_活动目录和域
活动目录介绍
活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。
NT的"域(domain)"的概念是⽬录服务的⼀个基本单元。
"⼀次登录,Single Logon"在Windows NTServer 的环境下有了具体的应⽤,⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进⼀步发展了"活动⽬录(Active Directory)"。
活动⽬录充分体现了微软产品的"ICE",即集成性(Integration),深⼊性(Comprehensive),和易⽤性(Ease of Use)等优点。
活动⽬录是⼀个完全可扩展,可伸缩的⽬录服务,既能满⾜商业ISP的需要,⼜能满⾜企业内部⽹和外联⽹的需要。
活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。
它采⽤的是Exchange Server的数据存储,称为:Extens ible Storage Service (ESS)。
其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能⾮常优良。
这个数据存储之上已建⽴索引的,可以⽅便快速地搜索和定位。
活动⽬录的分区是"域(Domain)",⼀个域可以存储上百万的对象。
域之间还有层次关系,可以建⽴域树和域森林,⽆限地扩展。
在数据存储之上,微软建⽴了⼀个对象模型,以构成活动⽬录。
这⼀对象模型对LDAP有纯粹的⽀持,还可以管理和修改Schema。
Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义,其本⾝也是活动⽬录的内容之⼀,在整个域森林中是唯⼀的。
第3章_域和活动目录
(9)单击【下一步】按钮,弹出【共享的系统卷】 向导页。在此指定SYSVOL文件夹的位置
(10)单击【下一步】按钮,系统会自动到DNS服 务器中查找是否有相应的DNS区域。 如果在DNS服务器上有相应的DNS区域并已设置了 区域属性允许动态更新,则立即进行安装。 如果没有相应的DNS区域则出现如图3所示的【DNS 注册诊断】向导页。此选择中【在这台计算机上 安装并配置DNS服务器】,并将这台DNS服务器设 为这台计算机的【首选DNS服务器】单选按钮。
(18)单击【立即重新启动】按钮,重新启动后该计算机就
以域控制器的角色出现在网络中。
把计算机加入、退出域
在系统属性中的计算机名选项卡中的计算机名称更改中进行设 置,把计算机进行工作组与域模式之间的切换,使之能够进入 域和推出域。
删除活动目录
在DC上选择【开始】|【程序】|【管理工具】|【管理 您的服务器】菜单中进行删除活动目录,依次根据提示 进行相应操作。
5)在Windows Server 2003典型的域中,计算机类型有: 运行Windows Server 2003的域控制器:每个域控制器 都存储和维护目录的一个副本。 运行Windows Sever 2003的成员服务器:成员服务器是 没有配置成域控制器的服务器。成员服务器不存储目录信 息,并且不能验证用户的身份。成员服务器提供诸如共享 文件夹或打印机的共享资源。 运行Windows Server 2003或其他操作系统的客户机: 客户机运行用户桌面环境,并且允许用户访问域中的资源。
本章作业
一.练习 1.填空题 (1)网络中计算机逻辑组合的两种模式,即_______和 _______模式。 (2)在域的模式下,_______是最小的安全边界, _______是最小的管理边界。 (3)在Active Directory中所有的对象被组织在一个树 状的层叠结构当中,这个树状结构包括有_______、 _______、_______、_______和_______。 (4)在创建新域时,域的类型有三种,它们分别是 _______、_______和_______。 (5)Active Directory共享系统卷默认的共享文件夹的 路径是_______。
windows服务器_部署活动目录域
32
实验案例2:OU的管理
• 学员练习:
– 创建OU – 创建用户 – 委派权限 – 在客户机添加“Active Directory域服务工具” 功能 – 在客户机上使用被委派用户验证委派
40分钟完成
