活动目录系列之一:基本概念
3.什么是活动目录
简化管理 提高效率 强化安全 应用核心
大纲
IT的挑战 活动目录的概念 活动目录的商业价值
简化IT管理 强化网络安全 提高工作效率
“后AD”时代
IT面临的挑战
用户身份管理
每套应用系统都有独立的用户目录 没有严格的密码策略,很容易被攻破 确保用户安全地访问网络和资源 Helpdesk的成本增加
提高效率
强化IT系统安全
安全策略保护操作系统
安全模版强制实施企业级安全 配置 防止用户随意修改客户端桌面 设置发生故障 使用软件限制策略控制
用户只能使用某些应用程序 用户不能运行的应用程序
自动跟踪安全事件和配置修改
强化IT系统安全
强制用户使用严格的密码策略 密码策略的细粒度管理
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
充分挖掘AD潜能
提高最终用户工作效率
IT基础架构优化(IOI)
即时通信
提高IT工作效率
协作平台
系统运维优化
MIIS身份整合 活动目录 委派管理 桌面控制 组策略应用
简化IT管理 强化网络安全 提高工作效率
© 2003-2004 Microsoft Corporation. All rights reserved.
微软产品
•Product Information •Privileges •Profiles •Policies •Automated deployment
活动目录介绍
活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。
NT的"域(domain)"的概念是⽬录服务的⼀个基本单元。
"⼀次登录,Single Logon"在Windows NTServer 的环境下有了具体的应⽤,⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进⼀步发展了"活动⽬录(Active Directory)"。
活动⽬录充分体现了微软产品的"ICE",即集成性(Integration),深⼊性(Comprehensive),和易⽤性(Ease of Use)等优点。
活动⽬录是⼀个完全可扩展,可伸缩的⽬录服务,既能满⾜商业ISP的需要,⼜能满⾜企业内部⽹和外联⽹的需要。
活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。
它采⽤的是Exchange Server的数据存储,称为:Extens ible Storage Service (ESS)。
其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能⾮常优良。
这个数据存储之上已建⽴索引的,可以⽅便快速地搜索和定位。
活动⽬录的分区是"域(Domain)",⼀个域可以存储上百万的对象。
域之间还有层次关系,可以建⽴域树和域森林,⽆限地扩展。
在数据存储之上,微软建⽴了⼀个对象模型,以构成活动⽬录。
这⼀对象模型对LDAP有纯粹的⽀持,还可以管理和修改Schema。
Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义,其本⾝也是活动⽬录的内容之⼀,在整个域森林中是唯⼀的。
活动目录(Active Directory)系列
活动目录(Active Directory)系列之一:为什么我们需要域对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。
域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。
但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。
从今天开始,我们将推出 Active Directory系列博文,希望对广大学习AD的朋友有所帮助。
今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。
我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。
我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。
假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。
服务器的职能大家都知道,无非是提供资源和分配资源。
服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。
现在服务器 Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。
基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。
首先,如下图所示,我们在服务器上为张建国创建了用户账号。
活动目录设计方案
活动目录设计方案1. 引言在现代社会中,各种活动和事件的数量不断增加。
为了方便人们快速找到感兴趣的活动,设计一个清晰、易用的活动目录成为了重要任务。
本文档将介绍一种活动目录设计方案,旨在提供给用户一个高效、便捷的浏览和搜索活动的工具。
2. 功能需求2.1 活动浏览•用户可以通过活动目录浏览所有已发布的活动。
•活动可以按照不同的分类进行浏览,如时间、地点、类型等。
2.2 活动详情•用户可以点击活动列表中的活动,查看详细的活动信息。
•活动详情页应该包含活动的标题、时间、地点、组织者、描述等信息。
2.3 活动搜索•用户可以根据自己的需求进行活动搜索。
搜索条件可以包括活动名称、时间、地点等。
2.4 活动发布•组织者可以通过活动目录发布新的活动。
•活动发布需要包括活动的基本信息、描述、时间、地点等。
3. 技术需求3.1 前端开发•使用HTML、CSS和JavaScript来实现活动目录的前端界面。
•利用响应式设计,使得活动目录在不同设备上都能有良好的显示效果。
3.2 后端开发•使用一门后端开发技术,如Python、Java、Node.js等,来构建后台服务器。
•将活动数据存储在数据库中,并提供API 供前端访问和操作数据。
3.3 数据库设计•设计一个活动数据库,用于存储活动相关的信息,如活动名称、时间、地点、描述等。
•利用合适的关系型数据库或非关系型数据库来实现数据库的设计和管理。
3.4 安全性•在设计和开发过程中,要考虑用户数据的安全性。
•通过合适的身份验证和访问控制机制,确保只有授权用户才能发布、修改或删除活动。
4. 实施计划•第一周:确定需求和功能列表,开始进行前端界面设计。
•第二周:完成前端界面设计,开始进行后端开发和数据库设计。
•第三周:完成后端开发和数据库设计,进行系统测试和调试。
•第四周:根据测试结果进行修复和优化,完成文档编写和提交。
5. 风险和挑战•界面设计可能不符合用户期望,需要进行多次迭代和修改。
微软AD活动目录介绍
ATL.
