配置域控制器
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Active Directory 提供了一种组织方式,它简化了计算机网络系统中资源的访问。作为一种 增强性目录服务,它具有下列功能:
① 数据存储,也称为目录,它存储着与 Active Directory 对象有关的信息。这些对象包括 共享资源,如服务器、文件、打印机、网络用户和计算机账户等。
② 包含目录中每个对象信息的全局编录。它允许用户和管理员查找目录信息,而与目录 中实际包含数据的域无关。
3.1.2 Active Directory结构
Active Directory 的目录服务建立在域的基础上,由域控制器对网络中的资源实行集中管理 和控制,目录信息存储在域控制器上的 Active Directory 数据库中。Active Directory 以域为基础, 具有伸缩性,包含一个或多个域,每个域具有一个或多个域控制器,可调整目录的规模以满足 任何网络的需要。Active Directory 的结构主要是指网络中所有用户、计算机以及其他网络资源 的层次关系。通常将活动目录的结构分为逻辑结构和物理结构。
当计算机连入网络时,域控制器首先要鉴别这台计算机是否属于这个域、用户使用的登录 账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户 从这台计算机登录。不能登录就意味着用户不能访问服务器上有权限保护的资源,只能以对等 网用户的方式访问 Windows 共享的资源,这样就在一定程度上保护了网络上的资源。
选择域结构的总原则是应尽可能减少域的数量,建议企业网应尽可能使用单一域结构,以 简化管理工作。组织单位的规划很重要,在域内可依据多种标准划分组织单位。如果各个分支
章4章6章第 3 章 配置域控制器
Directory 可以将网络中的各种资源,如用户、组、计算机、打印机、共享等资源组织起来,进 行集中管理,以方便用户对网络资源的搜索和使用。对于 Windows 网络来说,规模越大,需要 管理的资源越多,建立 Active Directory 目录服务也就越有必要。
3.1 认识 Active Directory 章4章7章
可以通过委派授权域账户来提高系统的安全性,便于账户集中管理。 域是网络中的一个逻辑单位,域分为根域和子域,在根域基础上创建的域称为根域的子域。
Windows Server 2003 创建的第一个域称为根域,是域树中所有其他域的根域,例如 163.com 或 sohu.com 这样的域为根域。域与 DNS 的域层级有紧密的关系,并与其相似。
图 3-1 组织单位
图 3-2 域树
域树中的域通过双向可传递信任关系连接在一起。由于这些信任关系是双向的而且是可传 递的,因此在域树中新创建的域可以立即与域树中每个其他的域建立信任关系。这些信任关系 允许单一登录过程,在域树中的所有域上对用户进行身份验证,但这不一定意味着经过身份验
章4章8章第 3 章 配置域控制器
3.1.1 Active Directory简介
Windows Server 2003 域控制器的功能与 Active Directory 密切相关。Active Directory 是一种 可以保存网络对象信息的目录服务,是 Windows Server 2003 的重要功能之一。使用 Active
(2)组织单位。组织单位(Organization Unit,OU)是包含在域中非常有用的目录对象类 型。组织单位可将用户、组、计算机和其他单元放入 Active Directory 的容器中,组织单位不能 包括来自其他域的对象。组织单位是可以指派组策略设置或委派管理权限的最小作用单位。组 织单位可在代表逻辑层次结构的域中创建容器,这样就可以根据组织模型管理账户、资源的配 置和使用,可使用组织单位创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单 位或对单个组织单位的管理权限,组织单位的管理员不需要具有域中任何其他组织单位的管理 权。图 3-1 所示为某域控制器下包含的组织单位,组织单位中可包含其他的组织单位。
第3章 第3章
配置域控制器
学习目标
z 了解活动目录及其特性 z 了解活动目录的逻辑结构和物理结构 z 掌握活动目录的安装方法 z 能将客户机加入域中 z 能降级域控制器
课前准备
z 了解对等网结构的特点 z 了解活动目录结构中常见的基本概念 z 服务器的 3 种不同角色
在 Windows Server 2003 网络中,域是实现客户机/服务器网络模式的基本手段,域控制器 包含由域的账户、密码、属于这个域的计算机等信息构成的数据库,它负责对整个 Windows 域以及域中的所有计算机进行管理。配置域控制器有利于对域中用户的集中配置管理,为网络 共享资源提供安全保障。因此,配置域控制器是 Windows Server 2003 服务器安全配置的重要内容。