33
6
安装活动目录
• 推荐步骤
– 运行dcpromo命令 – 在新林中新建域 – 设置域名 – DNS服务器 – 目录服务还原模式的Administrator密码
7
域功能级别
域功能级别 支持的域控制器
Windows 2000 Window Server 2003 Window Server 2008 Window Server 2003 Window Server 2008
– 可扩展性
4
域和活动目录的概念3-3
• 域树
– 具有连续的域名空间的多个域
• 林
– 林由一个或多个域树组成
5
安装域控制器的条件
• 安装者必须具有本地管理员权限 • 操作系统版本必须满足条件(Windows Server 2003 除Web版外都满足) • 本地磁盘至少有一个分区是NTFS文件系统 • 有TCP/IP设置(IP地址、子网掩码等) • 有相应的DNS服务器支持 • 有足够的可用空间
• 可以按AGDLP规则来使用全局组
19
通用组
• 使用范围是整个林及信任域 • 全局组和通用组的区别
– 通用组的成员身份在全局编录中
• 多域环境下通用组成员登录或者查询速度较快
– 全局组的成员身份在每个域中
20
组织单位(OU)的管理
• 概念
– 容器:有效地组织活动目录对象 – 委派控制 – 组策略
16
网络操作系统习题答案
⽹络操作系统习题答案Server 2003 ⽹络操作系统习题答案第1章⽹络操作系统导论⼀、填空题1.⽤户、⽹络⽤户2.源主机⽬标主机3.客户/服务器(C/S)⼆、简答题1.⽹络操作系统有哪些基本的功能与特性?⽹络操作系统应具有下⾯⼏个⽅⾯的功能。
(1)共享资源管理。
(2)⽹络通信。
(3)⽹络服务。
(4)⽹络管理。
(5)互操作能⼒。
⽹络操作系统的主要任务是对全⽹资源进⾏管理,实现资源共享和计算机间的通信与同步,下⾯介绍⼀些⽹络操作系统的特性。
(1)客户/服务器模式。
(2)32位操作系统。
(3)抢先式多任务。
(4)⽀持多种⽂件系统。
(5)Internet⽀持。
(6)并⾏性。
(7)开放性。
(8)可移植性。
(9)⾼可靠性。
(10)安全性。
(11)容错性。
(12)图形化界⾯(GUI)。
2.常⽤的⽹络操作系统有哪⼏种?各⾃的特点是什么?⽹络操作系统是⽤于⽹络管理的核⼼软件,⽬前得到⼴泛应⽤的⽹络操作系统有UNIX、Linux、NetWare、Windows NT Server、Windows 2000 Server和Windows Server 2003等。
(1)UNIX操作系统是⼀个通⽤的、交互作⽤的分时系统,其主要特性如下:1)模块化的系统设计。
2)逻辑化⽂件系统。
3)开放式系统:遵循国际标准。
4)优秀的⽹络功能:其定义的TCP/IP协议已成为Internet的⽹络协议标准。
5)优秀的安全性:其设计有多级别、完整的安全性能,UNIX很少被病毒侵扰。
6)良好的移植性。
7)可以在任何档次的计算机上使⽤,UNIX可以运⾏在笔记本电脑到超级计算机上。
(2)Linux是⼀种在PC上执⾏的、类似UNIX的操作系统。
1)完全遵循POSLX标准。
2)真正的多任务、多⽤户系统。
3)可运⾏于多种硬件平台。
4)对硬件要求较低。
5)有⼴泛的应⽤程序⽀持。
6)设备独⽴性。
7)安全性。
8)良好的可移植性。
9)具有庞⼤且素质较⾼的⽤户群。
域与活动目录的管理题目
第4单元域与活动目录的管理一、填空题1.域树中的子域和父域的信任关系是双向、可传递的。
2.活动目录存放在注册表中3.你是一个Windows Server 2008域的管理员,域名为,现在你需要在该域下面创建一个新的子域,那么在创建遇到类型时,该选择在现有的域树中的子域4.独立服务器上安装了活动目录就升级为域控制器。
5.域控制器包含了由这个域的用户、网络中的其他对象以及属于这个域的计算机等信息构成的数据库。
6.活动目录中的逻辑单元包括域、域树、域林和组织单元。
7.SYSVOL是位于操作系统系统分区%windir%目录中的操作系统文件的一部分,必须位于NTFS分区。
8.网络中的第一台安装活动了目录的服务器通常会默认被设置为主域控制器,其他域控制器(可以有多台)称为辅助(备份)域控制器,主要用于主域控制器出现故障时及时接替其工作,继续提供各种网络服务,不致造成网络瘫痪,同时用于备份数据。
9.活动目录的物理结构的两个重要概念是站点和域控制器。
