计算机网络 活动目录的结构

合集下载

活动目录介绍

活动目录介绍

活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。

NT的"域(domain)"的概念是⽬录服务的⼀个基本单元。

"⼀次登录,Single Logon"在Windows NTServer 的环境下有了具体的应⽤,⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。

Windows 2000 Server在Windows NT Server 4.0的基础上,进⼀步发展了"活动⽬录(Active Directory)"。

活动⽬录充分体现了微软产品的"ICE",即集成性(Integration),深⼊性(Comprehensive),和易⽤性(Ease of Use)等优点。

活动⽬录是⼀个完全可扩展,可伸缩的⽬录服务,既能满⾜商业ISP的需要,⼜能满⾜企业内部⽹和外联⽹的需要。

活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。

它采⽤的是Exchange Server的数据存储,称为:Extens ible Storage Service (ESS)。

其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能⾮常优良。

这个数据存储之上已建⽴索引的,可以⽅便快速地搜索和定位。

活动⽬录的分区是"域(Domain)",⼀个域可以存储上百万的对象。

域之间还有层次关系,可以建⽴域树和域森林,⽆限地扩展。

在数据存储之上,微软建⽴了⼀个对象模型,以构成活动⽬录。

这⼀对象模型对LDAP有纯粹的⽀持,还可以管理和修改Schema。

Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义,其本⾝也是活动⽬录的内容之⼀,在整个域森林中是唯⼀的。

1.活动目录介绍

1.活动目录介绍
特点:
1、域环境定义了安全边界:安全边界的作用保证了域环境的管理
者只能在自己的域环境内部行使管理员的权利。
2、域环境也是活动目录服务数据库的复制单元:域内可以存在
多台域控制器,所有的域控制器都能够执行对活动目录的查询 等工作,同时把活动目录数据库的变化复制给其他的域控制器。
第45页,共79页。
安全边界
用户账号的属性中可能包括用户姓名、 电话号码、 电子邮件地址 和家庭住址等。
第37页,共79页。
活动目录对象
Objects Printers Users
Attributes
Printer Name Printer Location
Attributes First Name Last Name Logon Name
计算机网络最基本的单元就是“域”,活动目录可以贯穿一 个或多个域。
每个域都有自己的安全策略以及它与其他域的信任关 系。当多个域通过信任关系连接起来之后,活动目录可以被 多个信任域共享。
第44页,共79页。
活动目录的相关术语
域环境是活动目录中的逻辑结构的核心管理单元。
域内包含网络中的计算机、用户和网络服务等对象。每个活 动目录域有唯一的名字。
第19页,共79页。
轻型目录访问协议(LDAP)
可分辨名称(Distinguished Name,DN),对象在AD中 的完整路径:
CN=user1, OU=Market1, OU=Market, DC=abc,DC= com DC=abc,DC= com
OU=Market OU=Market1
Win2003的AD与DNS紧密结合,域“命名空 间”采用DNS的架构,域名也采用DNS的格式来 命名。
第35页,共79页。

第3章_域和活动目录

第3章_域和活动目录

(9)单击【下一步】按钮,弹出【共享的系统卷】 向导页。在此指定SYSVOL文件夹的位置
(10)单击【下一步】按钮,系统会自动到DNS服 务器中查找是否有相应的DNS区域。 如果在DNS服务器上有相应的DNS区域并已设置了 区域属性允许动态更新,则立即进行安装。 如果没有相应的DNS区域则出现如图3所示的【DNS 注册诊断】向导页。此选择中【在这台计算机上 安装并配置DNS服务器】,并将这台DNS服务器设 为这台计算机的【首选DNS服务器】单选按钮。
(18)单击【立即重新启动】按钮,重新启动后该计算机就
以域控制器的角色出现在网络中。
把计算机加入、退出域
在系统属性中的计算机名选项卡中的计算机名称更改中进行设 置,把计算机进行工作组与域模式之间的切换,使之能够进入 域和推出域。
删除活动目录
在DC上选择【开始】|【程序】|【管理工具】|【管理 您的服务器】菜单中进行删除活动目录,依次根据提示 进行相应操作。
5)在Windows Server 2003典型的域中,计算机类型有: 运行Windows Server 2003的域控制器:每个域控制器 都存储和维护目录的一个副本。 运行Windows Sever 2003的成员服务器:成员服务器是 没有配置成域控制器的服务器。成员服务器不存储目录信 息,并且不能验证用户的身份。成员服务器提供诸如共享 文件夹或打印机的共享资源。 运行Windows Server 2003或其他操作系统的客户机: 客户机运行用户桌面环境,并且允许用户访问域中的资源。
本章作业
一.练习 1.填空题 (1)网络中计算机逻辑组合的两种模式,即_______和 _______模式。 (2)在域的模式下,_______是最小的安全边界, _______是最小的管理边界。 (3)在Active Directory中所有的对象被组织在一个树 状的层叠结构当中,这个树状结构包括有_______、 _______、_______、_______和_______。 (4)在创建新域时,域的类型有三种,它们分别是 _______、_______和_______。 (5)Active Directory共享系统卷默认的共享文件夹的 路径是_______。

