微软AD活动目录介绍文档
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
组成员列表 GUID SID New DN
Global Group 嵌套到 Domain Local Group
Move Infrastructure Master
决定操作主机的位置
确认当前操作主机的位置
用“Active Directory 用户和计算机” 查找 RID master PDC emulator Infrastructure master 用“Active Directory 域和信任” 查找 Domain naming master 用 “Active Directory Schema”查找 Schema master
一个域是一个复制单元
域控制器包含域中信息的完整集合,并且参 与域信息的复制
复制
Windows 2000 Domain
域的性能
能力
复制单元 大小 命名
NT 4.0 对象 Windows 2003 属性
40,000 对象
NetBIOS 建立新域
1,000,000+ 对象
DNS 在域内建立管理委派 到OU
Server2
打印机 打印机
名称:Printer1 名称:Printer1 Type:HP4Si Type:HP4Si Color:No Color:No Duplex:Yes Duplex:Yes Location:3rd Floor Location:3rd Floor
为什么需要目录服务
目录服务的 功能性
Directory Partition 复制
NTDS.DIT
Schema Schema
Forest
Configuration Domain
Configuration
Domain X
Full Replica
Domain
Domain Y Domain Z
Domain Controller
Partial Replica
Sales Users
Vancouver Sales
Computers
用OU来给对象进行分组 管理委派到OU
Repair
组织单元
用于结构化活动目录
公司的组织结构 公司的管理构架
Paris
Sales Domain
Repair
User1
User2
User3
User4
组织单元特性
包含用户、组、打印机、计算机、联系人 可应用组策略 嵌套 灵活 – 容易建立、删除、改变
单主机操作
复制
操作主机
操作主机的默认位置
森林范围你的角色: 域范围内角色:
Schema master Domain naming master
RID master PDC emulator Infrastructure master
森林中的第一台域控制器
Schema Master
DC2
DC4 DC4 DC3 DC3
Schema/Configuration NC Topology domain NC Topology Connection Object
Replication Topology Generation
Two Domains Within a Site
树
asia. nwtraders.msft au. nwtraders.msft
全局编录Global Catalog
所有对象的 属性子集
域
域 域 域 域 域
全局编录
查询
用户登陆时的组 成员
Global Catalog Server
ENTERPRISE
Forest
Domain Tree
Global Catalog
控制所有的Schema更新 复制Schema更新到森林中所有的域控制器 只有在 Schema Admin 组中的成员 才能更该Schema
Schema Master
复制
Domain Naming Master
控制在森林中添加和删除域
Domain Naming Master Global Catalog Server
GC DC
Domain Z
活动目录的复制
用户 1 被改编的信息送到DC 1 2 DC将变化复制到其他 DC 3 其他DC将变化复制到更 多地DC DC 2 DC DC
DC
3
Replication Topology Generation
Within a Site
DC2 DC1
Windows NT BDC
RID Master
给域中其他的域控制器分配 RIDs块
Move
Move
RID Master
RID Allocation
Block of RIDs
Object SID = Domain SID + RID
Infrastructure Master
Updates References to Objects and Group Memberships from Other Domains
sales.
DC2 DC2 DC1 DCB DCA DCA
DC3 DC3 DC4 DC4
DCB
Schema/Configuration NC Topology domain NC Topology domain NC Topology Connection Object
ATL.
• 操作主机
森林范围内:
Schema Master Domain Naming Master
域范围内:
PDC Emulator RID Master Infrastructure Master
操作主机介绍
只有作为操作主机的域控制器才能对活动目录信息作相应改变 在操作主机上作的改变将会复制到其他的域控制器 任何域控制器可以作为操作主机 操作主机角色可以转移
活动目录的结构
活动目录逻辑结构 活动目录物理结构 Sites及活动目录的复制
活动目录逻辑结构
域 组织单元 树和森林 全局编录 Domains Organizational Units Trees and Forests Global Catalog
域 Domains
域是一个安全边界
域管理员只能在本域中执行管理操作,除非 他被明确地赋予其他域管理员身份
管理委派
域的层次结构
..