10.域中的计算机分类是哪4种:域控制器、成员服务器、独立服务器、域中的客户端。
11.域中的计算机使用DNS来定位域控制器和服务器以及其他计算机、网络服务等。
12.企业网络采用域的组织结构,可以使得局域网的管理工作变得更集中、更容易、更方便。
二、选择题1.下列( D )不是域控制器存储所有的域范围内的信息。
A.安全策略信息B.用户身份验证信息C.账户信息D.工作站分区信息2.活动目录和( A )的关系密不可分,使用此服务器;来登记域控制器的IP、各种资源的定位等A.DNSB.DHCPC.FTPD.HTTP3.下列( C )不属于活动目录的逻辑结构。
A.域树B.域林C.域控制器D.组织单元4.活动目录安装后,管理工具里没有增加( D )菜单。
A.Active Directory用户和计算机B.Active Directory域和信任关系C.Active Directory域站点和服务器D.Active Directory管理5.你是一台Windows Server 2008计算机的系统管理员,你可以使用( C )工具来管理该计算机中的组账号。
什么是域、域树、域森林
活动目录是由组织单元、域(domain)、域树(tree)、森林(forest)构成的层次结构。
域作为最基本的管理单元,同时也是最基层的容器,它可以对员工、计算机等基本数据进行存储。
在一个活动目录中可以根据需要建立多个域,比方说“甲公司”的财务科、人事科、销售科就可以各建一个域,因为这几个域同属甲公司,所以就可以将这几个域构成一棵域树并交给域树管理,这棵域树就是甲公司。
又因为,甲公司、乙公司、丙公司都归属A集团,那么为了让A集团可以更好地管理这三家子公司,就可以将这三家公司的域树集中起来组成域森林(即A集团)。
因此A集团可以按“子公司(域树)→部门→员工”的方式进行层次分明的管理。
活动目录这种层次结构使企业网络具有极强的扩展性,便于组织、管理以及目录定位。
假设甲公司的人事科现在需要更名为人力资源部,那么它的域名“人事科.甲公司.A集团”就必须更改为“人力资源部.甲公司.A集团”,这时就出现了域更名需求。
在Windows Server 2003中,这个域更名操作可在“域更名”工具的帮助下几分钟内完成。
域和活动目录的设置
一、建立和设置活动目录
(12)开始安装活动目录。
一、建立和设置活动目录
(13)完成安装,重新启动计算机。
二、活动目录的管理
1.新建域用户
(1)启动“Active Directory用户和计算机”控制台。 (2)单击已创建的域名,然后打开目录。 (3)右键单击“用户”项,指向“新建”项,然后单击“用
户”项。 (4)输入新用户的名、姓和用户登录名,然后单击“下一步”
按钮。
二、活动目录的管理
(5)输入新密码,确认密码,单击“下一 步”按钮。
(6)在弹出的页面中,单击“完成”按钮。
二、活动目录的管理
2.配置域用户属性
三、将客户机加入到域
(1)首先设置客户机TCP/IP属性, DNS 服务器地址设为服务器的IP地址。
组网技术
组网技术
域和活动目录的设置
1.1 实训目的
(1)了解活动目录的相关概念。 (2)掌握活动目录的安装和使用方法。
1.2 实训流程
(1)建立和设置活动目录。 (2)活动目录的管理。 (3)将客户端加入到域。
1.3 实训操作(步骤)实践
一、建立和设置活动目录
(1)打开“管理您的服务器”页面,启动 配置向导。
三、将客户机加入到域
(2)右键单击“我的电脑”,选择“属性”, 单击“计算机名”选项卡,然后单击“更改”。
(3)在“计算机名更改”对话框中,单击 “隶属于”项下方的“域”单选框,然后填入 “域名”。单击“确定”按钮。
(4)在显示提示后,输入上面创建的账户名 和密码,然后单击“确定”按钮。
(5)重新启动计算机,在登录对话框中输入 用户帐号和密码及所属的域,然后单击“确定” 按钮,计算机就可以成功登录到域中了。
项目 活动目录和域的建立
项目活动目录和域的建立4.1 项目内容1 项目目的通过安装活动目录,理解活动目录和域的关系,了解域、域树和域林的概念,并掌握控制器的安装和配置,以及成员服务器的设置。
2项目任务:某公司组建了单位内部的办公网络,该局域网是一个基于工作组的对等网,近期公司的发展很快,新增了了许多员工,计算机用户激增,网络的管理和安全都出现了问题,这是考虑将基于工作组的网络升级为基于域的网络,现在需要将一台计算机升级为域控制器,并将其它所有计算机加入到域成为成员服务器。