活动目录

活动目录

安装活动目录
(1)运行位于C:WinntSystem32目录下的dcpromo.exe文件,以启动活动目录安装向导。点击“下一 步”按钮。 (2)由于用户所建立的是域中的第一台域控制器,所以在“域控制器类型”对话框中选择“新域的域 控制器”选项,然后点击“下一步”按钮。 (3)在“创建目录树和子域”对话框中选择“创建一个新域的域目录树”,点击“下一步”按钮。 (4)在“创建或加入目录林”对话框中选择“创建新的域目录林”,点击“下一步”按钮。 (5)在“新的域名”对话框中的“新域的DNS全名”框中输入需要创建的域名,这里是。 点击“下一步”按钮。 (6)在“NetBIOS域名”对话框中,安装向导自动将域控制器的NetBIOS名设置为“LANYI”,点击 “下一步”按钮。 (7)在“数据库和日志文件位置”对话框中,将显示数据库、日志文件的保存位置,一般不必作修改。 点击“下一步”按钮。 (8)在“共享的系统卷”中,指定作为系统卷共享的文件夹。Sysvol文件夹存放域的公用文件的服务 器副本。Sysvol广播的内容被复制到域中的所有域控制器。其文件夹位置一般不必作修改。点击 “下一步”按钮。 (9)在“配置DNS”对话框中,点击“下一步”按钮(如果在安装活动目录之前未配置DNS服务器,可 以在此让安装向导配置DNS,推荐使用这种方法)。 (10)在“权限”对话框中为用户和组选择默认权限,考虑到现在大多数单位中仍然需要使用 Windows 2000的以前版本,所以选择“与Windows 2000服务器之前版本相兼容的权限”选项,点 击“下一步”按钮。 (11)在“目录服务恢复模式的管理员密码”对话框中输入以目录恢复模式下的管理员密码。点击 “下一步”按钮。 (12)此时,安装向导将显示安装摘要信息。点击“下一步”按钮即可开始安装,安装完成之后,重 新启动计算机即可。

计算机网络原理 安装活动目录服务

计算机网络原理  安装活动目录服务

计算机网络原理安装活动目录服务活动目录(Active Directory)是用于Windows 2003的目录服务。

它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。

活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。

活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。

1.DNS与活动目录由于活动目录与DNS是集成的,并且共享相同的名称空间结构,因此注意两者之间的差异非常重要:●DNS是一种名称解析服务DNS客户机向配置的DNS服务器发送DNS名称查询。

DNS服务器接收名称查询,并且解析名称查询,或者进行名称解析。

DNS不需要活动目录可以独立运行。

●活动目录是一种目录服务活动目录提供信息存储库以及让用户和应用程序访问信息的服务。

活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)”向活动目录服务器发送查询。

然后要定位活动目录服务器,活动目录客户机将查询DNS。

即活动目录用于组织资源,而DNS用于查找资源;只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。

2.规划活动目录为了让用户和管理员操作更为方便,在安装活动目录之前,我们首先要对活动目录的结构进行细致的规划设计。

●规划DNS如果用户准备使用活动目录,则需要首先规划名称空间。

在Windows 2003中,用DNS 名称命名活动目录域。

选择DNS名称用于活动目录域时,以保留在Internet上使用的已注册DNS域名后缀开始(如),并将该名称和单位中使用的地理(部门)名称结合起来,组成活动目录域的全名。

