第六章活动目录的安装、校验与管理
Windows 2000 Server 的目录服务称作活动目录(Active Directory) 。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。Active Directory使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
Active Directory 的优点:信息安全性 、基于策略的管理 、可扩展性 、可伸缩性 、信息的复制 、与 DNS 集成 、与其他目录服务的互操作性、灵活的查询。
6.1 活动目录的概念
6.1.1活动目录概念
1.活动目录
Windows 2000中的活动目录是一个目录服务,只要我们明白了目录服务也就明白了活动目录。
目录服务由两部分内容构成,一部分是目录;一部分是服务,在目录部分决定了我们的目录服务系统里都能放那些东西、放那些对象,这些对象如何来进行存放等等。我们的目录决定了这样一些信息,就好像你是一个库房管理员,由你决定库房里存放什么东西,如桌子、工具、及其零部件等等,作为库房管理员来说你当然要合理的摆放这些东西,如果有人要求存放爆炸物品,你会说对不起我的库房不适合存放爆炸物品。这就和我们的目录类似,目录决定了存储的问题。
服务(Service)是对我们提出要求的正确响应。活动目录的最终目的是方便用户使用其上的内容,目录是放置存储信息,服务是按我们的要求来提取信息。
当前的操作系统中目录服务有多种,如Netware,UNIX等都有自己的目录服务,大型多用户操作系统的特性之一是具有目录服务结构。活动目录是所有目录服务的一种,用它来对网络进行管理。
2. 对活动目录的要求
? 最简单的可扩展性
? 基于Internet标准
? 灵活并且足够的安全性
? 可以增加升级和迁移
? 更灵活的支持组织结构的变化
3.活动目录的组件
(1)简单的用户管理
包括用户和组织的管理和用户设备管理,用户和组织管理是以前NT4中就有的,用户设备管理是Windows 2000新增加的,我们可以在活动目录中对打印机、共享文件夹等进行管理。这样的好处是在设备和用户之间增加了一道墙,这道墙就是活动目录,使用户不知道、也不关心网络设备的运行情况,网络管理员也不需要让用户知道这些情况。
(2)验证和授权服务
在活动目录中我们首先要实现的是对活动目录中数据的保护,在保护的前提下,使得数据易于我们访问。Windows 2000的验证和授权服务是基于互联网标准。
(3)目录管理
包括目录合并和目录同步问题,如我们在Windows 2000系统中安装了邮件系统(Exchange Server 5.5),我们希望在Windows 2000系统中创建一个用户的同时,自动在邮件系统中创建一个邮箱;在邮件系统创建一个邮箱的同时,自动在Windows 2000系统中创建一个用户。活动目录就可以帮助我们实现这一点,因为它有接口可以供我们来用,因此我们才能实现这样的目标,这些接口都是由目录管理来负责的。
(4)结构服务
包括目录激活的网络和目录激活的服务。我们可以举一个简单的例子来说明,网络管理员可以为每一个用户指定它可以使用的网络带宽,如网络管理员因为他的管理维护工作量较大,可以为自己保留一个1兆的带宽,对普通用户可以指定10K或50K的带宽,这里注意除Windows 2000支持以外,还需网络硬件支持。
(5)应用程序管理
主要是发布客户需要的应用程序和基于策略的应用程序配置,由于活动目录实现了对应用程序的管理,对一个Windows 2000的网络管理员来说,如果用户应用程序发生故障,管理员可以把一个好的计算机安装到用户那里,打开计算机电源开关后,管理员就可以走了,回去慢慢研究用户的计算机到底出了什么故障,而用户只需要坐在那台新的计算机旁等待鼠标不再处于忙的状态的时候,就可以使用计算机了,用户会发现他以前存储的文件和数据及安装的应用程序都存在。这就是应用程序管理给我们带来的目标。当我们的网络真正升级到Windows 2000并且部署完毕之后,一个管理员要做的日常工作时非常少的。
4.活动目录支持的技术
活动目录支持的技术包括TCP/IP、DHCP、DNS、X.509(验证机制)、Kerberos(身份验证机制)、LDIF、LDAP等。