Org Microsoft
com Compaq
edu Digital
cn HP
Fareast Gtec
EMEA
“” “”
“”
组织单元
网络管理型模型 组织结构
用户
打印机
轻量级目录访问协议 (LDAP)
LDAP提供通过制定唯一名字路径来访 问活动目录的每一个对象 LDAP 名字路径包括:
Distinguished names CN=Suzan Fine Suzan Fine,OU=Sales,DC=contoso,DC=msft
LDAP例子
LDAP://DC=Microsoft,DC=COM
Bridgehead Server Configuration
N.Y. CHI (1)
Domain
Domain Bridgehead Server 域控制器 Site Link (Cost)
•Site间复制只在桥头堡 服务器之间
L.A.
(4) (2) (1)
•桥头堡服务器可以不 止一个
Site B
Site A
Site -一个或多个子网 -一个或多个域 Site Link Bridges ISTG
Site C
Site层次
活动目录的复制
多主机复制
所有域控制器参预复制,对等的 任何变化将从一台域控制器复制到所有域控制 器 任何变化可从不同的域控制器上产生
Sites 允许预定的复制
Schedule Interval
什么是活动目录
Server1 用户
活动目录服务基于 X.500 数据库结构,用 于在一个层次结构中组 织网络资源
目录 目录 Printer1
?
服务器 服务器
名称:Server1 名称:Server1 OS:Windows 2000 OS:Windows 2000 Type:File Server Type:File Server Location:1st Floor Location:1st Floor 名称:Server2 名称:Server2 OS:Novell Netware 4.0 OS:Novell Netware 4.0 Type:File Server Type:File Server Location:2nd Floor Location:2nd Floor
活动目录架构 Schema
对象类 实例 活动目录 Schema : 随时可用的 可动态更新的 被 DACLs 保护
计算机 用户属性可能包含:
accountExpires department distinguishedName middleName
属性 实例
属性列表
accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName …
域
域
子域 子域
Domain Tree
子域
Domain Tree
子域 OU OU OU OU 子域 OU OU
OU
OU
OU
• 活动目录物理结构
域控制器 Sites 活动目录的复制
域控制器
域控制器:
参与活动目录复制 在域中作为单操作主机角色
复制
域控制器
域控制器
域
= 活动目录数据库的可写拷贝
Sites
活动目录概述
活动目录概述议程
活动目录的基本概念 活动目录的结构 管理操作主机 DNS 与活动目录 如何建立活动目录
活动目录概述议程 Con.
管理用户和组 在活动目录中发布资源 组策略 常用工具 Windows2003新特性
活动目录的基本概念
什么是活动目录 活动目录的对象 活动目录的架构(Schema) 活动目录与LDAP
复制协议
Intra-Site Inter-Site
复制
Transport 拓扑结构 复制模型 压缩 None RPC over IP Ring Notify/Pull
复制
RPC or SMTP* Spanning Tree Request/Pull Full
SMTP over IP is only supported for DC of different domains (i.e. Schema, Configuration and GC replication)
集中式的管理 Nhomakorabea组织 管理
控制
资源
单入口的管理
一次登陆,可访问域中所有资源
活动目录的对象
对象 属性
打印机名称 打印机位置 用户 Don Hall Suzan Fine
活动目录
打印机 Printer1 Printer2 Printer3 属性 姓 名 登录名 属性值
打印机
用户
对象代表网络资源 属性存储对象的信息
Seattle Chicago Los Angeles New York
IP 子网
Sites:
Site
IP 子网
优化复制通信量
使用户可以通过可信赖的、高速的连接登录域 控制器
相关概念
Bridgehead Server Site Links
(Schedule & Cost)
Connections
Global Catalog Server
Schema
Replica
Configuration Domain
Schema
DC
Schema Configuration Domain
Configuration
Domain X
Domain Y
Directory Partition 也称为命名上下文 Naming Context or NC
New Domain
PDC Emulator
在NT BDC和基于Windows2000之前的客户端存在时 作为PDC 用于基于Windows2000之前的客户端更新密码 对于基于Windows2000的客户端,最小化复制密码 更改的延迟 管理时间同步
PDC Emulator
Client Computer Running Pre-Windows 2000 Version of Windows
组织单元的划分原则
基于部门 OUs 基于项目 OUs 基于业务功能 OUs 基于管理 OUs 基于对象 OUs 地理位置 OUs
树和森林
双向传递性信任
contoso.msft