●规划用户的域结构最容易管理的域结构就是单域。

规划时,用户应从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域。

单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。

活动目录概念 网络操作系统

活动目录概念  网络操作系统
第七章 活动目录介绍
• • • • • • • • • • 7.1 概述 7.2 活动目录介绍 7.3 活动目录逻辑结构 7.4 活动目录物理结构 7.5 管理windows 2003网络的方法 7.6 活动目录中的DNS角色介绍 7.7 安装活动目录 7.8 验证活动目录安装 7.9 域控制器管理 7.10 活动目录管理工具
7.7 安装活动目录 7.7.2 安装活动目录前的准备
活动目录(AD)是Windows Server 2003非常关键的服务,它不是 孤立的,而是与许多协议和服务有着非常紧密的关系,并涉及到整个操 作系统的结构和安全。因为安装AD前必须完成一系列的策划和准备。 1.文件系统与网络协议:计算机必须安装Windows Server 2003操 作系统;必须有NTFS磁盘分区或卷用于保存SYSVOL文件夹,最小250M的 可用磁盘空间;计算机须安装网卡并连入网络,运行TCP/IP协议和DNS 服务(可在安装活动目录的同时安装DNS),并有一个静态的IP地址。 建议DNS服务先安装并配臵好,区域设臵成允许动态更新。 2.规划域结构:活动目录可包含一个或多个域,只有合理地规划目 录结构,才能充分发挥活动目录的优越性。选择根域最为关键,推荐使用 一个已经注册的DNS域名的子域名作为活动目录的根域名。 3.域名策划:目录域名通常是该域的完整DNS名称,同时为了确保 向下兼容,每个域还应有一个与以前版本兼容的名字(NetBIOS名字)。 4. 记录相关参数:在将Windows Server 2003的计算机升级到活动 目录服务器时,应当先记录计算机的相关参数。
7.2.3 轻型目录访问协议(LDAP)
• Lightweight Directory Access Protocol • LDAP是用于查询和更新活动目录的目录服务协议。 一个活动目录对象可以由一系列域组件、OU和普 通名字来代表,它们组成了活动目录中命名路径。 LDAP命名路径是用来访问活动目录对象的。它包 括标识名和相对标识名。 • 如标识名: CN=suzan,ou=scales,dc=contoso,dc=msft 其中:CN 、OU表示相对标识名。 标识名代表访问对象的路径。

第一章 活动目录(Active Directory)综述

第一章 活动目录(Active Directory)综述

第一章活动目录(Active Directory)综述内容摘要Windows 2000 操作系统的功能非常强大,用户要了解如何实现这些功能,以及它对完成企业目标能够提供哪些帮助,首先必须了解其核心:活动目录目录服务。

活动目录在实施组织的网络,进而实现组织的商业目标中占有重要地位。

通过本章学习,您将了解到以下一些主要内容:目录服务和活动目录的概念活动目录的优点活动目录的逻辑结构组织信息在逻辑结构中的流通活动目录的安全机制活动目录的目录服务模块考点提示本章主要概括了活动目录中的主要概念性知识,读者应重点熟悉以下内容:逻辑结构/物理结构的作用和区别信任关系1.1 目录和目录服务一般来说,目录是用来存储信息的信息源,如电话簿用来存储电话号码、文件系统用来存放文件信息。

而在计算机网络上下文环境中,目录(又称数据存储区)是存储网络对象信息的分层结构。

对象包括共享资源,如服务器、共享卷和打印机;网络用户和计算机帐户;域、应用程序、服务、安全策略,以及网络上的其他所有内容。

以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例:一般情况下,目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。

用户通过目录服务来使用目录中的信息,如用户可能需要使用网络中的某样资源,如打印机,但不知道它在网络上确切位置,有了目录服务,用户只要了解该打印机的一项属性,就可以通过查询活动目录来使用它。

我们可以把目录服务看作既是一个管理工具,同时也是一个面向最终用户的工具。

系统管理员用它可以定义、安排和管理对象(如打印机、用户)及其特征,以使它们能被用户和应用程序使用;而用户可以用它来获得感兴趣的信息。

换一个角度,理解目录服务就是要理解它和目录的不同之处:它既是目录信息源,又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。