6.1.2活动目录的逻辑结构
活动目录的逻辑结构包括域(Domain)、树(Trees)、森林(Forests)和组织单元(Organization Units)。
1.域(Domain)
域的概念是随着网络技术的发展而提出的一个新概念,最初的计算机是没有管理的,随着联网的计算机数量越来越多,我们越来越需要对联网的计算机进行管理。我们可以使用“工作组”方式来对计算机进行管理,一般情况下这种方法管理的计算机数少(不超过10台);对于一个企业或公司,随着它的发展和信息化的普及,网络上的计算机会越来越多,这种“工作组”的管理方式渐渐的不再适应我们的需求,于是我们就开始使用域这样的概念。
域和工作组都是对计算机进行逻辑组织的方式,即都管理网络的方式。但是,实现的方法目的是不一样的。
用域对计算机进行管理具有这样几个特点:
(1)域是一个安全的边界
其含义就是说在域中,所有的对象是处于一个安全的堡垒之内,域和域之间是不同的安全堡垒之间的关系,任何一个对象都不可以穿越安全堡垒,这一点是和Windows NT是一样的。无论什么时候,我们都是登录到域上,在域中进行身份验证,而不是在任何其他的地方。Windows 2000只在域中有安全性设计,其它地方都没有,域是活动目录中最基本的组件和结构,域和域之间有信任关系。
(2) 域是一个复制的单元
在Windows 2000中,域控制器的地位基本上是平等的。如果一个域的内部有多个域控制器,在任何一个域控制器上都可以进行用户的添加、修改和删除工作,因此我们就会有了这样的问题,如果在一个域控制器上创建了用户账户的话,那么当这个用户登录时,经过其它域控制器进行身份验证是否能通过?当然我们说它本来就属于这个域,无论找到域中的任何一个域控制器进行身份验证都是可以通过的。这件事是依赖于复制单元来实现的,活动目录的复制保证了同一个域内的所有域控制器上的内容完全一致。那么当我们在一个域控制器上创建一个用户时,很快域内的所有域控制器都可以得到这个用户的信息,因此,当这个用户登录域时,无论找到那一个域控制器都是没有问题的。这是复制单元的第一个方面。
复制单元的第二个方面是指在域和域之间进行复制。
(3)域的模型:
Windows 2000域的模型有二种:混合模式(Mix Mode)和私有模式(Native Mode)。
混合模式是指在Windows 2000的域中包含有Windows NT的备份域控制器(BDC),这样的一个域我们就称为混合域模式。换句话说就是,一个Windows 2000的域控制器不能在一个NT4.0中作备份域控制器,意味着它必须做主域控制器。
混合模式从设置上,我们很容易想到是为了一步一步地从Windows NT升级到Windows 2000。当我们需要将Windows NT升级到Windows 2000时,我们可以先将Windows NT的主域控制器升级到Windows 2000的域控制器,让Windows NT的域和 Windows 2000的域共存一段时间,当我们感觉系统都很稳定、一切都正常时,再将Windows NT的备份域控制器升级到Windows 2000,这时我们可以将混合模式转化为私有模式。缺省情况的域模式是混合模式,
私有模式:Windows 2000域的默认模式是私有模式,当域中只有Windows 2000的域控制器时,我们可以将域的混合模式转换为私有模式,注意这种转换是一个不可逆的过程。只有在私有模式才能全部发挥Windows 2000域的全部功能。
2.域树(Trees)
域树是一个或多个与根域有信任关系的域的集合。在域树中我们首先要理解的是信任关系(Trust Relation Ship)概念。
信任关系是两个域之间安全信息的通信连接。这里需要我们理解两层含义,一是信任关系是一个通信连接,如果两个域之间没有信任关系,则这两个域之间是没有这种通信连接的,没有这种通信连接并不是说这两个域之间不能拷贝数据;二是这个通信连接上传输的是安全信息,如用户名、口令等就是安全信息,两个域之间拷贝数据是不需要信任关系的。Windows 2000中域的信任关系具有以下特点:? 双向性:如果A域信任B,则B域就信任A域。
? 可传递性:如果A域信任B, B域信任C域,则A域就信任C域。
