01 活动目录域服务 (AD DS)

• Windows 2000 纯模式域功能级别的所有功能，还有以 下功能：
• 域控制器的重命名 • 更新登录时间戳 • 重定向用户和计算机容器的功能 • 支持选择性的身份验证
Windows Server® 2008
• Windows Server 20003模式域功能级别的所有功能，还有以下 功能：
AD DS 架构
AD DS 架构：
•定义可存储在 AD DS 中的每一种对象类型 •强制实施与对象创建和配置有关的规则
对象类型 类对象 属性对象
功能 定义可在目录中创建何种新对象
示例
• 用户类 • 计算机类
定义对于每种对象类可存储哪些信 息
• 显示名
域
域是逻辑目录组件，用于分组和管理组织中的 AD DS 对象。
•只读域名系统
•属性集筛选
可重新启动的AD DS
可重新启动的 AD DS 可减少执行某些操作所需的时间。管理员还可以停 止 AD DS 以执行 Active Directory 数据库脱机碎片整理等任务，而 无需重新启动域控制器。在服务器上运行并且不依赖 AD DS 就能工作的 其他服务，如动态主机配置协议 (DHCP)，在 AD DS 停止时仍可用来 满足客户端请求 。
林功能级别分为： •Windows 2000 •Windows Server 2003 •Windows Server 2008
林功能级别（续）
不同林功能级别各有不同特色，林功能级别一旦提升后，就不可以再降级。
支持的功能级别：
林功能级别
启用的功能
Windows® 2000
• 所有默认的 Active Directory 功能
DNS 域名
DDNNSS 区区域域可可作作为为 AAccttiivvee DDiirreeccttoorryy 集集成成区区域域存存储储在在 AADD DDSS 中中
DNS 区域
全局编录服务器
全局编录服务器是存储了全局编录的副本的域控制器。
全局编录：
•包含林中所有 AD DS 对象的副本，但是该副本仅包含林中每个对象的部 分属性
NA.Woodgrove Bank.com
林
林是一个或多个域树的集合。
林：
•共享同一架构 •共享同一配置分区 •共享同一全局编录以支持搜索 •实现林中所有域之间的信任 •共用 Enterprise Admins 和 Schema Admins 组
OU
OU 是可包含用户、组、计算机和其他 OU 的 Active Directory 容器。
AD DS 域控制器
域控制器是安装了 AD DS 服务器角色的服务器。
域控制器：
•承载 AD DS 目录存储的副本 •提供身份验证和授权服务 •将更新复制到域和林中的其他域控制器 •允许在服务器上管理用户帐户和网络资源
Windows Server 2008 AD DS 支持 RODC
DNS 和 AD DS 概述
第 5 节：域功能级别与林功能级别
域功能级别 林功能级别
域功能级别
功能级别： •决定域或林中可用的 AD DS 功能 •在域或林中的域控制器上，可限制运行哪些 Windows Server 操作系统
域功能级别设置只会影响到该域，不会影响到其他域。
域功能级别分为： •Windows 2000 native •Windows Server 2003 •Windows Server 2008
网网络络上上的的共共享享资资源源包包括括访访问问控控制制 列列表表 ((AACCLL))，，AACCLL 定定义义谁谁可可以以 访访问问资资源源
安安全全令令牌牌与与资资源源上上的的 DDAACCLL 进进 行行比比较较，，并并相相应应地地授授予予或或拒拒绝绝访访 问问。。
使用 AD DS 集中管理网络
图
访问 信任 信任和访问
•林中的所有域信任林中的所有其他域 •信任可延伸到林之外
域树
域树是 AD DS 中域的层次结构。
EMEA.Wood groveBank.com
域树中的所有域：
•其名称空间衔接父域的名称空间 •可以在其名称空间中添加更多子域 •与树中的其他域之间有双向可传递信任关系
Woodgrove Bank.com