理想情况下,目录服务会使物理拓扑和协议(两个服务间传输数据所用的格式)透明化;这样,即使用户不知道资源的物理连接位置和连接方法,也能够访问资源。

第04章活动目录逻辑结构

第04章活动目录逻辑结构
18页
组织单元(OU)
组织单元(OU)是一个容器对象,它也是活动目 录的逻辑结构的一部分,我们可以把域中的对象组 织成逻辑组,它可以帮助我们简化管理工作。 我们可以利用OU把域中的对象形成一个完全逻辑 上的层次结构。 组织单元的包容结构可以使管理者把组织单元切入 到域中以反应出企业的组织结构并且可以委派任务 与授权 OU层次结构局限于域的内部,所以一个域中的 OU层次结构与另一个域中的OU层次结构没有任 何关系
19页
4.3 活动目录的物理结构
逻辑结构侧重于网络资源的管理,而物 理结构则侧重于网络的配置和优化。活 动目录的物理结构主要着眼于活动目录 信息的复制和用户登录网络时的性能优 化。物理结构的两个重要概念是站点和 域控制器。
20页
站点
站点是由一个或多个IP子网组成,这些 子网通过高速网络设备连接在一起 活动目录中的站点与域是两个完全独立 的概念,一个站点中可以有多个域,多 个站点也可以位于同一域中。 活动目录站点和服务可以通过使用站点 提高大多数配置目录服务的效率
23页
使用站点的意义
提高了验证过程的效率 平衡了复制频率 可提供有关站点链接信息
24页
站点成员
客户计算机的站点设置:IP地址决定 (动态更新) 域控制器的站点设置
在活动目录安装过程中建立 站点位置一般不变 第一个域控制器创建时,创建名为Default First Site Name的站点初始物理结构
21页
站点与子网
计算机站点是根据其在子网或一组已连接好子 网中的位置指定的。 子网提供一种表示网络分组的简单方法,这与 邮政编码将地址分组类似。将子网格式化成可 方便发送有关网络与目录连接物理信息的形式。 将计算机置于一个或多个连接好的子网中充分 体现了站点所有计算机必须连接良好这一标准, 原因是同一子网中计算机的连接情况通常优于 网络中任意选取的计算机。

第三章 活动目录的配置

第三章 活动目录的配置

(二)活动目录的物理结构
⑴ 站点 站点由一个或多个IP子网组成。
⑵ 域控制器 域控制器(Domain Controller,简写为DC),是指运行 Windows Server 2003的服务器,使用Active Directory以存储 域数据库的读/写副本、参与多主机复制,并验证用户。
3.服务器角色 ⑴ 成员服务器 成员服务器是指在运行Windows Server 2003服务器中只安 装了操作系统,但未启用活动目录的计算机。 ⑵ 独立服务器 独立服务器是指运行Windows Server 2003的服务器,但不 是域的成员。独立的服务器只有其自身的用户数据库, 并且自己处理登录请求。 ⑶域控制器
⑵ 组织单位 组织单位(Organization Unit,简写为OU)是一个逻 辑容器,可以简化管理工作,比如用户账户、用户组、 计算机、打印机,甚至可以包括其他的OU。 ⑶ 域树 当多个域通过信任关系连接起来之后,所有的域共享 公共的架构、配置和全局编录,从而形成域树。 ⑷ 域林 域林是指活动目录中不共享连续名称空间的域树组成 的结构。
第3章 活动目录的配置
课题:活动目录的配置
教学目标
1.了解活动目录及其特性 2.了解活动目录的逻辑结构和物理结构 3.理解域控制器、成员服务器和独立服务器的异同 4.掌握活动目录的安装
教学重点
1.域控制器、成员服务器和独立服务器Βιβλιοθήκη 2.活动目录的安装教学难点
活动目录的逻辑结构和物理结构
一、活动目录
活动目录(Active Directory)是 Windows Server 2003可扩展和调整的目 录服务。它存储有关网络对象的信息并使管理员和用户可以方便地查找和使 用该信息。 1.活动目录简介 活动目录还包括以下内容: ⑴ 一套规则,即架构,定义了包含在目录中的对象类和属性、这些对象 实例的约束和限制及其名称的格式。 ⑵ 包含目录中每个对象信息的全局编录。允许用户和管理员查找目录信 息,而与目录中实际包含数据的域无关。 ⑶查询和索引机制的建立,可以使网络用户或应用程序发布并查找这些 对象及其属性。 ⑷通过网络分发目录数据的复制服务。域中的所有域控制器参与复制并 包含它们所控制的域的所有目录信息的完整副本。对目录数据所做的任何更 改都被复制到域中的所有域控制器。