? Kerberos:使用Kerberos作为身份验证的机制。Kerberos采用DES(数据加密标准)在网上保护由系统和用户发送的信息。
信任关系是Windows 2000内置自动创建的,在安装活动目录时,如果含有多个域,那么系统会提示创建信任关系。在Windows 2000的活动目录里,任何两个域之间都是信任的,任何两个域之间都可以创建信任关系。我们手工建立的信任关系只是在已经信任的两个域上建立信任关系的快捷方式,有时我们称这种信任关系为“快捷信任”(Show a Card)。
创建“快捷信任”的目的是为了提高访问速度。有时我们也需要在Windows 2000域和Windows NT域之间手工创建信任关系,它完全符合Windows NT信任关系的特点(单向的、不可传递的信任),使用NTLM进行身份验证,而不是使用Kerberos。
3.根域
每一个域树都有一个根域,根域的作用是为我们提供了一个连续命名空间的开始。也就是说,域树和DNS采用的是同一套命名空间,域树的根域定义了活动目录或者说DNS命名空间的开始。
根域下面的所有子域都从根域那里来继承名字。
图6-1 域树结构
Windows 2000所有域之间内置的信任关系提供了访问和控制资源的可能,这种可能的实现需要授权,没有授权这种信任关系的建立也只是形式,达不到资源共享的目的。
4.域林(Forest)
域树的集合称为域林。域林中可以有多棵域树的存在,域林中不会有一个共享的连续命名空间,域林是将不共享连续命名空间的域树组合在一起。
域林的形成:从DNS的角度来说,任何一个域树都要有一个根域;Windows 2000的网络中也要先定义
根域再去定义其它的域。域林的最大特点是不连续的命名空间。
域林主要应用于公司合并的情况下,因为每一个公司的域树都有一个连续的命名空间,公司合并后,为了达到资源共享的目的,需要把这几棵域树合并成域林。
域林的根域:域林中第一棵树的根域叫做域林的根域,这个根域的管理员叫做域林管理员。在域林中,域林管理员的权利是最大的,他可以做任何事情,由域林管理员来实现公司的统一管理。
在域、域树和域林这三部分中,域和域林都有管理员,域树没有管理员。
6.1.3域控制器
1.域服务器
简单的说,活动目录存在的那台计算机就是域服务器,也叫域控制器(DC)。活动目录的全部内容存放在域控制器上,它负责活动目录数据库的维护、用户身份的验证和活动目录的安全性。
Windows 2000域中的任何一台域控制器都有权决定用户是否可以登录到域和用户账户的创建等事情,域控制器使用复制机制来维护活动目录的完整信息。
2.域服务器(DC)和普通服务器(Member Server)的区别
域服务器和普通服务器最主要的区别是在计算机上是否存放了活动目录的数据库文件,如果是就称该计算机为域服务器,如果不是,则该计算机就是普通服务器。普通服务器一般是为专门的功能而设的,如数据库服务器、文件服务器、邮件服务器等等。域服务器的最主要的功能是对用户的身份验证并且维护整个活动目录数据库和对外提供服务,由活动目录提出的服务都是由域服务器来完成。
6.2活动目录的安装
6.2.1 安装的要求
(1)必须是安装了Windows 2000 Server或Windows 2000 Advanced Server和Windows 2000 Datacenter Server的计算机。
(2)要求硬盘上至少有200兆空间用来安装活动目录数据库,至少有50兆空间用来安装日志文件,这里考虑了活动目录使用后数据的增长。
(3)必须要有NTFS文件系统,因为在安装时需要安装Sysvol目录,这个目录要求必须存放在NTFS 5.0的分区上。建议安装完Windows 2000 系统后,最好用Windows 2000系统重新格式化一个NTFS分区。
Windows 2000默认的协议是TCP/IP,在安装过程中不需要考虑安装TCP/IP协议,换句话说,只要安装好了Windows 2000系统,TCP/IP协议就已经安装好了。
(4)必需是一个DNS的客户端
