管数据在什么 位置 当用户登录到网络时,确定用户的通用组的成员 资格 当用户使用登录主名登录到网络时,将使用全局 目录服务器确定用户所在的域
Printers
Attributes First Name Last Name Users Logon Name 活动目录的对象代表网络资源 属性存储描述对象的信息 活动目录的对象是组成活动目录基本元素
活动目录架构
活动目录架构: 活动目录架构 对象类 举例 定义了数据类型、 定义了数据类型、语 法规则、命名约定。
域控制器 站点
域控制器
Domain Controllers: 参与活动目录的复制 多主控操作与单主控操作
Replication
Domain Controller Domain Controller
Domain = A Writeable Copy of the Active Directory Database
第一章 活动目录(Active Directory)综述
第一章活动目录(Active Directory)综述内容摘要Windows 2000 操作系统的功能非常强大,用户要了解如何实现这些功能,以及它对完成企业目标能够提供哪些帮助,首先必须了解其核心:活动目录目录服务。
活动目录在实施组织的网络,进而实现组织的商业目标中占有重要地位。
通过本章学习,您将了解到以下一些主要内容:目录服务和活动目录的概念活动目录的优点活动目录的逻辑结构组织信息在逻辑结构中的流通活动目录的安全机制活动目录的目录服务模块考点提示本章主要概括了活动目录中的主要概念性知识,读者应重点熟悉以下内容:逻辑结构/物理结构的作用和区别信任关系1.1 目录和目录服务一般来说,目录是用来存储信息的信息源,如电话簿用来存储电话号码、文件系统用来存放文件信息。
而在计算机网络上下文环境中,目录(又称数据存储区)是存储网络对象信息的分层结构。
对象包括共享资源,如服务器、共享卷和打印机;网络用户和计算机帐户;域、应用程序、服务、安全策略,以及网络上的其他所有内容。
以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例:一般情况下,目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。
用户通过目录服务来使用目录中的信息,如用户可能需要使用网络中的某样资源,如打印机,但不知道它在网络上确切位置,有了目录服务,用户只要了解该打印机的一项属性,就可以通过查询活动目录来使用它。
我们可以把目录服务看作既是一个管理工具,同时也是一个面向最终用户的工具。
系统管理员用它可以定义、安排和管理对象(如打印机、用户)及其特征,以使它们能被用户和应用程序使用;而用户可以用它来获得感兴趣的信息。
换一个角度,理解目录服务就是要理解它和目录的不同之处:它既是目录信息源,又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。
理想情况下,目录服务会使物理拓扑和协议(两个服务间传输数据所用的格式)透明化;这样,即使用户不知道资源的物理连接位置和连接方法,也能够访问资源。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
活动目录系列之一:基本概念
目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。
使用LDAP(端口389)轻量级目录访问协议工作,在域环境下所有用户及计算机等帐户信息均保存在一个数据库中,这个数据库位置%systemroot%\ntds\ntds.dit。
AD(活动目录)的逻辑结构包含如下组件:域/子域/树/森林/OU等。
主要侧重于对网络资源的组织。
AD的物理结构包含如下组件:DC(域控制器)/site(站点)/OM(操作主机)。
主要侧重于对网络资源的配置和优化。
下面介绍有关几个重要的概念:
1.DN:(可辨别名称)--用来表示一个对象在AD中具体存储位置,类似于文件的绝对路径。
如:cn=user1,ou=sails, dc=blog,dc=com 该用户存在域的sails OU下,用户名为user1.
cn=users (默认的容器users也以cn表示)
dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。
2.UPN(用户主名)用户名@域名,即用户登录时可以采用,如jack@,也可以更改此后缀。
修改:domain.msc后,在根右击--属性--更改UPN后缀,
然后在用户属性-帐号中选择其后缀。
用户登录可以使用此UPN.但必须在用户属性里进行相应的更改(即启用此Upn 后缀)
3.SID (安全标识符)用户/组都有唯一
whoami /user 当前用户的SID
whoami /all 当前用户的详细信息(包含所属组的SID)getsid \\dc1 test \\dc1 test (安装suptools)
psgetsid \\dc1 test 下载工具包。
4.AD数据库的目录分区:(AD数据库虽然是一个文件,但却是以目录分区的形式组成的)
schema 架构分区---森林的对象类和属性,在森林级别复制。
configuration 配置分区--所有DC的位置、site,在森林级别复制。
domain 域分区--每个域的各种对象等信息,在域级别复制。
application 应用程序分区—DNS,可以自定义。
通过adsiedit.msc来查看前三个目录(事先装支持工具)5.site:在物理位置上区分,一组高速可靠的一个子网或多个子网。
(管理AD复制)
优点:
a. 优化登录
b. 优化复制
6.域:安全的边界,复制的单元。
7.操作主机:(OM)--FSMO
森林范围内唯一的有两种:
架构主机:负责森林内架构的统一regsvr32 schmmgmt.dll
域命名主机:负责森林范围内域的添加和删除。
域范围内唯一的有三种:
RID主机:建用户时用于分发ID号。
PDC主机:时间同步,密码最小化周期、密码锁定、组策略维护等。
基础结构主机:负责跨域对象的引用和更新。
森林范围内唯一两种OM默认由林根域的第一台DC承担。
域范围内唯一的三种OM默认由域内的第一台DC承担。
以上只是一些基本概念的介绍,后期还会以专题的形式和大家一起来学习活动目录!~。