• 操作主机
森林范围内:
Schema Master Domain Naming Master
域范围内:
PDC Emulator RID Master Infrastructure Master
操作主机介绍
只有作为操作主机的域控制器才能对活动目录信息作相应改变 在操作主机上作的改变将会复制到其他的域控制器 任何域控制器可以作为操作主机 操作主机角色可以转移
一个域是一个复制单元
域控制器包含域中信息的完整集合,并且参 与域信息的复制
复制
Windows 2000 Domain
域的性能
能力
复制单元 大小 命名
NT 4.0 对象 Windows 2003 属性
40,000 对象
NetBIOS 建立新域
1,000,000+ 对象
DNS 在域内建立管理委派 到OU
活动目录的结构
活动目录逻辑结构 活动目录物理结构 Sites及活动目录的复制
活动目录逻辑结构
域 组织单元 树和森林 全局编录 Domains Organizational Units Trees and Forests Global Catalog
域 Domains
域是一个安全边界
域管理员只能在本域中执行管理操作,除非 他被明确地赋予其他域管理员身份
Server2
打印机 打印机
名称:Printer1 名称:Printer1 Type:HP4Si Type:HP4Si Color:No Color:No Duplex:Yes Duplex:Yes Location:3rd Floor Location:3rd Floor
活动目录
Microsoft® Active Directory® 服务是Windows® 平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。
通过在Windows 2000操作系统的基础之上进行扩展,Windows Server 2003产品家族改进了Active Directory的易管理性,并且简化了迁移和部署工作的复杂程度。
特别地,对于应用程序开发人员以及独立软件开发商(ISV),他们会发现Windows Server 2003中的Active Directory将是他们开发基于目录的应用程序的最佳选择。
Active Directory已经得到了增强,以便降低企业的整体拥有成本(TCO)和操作的复杂性。
各种新的功能和改进特性被添加到了产品的各个层面上,以提高系统的通用性,简化管理以及提升可靠性。
利用Windows Server 2003,组织可以在受益于成本节省的同时,提高各类不同企业要素的共享和管理效率。
本文面向IT管理员,网络系统设计人员或者任何渴望了解Windows Server 2003中的Active Directory所具有的主要增强和新增功能的人员。
本文首先介绍了Active Directory的基本概念,然后重点讲述了Windows Server 2003产品家族中的Active Directory所拥有的新增特性和改进功能:• 集成和生产力• 性能和伸缩性• 系统管理和配置管理• 组策略功能• 安全性增强Active Directory 的基本概念Active Directory是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。
(Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。
第01章_活动目录介绍
工作组
搭建 OS 地位 规模 身份 验证 安全 默认 随意 平等 不宜太大,建议不超过10台
域
Windows Server+AD=DC Windows Serve操作系统做DC DC DC管理成员 不限
NTLM,单向验证,即计算机验证 Kerberos,双向验证,域中访问 用户身份,用户无法验证计算机 共享资源无需输入用户名密码 一台一台操作 通过组策略部署
Domain Domain Domain Domain Domain Domain
Global Catalog
Queries Group membership when user logs on
Global Catalog Server
全局编录的功能
查找目录林中任意位置的信息,不管数据在什么 位置 当用户登录到网络时,确定用户的通用组的成员 资格 当用户使用登录主名登录到网络时,将使用全局 目录服务器确定用户所在的域