如果你不希望改变DHCP缺省配置的话,就必需由DHCP服务器把IP地址分发给要安装的域控制器,要安装DNS是我们安装服务器时的必需要求;如果你不想使用DHCP,手动来配置IP地址,这是在必需配置IP地址、子网掩码、缺省网关的同时,还要配置DNS服务器的IP地址。也就是说域服务器的DNS必需指向一个DNS服务器,安装活动目录的计算机必需是一个DNS的客户端。从前面我们对DNS的讨论可以知道,如果你想安装一个域控制器的话,你会在DNS服务器上添加若干SRV记录,使用户通过DNS服务器来查找域控制器的SRV记录来进行身份验证。
域控制器可以是DNS服务器,也可以不是,只要我们能访问到DNS服务器就可以了。也就是说你拿DNS服务器的IP地址可以ping的通就可以了。
(5)特殊的权限
如果安装的域控制器不是网络中的第一台域控制器,还需要相应的权限。
(6)统一的时钟
如果安装的域控制器不止一台,则需要域控制器具有统一的始终。这主要是Kerberos验证安全性的要求,Kerberos对身份验证数据包有5分钟的时间限制,即由客户端发出的数据包超过了5分钟的话,Kerberos 就认为是一个坏包或被人修改过的包,就将该包丢掉。在默认情况下,系统在安装域控制器时,会自动调整时钟的一致性,包含时间上的一致和时区上的对应。如果你的网络上的计算机时间误差超过10分钟,网
络就会不正常;如果客户端的计算机和域控制器的时间误差超过10分钟,客户就无法进行登录验证。
6.2.2 安装Active Directory
要创建 Windows 2000 域,必须在该域中至少创建一个域控制器。创建域控制器也将创建该域。不可能有没有域控制器的域。如果确定用户的单位需要一个以上的域,则必须为每一个域至少创建一个域控制器。在安装 Active Directory 前首先确定DNS服务正常工作,下面我们来安装根域为 https://www.doczj.com/doc/4f12354210.html, 的域中第一台域控制器。
步骤1
使用配置服务器启动位于 %Systemroot%\system32 中的 Active Directory 安装向导程序 DCPromo.exe 来安装活动目录。
步骤1
单击“开始→运行”菜单,输入“Dcpromo”命令,启动活动目录的安装,如图 6-2所示。
图6-2 启动活动目录的安装
步骤2
在出现的安装向导中单击“下一步”按钮。如图6-3所示:
图6-3 安装向导
步骤3
由于用户所建立的是域中的第一台域控制器所以选择“新域的域控制器”单击“下一步”。如图6-4所示:
图6-4 选择域控制器类型
步骤4
选择“创建一个新域的域目录树” ,单击“下一步”,如图6-5所示:
图6-5 创建目录树或子域
步骤5
选择“创建一个新域的域目录林”, 单击“下一步”,如图6-6所示:
图6-6 创建或目录林
步骤6
在“新域的 DNS 全名”中输入要创建的域名,https://www.doczj.com/doc/4f12354210.html,,如图6-7所示,单击“下一步”继续。
图6-7 输入域名
步骤7
安装向导自动将域控制器的 NetBIOS 名设置为 “TIANJIN”,单击“下一步”继续。
步骤8
显示数据库、目录文件及Sysvol 文件的保存位置,一般不必作修改。单击“下一步”继续。
步骤9
配置 DNS 服务,如图6-8所示,单击“下一步”,(如果在安装 Active Directory 之前未配置 DNS 服务器可以在此让安装向导配置 DNS ,推荐使用这种方法。)
图6-8 配置DNS
步骤10
为用户和组选择默认权限,考虑到现在大多数单位中仍然需要使用 Windows 2000 的以前版本,所以选择“与 Windows 2000 服务器之前版本相兼容的权限”,如图6-9所示,单击“下一步”继续。
图6-9 选择权限
步骤11
输入以目录恢复模式下的管理员密码,单击“下一步”继续,如图6-10所示:
图6-10 设置密码
步骤12
安装向导显示摘要信息,单击“下一步”开始安装如图6-11所示:
图6-11 活动目录的安装过程
步骤13
安装完成之后,重新启动计算机。
6.2.3 安装第二台域控制器