3.1 认识 Active Directory
活动目录(Active Directory,AD)是 Windows 平台的核心组件之一,AD 服务为用户管理 网络环境的各个组成要素的标志和关系提供了一种方法。通过以 Windows 2000 Server 操作系统 为基础进行扩展,Windows Server 2003 改进了 Active Directory 的易管理性,并且简化了迁移和 部署工作的复杂程度。
证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限,所以必须在每个域 的基础上为用户指派相应的权利和权限。
(4)域林。域林是由一个或多个没有形成连续名称空间的域树组成,如图 3-3 所示,它与 域树最明显的区别就在于这些域树之间没有形成连续的名称空间,而域树则是由一些具有连续 名称空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所 有域树通过 Kerberos 信任关系建立起来,所以每个域树都知道 Kerberos 信任关系,不同域树可 以交叉引用其他域树中的对象。域林都有根域,域林的根域是域林中创建的第一个域,域林中 所有域树的根域与域林的根域建立可传递的信任关系。
(2)域控制器。域控制器(Domain Controller,DC)是指运行 Windows 2000 Server 的服务 器,它保存了 Active Directory 信息的副本。域控制器管理目录信息的变化,并把这些变化复制 到同一个域中的其他域控制器上,使各域控制器上的目录信息处于同步。域控制器也负责用户 的登录过程以及其他与域有关的操作,如身份鉴定、目录信息查找等。一个域可以有多个域控
由于组织单位层次结构局限于域的内部,所以一个域中的组织单位层次结构与另一个域中 的组织单位层次结构完全独立。
(3)域树。域树是 Windows Server 2003 域的集合。子域与其根域相关联构成了域树。域树 的外观类似于倒置的树(根域位于顶部),分支(子域)在下方展开。例如,某单位有一个名为 jy.com 的 DNS 域,并且内部有多个部门,这种情况下,域树的构成如图 3-2 所示。最上层的域 名为 jy.com,是这个域树的根域,下面的两个域 pjy.jy.com 和 zjy.jy.com 是 jy.com 域的子域,这 3 个域共同构成了域树。
③ 查询和索引机制的建立,可以使网络用户或应用程序发布并查找这些对象及其属性。 ④ 通过网络分发目录数据的复制服务。对目录数据所做的任何更改都被复制到域中的所 有域控制器中。 ⑤ 与网络安全登录过程的安全子系统的集成,以及对目录数据查询和数据修改的访问控制。 ⑥ 提供安全策略的存储和应用范围,支持组策略来实现网络用户和计算机的集中配置和 管理。 Active Directory 管理工具简化了目录服务的管理。可使用标准工具或使用 Microsoft 管理控 制台来创建专门执行单项管理任务的自定义工具。在 Windows Server 2003 域控制器上可直接使 用的管理工具有以下 3 种: ① Active Directory 用户和计算机。 ② Active Directory 域和信任。 ③ Active Directory 站点和服务。
1.Active Directory 的逻辑结构
Active Directory 的逻辑结构主要侧重于网络的管理,管理的内容包括域、组织单位、域树、 域林等。
(1)域。域(Domain)既是 Windows Server 2003 网络系统的逻辑组织单位,也是 Internet 的逻辑组织单位。在 Active Directory 中,每个 DNS 的域名标识为一个域,每个域由一个或多 个域控制器管理。例如域名为“jy.com”的域,必须要有一个具有域控制器功能的服务器。使 用域账户可以登录本域中的任何主机,可以访问本域中的所有授权资源,本域中的系统管理员
(1)站点。站点可以看作是一个或多个 IP 子网中的一组计算机。同一站点中的计算机需要 很好的连接,尤其是子网内的计算机。如果站点包括多个子网,由于相同原因那些子网也需具 有良好的网络连接。站点与域不同,站点反映网络的物理结构,而域通常反映整个单位的逻辑 结构。逻辑结构和物理结构既相互独立,又可能相互交叉。Active Directory 允许单个站点中有 多个域,单个域中有多个站点。Active Directory 站点的主要作用是使 Active Directory 适应复杂 的网络连接环境,一般只有在有多种网络连接的网络环境(如广域网)中才规划站点。图 3-4 表示出了站点和域的关系。在 Windows Server 2003 中可使用“Active Directory 站点和服务”来 定义站点和站点连接。