Printers
Attributes First Name Last Name Users Logon Name 活动目录的对象代表网络资源 属性存储描述对象的信息 活动目录的对象是组成活动目录基本元素
活动目录架构
活动目录架构: 活动目录架构 对象类 举例 定义了数据类型、 定义了数据类型、语 法规则、命名约定。
域控制器 站点
域控制器
Domain Controllers: 参与活动目录的复制 多主控操作与单主控操作
Replication
Domain Controller Domain Controller
Domain = A Writeable Copy of the Active Directory Database
第一章 活动目录(Active Directory)综述
第一章活动目录(Active Directory)综述内容摘要Windows 2000 操作系统的功能非常强大,用户要了解如何实现这些功能,以及它对完成企业目标能够提供哪些帮助,首先必须了解其核心:活动目录目录服务。
活动目录在实施组织的网络,进而实现组织的商业目标中占有重要地位。
通过本章学习,您将了解到以下一些主要内容:目录服务和活动目录的概念活动目录的优点活动目录的逻辑结构组织信息在逻辑结构中的流通活动目录的安全机制活动目录的目录服务模块考点提示本章主要概括了活动目录中的主要概念性知识,读者应重点熟悉以下内容:逻辑结构/物理结构的作用和区别信任关系1.1 目录和目录服务一般来说,目录是用来存储信息的信息源,如电话簿用来存储电话号码、文件系统用来存放文件信息。
而在计算机网络上下文环境中,目录(又称数据存储区)是存储网络对象信息的分层结构。
对象包括共享资源,如服务器、共享卷和打印机;网络用户和计算机帐户;域、应用程序、服务、安全策略,以及网络上的其他所有内容。
以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例:一般情况下,目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。
用户通过目录服务来使用目录中的信息,如用户可能需要使用网络中的某样资源,如打印机,但不知道它在网络上确切位置,有了目录服务,用户只要了解该打印机的一项属性,就可以通过查询活动目录来使用它。
我们可以把目录服务看作既是一个管理工具,同时也是一个面向最终用户的工具。
系统管理员用它可以定义、安排和管理对象(如打印机、用户)及其特征,以使它们能被用户和应用程序使用;而用户可以用它来获得感兴趣的信息。
换一个角度,理解目录服务就是要理解它和目录的不同之处:它既是目录信息源,又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。
理想情况下,目录服务会使物理拓扑和协议(两个服务间传输数据所用的格式)透明化;这样,即使用户不知道资源的物理连接位置和连接方法,也能够访问资源。
第9章 活动目录
域控制器和站点的规划
• 根据用户的数量、访问的数据流量确定域控制器 的硬件配置和数量。
• 根据用户分布的地理位置及网络连接速度划分站 点。 • 在每个站点中至少放置一个全局编录域控制器。
在DC上安装活动目录(1)
• 当一台服务器安装了活动目录成为域控制器后, 系统会禁用“本地用户和组”管理单元。 • 如果安装的是域中第一台域控制器,那么这台服 务器中的所有本地帐户将会被自动迁移到活动目 录中。 • 如果安装的是域中其他额外域控制器时,额外域 控制器上原有的本地帐户将会被自动删除。
活动目录的物理结构 • 活动目录的物理结构和逻辑结构是两个 相对独立的概念。 • 逻辑结构主要用于对网络资源进行组织 管理. • 物理结构则侧重于计算机网络的配置和 优化。活动目录的物理结构涉及到两个 重要的概念:域控制器和站点。
域控制器(Domain Controller,简称DC)
(1)域控制器的定义 域控制器是指安装了活动目录的一台Windows 2000 Server服务器,它保存了活动目录信息的一个副本。 • 域控制器管理活动目录数据的变化,并把这些变化复制 到同一个域中的其他域控制器上。 • 域控制器负责管理用户和域的交互过程,包括用户登录 进程、身份验证以及目录搜索。 • 一个域可以有一个或多个域控制器,活动目录中的域控 制器没有主次之分,每一个域控制器都有一个可读写的 目录副本。 • 在某一个时刻,不同的域控制器中的活动目录信息可能 有所不同,一旦活动目录中的所有域控制器完成同步操 作之后,所有的活动目录副本的信息就会一致。
