第10章 活动目录域、树和树林
活动目录介绍
活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。
NT的"域(domain)"的概念是⽬录服务的⼀个基本单元。
"⼀次登录,Single Logon"在Windows NTServer 的环境下有了具体的应⽤,⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进⼀步发展了"活动⽬录(Active Directory)"。
活动⽬录充分体现了微软产品的"ICE",即集成性(Integration),深⼊性(Comprehensive),和易⽤性(Ease of Use)等优点。
活动⽬录是⼀个完全可扩展,可伸缩的⽬录服务,既能满⾜商业ISP的需要,⼜能满⾜企业内部⽹和外联⽹的需要。
活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。
它采⽤的是Exchange Server的数据存储,称为:Extens ible Storage Service (ESS)。
其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能⾮常优良。
这个数据存储之上已建⽴索引的,可以⽅便快速地搜索和定位。
活动⽬录的分区是"域(Domain)",⼀个域可以存储上百万的对象。
域之间还有层次关系,可以建⽴域树和域森林,⽆限地扩展。
在数据存储之上,微软建⽴了⼀个对象模型,以构成活动⽬录。
这⼀对象模型对LDAP有纯粹的⽀持,还可以管理和修改Schema。
Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义,其本⾝也是活动⽬录的内容之⼀,在整个域森林中是唯⼀的。
Windows的使用活动目录讲义
活动目录
活动目录
该窗口可对计算机进行以下管理。 监视诸如登录次数和应用程序错误等系统事件。 创建和管理共享。 浏览与本地或远程计算机相连的用户列表。 启动和终止计划任务和线程。 设置存储设备的属性。 查看设备配置和添加新设备驱动器。
活动目录
⑤创建用户账户 弹出“Active Directory用户和计算机”窗 口 。 在左窗格中右击要创建计算机账户的域,快捷 菜单中选择“新建→用户”选项, “新建对象— 用户”对话框。
活动目录
目录服务把域详细分为组织单元。组织单元是 一个逻辑单位,是域中一些用户和组、文件与打印 机等资源对象的集合。组织单元还可以再划分下级 组织单元,下级组织单元能够继承父组织单元的访 问许可权。 每个组织单元可以有自己单独的管理员并指定 其管理权限,它们管理着不同的任务,从而实现对 资源和用户的分级管理。动态目录服务通过这种域 的组织单元树和域之间的可传递信任树来组织其信 任对象,实现颗粒式管理,为动态活动目录的管理 和扩展带来了极大的方便。
步骤3. 输入要加入的域名,然后单击“确定“。
步骤4.系统提示“输入有权限在域中重命名这台计算机的 帐户的名称和密码”时,输入该域中有权限的用户名和密 码,需经域控制器验证通过。 步骤5.出现“欢迎您加入xxxx.xxx域”后,表示当前计算 机已经成功地加入到指定的域中
活动目录
(2)域和信任关系管理工具 “Active Directory域和信任关系”管理工具 可以帮助系统管理员完成不同域之间信任关系的设 置。 例如,系统中安装两个域:hzjsj域与hzjw域, 两个域各有一台Active Directory的域控制器,且 两个域之间的连接正常。
活动目录
2 安装活动目录 (1)注意事项 1)在服务器上安装活动目录时,磁盘中必须有一个 格式化为NTFS的分区。 2)可以利用系统提供的活动目录安装向导配置服务 器。如果网络没有其他域控制器,可将服务器配置 为域控制器,并新建子域、域目录树或目录林。如 果网络中有其他域控制器,可将服务器设置为附加 域控制器,加入旧域、旧目录树或目录林。 3)活动目录安装后,服务器的开机和关机时间变长, 且系统的执行速度变慢。
第10章 活动目录域、树和树林
10-5活动目录中的DNS角色介绍
• 名字解析(正向,反向)
– DNS将计算机名称转化为IP地址 – 计算机使用DNS在网络中互相查找
• Windows 2003域的命名协定
– 2003AD使用DNS的域名命名标准 – DNS域和AD域共享一公共的分层命名结构
• 如
Computer2
FQDN = Windows 2003 计算机名 = Computer1
• DNS主机名与AD中计算机帐号是相同的
– 计算机名可认为是特殊的域名
• FQDN:完全有效域名
– 计算机的全称域名 – 计算机的全名
10-7活动目录中DNS名字解析
DNS域名空间 Internet
―.‖
com.