域提供：
•管理边界，用来将策略应用于对象组 •复制边界，用于在域控制器之间复制数据 •身份验证和授权边界，提供限制资源访问范围的方法
Woodgrove Bank.com
AD DS 信任
信任提供了一种使用户能访问另一个域中的资源的机制。
信任类型
描述
直接式
信任方向从信任域流向受信任 域
可传递
信任关系延伸到双域信任之 外，以纳入其他受信任域。
AD DS 由物理组件和逻辑组件组成。
物理组件
• 数据存储 • 域控制器 • 全局编录服务器 • 只读域控制器 (RODC)
逻辑组件
• 分区 • 架构 •域 • 域树 •林 • 站点 • 组织单位 (OU)
第 2 节：AD DS 逻辑组件概述
AD DS 架构 域 AD DS 信任 域树 林 OU 讨论：实施 AD DS 逻辑组件的场景 AD DS 对象 演示：管理 AD DS 逻辑组件的工具
OU 用于：
•层次化地、逻辑地表示公司组织结构 •以统一的方式管理一系列对象 •将权限委派给对象的管理员组 •应用策略
讨论：实施 AD DS 逻辑组件的场景
对于每一个场景，描述将需要实施的 AD DS 逻辑组件：
•场景 1：小型公司 •场景 2：中型公司 •场景 3：学术机构 •场景 4：企业机构
站点
AD DS 站点用于表示一个网段，在该网段中，所有域控制器都通过快速 可靠的网络连接相连。
站点：
•与 IP 子网关联
•用于管理复制流量
•用于管理客户端登录流量 •由可识别站点的应用程序使用，如分布式文件系统 (DFS) 或 Exchange
Server 2007 •用于将组策略对象分配给公司位置中的所有用户和计算机
讨论：实施 AD DS 物理组件的场景
对于每一个场景，描述将需要实施的 AD DS 物理组件：
•场景 1：小型公司 •场景 2：中型公司 •场景 3：学术机构 •场景 4：企业机构
演示：管理 AD DS 物理组件的工具
在本演示中，你将了解用于管理 AD DS 物理组件的工具。
第 4 节： Windows Server 2008 域控制器新功能
演示：管理 AD DS 逻辑组件的工具
在本演示中，你将了解用于管理 AD DS 逻辑组件的工具。
第 3 节：AD DS 物理组件概述
AD DS 域控制器 DNS 和 AD DS 概述 全局编录服务器 AD DS 数据存储 AD DS 复制 站点 讨论：实施 AD DS 物理组件的场景 演示：管理 AD DS 物理组件的工具
域功能级别（续）
不同域功能级别各有不同特色，域功能级别一旦提升后，就不可以再降级。
支持的功能级别：
域功能级别
启用的功能
Windows® 2000 纯模式
• 为分发组和安全组启用的通用组 • 组嵌套 • 已启用组转换，可在安全组和分发组之间进行转换 • 安全标识符 (SID) 历史记录
Windows Server® 2003
的实例的功能 • 将 inetOrgPerson 对象实例转换为 User 对象实例的
功能，反之亦然
• 在架构中停用并重新定义属性和类别
Windows Server® 2008
• Windows Server 2003 林功能级别上可用的所有功能，但不包 括任何其他功能。
Windows Server® 2003
• 所有默认的 Active Directory 功能及以下功能 • 林信任 • 域重命名 • 链接值复制 • 部署运行 Windows Server 2008 的 RODC功能 • 改进的知识一致性检查器 (KCC) 的算法和可伸缩性 • 改进的 ISTG 算法 • 在域目录分区中创建动态辅助类（称为 dynamicObject）
AD DS 复制
AD DS 复制将 AD DS 数据库的所有更新复制到域中或林中的所有其他 域控制器。
AD DS 复制：
•确保所有域控制器都有相同的信息 •使用多主机 (multimaster) 复制模型 •可通过创建 AD DS 站点来进行管理
AD DS 复制拓扑是在新的域控制器添加到域中时自动创建的。
AD DS 对象
对象 用户 InetOrgPerson