3.2 安装 Active Directory
安装 Active Directory 目录服务的关键是安装和配置域控制器,前提是做好 Active Directory 的规划。
3.2.1 规划Active Directory
规划 Active Directory,主要是规划 DNS 名称空间和域结构,必要时还要规划组织单位或 Active Directory 站点。
Active Directory 的逻辑结构侧重于网络资源的管理,而物理结构则侧重于网络的配置和优 化。Active Directory 的物理结构主要注重 Active Directory 信息的复制和用户登录网络时的性能 优化。Active Directory 物理结构的两个重要概念是站点和域控制器。
图 3-3Biblioteka Baidu域林
多个域可合并为域树,多个域树可合并为域林。Active Directory 是一个典型的树状结构, 按自上而下的顺序,依次为林→树→域→组织单位。而在实际应用中,通常是按自下而上的方 法来设计 Active Directory 结构的。 2.Active Directory 的物理结构
Active Directory 需要先规划名称空间。Active Directory 域使用 DNS 名称来命名。选择 DNS 名称用于 Active Directory 域时通常使用现有域名,以企业保留在 Internet 上使用的已注册 DNS 域名后缀开始,并将该名称和企业中使用的地理名称或部门名称结合起来,组成 Active Directory 域的全名。企业可将内部名称空间与外部名称空间保持一致。
3.2 安装 Active Directory 章4章9章
制器,规模较小的域可以只需要两个域控制器:一个实际使用;另一个用于容错性检查。规模 较大的域可以使用多个域控制器。
图 3-4 站点和域
域控制器使用“Active Directory 安装向导”创建。在网络中创建第一个域控制器的同时, 也创建了第一个域、第一个林和第一个站点,并安装了 Active Directory。在 Windows Server 2003 中,域中所有的域控制器都是平等的关系,而不再区分主域控制器和备份域控制器。Active Directory 采用多种复制方式。Windows Server 2003 在复制时会自动比较 Active Directory 的版本, 并用新版本覆盖旧版本。
① 数据存储,也称为目录,它存储着与 Active Directory 对象有关的信息。这些对象包括 共享资源,如服务器、文件、打印机、网络用户和计算机账户等。
② 包含目录中每个对象信息的全局编录。它允许用户和管理员查找目录信息,而与目录 中实际包含数据的域无关。
3.1.2 Active Directory结构
Active Directory 的目录服务建立在域的基础上,由域控制器对网络中的资源实行集中管理 和控制,目录信息存储在域控制器上的 Active Directory 数据库中。Active Directory 以域为基础, 具有伸缩性,包含一个或多个域,每个域具有一个或多个域控制器,可调整目录的规模以满足 任何网络的需要。Active Directory 的结构主要是指网络中所有用户、计算机以及其他网络资源 的层次关系。通常将活动目录的结构分为逻辑结构和物理结构。
当计算机连入网络时,域控制器首先要鉴别这台计算机是否属于这个域、用户使用的登录 账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户 从这台计算机登录。不能登录就意味着用户不能访问服务器上有权限保护的资源,只能以对等 网用户的方式访问 Windows 共享的资源,这样就在一定程度上保护了网络上的资源。
选择域结构的总原则是应尽可能减少域的数量,建议企业网应尽可能使用单一域结构,以 简化管理工作。组织单位的规划很重要,在域内可依据多种标准划分组织单位。如果各个分支
章4章6章第 3 章 配置域控制器
Directory 可以将网络中的各种资源,如用户、组、计算机、打印机、共享等资源组织起来,进 行集中管理,以方便用户对网络资源的搜索和使用。对于 Windows 网络来说,规模越大,需要 管理的资源越多,建立 Active Directory 目录服务也就越有必要。
3.1 认识 Active Directory 章4章7章
可以通过委派授权域账户来提高系统的安全性,便于账户集中管理。 域是网络中的一个逻辑单位,域分为根域和子域,在根域基础上创建的域称为根域的子域。