站点(Site)
站点是指相互之间具有高速网络连接能够实现较快通 讯速度的计算机的集合,一般是指一个局域网。而站点 之间一般是通过慢速连接来实现网络通讯。 站点是对网络上计算机的实际物理分布的一种客观反映。 在规划 Windows 2000 网络时,可以将一个域中的计算 机根据地理位置的分布放在几个站点之中。 通常每个站点中至少配置一台全局编录域控制器以提高 网络性能。 当用户登录网络时,作为登录进程的一部分必须联系域 控制器。如果客户必须连接位于不同站点的域控制器, 那么登录过程将耗费很长的时间。
活动目录基本概念解析
网络环境
AD概念理解
工作组~原始社会:各服务器(人)各自为政 域~国家:一定范围内实现集中管理,中央集权 AD森林~联合国:实现多个基本管理范围(国家,
域)的联合管理。减少这些基本范围内的重复管理 工作。方便之间资源调用。
AD概念理解
➢ 定义联合国
1. 谁能加入联合国 2. 共同遵守的设定和规则 3. 不干涉别国内政
活动目录的相关术语
5 、域树: 要架设一个内含多个域的网络,则可以将网
络设置成“域树”的架构,即这些域是以树状形 式存在。
域树由多个域组成,这些域共享同一个结构 和配置,形成一个连续的名字空间。域树中的域 通过双向可传递信任关系连接在一起。
域目录树的概念
如果多个域环境使用了连续的命名空间(类似我 们平时说的都姓一个姓氏),称这样的多域结构 为活动目录树。
轻型目录访问协议(LDAP)
可分辨名称(Distinguished Name,DN),对象在 AD中的完整路径:
CN=user1, OU=Market1, OU=Market, DC=abc,DC= com
DC=abc,DC= com
OU=Market OU=Market1
CN=user 1
DC:域组件 OU:组织单元 CN:普通名字
特点: 1、域环境定义了安全边界:安全边界的作用保证了域环
境的管理者只能在自己的域环境内部行使管理员的权利。
2、域环境也是活动目录服务数据库的复制单元:域内
可以存在多台域控制器,所有的域控制器都能够执行对活 动目录的查询等工作,同时把活动目录数据库的变化复制 给其他的域控制器。
安全边界
复制 管理 安全策略 组策略
灵活的活动目录查询能力:
ch4 活动目录的逻辑结构
活动目录的基本概念
域信任关系按以下特征进行描述: 单向 单向信任是域 A 信任域 B 的单一信任关系。所有 的单向关系都是不可传递的,并且所有的不可传递信 任都是单向的。常见的单向信任关系有:不同树林中 的 Windows 2000 域 、Windows NT 4.0 域 、 Kerberos V5 领域。 双向
活动目录的基本概念
(2)活动目录中对象的属性是可以增加的。
每一个对象都是用它的属性进行描述的,活动目录 对象的管理实际上就是对对象属性的管理,而对象的 属性是可能发生变化的。 比如:联系方式这个属性可以是通信地址、手机号 、BP机号、Email地址等。随着时间的推移,人们的 属性会越来越多。此时,管理员可以通过修改活动目 录架构来增加一个属性,然后活动目录的用户就可以 在活动目录中使用这个属性了。
活动目录的基本概念
当在第一台域控制器上安装活动目录时,该域控制 器点和服务器”管理器将附属域控制器设臵为
全局目录服务器。 全局目录服务器越多,对用户查询的反应就越快, 而同步复制通信量就越大,因此用户需要根据网络结 构及查询通信量进行决策。在每个站点上至少建立一
域信任关系使得一个域中的用户可由另一域中的 域控制器进行验证,从而使得用户能去访问另一个域 中的资源。
活动目录的基本概念
所有域信任关系中只有两种域:信任关系域和被 信任关系域。 例如: 域A信任域B,则域B中的用户可以通过域A中的 域控制器进行身份验证后访问域A中的资源。 本例中,域B被域A信任,域A信任域B,其结果就 是域B中用户能实现跨越域A的安全边界访问域A中资 源。
活动目录的基本概念
下面是关于信任关系的实际应用的一个实例,在两棵独
立的树之间如何建立信任关系,才能使得所有的域都能通
活 动 目 录
·查找的方法
计机查找域控制器分为以下几个步骤:
⑴ 首先用户登录域,开始使用活动目录以及域控制器提供的特定服务,启动网络登录服 务的用户计算机使用一个API接口——DsGetDcName和服务器进行数据交流;
·增量区域传送:它是上一条的补充,它只允许新的或修改过的数据文件在DNS服务器 之间复制。
1. 安装DNS前的准备: 安装Windows 2000的DNS需要的条件: ·安装Microsoft Windows 2000 Advance Server系统的并被配置为标准服务器的计算机; ·一个静态的IP地址和相应的子网掩码; ·所要配置的DNS域名以及正向查找区域名和反向查找区域名。 对所要安装DNS的计算机配置DNS后缀: ⑴ 以系统管理员的身份登录系统; ⑵ 调入“我的电脑”的属性界面对话框,选择“网络标识”页面,点击“其它”; ⑶ 在“DNS后缀和NetBIOS计算机名”界面中的“此计算机的主DNS后缀”文本框中填 入所要设置的域名,再将打开的所有界面中点击“确定”完成设置,重新启动计算机。
计算机网络技术
活动目录
知识点: ·活动目录概述:活动目录的组成、活动目录的逻辑结构、活动目录的物理结构。 ·DNS和活动目录的集成:DNS的作用、DNS解析、活动目录的集成区域、安装和配置DNS。 ·创建域:创建域前的准备、创建域的过程、域的配置和管理。 ·活动目录下的用户管理与资源发布:创建和管理用户帐户及使用组、在活动目录中发布资 源;委派管理控制。
3. 配置DNS : 安装完DNS服务后,还需要为DNS创建正向及反向的查找区域: ⑴ 创建及配置正向查找区域
⑵ 创建及配置反向查找区域
活动目录详解(基础篇)
活动目录详解(基础篇)我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录(Active Directory)服务”,使得WIN2K系统与Internet上的各项服务和协议更加联系紧密,因为它对目录的命名方式成功地与”域名“的命名方式一致,然后通过DNS 进行解析,使得与在Internet上通过WINS解析取得一致的效果。
活动目录也说明了Microsoft在网络结构方面的策略转移,虽然在以前NT时代也有部分产品(如EXCHANGE SERVER、IIS等)提供过类似于活动目录的服务,然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。
活动目录的身影似乎在整个WIN2K系统中无处不在。
然而要真正了解“活动目录”的方方面面又谈何容易,下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析,希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。
一、活动目录的由来谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME 下“文件夹”,那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系,一个文件生成之后相对来说这个文件的所在目录也就固定了(当然可以删除、转移等,现在不考虑这些),也就是说它的属性也就相对固定了,是静态的。
这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小,并不能得出其它有关信息,这样就影响到了整体使用目录的效率,也就是影响了系统的整体效率,使系统的整个管理变得复杂。
因为没有相互关联,所以在不同应用程序中同一对象要进行多次配置,管理起来相当繁锁,影响了系统资源的使用效率。
为了改变这种效率低下的关系和加强与Internet上有关协议的关联,Microsoft公司决定在WIN2K中全面改革,也就是引入活动目录的概念。
理解活动目录的关键就在于“活动”两个字,千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解,那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹,正因为这个目录是活动的,所以它是动态的,它是一种包含服务功能的目录,它可以做到“由此及彼”的联想、映射,如找到了一个用户名,就可联想到它的账号、出生信息、E-mail、电话等所有基本信息,虽然组成这些信息的文件可能不在一块。