(DNS根域)
AD域名空间
microsoft
training
sales
training.
computer1
= DNS节点(域/计算机)
sales. = AD域
• 要点:
– 使域和计算机成为
对象 属性 打印机名 打印机位置 Users Don Hall Suzan Fine 活动目录 Printers Printer1 Printer2 Printer3 属性 名 姓 登录名 属性值
打印机
用户
• 对象:网络资源
• 属性:关于对象的信息
目录服务使用用户可以通过查找对象的一个或多 个具体属性来确定对象的位置
DNS主机名称和Windows 2003计算机名称
DNS
―.‖
com. microsoft sales training computer1
MCSE_基础讲义_10
GC
通用组
. . . 还将被复制到所有目 录林中的GC 服务器
减少复制通信流量
减少通用组来把复制限制在单域中 通用组中的成员尽量使用组账号来 减少通用组中的成员 尽量不要改变通用组中的成员,来 减少复制通信
使用通用组的嵌套策略
用户账号添加到全局组中
Users Global Group
把全局组嵌套到全局组中(可选)
第十章 创建和管理 目录林和目录树
概述
目录树和目录林介绍 创建目录树和目录林
目录树和目录林中的信任关系
全局目录(GC) 在目录树和目录林中使用组 解决创建和管理目录树和目录林过程中出现的问 题 最佳方案
目录树和目录林介绍
什么是目录树? 什么是目录林?
什么是目录林根域?
保留Windows NT早期版本的域结构
分散管理控制
创建目录树和目录林
创建新子域 创建新目录树
创建新目录林
创建新子域
活动目录安装向导可以: 创建新域 把子域中的计算机升级为域控制器 在子域和父域之间创建信任关系
已存在的 目录林 contoso.msft 父域 (目录林根域) sales. contoso.msft 新子域 新子域的 域控制器
Domain
Domain
创建GC
AD Sites and Services Console Window Help
Active View
Tree Name Type New Active Directory Connection Active Directory Sites and Services Sites New Default-First-Site-Name All Tasks Servers ATLANTA LONDON Inter-Site Transports Subnets New Window from Here Delete Refresh Properties Help Description: Domain Controller Query Policy: Default Query Policy Description
计算机网络第10章
其他工作
(5)将域服务器降级为独立服务器或成员服务器。 (6)还有可能涉及Windows早期系统升级到 Windows 2000的工作。
10.3.1安装服务器 安装服务器
在安装Windows 2000 Server之前,首先确认一下硬件 设备是否满足Windows 2000 Server运行的基本要求, 微软建议的硬件配置的最低级别如表10-1所示。 其次,还要检查硬件是否在Windows 2000支持的硬件 兼容列表(Hardware Compatibility List,HCL)之中, 以保证Windows 2000的顺利安装和正常运行。如果计 算机硬件没在HCL中,用户可以尝试通过手工安装硬件的 驱动程序的办法来解决兼容性问题。HCL的详细列表数据 可以在Windows 2000系统光盘的\support\Hcl.txt文 件中找到。
10.3Windows 2000服务器安装 服务器安装
本节介绍域方式组网的基本工作。域方式组网要完成以下 方面的工作,即
(1)服务器的安装:
安装Windows 2000服务器版本相关软件,并做相应的 确认和设置工作。
(2)配置服务器:
包括建立第一个域中的第一个域控制器、在域中添加一个 子域、将域添加到域林等方面的工作。
域控制器
在Windows 2000网络中,存放目录数据库的计 算机称为域控制器(domain controller) 只有Windows 2000 Server计算机才能担任域 控制器的角色,Windows NT Windows Workstation/2000 Professional则不行。
10.1.2工作组方式 工作组方式
活 目 动 录
复制
活 目 动 录
CEAC-2201教学大纲
CEAC培训认证体系------CEAC-2201典型企业网络设计教学大纲一、学习时间:本课程建议教学时数为24学时,二、课程介绍一个没有设计的企业网络会造成大量的资源浪费,管理起来很复杂,使用很不方便,从而降低系统的可靠性。
这些都是设计缺陷带来的后果。