3 任务目标1)学会规划和安装局域网中的活动目录;2)学会在Windows 2003 Server中创建域;3)学会在Windows 2003 Server中添加和管理各种域服务器。
4)学会将局域网中的计算机加入到在Windows 2003 Server的域服务器中。
4.2项目设计1设计有两个域树:和,其中域树下有子域,在域中有两个域控制器;在域中有一个域控制器和有一个成员服务器;下面先创建 的域树,然后再创建的域树。
2 设备清单为了搭建网络环境,需要如下设备:1)安装Windows 2003 Server的PC计算机5台;2)Windows Windows XP计算机1台;3)Windows Server 2003安装光盘。
4.3 项目实施步骤1:创建第一个域创建域可以把一台已经安装Windows Server 2003的对立服务器升级为域控制器。
步骤如下:(1)首先确认“本地连接”属性TCP/IP中首选DNS指向了自己。
(2)其次,打开“开始”菜单,选择“管理工具”菜单中的“管理您的服务器”命令启动配置向导,在此管理介面中出现该服务器已具备功能,如图所示。
(3)选择“添加或删除角色”命令,出现“配置您的服务器向导”介面。
(4)单击“下一步”,选择要安装的服务器角色,在此要安装的是域控制器(ActiveDirectory),对话框中显示本服务器并未配置该项,选中该项,如图4.1所示。
《域与活动目录》课件
学习如何优化和调整域和活动目录,提升系统的性能和稳定性。
3 故障排查和解决
掌握域和活动目录故障排查和解决的方法,确保系统的正常运行。
六、总结
重要性
发展趋势
总结域与活动目录的重要性, 以及它们在系统管理中的关 键作用。
展望域与活动目录的发展趋 势,了解未来技术的变革和 影响。
未来展望
展望域与活动目录的未来, 探索新的发展方向和挑战。
安装和配置
学习如何安装和配置域 控制器,确保系统能够 顺利运行。
维护和管理
掌握域控制器的维护和 管理技巧,确保域的稳 定运行。
三、活动目录
概念和作用
了解活动目录的概念和作 用,以及它对域的重要性。
架构和组件
深入了解活动目录的架构 和各个组件的功能,帮助 您更好地管理活动目录。
命名和管理
学习如何命名和管理活动 目录,确保数据的有效组 织和访问。
四、域和活动目录的关系
1
关联
了解域和活动目录之间的关联,以及它们在系统中的协作关系。
2
同步
学习如何同步域和活动目录的数据,确保信息的一致性和准系统免受潜在威胁。
五、域和活动目录的应用
1 应用场景
探索域和活动目录的各种应用场景,了解它们在不同领域的价值和实际用途。
《域与活动目录》PPT课 件
欢迎来到《域与活动目录》课程的PPT课件。在本次课程中,我们将深入探讨 域和活动目录的概念、结构、应用等内容,帮助您更好地理解和掌握这一重 要的主题。
一、域的概念
在本节中,我们将介绍域的定义和作用,域的层次结构以及域名称系统。
二、域控制器
作用和分类
了解域控制器的作用和 不同分类,为后续的安 装和配置提供基础。
[项目4]域与活动目录的管理
![[项目4]域与活动目录的管理](https://img.taocdn.com/s3/m/df9f774cf7ec4afe04a1df59.png)
除此之外,也可以退出某个工作组,方法也很简单,只要将工作组 名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源, 只不过换了一个工作组而已,工作组名并没有太多的实际意义,只是在 “网上邻居”的列表中实现一个分组而已。也就是说,可以随时加入同 一网络上的任何工作组,也可以随时离开一个工作组。“工作组”就像 一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房 间”,以方便网上计算机共享资源的浏览。 在Windows Server 2008系统中要启用网络发现功能,否则将无法找 到网络中的任何“邻居”主机,也不会被其他的“邻居”主机发现。用 鼠标右键单击Windows Server 2008桌面中的“网络”图标,在弹出的菜 单中选择“属性”命令(也可以依次单击Windows Server 2008桌面中的 “开始”→“设臵”→“控制面板”命令,双击“网络和共享中心”图 标),打开“网络和共享中心”管理窗口,如图4-1所示,单击“网络发 现”设臵项右侧的向下箭头按钮,展开“网络发现”功能设臵区域,选 中“启用网络发现”单选项,单击“应用”按钮,这样就可以寻找网络 的“邻居”主机了。