活 动 目 录

活 动 目 录
_service_ ttl class SRV priority weight port target
·查找的方法
计机查找域控制器分为以下几个步骤:
⑴ 首先用户登录域,开始使用活动目录以及域控制器提供的特定服务,启动网络登录服 务的用户计算机使用一个API接口——DsGetDcName和服务器进行数据交流;
·增量区域传送:它是上一条的补充,它只允许新的或修改过的数据文件在DNS服务器 之间复制。
1. 安装DNS前的准备: 安装Windows 2000的DNS需要的条件: ·安装Microsoft Windows 2000 Advance Server系统的并被配置为标准服务器的计算机; ·一个静态的IP地址和相应的子网掩码; ·所要配置的DNS域名以及正向查找区域名和反向查找区域名。 对所要安装DNS的计算机配置DNS后缀: ⑴ 以系统管理员的身份登录系统; ⑵ 调入“我的电脑”的属性界面对话框,选择“网络标识”页面,点击“其它”; ⑶ 在“DNS后缀和NetBIOS计算机名”界面中的“此计算机的主DNS后缀”文本框中填 入所要设置的域名,再将打开的所有界面中点击“确定”完成设置,重新启动计算机。
计算机网络技术
活动目录
知识点: ·活动目录概述:活动目录的组成、活动目录的逻辑结构、活动目录的物理结构。 ·DNS和活动目录的集成:DNS的作用、DNS解析、活动目录的集成区域、安装和配置DNS。 ·创建域:创建域前的准备、创建域的过程、域的配置和管理。 ·活动目录下的用户管理与资源发布:创建和管理用户帐户及使用组、在活动目录中发布资 源;委派管理控制。
3. 配置DNS : 安装完DNS服务后,还需要为DNS创建正向及反向的查找区域: ⑴ 创建及配置正向查找区域
⑵ 创建及配置反向查找区域

计算机网络技术基础试题库(含答案)

计算机网络技术基础试题库(含答案)

1.什么叫计算机网络系统?答:为了实现计算机之间的通信交往、资源共享和协同工作,利用通信设备和线路将地理位置分散的、各自具备自主功能的一组计算机有机地联系起来,并且由功能完善的网络操作系统和通信协议进行管理的计算机复合系统。

2.什么叫“信道”?答:是数据信号传输的必经之路,一般由传输线路和传输设备组成。

物理信道是指用来传送信号或数据的物理通路,它由传输介质及有关通信设备组成,而逻辑信道在物理信道的基础上,使节点内部实现了其他“连接”。

同一物理信道上可以提供多条逻辑信道。

按传输不同类型的数据信号物理信道又可以分为模拟信道和数字信道。

在模拟信道两边分别安装调制解调器。

还可分为专用信道和公共交换信道。

3.什么叫“传输差错”?答:由于来自信道内外的干扰与噪声,数据在传输与接收的过程中,难免会发生错误。

通常,把通过通信信道接收到的数据与原来发送的数据不一致的现象称为传输差错,简称差错。

4.什么叫“通信协议”?答:在计算机网络通信过程中,为了保证计算机之间能够准确地进行数据通信,必须使用一套通信规则,这套规则就是通信协议。

5.简答局域网的基本组成。

答:软件系统:网络操作系统、网管软件和网络应用软件。

硬件系统:1)网络服务器(server,通常由一台或多台规模大、功能强的计算机担任,有较高处理能力或大容量的存储空间);2)网络工作站(workstation,用户使用的终端计算机);3)网络适配器(网卡,网络连接的接口电路板,属于通信子网设备);4)网络传输介质(物理连接线路);5)网络连接与互联设备(收发器、中继器、集线器、网桥、交换机、路由器和网关等)。

其他组件:网络资源、用户、协议。

6.网络互联设备主要有哪些?其主要作用各是什么?答:中继器、集线器,主要作用:不同电缆段之间信号的复制、整形、再生和转发;网桥、交换机,主要作用:数据存储、接收,根据物理地址进行过滤和有目的的转发数据帧;路由器,主要作用:路径选择、拥塞控制和控制广播信息;网关,主要作用:传输层及以上各层。