一个良好的网络满足企业的需求,表达企业的管理结构,并且体现简洁易于扩展易于实现的原则。
要达到这样的目标,必须经过周密的规划和设计。
在这门课程学习完之后,你可以获得:分析企业需求的能力设计典型企业的网络管理结构的能力实现典型企业的网络建设和管理的能力本门课程以案例为主。
我们提出了几个具有典型意义的企业的案例,在针对这个案例的设计中,学员除了学习到相应的知识和技术外,同时也充分了解了设计中的实际因素(包括费用,物理位置等等),更重要的是学员掌握了设计的基本原则。
在整个课程中,学员在教师的指导下,通过对典型企业的需求进行分析,从而能独立设计出相应的解决方案,并且完成方案的实施。
在这样一个完整的过程中,通过反复讨论、设计、实现、讲评,学员能够掌握构建一个企业网的方法。
三、课程性质、地位和任务CEAC国家信息化计算机教育认证项目是在信息产业部的领导下,由中国电子商务协会、CEAC国家信息化培训认证管理办公室统一组织实施。
CEAC培训认证体系按照企事业单位的实际需求,以决策层、管理层和实施层分类设置课程。
教学内容以最新技术为基础,覆盖了各主流厂商软件,教学模式以案例教学与实践训练相结合。
CEAC项目的目的是帮助企业和政府培养具有分析能力、设计能力、实现能力和解决问题能力的实用型信息化人才。
CEAC-2201典型企业网络设计,根据网络管理员的实际需求,培训内容包括:活动目录的安装、配置与管理,管理活动目录域名系统,管理活动目录和域名系统的复制,组策略的实现与管理,远程安装服务的安装与配置,活动目录的安全解决方案等。
通过本课程的学习,用户应能够高效地搭建一个适合自己需要的网络,简化网络管理。
3-1 活动目录的域、域树、森林的实现与管理
《应用系统集成与管理》指导活动目录的域、域树、森林的实现与管理【实训目的】1.理解Active Directory、域、域树、森林等概念;2.掌握创建域的方法;3.熟悉创建域树和森林的方法;4.了解如何解决在创建域、树、森林过程中出现的问题的方法。
【参考资料】1.戴有炜. Windows Server 2003用户管理指南, 清华大学出版社, 20042.戴有炜. Windows Server 2003 Active Directory配置指南, 清华大学出版社, 2004【实训内容】1.建立Windows Server 2003域建立域的方法是先安装一台独立服务器或成员服务器,然后在将其升级为域控制器。
可以利用两种方法来建立整个网络中的第一台域控制器:1)利用Active Directory安装向导;2)标准安装。
在建立域之前,要先完成以下准备工作:●DNS域名;●DNS服务器。
可以采用两种方式来架设DNS服务器,1)在独立服务器或成员服务器升级为域控制器时,系统会自动在这台服务器上安装Microsoft DNS服务器;2)使用现有的DNS服务器,或是另外安装一台DNS服务器,然后在这台DNS服务器内建立一个用来支持Active Directory域的区域。
●足够的硬盘空间;●一个NTFS硬盘分区。
2.确认Active Directory是否正常Active Directory安装完成之后,应检查DNS的SRV记录、SYSVOL文件夹、Active Directory数据库文件等数据是否已经正常建立等。
3.建立域树和森林具有树状结构的多个域构成域树,域树中最上层是根域,其下有子域,子域下还可以有子域的子域。
要建立子域,必须先安装一台独立服务器,或利用一台隶属于其他域的现有成员服务器,然后将这台服务器升级为子域的域控制器。
建立子域时要首先为子域的域控制器指定DNS服务器的IP地址。
把一个域树添加到另一个域树中就形成最初的森林。
域树_域林
域和林信任关系的设计考虑(一)信任关系基础在大型网络中,通常存在多个域,甚至多个林,在具体配置这些域和林之前,先要了解它们之间的默认和可配置的信任关系,以便恰当地配置各级域,以及各个林之间的信任关系。
这也是域、林之间安全、有效访问的基础。
1.什么是信任信任是域或林之间建立的关系,它可使一个域(或林)中的用户由处在另一个域(或林) 中的域控制器来进行验证。
Windows NT中的信任关系与Windows 2000和Windows Server 2003操作系统中的信任关系不同。
(1)Windows NT中的信任在Windows NT 4.0及其以前版本中,信任仅限于两个域之间,而且信任关系是单向和不可传递的。
如图5—8所示,指向受信任域的直箭头显示了非传递的、单向信任。
(2)Windows Server 2003和Windows 2000 Server操作系统中的信任Windows 2000 Server和Windows Server 2003林中的所有信任都是可传递的、双向信任。
因此,信任关系中的两个域都是受信任的。
如图5—9所示,如果域A信任域B,且域B信任域C,则域C中的用户(授予适当权限时)可以访问域A 中的资源。
只有Domain Admins 组的成员可以管理信任关系。