联系人
组 计算机 打印机 共享文件夹
描述 • 使用户能够访问网络资源 • 类似于用户帐户 • 用于兼容其他目录服务
• 主要用于将电子邮件地址分配给外部用户 • 不允许网络访问
• 用于简化访问控制的管理 • 实现计算机对资源访问的身份验证和审核 • 用于简化查找并连接打印机的过程 • 使用户能根据属性搜索共享文件夹
部署 AD DS 的原因
AD DS 提供了一个集中式的系统，用于管理网络上的用户、计算机和 其他资源。
AD DS 功能包括：
•集中式目录 •单一登录访问 •集成安全性 •可伸缩性 •公共管理界面
身份验证
身份验证是在网络上验证用户身份的过程。
身份验证包含两个组成部分：
•交互式登录 – 授予对本地计算机的访问权
•网络身份验证 –授予Hale Waihona Puke Baidu网络资源 的访问权
授权
授权是验证通过身份验证的用户是否有权限来执行某个操作的过程。
••创创建建帐帐户户时时，，安安全全标标识识符符 ((SSIIDD)) 将将颁颁发发给给安安全全主主体体
身身份份验验证证期期间间，，安安全全令令牌牌将将颁颁发发 给给用用户户帐帐户户，，令令牌牌中中包包含含用用户户的的 SSIIDD 以以及及所所有有相相关关的的组组 SSIIDD
只读域控制器（RODC） 可重新启动的AD DS
只读域控制器（RODC）
RODC是Windows Server 2008内增加的一个新类型的域控制器。 它的Active Directory数据库只可以读取，不可以修改。主要是设计给 远程分公司网络来使用。
特点：
•数据库只读 •单向复制 •凭据缓存 •系统管理员角色隔离
••AADD DDSS 需需要要 DDNNSS 基基础础结结构构
AADD DDSS 域域名名必必须须是是 DDNNSS 域域名名
DNS
AADD DDSS 域域控控制制器器记记录录必必须须在在 DDNNSS 中中注注册册才才能能使使其其他他域域控控 制制器器和和客客户户端端计计算算机机能能找找到到该该 域域控控制制器器
• Kerberos 身份验证协议的高级加密服务（AES 128 和 256）支 持
• Kerberos 身份验证协议的高级加密服务（AES 128 和 256）支 持
• 上次交互式登录信息，将显示用户上次成功交互式登录的时间、来自 什么工作站，以及自上次登录失败的登录尝试次数
• 严格的密码策略 (FGPP)，
支持的域控制器操作 系统
• Windows Server 2008 • Windows Server 2003 • Windows 2000 Server
• Windows Server 2008 • Windows Server 2003
• Windows Server 2008
林功能级别
林功能级别设置会影响到该林内的所有域。
•提高搜索对象的效率，因为它避免了不必要地引用域控制器
•是用户登录到域中所必需的
AD DS 数据存储
AD DS 数据存储包含存储和管理用户、服务和应用程序的目录信息的数 据库文件和文件进程。
AD DS 数据存储：
•由 Ntds.dit 文件构成 •默认存储在所有域控制器上的 %SystemRoot%\NTDS 文件夹中 •只能通过域控制器进程和协议访问
AD DS 通过以下几点实现集中管理网络：
•提供了一个集中的地方来管理用户和组帐户以及相应的工具集 •提供了一个集中的地方来分配对共享网络资源的访问权 •为支持 AD DS 的应用程序提供目录服务 •提供用于配置应用于所有用户和计算机的安全策略的多种选项 •提供用于管理用户桌面和安全设置的组策略
AD DS 组件概述
微思网络，福建IT精英的发源地！
第一章 活动目录域服务
章节概述
活动目录域服务（AD DS）概述 AD DS 逻辑组件概述 AD DS 物理组件概述 Windows Server 2008 域控制器新功能 域功能级别与林功能级别
第 1 节：活动目录域服务（AD DS）概述
部署 AD DS 的原因 身份验证 授权 使用 AD DS 集中管理网络 AD DS 组件概述