森林 树
nwtraders.msft asia. contoso.msft au. contoso.msft
双向传递性信任
Global Group 嵌套到 Domain Local Group
Move Infrastructure Master
决定操作主机的位置
确认当前操作主机的位置
用“Active Directory 用户和计算机” 查找 RID master PDC emulator Infrastructure master 用“Active Directory 域和信任” 查找 Domain naming master 用 “Active Directory Schema”查找 Schema master
一个域是一个复制单元
域控制器包含域中信息的完整集合,并且参 与域信息的复制
复制
Windows 2000 Domain
域的性能
能力
复制单元 大小 命名
NT 4.0 对象 Windows 2003 属性
40,000 对象
NetBIOS 建立新域
1,000,000+ 对象
DNS 在域内建立管理委派 到OU
Server2
打印机 打印机
名称:Printer1 名称:Printer1 Type:HP4Si Type:HP4Si Color:No Color:No Duplex:Yes Duplex:Yes Location:3rd Floor Location:3rd Floor
为什么需要目录服务
目录服务的 功能性
Directory Partition 复制
NTDS.DIT
Schema Schema
Forest
Configuration Domain
Configuration
Domain X
Full Replica
Domain
Domain Y Domain Z
Domain Controller
Partial Replica
Sales Users
Vancouver Sales
Computers
用OU来给对象进行分组 管理委派到OU
Repair
组织单元
用于结构化活动目录
公司的组织结构 公司的管理构架
Paris
Sales Domain
Repair
User1
User2
User3
User4
组织单元特性
包含用户、组、打印机、计算机、联系人 可应用组策略 嵌套 灵活 – 容易建立、删除、改变
单主机操作
复制
操作主机
操作主机的默认位置
森林范围你的角色: 域范围内角色:
Schema master Domain naming master
RID master PDC emulator Infrastructure master
森林中的第一台域控制器
Schema Master
DC2
DC4 DC4 DC3 DC3
Schema/Configuration NC Topology domain NC Topology Connection Object
Replication Topology Generation
Two Domains Within a Site
树
asia. nwtraders.msft au. nwtraders.msft
全局编录Global Catalog
所有对象的 属性子集
域
域 域 域 域 域
全局编录
查询
用户登陆时的组 成员
Global Catalog Server
ENTERPRISE
Forest
Domain Tree
Global Catalog
控制所有的Schema更新 复制Schema更新到森林中所有的域控制器 只有在 Schema Admin 组中的成员 才能更该Schema
Schema Master
复制
Domain Naming Master
控制在森林中添加和删除域
Domain Naming Master Global Catalog Server
GC DC
Domain Z
活动目录的复制
用户 1 被改编的信息送到DC 1 2 DC将变化复制到其他 DC 3 其他DC将变化复制到更 多地DC DC 2 DC DC
DC
3
Replication Topology Generation
Within a Site
DC2 DC1
Windows NT BDC
RID Master
给域中其他的域控制器分配 RIDs块
Move
Move
RID Master
RID Allocation
Block of RIDs
Object SID = Domain SID + RID
Infrastructure Master
Updates References to Objects and Group Memberships from Other Domains
sales.
DC2 DC2 DC1 DCB DCA DCA
DC3 DC3 DC4 DC4
DCB
Schema/Configuration NC Topology domain NC Topology domain NC Topology Connection Object
ATL.
• 操作主机
森林范围内:
Schema Master Domain Naming Master
域范围内:
PDC Emulator RID Master Infrastructure Master
操作主机介绍
只有作为操作主机的域控制器才能对活动目录信息作相应改变 在操作主机上作的改变将会复制到其他的域控制器 任何域控制器可以作为操作主机 操作主机角色可以转移
活动目录的结构
活动目录逻辑结构 活动目录物理结构 Sites及活动目录的复制
活动目录逻辑结构
域 组织单元 树和森林 全局编录 Domains Organizational Units Trees and Forests Global Catalog
域 Domains
域是一个安全边界
域管理员只能在本域中执行管理操作,除非 他被明确地赋予其他域管理员身份
管理委派
域的层次结构
..