当然在实际的应用中,一个域中的常常有访问另一个域中的资源的 需要。为了解决用户跨域访问资源的问题,可以在域之间引入信任,有 了信任关系,域A的用户想要访问B域中的资源,让域B信任域A就行了。 信任关系分为单向和双向,如图4-7所示。图中①是单向的信任关系, 箭头指向被信任的域,即域A信任域B,域A称为信任域,域B被称为被信 任域,因此域B的用户可以访问域A中的资源。图中②是双向的信任关系, 域A信任域B的同时域B也信任域A,因此域A的用户可以访问域B的资源, 反之亦然。 信任关系有可传递和不可传递之分,如果A信任B,B又信任C,那么A 是否信任C呢?如果信任关系是可传递的,A就信任C;如果信任关系是不 可传递的,A就不信任C。Windows Server 2008中有的信任关系是可传递 的,有的是不可传递的,有的是单向的,有的是双向的,在使用时要注 意。
AD活动目录域信任关系图解
AD活动⽬录域信任关系图解AD活动⽬录域信任关系图解有时候要给学员们讲解AD活动⽬录域信任关系,所以特地写了这篇⽂章来说明信任是在域之间建⽴的关系。
AD活动⽬录域信任关系就是可以使⼀个域中的⽤户由其他域中域控制器进⾏⾝份验证。
⼀个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。
如下图所⽰:域 A 信任域 B,且域 B 信任域 C,则域 C 中的⽤户可以访问域 A 中的资源(如果这些⽤户被分配了适当的权限).只有 Domain Admins 组中的成员才能管理信任关系.信任协议域控制器使⽤两种协议之⼀对⽤户和应⽤程序进⾏⾝份验证:Kerberos version 5 (V5) 协议或 NTLM。
Kerberos V5 协议是 Active Directory 域中的计算机的默认协议。
如果事务中的任何计算机都不⽀持 Kerberos V5 协议,则使⽤ NTLM 协议.信任⽅向单向信任: 单向信任是在两个域之间创建的单向⾝份验证路径。
这表⽰在域 A 和域 B 之间的单向信任中,域 A 中的⽤户可以访问域 B 中的资源。
但是域 B 中的⽤户⽆法访问域 A 中的资源。
单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。
双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。
创建新的⼦域时,系统将在新的⼦域和⽗域之间⾃动创建双向可传递信任。
在双向信任中,域 A 信任域 B,并且域 B 信任域 A。
这表⽰可以在两个域之间双向传递⾝份验证请求。
双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。
信任类型包括外部信任(不可传递)、快捷⽅式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。
下⾯以实例讲解配置两个域之间的信任关系。
域A:域B要求域A <—> 域B 两个域相互信任,部分⽤户资源互访。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
•
域是复制单元
Windows 2003 域
为什么需要域
如果资源分布在多台服务器上,要在每台服务器分别为每 一员工建立一个账户(共M*N),用户则需要在每台服务器 上(共M台)登录
13 / 80
为什么需要域
服务器和用户的计算机都在同一个域中,用 户在域中只要拥有一个账号 用户只需要在域中拥有一个域账户,只需要 在域中登录一次就可以访问域中的资源了。
22 / 80
目录树
目录树:共用 连续名字空间 的域就组成一 个域目录树。
为什么要域树(Domain Tree)
之所以会这样,是因为A、B、C、D、E域被 看成是独立的域,所以信任关系被看成不可 传递,而实际上A、B、C、D、E域都是在同 一企业中,很可能B是A的主管单位,C又是B 的主管单位
OU2
Users User2 Printers Printer1
大家可以以书的目录为例来进行思考
什么是活动目录?