2.信任类型域和域之间的通信是通过信任发生的。
信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证管道。
使用“Active Directory安装向导"时,将会创建两个默认信任,而使用“新建信任向导"或Netdom命令行工具可创建另外4种类型的信任。
(1)默认信任在默认情况下,当使用“Active Directory安装向导"在域树或林根域中添加新域时,系统会自动创建双向的可传递信任。
表5-3中定义了两种默认信任类型。
表5—3 两种默认信任(2)其他信任在使用“新建信任向导”或Netdom命令行工具时,可创建其他4种类型的信任:外部信任、领域信任、林信任和快捷信任。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
父域
父域
contoso.msft
子域
子域
sales.contoso.msft 连续的名字空间,
(域后缀延续 )
sales.contoso.msft
新域
新华网技windows Server 2003 Enterprise 新华网技
什么是目录林? 什么是目录林
一个目录林是一个或多个目录树 在目录林中的目录树不共同一个连 续的名字空间
资源
用户只需登录一次, 用户只需登录一次,就可访 问整个活动目录的资源
新华网技windows Server 2003 Enterprise 新华网技
活动目录对象
对象 属性 打印机名 打印机位置 活动目录 Printers Printer1 Printer2 Printer3 属性 名 姓 登录名 Users Don Hall Suzan Fine 属性值
•OU
•域 域 •域 域
•目录林 目录林
•域 域 •目录树 目录树 •域 域 •Domain
•OU
新华网技windows Server 2003 Enterprise 新华网技
域
安全边界 – 域管理员只能在域内进行管理,除非明确得到 域管理员只能在域内进行管理, 其它域的授权 复制单元 – 域控制器 在域内参加复制,并且包含它的 域控制器DC在域内参加复制 在域内参加复制, 域目录信息的完整副本
新华网技windows Server 2003 Enterprise 新华网技
10-1.1什么是活动目录?
目录服务:存储网络资源的信息, 目录服务:存储网络资源的信息,使信息可有效利用 实质为后台服务,表现为管理、 实质为后台服务,表现为管理、用户工具 目录服务
目录服务的功能 组织 管理 控制
集中管理 单点管理
accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName …
用户
打印机
新华网技windows Server 2003 Enterprise 新华网技
• 指DNS的AD集成区域 的 集成区域
新华网技windows Server 2003 Enterprise 新华网技
10-5活动目录中的DNS角色介绍
• 名字解析(正向,反向) 名字解析(正向,反向)
– DNS将计算机名称转化为 地址 将计算机名称转化为IP地址 将计算机名称转化为 – 计算机使用DNS在网络中互相查找 在网络中互相查找 计算机使用
• Windows 2003域的命名协定 域的命名协定
– 2003AD使用 使用DNS的域名命名标准 使用 的域名命名标准 – DNS域和 域共享一公共的分层命名结构 域和AD域共享一公共的分层命名结构 域和
• 如
• 查找活动目录的物理成分
– DNS通过提供的服务来验证域服务器 通过提供的服务来验证域服务器 – 计算机使用DNS来查找 和GC 来查找DC和 计算机使用 来查找
NTDS Settings Properties General Object Security NTDS Settings
启用或者禁用 全局编录GC 全局编录
全局编录
新华网技windows Server 2003 Enterprise 新华网技
10-3活动目录的物理结构(Physical Structure)
活动目录架构(Schema)
对象类 例如: 例如: • • • • 活动目录架构 动态获得 动态更新 通过DACLs保护对象和属性 属性 例如: 例如:
用户属性 可能包括: 可能包括:
accountExpires department distinguishedName middleName
计算机
属性列表
复制 Windows 2003 域
新华网技windows Server 2003 Enterprise 新华网技
安全边界
复制 管理 安全策略 组策略
新华网技windows Server 2003 Enterprise 新华网技
组织单元OU(Organizational Units)
网络管理模式 组织结构
新华网技windows Server 2003 Enterprise 新华网技
逻辑结构:组织网络资源