Org Microsoft
com Compaq
edu Digital
cn HP
Fareast Gtec
EMEA
“” “”
“”
组织单元
网络管理型模型 组织结构
用户
打印机
轻量级目录访问协议 (LDAP)
LDAP提供通过制定唯一名字路径来访 问活动目录的每一个对象 LDAP 名字路径包括:
Distinguished names CN=Suzan Fine Suzan Fine,OU=Sales,DC=contoso,DC=msft
LDAP例子
LDAP://DC=Microsoft,DC=COM
Bridgehead Server Configuration
N.Y. CHI (1)
Domain
Domain Bridgehead Server 域控制器 Site Link (Cost)
•Site间复制只在桥头堡 服务器之间
L.A.
(4) (2) (1)
•桥头堡服务器可以不 止一个
Site B
Site A
Site -一个或多个子网 -一个或多个域 Site Link Bridges ISTG
Site C
Site层次
活动目录的复制
多主机复制
所有域控制器参预复制,对等的 任何变化将从一台域控制器复制到所有域控制 器 任何变化可从不同的域控制器上产生
Sites 允许预定的复制
Schedule Interval
什么是活动目录
Server1 用户
活动目录服务基于 X.500 数据库结构,用 于在一个层次结构中组 织网络资源
目录 目录 Printer1
?
服务器 服务器
名称:Server1 名称:Server1 OS:Windows 2000 OS:Windows 2000 Type:File Server Type:File Server Location:1st Floor Location:1st Floor 名称:Server2 名称:Server2 OS:Novell Netware 4.0 OS:Novell Netware 4.0 Type:File Server Type:File Server Location:2nd Floor Location:2nd Floor
活动目录架构 Schema
对象类 实例 活动目录 Schema : 随时可用的 可动态更新的 被 DACLs 保护
计算机 用户属性可能包含:
accountExpires department distinguishedName middleName
属性 实例
属性列表
accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName …
域
域
子域 子域
Domain Tree
子域
Domain Tree
子域 OU OU OU OU 子域 OU OU
OU
OU
OU
• 活动目录物理结构
域控制器 Sites 活动目录的复制
域控制器
域控制器:
参与活动目录复制 在域中作为单操作主机角色
复制
域控制器
域控制器
域
= 活动目录数据库的可写拷贝
Sites
活动目录概述
活动目录概述议程
活动目录的基本概念 活动目录的结构 管理操作主机 DNS 与活动目录 如何建立活动目录
活动目录概述议程 Con.
管理用户和组 在活动目录中发布资源 组策略 常用工具 Windows2003新特性
活动目录的基本概念
什么是活动目录 活动目录的对象 活动目录的架构(Schema) 活动目录与LDAP
复制协议
Intra-Site Inter-Site
复制
Transport 拓扑结构 复制模型 压缩 None RPC over IP Ring Notify/Pull
复制
RPC or SMTP* Spanning Tree Request/Pull Full
SMTP over IP is only supported for DC of different domains (i.e. Schema, Configuration and GC replication)
集中式的管理 Nhomakorabea组织 管理
控制
资源
单入口的管理
一次登陆,可访问域中所有资源
活动目录的对象
对象 属性
打印机名称 打印机位置 用户 Don Hall Suzan Fine
活动目录
打印机 Printer1 Printer2 Printer3 属性 姓 名 登录名 属性值
打印机
用户
对象代表网络资源 属性存储对象的信息
Seattle Chicago Los Angeles New York
IP 子网
Sites:
Site
IP 子网
优化复制通信量
使用户可以通过可信赖的、高速的连接登录域 控制器
相关概念
Bridgehead Server Site Links
(Schedule & Cost)
Connections
Global Catalog Server
Schema
Replica
Configuration Domain
Schema
DC
Schema Configuration Domain
Configuration
Domain X
Domain Y
Directory Partition 也称为命名上下文 Naming Context or NC
New Domain
PDC Emulator
在NT BDC和基于Windows2000之前的客户端存在时 作为PDC 用于基于Windows2000之前的客户端更新密码 对于基于Windows2000的客户端,最小化复制密码 更改的延迟 管理时间同步
PDC Emulator
Client Computer Running Pre-Windows 2000 Version of Windows
组织单元的划分原则
基于部门 OUs 基于项目 OUs 基于业务功能 OUs 基于管理 OUs 基于对象 OUs 地理位置 OUs
树和森林
双向传递性信任
contoso.msft
森林 树
nwtraders.msft asia. contoso.msft au. contoso.msft
双向传递性信任