第三章 活动目录的逻辑结构

第三章 活动目录的逻辑结构
域控制器 要理解活动目录是如何与实际情况相结合的,就必须先了解:在运行 Windows 2000 Server 操作系统的计算机上安装活动目录,实际是一种把服务器转换成域控制器的操作。 一个域控制器只能完全主持一个域。 具体而言,域控制器是一台运行 Windows 2000 Server 的计算机,它已使用活动目录 安装向导(dcpromo.exe)进行了配置,该向导可安装并配置向网络用户和计算机提供活动目 录目录服务的组件。域控制器会存储整个域的目录数据(如系统安全策略和用户身份验证数 据),并管理用户和域的交互过程,包括用户登录进程、身份验证以及目录搜索。 使用活动目录安装向导将服务器提升为域控制器的过程,同样或者是创建一个 Windows 2000 域,或者在原有域中添加新的域控制器。 由于引入了活动目录,Windows 2000 域控制器的功能与“对等”类似。这与 Windows NT Server 主域控制器 (PDC) 和备份域控制器 (BDC) 扮演的主/从角色有所不同。对等域控制 器支持“多主机复制”,可在所有域控制器之间复制活动目录信息。多主机复制的引入意味 着管理员可以更新域中任何 Windows 2000 域控制器的活动目录。在 Windows NT Server 操 作系统中,只有 PDC 有目录的可读写副本,PDC 会把目录信息的只读副本复制到 BDC。 规划多域目录结构 因为活动目录中的域可以包含多到数百万个对象,足可以满足一般商业组织的需要,但 具体到某个公司,可能有自己的需求来建立多个域,以下列出了建立多个域的原因: ▼ 减少网络复制流量:因为目录复制只在同一个域中的 DC 之间进行,规划多域,可以 把由目录复制引起的网络流量限制在域内,并且用户可以控制目录复制如何进行。 ▼ 保持现有的 NT 域结构:用户在规划从 NT 域升级到活动目录域时,如果想要保留原 有的 NT 多域结构(如多个账户域),应规划一个多域目录结构。 ▼ 支持分散管理:如果用户组织中的某个部门要求实现对本部门资源、用户和安全的 完全控制,应规划一个多域结构。 ▼ 支持多个域策略:如果组织中的不同部门要求不同的安全策略,如密码策略,应规 划一个多域结构 ▼ 用户需要一个独立域名空间,并运行自己的域名服务器。

计算机网络实验4_windows_网络域的实现

计算机网络实验4_windows_网络域的实现

《计算机网络》实验报告实验序号:实验3 实验项目名称:windows 网络域的实现一、实验目的及要求活动目录的基本概念活动目录的规划与安装域控制器的管理用户账户和计算机账户的管理组和组织单位的管理资源发布和域的管理二、实验设备(环境)及要求两台windows2003服务器三、实验容与步骤2.1 概述2.1.1 活动目录简介2.1.2 活动目录的三种特性集成性深入性易用性活动目录的逻辑结构1.域(Domain)域是活动目录中逻辑结构的核心单元,活动目录包含一个或多个域,每个域均有自己的安全策略以及与其他域的信任关系,因此,域是网络安全管理的边界。

也就是说,域的所有对象均处于一个安全管理单位,域和域之间的关系是不同安全管理单位之间的关系。

域是复制的单位。

每个域均可以有一个或者几个域控制器(Domain Controler)。

户的创建、删除、停用、移动等。

4.管理组和组织单位。

四、实验结果与数据处理2.2.2 安装活动目录(1)安装活动目录具体步骤如下:步骤一,启动Windows Server 2003系统自动打开“Server 2003配置服务器”窗口,或者选择“开始”/“程序”/“管理工具”/“配置服务器”,打开如图2-1所示配置服务器向导窗口。

步骤二,单击“下一步”,出现一个配置服务器向导的预备步骤窗口,以确认所提到的步骤已完成。

单击“下一步”,出现检测网络设置窗口,如图2-2所示。

步骤三,接下来出现配置选项窗口,我们选择“自定义配置”选项,单击“下一步”,出现服务器角色窗口,也就是你想让你的服务器担任的角色,我们从列表中选择“域控制器”。

如图2-3所示。

单击“下一步”按钮,出现确认窗口,以确认选择了正确角色。

单击“下一步”,出现“Active Directory安装向导窗口”,如图2-4所示。

也可省去前面步骤,直接通过“开始”/“运行”,打开“运行”对话框,输入dcpromo 命令,单击“确定”按钮2.2.2 安装活动目录(2)2.2.2 安装活动目录(3)步骤四,单击“下一步”,打开“操作系统兼容性”对话框。