系统管理、安全 管理和互操作性 的基石。
•我们的电话本、地址本也是一种目录,微软的活动目
录(AD,Active Directory)也是一种存放信息的方式 而已 。活动目录基于LDAP (Light Directory Access Protocol,轻型目录访问协议) ,有效集中地组织查找 和管理网络中的资源(包括用户、计算机、共享文件夹 和共享打印机等)
减少 TCO
Sales Paris 柔性管理 RUser2 Printer1
可伸缩性
简化的管理
活动目录的组件
对象
用户账号 计算机 组——包含用户、联系人、计算机和其他组 的活动目录或本机对象,通过组来管理用户 和计算机对共享资源的访问。 组织单位——将用户、组、计算机和其他单 位放入其中的活动目录容器
Windows Server 2003 域林中所有的域信任都是可 传递的。可传递信任始终为双向:此关系中的两个 域互相信任,可传递信任不受信任关系中的两个域 的约束。每当用户建立新的子域时,在父域和新子 域间就隐含自动地建立起双向可传递信任。
B、C互相信任 C
20 / 80
为什么要域树(Domain Tree)
5 / 80
域控制器
• 具有存储活动目录数据功能
• 参与AD复制 • 在域中执行单主控操作角色
复制
域 控制器 域 控制器
域 = AD的数据库的可写副本
活动目录的优点
• • • • • •
集中存储用户和密码列表 提供一组服务器作为身份验证服务器 对域中的资源维护一个可供搜索的索引便于查找 允许创建带有不同权限的用户 能更好的做分层管理 AD为多厂商提供身份验证平台
域林(Domain Forest)
企业可能同时拥有和两个DNS域名 ,这时 候会派生出两棵域树。 这两个域树共同构成了域林。在同一域林中的域树的信任关系 也是双向可传递的。
28 / 80
域树和域林
双向可传递的信任关系
林 树
① ② ③
活动目录用户和计算机管理 活动目录域和信任关系的管理 活动目录站点和服务管理
2013-7-29
域
域的概述 多重域的结构 域的命名规则 域的信任关系
31 / 80
作业
1、什么是活动目录?有什么特性? 2、简述多重域的结构 3、说明域的信任关系类型。
32 / 80
17 / 80
域的信任关系
单向信任 双向信任 可传递信任 不可传递信任 信任协议
18 / 80
为什么需要域
A域信任B域,A称为信任域(Trusting Domain),B称为被信任域(Trusted Domain),B域的用户可以访问A域中的资源
单向信任关系
19 / 80
双向信任关系
功能
集中管理 组织
资源 管理
单点管理
控制
单一登陆,完全访问AD
活动目录的特性
简易型——安装和管理上(在安装活动目录时,第
一个域服务器被配置为域控制器,其它新安装的计算机 被配置为成员服务器);
集成性——用户和资源管理、基于目录的网 络服务、基于网络的应用管理; 深入性——企业级的可伸缩性、安全性、互 操作性、编程能力、升级能力。
2. 组织单元(OU,Organization Unit)
9 / 80
组织单位OU
网络管理模型 OU结构
Sales
Vancouver
Users
Computers
•
•
Sales
Repair
OU是活动目录中一个特殊容器,它可把用户、组、 计算机和打印机等对象组织起来。 OU是活动目录中最小的管理单元,它不仅可以包括 对象,而且可进行组策略设置和委派管理,这是其 他普通容器做不到的。
信任关系有可传递和不可传递之分
A信任B,B又信任C,如果信任关系是可传递的, A就信任C A信任B,B又信任C,如果信任关系是不可传递的, A就不信任C。
21 / 80
为什么要域树(Domain Tree)
在一个企业中可能有很多域,如果要互相跨域访问资 源,需要建立多个信任。必须创建多个双向信任关系: n*(n-1)/2
什么是目录?