在安装完第一台域控制器后其域名为 https://www.doczj.com/doc/4f12354210.html, ,在上例中该服务器用于总公司,如果由于公司扩展的需要为其新建的子公司建立自己的域名和域控制器,则用户将子公司的域名定义为 https://www.doczj.com/doc/4f12354210.html, ,由于此域名与 https://www.doczj.com/doc/4f12354210.html, 是连续的域名,所以他们组成了一个目录树,今后随着子公司的发展用户还可以在这个目录树下继续逐级添加子域(如:baoshan.nankai. https://www.doczj.com/doc/4f12354210.html,),如果需要添加的域名与该目录树不连续(如:https://www.doczj.com/doc/4f12354210.html,)则用户就需要建立一个新的目录树,这样由多个目录树组成了域目录林。
在安装第二台域控制器之前,首先检验它的IP设置和DNS设置,以保证可以访问域控制器(n2k_https://www.doczj.com/doc/4f12354210.html,)。
步骤1
利用配置服务器启动位于 %Systemroot%\system32 中的 Active Directory 安装向导程序 DCPromo.exe 。单击“下一步”继续。
步骤2
由于用户所建立的是域中的一台域控制器所以选择“新域的域控制器”单击“下一步”继续。
步骤3
选择“在现有域目录树中创建一个新的子域”,单击“下一步”继续。
步骤4
在“网络凭据”对话框中输入上一级域的域名及具有管理员权限的用户名和密码, 单击“下一步”。
步骤5
在“子域安装”对话框中输入父域域名(https://www.doczj.com/doc/4f12354210.html,)和子域域名(nankai),在下方的子域完整域名中会自动显示 https://www.doczj.com/doc/4f12354210.html,,单击“下一步”继续。
步骤6
安装向导自动将域控制器的 NetBIOS 名设置为“nankai”,用户也可以进行修改 ,单击“下一步”。
步骤7
显示数据库、目录文件及 Sysvol文件的保存位置,一般不作修改。单击“下一步”。
步骤8
为用户和组选择默认权限,考虑到现在大多数单位中仍要使用 Windows 2000 的以前版本,所以选择“与 Windows 2000 服务器之前版本相兼容的权限”,单击“下一步”。
步骤9
单击“下一步”开始安装,在重新启动后,在 n2k_https://www.doczj.com/doc/4f12354210.html, 的“Active Directory 域和信任关系”中将显示新建的子域 https://www.doczj.com/doc/4f12354210.html,。
6.2.4 活动目录安装的校验
1. 验证SRV资源记录
在DNS的管理器中打开Zone,找到自己的域,如果活动目录安装成功,则在这个域中会带有“.”开始的目录,在这个目录下应该有以“.”开始的记录。
在计算机中查找是否有netlogon.dns文件,打开这个文件,会找到客户登录时域控制器的SRV记录。
使用DNS的检查命令 NSLOOKUP 设置查找的类型为SRV,如果返回正常的结果,就说明SRV记录被正常地创建,也说明域控制器安装完成后,一定会被用户找的到。
2. 验证Server的提升
Database(数据库)安装的路径下有一个NTDS目录(NT Directory Service),在NTDS目录里有NTDS.DIT文件,它是活动目录的核心数据库文件。
使用网络邻居可以发现计算机上多了一个共享文件夹Sysvol。
在同一个域的所有域控制器上的Sysvol的内容是完全一样的。
在管理工具(Administrative Tools)中增加了三个工具,使用其中的站点和服务(Active Directory Site And Service )检查一下安装的域控制器是否已经存在于这个站点里,如图6-16所示:
图6-16 AD站点和服务
默认情况下,只有森林的第一台域控制器是全局编录(GC),但是我们可以选中这一项来把自己变成GC。
打开活动目录用户和计算机(Active Directory User And Compute)这个工具就可以看到你所安装的域在里面,它承担用户账户和计算机账户等的管理工作。打开自己的域名,可以看到一些缺省的容器在里面。
Builtin容器中存放的是安装活动目录时系统内建的域本地组,如图6-17所示:
图6-17 Bultin中存放的对象
Computers容器中缺省情况下存放的是域中的客户机和普通服务器,如图6-18所示:
图6-18 Computers中存放的对象
Domain Controllers容器中缺省情况下存放的是域控制器,如图6-19所示:
图6-19 Domain Controllers中存放的对象
Users容器中缺省情况下存放的是系统所有的内建用户账户和所有的全局组。如图6-20所示:
图6-20 Users中存放的对象
6.3 活动目录工具
随 Windows 2000 Server 一同提供的 Active Directory 管理工具简化了目录服务管理。可使用标准工具或使用 Microsoft 管理控制台 (MMC) 来建立专门执行单项管理任务的自定义工具。可将几个工具合并到一个控制台中。还可将自定义工具分配给具有特定管理任务的个别管理员。
Active Directory 管理工具只能在可访问 Windows 2000 域的计算机中使用。以下 Active Directory 管理工具可在所有 Windows 2000 域控制器的 Windows 2000 Server“管理工具”菜单中获得: ? Active Directory 用户和计算机
? Active Directory 域和信任
? Active Directory 站点和服务
6.3.1 Active Directory 用户和计算机
如图 6-12所示,“Active Directory 用户和计算机”允许您在单位的目录中添加、修改、删除和组织Windows 2000 用户帐户、计算机帐户、安全和通讯组以及公布的资源。
图6-12 AD用户和计算机
1.用户和计算机
“Active Directory 用户和计算机”是在配置为域控制器的计算机上安装的目录管理工具。也可以与可选管理工具包一起使用。该软件包可安装在 Windows 2000 Professional 计算机上,以允许您从不是域控制器的计算机来管理 Active Directory。
Active Directory 用户和计算机帐户代表物理实体,诸如计算机或人。用户帐户和计算机帐户(以及组)称为安全对象。安全对象是自动分配安全标识符的目录对象。带安全标识符的对象可登录到网络并访问域资源。用户或计算机帐户用于:
? 验证用户或计算机的身份。
? 授权或拒绝访问域资源。
? 管理其他安全主体。
? 审计使用用户或计算机帐户执行的操作。
(1)Active Directory 用户帐户
Active Directory 用户帐户允许用户登录到域,通过分配权限可以访问域资源。登录到网络的每个用户应有自己的唯一帐户和密码。用户帐户也可用作某些应用程序的服务帐户。
Windows 2000 提供了可用于登录到运行 Windows 2000 计算机的内置用户帐户。这些内置帐户为:? 管理员帐户 (administrator)
? 来宾帐户 (guest)
内置帐户就是允许用户登录到本地计算机并访问本地计算机上资源的默认用户帐户。设计这些帐户的主要目的是本地计算机的初始登录和配置。每个预定义帐户均有不同的权利和权限组合。管理员帐户有最广泛的权利和权限,同时来宾帐户有受限制的权利和权限。
如果内置帐户权利和权限不是由网络管理员修改或禁用,则它们可由任何用户使用或用于使用管理员或来宾身份登录到网络。为获得用户验证和授权的安全性,通过使用“Active Directory 用户和计算机”为加入网络的每个用户创建单独的用户帐户。每个用户帐户(包括管理员帐户和来宾帐户)可添加到Windows 2000 组以控制指派给帐户的权利和权限。使用适合您网络的帐户和组将确保登录到网络上的用户可被识别出来而且只能访问允许的资源。
(2)Active Directory 用户帐户选项
每个 Active Directory 用户帐户有许多与安全性相关的选项,这些选项确定如何在网络上验证通过特殊用户帐户登录的人。其中几个选项专用于密码:
? 用户下次登录时须更改密码
? 用户不能更改密码
? 密码永不过期
? 使用可逆转的加密过程存储密码
除“使用可逆转的加密过程存储密码”以外,其他选项不需要加以解释。如果有用户从 Apple 计算机上登录到您 Windows 2000 上,则为那些用户帐户选择该选项。