• 活动目录使你能够通过名字(属性)找到资源,而 不是物理位置,这样使网络的物理结构对用户透明 域Domains 组织单元OU 组织单元 和林Forest 树Tree和林 和林
•域 域
•域 域
•目录树 目录树 •OU
GC和登录过程 和登录过程
GC服务器 服务器
•User登录 登录
•域 域
•域 域
•域 域
•域 域
•域 域
•GC提供 提供 • 为用户帐号提供通用 组权利信息 • 当用户登录用一个用 户主要名称UPN(如: www@)时, 提供域信息
新华网技windows Server 2003 Enterprise 新华网技
新华网技windows Server 2003 Enterprise 新华网技
2003中的 Windows 2003中的 活动目录介绍
新华网技windows Server 2003 Enterprise 新华网技
教学目的:
1.掌握添加单位到域中 2.掌握配置活动目录 3.掌握创建用户 4.掌握管理用户 5 5.掌握在单位中创建其他成员 6.熟悉活动目录站点管理 7.熟悉活动目录域 8.熟悉添加组成员并进行管理 9.了解活动目录简介 10.了解活动目录域的管理 11.了解用户和计算机管理工具
打印机
用户
• 对象:网络资源 对象: • 属性:关于对象的信息 属性:
新华网技windows Server 2003 Enterprise 新华网技
目录服务使用用户可以通过查找对象的一个或多 个具体属性来确定对象的位置
新华网技windows Server 2003 Enterprise 新华网技
Sales Users Computers
Vancouver Sales Repair
• 利用OU可以把对象组织到一个逻辑结构中,使 其最好地适应你的组织需求 • 可以把管理控制权委派给OU内的对象,通过指 定权限到一个或几个用户和组
新华网技windows Server 2003 Enterprise 新华网技
新华网技windows Server 2003 Enterprise 新华网技
重点: 重点 活动目录域的概念 用户和计算机管理工具 难点: 难点 活动目录站点管理
新华网技windows Server 2003 Enterprise 新华网技
讲解过程
新华网技windows Server 2003 Enterprise 新华网技
新华网技windows Server 2003 Enterprise 新华网技
10-4概述
• DNS和AD集成 和 集成 集成—2003关键特性 关键特性
– 使用相同的分层命名结构 – 域、计算机成为 的对象 计算机成为AD的对象 的对象/DNS资源记录 资源记录 – 客户机可通过查询 客户机可通过查询DNS找到 (或其它对 找到DC( 找到 象) – 使DNS主区域结构存储于 ,并随 复制 主区域结构存储于AD,并随AD复制 主区域结构存储于
目录林
contoso.msft
目录树
nwtraders.msft
目录树
marketing. nwtraders.msft
sales. nwtraders.msft
在目录林中的所有域共用 contoso.msft 一个公共配置、 一个公共配置、架构 Schema、全局目录 、全局目录GC
sales.
新华网技windows Server 2003 Enterprise 新华网技
新华网技windows Server 2003 Enterprise 新华网技
服务器) 全局目录服务器(GC服务器) 服务器
对象属性
Domain
Domain
Domain
Domain
全局目录 查询
Domain Domain
利用通用组成员身 份的信息登录网络
GC服务器 服务器
新华网技windows Server 2003 Enterprise 新华网技
轻型目录访问协议(LDAP)
• 为活动目录中的对象标识 为活动目录中的对象标识LDAP命名路径 命名路径 • 标识名DN(完整路径) 标识名 (完整路径)
– 如:CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft
• 相对标识名RDN 相对标识名
– 如: CN=Suzan Fine • DC 域组件 • OU 组织单元 • CN 普通名字
japan.
Tree
china. japan.
单向不可传递信任关系
域 Windows NT 4.0
新华网技windows Server 2003 Enterprise 新华网技
什么是目录树
目录树根 域
新华网技windows Server 2003 Enterprise 新华网技
组织结构
通过组织OU,可建立一个层次结构 , 通过组织
ou
ou
ou
ou
ou
ou
ou
ou
深层次/浅层次的结构 深层次 浅层次的结构
ou
ou
新华网技windows Server 2003 Enterprise 新华网技
目录树和目录林
双向可传递信任关系