AD的复制
通过前面十二次的讲座,其实我们一直在探讨活动目录的逻辑结构较多,今天我们来谈一谈有关AD的复制问题。
其实对于每一个DC,都会有一个数据库文件,它就是AD数据库,详见活动目录系列之一:基本概念AD数据库分四个目录分区,如下图所示:其中在森林级别复制的是前两个分区,即架构分区和配置分区。
而在域级别复制的是域分区。
应用程序分区是一个可选复制,可以自己配置,在这里不讨论。
(一)站点内部的复制如果单域环境,同时存在多台DC,此时每台DC都会同步森林及域级别的三个分区。
如果多域环境,同时存在多台DC,此时便会存在多路复制拓朴。
如下图所示:上图有三种复制拓朴,第一路是森林级别的复制,在所有的DC之间复制;第二路是域A 的域分区的复制拓朴,在所有域A的DC之间复制;第三路是域B的域分区的复制拓朴,在所有域B的DC之间复制。
如果在上图的DC之中还存在GC,则上面的复制拓朴还会改变,因为GC是一个特殊的角色,它将拥有所有域的域分区对象及对象属性的子集。
其实大家也都看到了,我们的复制拓朴是一个双向环(保证容错),而这个环是由每台DC上的KCC进程自动生成的。
附:KCC:是一个进程,或翻译成“知识一致性校验”,它用来检查当前的AD环境,用于生成环形的复制拓朴。
如果在上图中再加入新的DC,KCC会再次计算,生成新的环。
当然我们自己也可以自定义,各位可以参考下面第二个图可完成。
如下图所示:如:通过KCC,在A1和A2之间创建一个连接对象,A2就叫做A1的直接复制伙伴。
如下图所示:注意:这个连接对象是自己产生的。
若自定义,可以在此完成。
AD的复制有三种复制方式:a.更改通知的方式:如果A1上创建了一个帐号test,则它会15秒后通知A2,然后3秒后通知A3、再3秒后通知A4。
如果A2收到通知后就会从A1把数据要过来写到自己的数据库中。
这是拉复制。
b.紧急复制:如密码修改、帐户锁定策略等。
修改后就马上联系复制伙伴。
没有时间延迟。
1活动目录概述
活动目录的特点与优势
(1)资源的统一管理 (2)便捷的网络资源访问
(3)资源访问的分级管理
(4)减低总体拥有成本
第二节 活动目录的逻辑结构
逻辑结构包括域(Domain)、域树(Domain Tree)、 域目录林(Forest)和组织单位(Organization Unit)
广州站点 北京站点 B3 B4 A2 A1 B1 B2
IP Subnets A 192.168.1.0/24
IP Subnets B 172.16.1.0/24
项目1 活动目录概述
网络工程系
项目1概述
课程的内容
什么是活动目录? 为什么要用活动目录?
活动目录中的林、域、子域是什么?
活动目录的逻辑结构和物理结构是什么? 活动目录和DNS有什么关系?
企业用户和计算机的管理
小型企业的用户和计算机的管理 计算机集中、用户和计算机数量少 工作组、手动管理?
大中型企业的用户和计算机的管理 地理分散、用户和计算机数量多 域、自动化管理
复制边界
域控制器仅能复制域内的数据,其它域的数据不能复制
登录域和登录到本机的区别
本地登录账户通常为“计算机名\用户名”, 如:SRV1\tom 域登录账户通常为“用户名@域名”, 如:tom@
林、树、子域(子树)
林根/树根
树根
树 林
组织单位(OU)
活动目录中最小的管理单元 存放用户、组、计算机等对象
可以实现分级管理
市场部
EDU公司
BJ GZ
市场部
财务部财务部技术部源自北京总公司广州分公司
技术部
全局编录
第3章管理活动目录域
第3章管理活动目录域教学要求:理解:域的概念、特点;活动目录的架构;组织单位的概念、特点;域用户账户的概念、特点;域组账户的概念、特点;域组账户的使用原则;掌握:创建域;将计算机加入或脱离域;将域控制器降级为独立服务器或成员服务器;管理组织单位;管理域用户账户的工作;管理域组账户的工作;3.1活动目录的概述活动目录(ActiveDirectory,AD)服务能把网络中的众多资源有效地组织在一起,实现集中管理与统一保护,最大限度地保证资源的可用性与安全性。
3.1.1活动目录的含义活动目录以数据库的形式存放在网络中的一些特定计算机上,这个数据库称为“活动目录数据库”。
管理员可以利用活动目录来集中执行组织、管理与控制网络资源的各项功能。
用户也能够通过活动目录方便迅速的找到所需要的资源、使用所需要的功能。