•在一个组织中关于人和资源的信息的
一个存储仓库 •特点:用一致的方式命名、描述、定位、管理和保证这些 信息的安全
Domain OU1 Computers Computer1 Users User1
KimYoshida Attributes Name Building Floor Values Kim Yoshida 117 1
24 / 80
为什么要域树(Domain Tree)
25 / 80
为什么要域树(Domain Tree)
域树中,信任关系是可传递的。父域和子域的信 任关系是双向可传递的,结果是域树中的一个域 隐含地信任域树中所有地域。图中共有7个域,所有 域相互信任也只需要6个信任关系,远比之前的 7*6/2=21个信任关系要少得多。 域树中,域的名字是从父域派生出来的。 命名规则: 活动目录中的每个域用DNS域名标识,构成域树的 域一般共享一个连续的名称空间。安装DNS标准, 作为连续名称空间一部分的域的合格域名是使用句 点(.)字符格式附加到父域名称后的。
提问:组和组织单位的 区别?
8 / 80
活动目录中的组织单元(OU, Organization Unit)
1. 对象
用户、计算机、打印机、组等等 每个对象都有自己的属性以及属性值
组织单元把这些对象按逻辑进行分组,便于管理、 查找、授权和访问。 组织单元有许多划分方法,也可以根据地理位置 进行划分
双向可传递的信任关系
树
域树具有连续的名称空间,而森林没有 林是活动目录实例的信息安全边界
小结 Active Directory活动目录
① 活动目录是一个活动的数据库。 ② 活动目录是指一种检索服务。 ③ 活动目录是一种目录服务。
活动目录的MMC控制台:
26 / 80
域林(Domain Forest)
域树中的域的名字和DNS域的名字非常相同, 在Windows 2000 Server以后的系统中,域和 DNS域的关系非常密切,因为域中的计算机 使用DNS来定位域控制器和服务器以及其它 计算机、网络服务等,实际上域的名字就是 DNS的域的名字。
27 / 80
AD的逻辑结构
域树
域
域
域
域 OU
域
域
对象
OU
OU
域 组织单位
林
域—活动目录的核心逻辑单元
•
•
域是出于管理而定义的对象集合(目录服务的基本管理单 位) 域是管理边界
域管理员仅仅能管理自己的域,除非在其它域被特别指派管理权利, 有其自己的安全策略(独立唯一) 域中的DC参与复制,并且包含自己域的目录信息的一个完整拷贝 复制
通过为每个域创建一个目录存储方法 获得
4 / 80
域控制器
域控制器(DC,Domain Controller)上存放 有域中所有用户、组、计算机等信息。域控 制器就把这些信息存放在活动目录中,活动 目录实际上就是一个特殊的数据库。 域控制器是域中的服务器,域控制器上安装 了Active Dricetory并存放了目录数据库。一 个域内可以有多台域控制器,域中的所有控 制器各存储着一份相同的活动目录。
15 / 80
为什么需要域
16 / 80
网络划分成多个域
为什么需要域
划分成小的网络后(域),问题又产生了。 在域1中的用户登录后可以访问域1中的服务 器上的资源,域2的用户可以访问域2中的服 务器上的资源;域1的用户却访问不了域2中 的服务器上的资源,域2的用户也访问不了域 1中的服务器上的资源。 为了解决用户跨域访问资源的问题,可以在 域之间引入信任
14 / 80
为什么需要域
用户信息存放在域中的域控制器(DC, Domain Controller)上 当网络有十万个用户甚至更多,域控制器存 放的用户数据量将很大,更为关键的是如果 用户频繁登录,域控制器可能因此而不堪重 负。 分成多个域,每个域的规模控制在一定的范 围之内。实际上,分成小的域不仅仅出于服 务器不堪重负的原因,更多的是出于管理上 的要求。