Windows Server 2003 创建的第一个域称为根域,是域树中所有其他域的根域,例如 163.com 或 sohu.com 这样的域为根域。域与 DNS 的域层级有紧密的关系,并与其相似。
图 3-1 组织单位
图 3-2 域树
域树中的域通过双向可传递信任关系连接在一起。由于这些信任关系是双向的而且是可传 递的,因此在域树中新创建的域可以立即与域树中每个其他的域建立信任关系。这些信任关系 允许单一登录过程,在域树中的所有域上对用户进行身份验证,但这不一定意味着经过身份验
章4章8章第 3 章 配置域控制器
3.1.1 Active Directory简介
Windows Server 2003 域控制器的功能与 Active Directory 密切相关。Active Directory 是一种 可以保存网络对象信息的目录服务,是 Windows Server 2003 的重要功能之一。使用 Active
(2)组织单位。组织单位(Organization Unit,OU)是包含在域中非常有用的目录对象类 型。组织单位可将用户、组、计算机和其他单元放入 Active Directory 的容器中,组织单位不能 包括来自其他域的对象。组织单位是可以指派组策略设置或委派管理权限的最小作用单位。组 织单位可在代表逻辑层次结构的域中创建容器,这样就可以根据组织模型管理账户、资源的配 置和使用,可使用组织单位创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单 位或对单个组织单位的管理权限,组织单位的管理员不需要具有域中任何其他组织单位的管理 权。图 3-1 所示为某域控制器下包含的组织单位,组织单位中可包含其他的组织单位。
第3章 第3章
配置域控制器
学习目标
z 了解活动目录及其特性 z 了解活动目录的逻辑结构和物理结构 z 掌握活动目录的安装方法 z 能将客户机加入域中 z 能降级域控制器
课前准备
z 了解对等网结构的特点 z 了解活动目录结构中常见的基本概念 z 服务器的 3 种不同角色
在 Windows Server 2003 网络中,域是实现客户机/服务器网络模式的基本手段,域控制器 包含由域的账户、密码、属于这个域的计算机等信息构成的数据库,它负责对整个 Windows 域以及域中的所有计算机进行管理。配置域控制器有利于对域中用户的集中配置管理,为网络 共享资源提供安全保障。因此,配置域控制器是 Windows Server 2003 服务器安全配置的重要内容。
3.1 认识 Active Directory
活动目录(Active Directory,AD)是 Windows 平台的核心组件之一,AD 服务为用户管理 网络环境的各个组成要素的标志和关系提供了一种方法。通过以 Windows 2000 Server 操作系统 为基础进行扩展,Windows Server 2003 改进了 Active Directory 的易管理性,并且简化了迁移和 部署工作的复杂程度。
证的用户在域树的所有域中都拥有相同的权利和权限。因为域是安全界限,所以必须在每个域 的基础上为用户指派相应的权利和权限。
(4)域林。域林是由一个或多个没有形成连续名称空间的域树组成,如图 3-3 所示,它与 域树最明显的区别就在于这些域树之间没有形成连续的名称空间,而域树则是由一些具有连续 名称空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。域林中的所 有域树通过 Kerberos 信任关系建立起来,所以每个域树都知道 Kerberos 信任关系,不同域树可 以交叉引用其他域树中的对象。域林都有根域,域林的根域是域林中创建的第一个域,域林中 所有域树的根域与域林的根域建立可传递的信任关系。
(2)域控制器。域控制器(Domain Controller,DC)是指运行 Windows 2000 Server 的服务 器,它保存了 Active Directory 信息的副本。域控制器管理目录信息的变化,并把这些变化复制 到同一个域中的其他域控制器上,使各域控制器上的目录信息处于同步。域控制器也负责用户 的登录过程以及其他与域有关的操作,如身份鉴定、目录信息查找等。一个域可以有多个域控
由于组织单位层次结构局限于域的内部,所以一个域中的组织单位层次结构与另一个域中 的组织单位层次结构完全独立。
(3)域树。域树是 Windows Server 2003 域的集合。子域与其根域相关联构成了域树。域树 的外观类似于倒置的树(根域位于顶部),分支(子域)在下方展开。例如,某单位有一个名为 jy.com 的 DNS 域,并且内部有多个部门,这种情况下,域树的构成如图 3-2 所示。最上层的域 名为 jy.com,是这个域树的根域,下面的两个域 pjy.jy.com 和 zjy.jy.com 是 jy.com 域的子域,这 3 个域共同构成了域树。