活动目录的容量可以动态调整;活动目录的结构可以动态调整。
3.1.2活动目录的特点动态的组织形式方便的资源查找集中管理与分散管理相结合资源访问的分级管理3.1.3活动目录的基本概念1、对象和属性在活动目录中,存储着众多的资源、规则、策略等,它们被称作“活动目录对象”,简称对象。
一个活动目录对象所具有的各种各样的特征,称为“属性”。
一个对象可认为是一系列属性的集合。
2、活动目录的架构活动目录中所有对象和属性的定义存储在“活动目录架构”中,只有SchemaAdmin组的成员才有权限添加或修改架构中的内容。
一个活动目录共享一个共同的架构。
查看活动目录架构的具体步骤为1、以SchemaAdmin组的一个用户账户身份登录2、注册ActiveDirectorySchema控制面板的动态链接库。
在命令窗口中输入:regvr32.e某echmmgmt.dll.3、在命令窗口中运行“mmc.e某e”,添加“ActiveDirectory架构”管理工具。
4-6、在“ActiveDirectory架构”中有两个容器,类与属性,双击Uer,即可查看Uer类的定义,根据Uer类的定义可以创建大量的用户账户。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
活动目录系列之一:基本概念
目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。
使用LDAP(端口389)轻量级目录访问协议工作,在域环境下所有用户及计算机等帐户信息均保存在一个数据库中,这个数据库位置%systemroot%\ntds\ntds.dit。
AD(活动目录)的逻辑结构包含如下组件:域/子域/树/森林/OU等。
主要侧重于对网络资源的组织。
AD的物理结构包含如下组件:DC(域控制器)/site(站点)/OM(操作主机)。
主要侧重于对网络资源的配置和优化。
下面介绍有关几个重要的概念:
1.DN:(可辨别名称)--用来表示一个对象在AD中具体存储位置,类似于文件的绝对路径。
如:cn=user1,ou=sails, dc=blog,dc=com 该用户存在域的sails OU下,用户名为user1.
cn=users (默认的容器users也以cn表示)
dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。
2.UPN(用户主名)用户名@域名,即用户登录时可以采用,如jack@,也可以更改此后缀。
修改:domain.msc后,在根右击--属性--更改UPN后缀,
然后在用户属性-帐号中选择其后缀。
用户登录可以使用此UPN.但必须在用户属性里进行相应的更改(即启用此Upn 后缀)
3.SID (安全标识符)用户/组都有唯一
whoami /user 当前用户的SID
whoami /all 当前用户的详细信息(包含所属组的SID)getsid \\dc1 test \\dc1 test (安装suptools)
psgetsid \\dc1 test 下载工具包。
4.AD数据库的目录分区:(AD数据库虽然是一个文件,但却是以目录分区的形式组成的)
schema 架构分区---森林的对象类和属性,在森林级别复制。
configuration 配置分区--所有DC的位置、site,在森林级别复制。
domain 域分区--每个域的各种对象等信息,在域级别复制。
application 应用程序分区—DNS,可以自定义。
通过adsiedit.msc来查看前三个目录(事先装支持工具)5.site:在物理位置上区分,一组高速可靠的一个子网或多个子网。
(管理AD复制)
优点:
a. 优化登录
b. 优化复制
6.域:安全的边界,复制的单元。
7.操作主机:(OM)--FSMO
森林范围内唯一的有两种:
架构主机:负责森林内架构的统一regsvr32 schmmgmt.dll
域命名主机:负责森林范围内域的添加和删除。
域范围内唯一的有三种:
RID主机:建用户时用于分发ID号。
PDC主机:时间同步,密码最小化周期、密码锁定、组策略维护等。
基础结构主机:负责跨域对象的引用和更新。
森林范围内唯一两种OM默认由林根域的第一台DC承担。
域范围内唯一的三种OM默认由域内的第一台DC承担。
以上只是一些基本概念的介绍,后期还会以专题的形式和大家一起来学习活动目录!~。