活动目录的功能

活动目录的功能
算机的集中配置和管理。
2.集中式管理
• 运行Windows Server 2003的服务器可以将系统配置信 息、应用程序信息和用户配置文件的位置信息存储在活 动目录中。当与组策略结合使用时,活动目录使管理员 能够从网络的核心位置使用统一的管理界面对分布于各 处的计算机、网络服务和应用程序进行管理。
• 活动目录还可以集中管理对网络资源的访问,并允许用 户只登录一次就能访问活动目录中的所有资源。
3.DNS与活动目录名称空间的集成
• DNS与活动目录名称空间的集成是Windows Server 2003 操作系统的核心功能。DNS域和活动目录域对不同的名 称空间使用相同的域名。因为两个名称空间共享一个相 同的域结构。每个名称空间保存了不同的数据,因而管 理不同的对象。DNS保存域以及资源记录,活动目录保 存域和域对象。
• 域树内的所有域共享一个活动目录,即这个域树只有一个活动目录。这个 活动目录内的数据分散地存储在各个域内,且每一个域内只存储该域内的 数据,如该域内的用户账户、计算机账户等。Windows Server 2003将存 储在各个域内的对象总称为活动目录。
域树
3)林
• 若一个网络内含多个域树,则可以将这些域树组合 成为一个“林”,即林由一个或数个域树所组成, 且每一个域树都有自己唯一的命名空间。如下图所 示。
• 数据存储,也称为目录,它存储着与活动目录对象有关的信息。 • 活动目录包含目录中每个对象信息的全局编录。 • 查询和索引机制的建立,可以使网络用户或应用程序发布并查找这
些对象及其属性。 • 通过网络分发目录数据的复制服务。 • 与网络安全登录过程的安全子系统的集成,以及对目录数据查询和
数据修改的访问控制。 • 提供安全策略的存储和应用范围,支持组策略来活动目录的功能

活动目录(Active Directory)概念和编程使用

活动目录(Active Directory)概念和编程使用

普通目录及其面临的困难谈到计算机目录及其相关技术,总能让我们想到无时不在使用的文件系统目录、灵巧实用的专用工具集目录、海量存储的网络资源目录等等。

是的,这是一个异常熟悉的领域:在文件系统目录里,我们存储文件及其大小、创建日期、类型等信息;在诸如记事本类的专用工具集目录里,我们存放日程安排、联系方式、人员地点等信息;在网络资源目录里,我们以分层架构存放网络上所有对象的相关资料,这些对象包罗了网络里使用的各种资源:共享目录、共享打印机、应用程序、服务、服务器、用户帐号、组、域…可以这样说,从使用计算机的那一刻起,我们就从未离开过目录!曾经,这样的目录让我们随心所欲地处理我们的资源!然而,正是这样的目录,在Internet下却面临许多麻烦:种类繁多、数量日增的目录让我们很难准确定位想要的资源;系统目录、应用程序特定目录、网络资源目录中到底谁存储了我们需要的信息?如何能用一致的方式登录这些不同的资源?怎样能轻松地维护不同系统上的远程资源?能否通过可视化的程序界面在这些资源间交互?初识Active Directory活动目录要解决这些问题,你可以使用Micrsoft提供的活动目录Active Directory 对象,它提供一种构造复杂计算机网络的简单方法,用来存储公共文件夹、对象信息、打印机、服务等数据;Active Directory的适用范围很大,它可以用在小自一台计算机,一个计算机网络,大至数个广域网络(WAN)的结合。

它可以包含这个范围中所有的对象:文件、打印机、应用程序、服务器、域,以及用户等等。

与普通意义上的目录不同的是,Active Directory 活动目录以分层树状结构排列成节点树,每个节点表示网络上的一个资源或服务,并且包含一组可检索和操作的属性。

Active Directory 是提供复杂网络统一视图的Windows目录服务,它减少了开发人员必须处理的目录和命名空间的数量。

Directory Service目录服务同时,专门针对Active Directory活动目录的Directory Services目录服务则让目录中的信息可用,Directory Service(目录服务)是让用户很容易地在目录内寻找到所需要的对象的一种服务。