③ 查询和索引机制的建立,可以使网络用户或应用程序发布并查找这些对象及其属性。 ④ 通过网络分发目录数据的复制服务。对目录数据所做的任何更改都被复制到域中的所 有域控制器中。 ⑤ 与网络安全登录过程的安全子系统的集成,以及对目录数据查询和数据修改的访问控制。 ⑥ 提供安全策略的存储和应用范围,支持组策略来实现网络用户和计算机的集中配置和 管理。 Active Directory 管理工具简化了目录服务的管理。可使用标准工具或使用 Microsoft 管理控 制台来创建专门执行单项管理任务的自定义工具。在 Windows Server 2003 域控制器上可直接使 用的管理工具有以下 3 种: ① Active Directory 用户和计算机。 ② Active Directory 域和信任。 ③ Active Directory 站点和服务。
1.Active Directory 的逻辑结构
Active Directory 的逻辑结构主要侧重于网络的管理,管理的内容包括域、组织单位、域树、 域林等。
(1)域。域(Domain)既是 Windows Server 2003 网络系统的逻辑组织单位,也是 Internet 的逻辑组织单位。在 Active Directory 中,每个 DNS 的域名标识为一个域,每个域由一个或多 个域控制器管理。例如域名为“jy.com”的域,必须要有一个具有域控制器功能的服务器。使 用域账户可以登录本域中的任何主机,可以访问本域中的所有授权资源,本域中的系统管理员
(1)站点。站点可以看作是一个或多个 IP 子网中的一组计算机。同一站点中的计算机需要 很好的连接,尤其是子网内的计算机。如果站点包括多个子网,由于相同原因那些子网也需具 有良好的网络连接。站点与域不同,站点反映网络的物理结构,而域通常反映整个单位的逻辑 结构。逻辑结构和物理结构既相互独立,又可能相互交叉。Active Directory 允许单个站点中有 多个域,单个域中有多个站点。Active Directory 站点的主要作用是使 Active Directory 适应复杂 的网络连接环境,一般只有在有多种网络连接的网络环境(如广域网)中才规划站点。图 3-4 表示出了站点和域的关系。在 Windows Server 2003 中可使用“Active Directory 站点和服务”来 定义站点和站点连接。
3.2 安装 Active Directory
安装 Active Directory 目录服务的关键是安装和配置域控制器,前提是做好 Active Directory 的规划。
3.2.1 规划Active Directory
规划 Active Directory,主要是规划 DNS 名称空间和域结构,必要时还要规划组织单位或 Active Directory 站点。
Active Directory 的逻辑结构侧重于网络资源的管理,而物理结构则侧重于网络的配置和优 化。Active Directory 的物理结构主要注重 Active Directory 信息的复制和用户登录网络时的性能 优化。Active Directory 物理结构的两个重要概念是站点和域控制器。
图 3-3Biblioteka Baidu域林
多个域可合并为域树,多个域树可合并为域林。Active Directory 是一个典型的树状结构, 按自上而下的顺序,依次为林→树→域→组织单位。而在实际应用中,通常是按自下而上的方 法来设计 Active Directory 结构的。 2.Active Directory 的物理结构
Active Directory 需要先规划名称空间。Active Directory 域使用 DNS 名称来命名。选择 DNS 名称用于 Active Directory 域时通常使用现有域名,以企业保留在 Internet 上使用的已注册 DNS 域名后缀开始,并将该名称和企业中使用的地理名称或部门名称结合起来,组成 Active Directory 域的全名。企业可将内部名称空间与外部名称空间保持一致。
3.2 安装 Active Directory 章4章9章
制器,规模较小的域可以只需要两个域控制器:一个实际使用;另一个用于容错性检查。规模 较大的域可以使用多个域控制器。
图 3-4 站点和域
域控制器使用“Active Directory 安装向导”创建。在网络中创建第一个域控制器的同时, 也创建了第一个域、第一个林和第一个站点,并安装了 Active Directory。在 Windows Server 2003 中,域中所有的域控制器都是平等的关系,而不再区分主域控制器和备份域控制器。Active Directory 采用多种复制方式。Windows Server 2003 在复制时会自动比较 Active Directory 的版本, 并用新版本覆盖旧版本。