1活动目录概述

1活动目录概述
(4)减低总体拥有成本
活动目录的特点与优势
(1)资源的统一管理 (2)便捷的网络资源访问
(3)资源访问的分级管理
(4)减低总体拥有成本
第二节 活动目录的逻辑结构
逻辑结构包括域(Domain)、域树(Domain Tree)、 域目录林(Forest)和组织单位(Organization Unit)
广州站点 北京站点 B3 B4 A2 A1 B1 B2
IP Subnets A 192.168.1.0/24
IP Subnets B 172.16.1.0/24
项目1 活动目录概述
网络工程系
项目1概述
课程的内容
什么是活动目录? 为什么要用活动目录?
活动目录中的林、域、子域是什么?
活动目录的逻辑结构和物理结构是什么? 活动目录和DNS有什么关系?
企业用户和计算机的管理
小型企业的用户和计算机的管理 计算机集中、用户和计算机数量少 工作组、手动管理?
大中型企业的用户和计算机的管理 地理分散、用户和计算机数量多 域、自动化管理
复制边界
域控制器仅能复制域内的数据,其它域的数据不能复制
登录域和登录到本机的区别
本地登录账户通常为“计算机名\用户名”, 如:SRV1\tom 域登录账户通常为“用户名@域名”, 如:tom@
林、树、子域(子树)
林根/树根

树根





树 林
组织单位(OU)
活动目录中最小的管理单元 存放用户、组、计算机等对象
可以实现分级管理
市场部
EDU公司
BJ GZ
市场部
财务部财务部技术部源自北京总公司广州分公司
技术部
全局编录
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

计算机网络活动目录的结构
活动目录(Active Directory)是一个分布式的目录服务,信息可以分散在多台不同的计算机中,以保证用户的快速访问和容错。

它包括目录和目录相关的服务两个方面,其中目录是存储各种对象的一个物理上的容器,目录管理的基本对象是用户、计算机、文件及打印机等资源;目录服务是使目录中的所有信息和资源发挥作用的服务,如用户和资源管理、基于目录的网络服务及基于网络的应用管理等。

另外,Active Directory集成了关键服务,如DNS、MSMQ、MTS等和关键应用,如电子邮件、网络管理、ERP等。

为了更加深入的了解活动目录,我们从其物理结构和逻辑结构两方面分别进行讲解。

1.Active Directory逻辑结构
在Active Directory中,是将资源组织到逻辑结构中,该逻辑结构是组织逻辑结构的镜像。

资源在逻辑上进行分组,使得用户可以通过名称而不是物理位置就能查找资源,也使网络的物理结构对用户来说是透明的。

Active Directory是由组织单位、域、域树构成的层次化目录结构。

它为每个域建立一个目录数据库副本,用于存储这个域的对象。

如果多个域之间存在相互关系,则他们可以构成域树,每个域都拥有各自的目录数据库副本存储自己的对象,并且可以查找域树种其他域的目录数据库副本。

多个域树则构成域林。

在前面已介绍过域、域树及域林,这里我们只对组织单位进行讲解。

组织单位(Organizational Unit)是组织、管理一个域内对象的容器,它包括用户账户、用户组、计算机、打印机、其它活动单位等。

因此,我们可以利用组织单位将域中的对象形成一个完全逻辑上的层次结构。

为了有效组织目录对象,组织单位根据企业业务模式的不同来创建不同的层次结构,如可以通过按部门、地理位置、对象类型等来划分层次结构。

这样可以帮助企业解决很多问题,极大地简化了网络管理工作,用户可以利用一个服务功能轻松的找到某个对象而不必考虑他的具体位置。

2.Active Directory物理结构
物理结构与逻辑结构有很大的不同,逻辑结构侧重于网络资源管理,而物理结构侧重于网络的配置和优化,其主要作用为Active Directory信息的复制和用户登录网络时的性能优化。

Active Directory的物理组件有站点和域控制器,用户需使用这些组件创建反映组织物理结构的目录结构。

站点(Site)是一个或多个IP子网连接组合,这些子网通过高可靠的快速链路连接,尽可能多地使网络通信量局部化。

它往往由企业的物理位置分布情况决定,可以把一个局域网作为一个站点,如图10-20所示。

创建站点的主要目的是优化复制流量、使用户通过高速且可靠的链路连接服务器。

Active Directory 站点192.168.0.1/24
图10-20 Active Directory站点
域控制器(Domain Controller)存储着目录数据库的副本并管理用户域的交互,其中包括用户登录过程、身份验证和目录搜索。

一个域可以包含一个或多个域控制器。

其具体使用情况要视局域网规模而定,如小公司一般使用一个或两个域控制器即可,大公司则需要多个域控制器以提高可用性和容错能力。

提示站点反映网络的物理结构,域则反映网络的逻辑结构,两者之间没有必然的联系。

一个站点可以包括多个域,而一个域也可跨越多个站点。

相关文档
最新文档