选择“停用帐户”选项来防止用户通过选择帐户登录。许多管理员将禁用的帐户用作公共用户帐户的模板。
2.域
域提供了多项优点:
? 组织对象。
使用域中的组织单位帮助您管理域中的帐户和资源。
? 发布有关域对象的资源和信息。
使用多个域,您可以根据规模规划 Active Directory 目录服务以适应管理和目录发布要求。域仅存储位于该域的对象的信息,所以通过创建多个域,您可以将目录分区或分段,从而更好地服务于不同的用户群。
? 将组策略对象应用到域可加强资源和安全性管理。
域定义了策略的作用域或单元。组策略对象确立了访问、配置和使用域资源的方法。这些策略只在域中应用,而不是跨域应用。
? 委派授权使您不再需要大量的具有广泛管理权利的管理员。
使用与组策略对象和组成员连接的委派授权允许您指派管理权利和权限,以管理整个域或域中一个或多个组织单位的对象。
由于域是安全的界限,因此在默认情况下某个域的管理权限只限于该域。例如,具有在一个域中设置安全策略的权限的管理员不会自动得到在目录中的任何其他域设置安全策略的授权。
3.域控制器
域控制器是使用Active Directory 安装向导配置的运行Windows 2000 Server 的计算机。Active Directory 安装向导安装和配置为网络用户和计算机提供 Active Directory 目录服务的组件。域控制器存储着目录数据并管理用户域的交互,其中包括用户登录过程、身份验证和目录搜索。
一个域可有一个或多个域控制器。为了获得高可用性和容错能力,使用单个局域网 (LAN) 的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力。
Active Directory 支持域中所有域控制器之间目录数据的多宿主复制。但是,某些更改以多宿主方式进行是不实际的,因为这样只有一个称作操作主机的域控制器可接受这些更改请求。在任何 Active Directory 树林中,至少有五个指派给一个或多个域控制器的不同操作主机角色。
4.全局编录
默认情况下,在域林中的初始域控制器上自动创建全局编录。它存储着其主机域的目录中所有对象的全部副本及域林中每个其他域的目录所包含的所有对象的部分副本。因为副本存储着树林中每个对象的部分而非全部的属性值,所以这只是一部分。全局编录发挥两个重要目录的作用:
? 启动登录过程时,它通过将全局组成员信息提供给域控制器来启用网络登录。
? 它允许查找目录信息,而不管域林中的哪个域实际包含这些数据。
用户登录到网络时,全局编录为向域控制器发送登录请求的帐户提供全局组成员信息。
如果域中只有一个域控制器,则域控制器和全局编录是相同的服务器。如果网络中有多个域控制器,则全局编录位于如此配置的域控制器上。如果当用户启动网络登录过程时全局编录无效,那么用户只能登录到本地计算机。
6.3.2 Active Directory 域和信任关系
如图6-13所示,“Active Directory 域和信任关系”帮助管理员管理域之间的信任关系。
图6-13 AD域和信任关系
1.Active Directory 域和信任关系功能
? 通过管理信任关系提供与其他域(如 Windows 2000 之前版本的域或其他 Windows 2000 树林)之间的互操作性。
? 将 Windows 2000 域的操作模式从混合模式改为本机模式。
? 添加和删除用于创建用户登录名的候选 UPN 后缀。
? 将域命名操作主机角色从一个域控制器转移到另一个。
2.域信任
域信任是域之间建立的关系,它可使一个域中的用户由处在另一个域中的域控制器来进行验证。身份验证请求遵循信任路径。
信任路径是身份验证请求在域之间必须遵循的一组信任关系。在用户可以访问另一个域中的资源之前,Windows 2000 安全机制必须确定信任域(含有用户试图访问的资源的域)和受信任域(用户的登录域)之间是否有信任关系。为此,Windows 2000 安全系统将计算信任域中的域控制器和受信任域的域控制器之间的信任路径。如图6-14所示,信任路径由显示信任方向的箭头标出:
图6-14 信任路径
所有域信任关系都只能有两个域:信任域和受信任域。域信任关系按以下特征描述:
? 双向
? 单向
? 可传递
? 不可传递
6.3.3Active Directory 站点和服务
如图 6-15,Active Directory 使用多主机复制,这使得树林中的任何 Windows 2000 域控制器都可处理服务请求,包括用户对目录的修改。
图6-15 AD站点和服务
根据站点在子网或在连接良好的一组子网中的位置,将计算机指派给该站点。子网提供了一种描述网络分组的简单方法,正如邮政编码可以很方便地将邮寄地址分组一样。规划子网的依据是可以很容易地将有关网络连接性的物理信息发布给目录。将所有计算机放在一个或多个连接良好的子网中也使站点中所有计算机必须连接良好的标准得到加强,因为相同子网中的计算机在连接性方面通常要优于网络上任意选择的几台计算机。
1.站点的优点
? 身份验证
当客户机使用域帐户登录时,登录机制首先搜索与客户机处在相同站点中的域控制器。在客户端站点上使用域控制器首先使网络通信信息在本地流动,这提高了身份验证过程的效率。
? 复制
目录信息在站点内和站点之间复制。Active Directory 复制信息更多是在一个站点中进行的,很少跨站进行。对可用网络带宽的强行限制使用户对新目录信息的需要平衡。
2.相关概念
(1)站点
为方便起见,将站点考虑为由一个或多个 IP 子网中的一组计算机定义。这样会工作得比较好,因为要确保目录信息的有效交换,站点中的计算机需要很好地连接,尤其是子网内的计算机。如果站点包括多个子网,由于相同原因那些子网也必须良好连接。广域网 (WAN) 应使用多个站点。如果未使用,整个广域网内的服务请求或复制目录信息可能效率非常低。
(2)服务
Windows 2000 使用 Active Directory 发布广泛的信息。通常,域控制器设计用于发布目录信息并响应服务请求,然而 Windows 2000 也使用 Active Directory 发布以服务为中心配置或绑定关系。发布这类信息使客户机更容易访问这些服务,并且管理员也更易于管理。
(3)带宽
带宽是影响在您的网络上进行站内复制的最重要因素。尽管站点可以很方便地通过子网来定义,但是必须清楚这样做的前提是子网相互连接的结构通常比较好。这意味着子网通常是但不总是确定站点的有效方法。
为了更有效地组织您的站点,请考虑复制要求和有效的连接性。找到一个均衡的办法,那就是确保相同站点的域控制器的连接非常好,足以处理频繁的目录信息交换,也不会给您带来过高的开销(如财政费用过高或网络性能降低)。
系统还提供了Active DirectorySchema 和ADSI 主要用于Active Directory开发的工具。Active Directory 域和信任关系、Active Directory 站点和服务工具主要用于管理多个服务器或多个域之间的关系,
这不是本书的重点;Active Directory 用户和计算机工具是配置互动目录最常用的工具。
6.4 组织域中的对象
6.4.1 活动目录中的对象(Active Directory Object)
1.组织单元(Organization Units,简写为OU)
一个组织单元实际上是一个容器,它的最大作用是来包容其它对象。比如说一个水杯,我们知道,它是可以拿来装水的,它是一个容器。那么我们这里的OU也是一个容器,它是用来包容对象的。如图6-21所示:
图6-21 组织单元示意图
组织单元可包容哪些对象的呢,我们可以打开Active Directory 用户和计算计这个工具,在域上点右键,大家会看到有New(新建),单击新建大家可以看到一些活动目录对象,如图6-22所示。
图6-22 新建域对象
大家可能会提出这样一个问题,比如说OU——谁是OU,谁不是OU?我们可以打开Active Directory User Computer工具,可以看到有的黄色图标上放了一本打开的书,那么这个图标表示的就是容器,说的就是OU。我们还看到Domain Controllers这个域的黄色图标上放了一本打开的书,所以Domain Controllers也是一个容器。从容器和包容对象这个角度来讲,我们说域和OU是没有区别的,我们可以在域中存放和创建哪些对象就可以在OU中存放和创建哪些对象。
2.OU的其它作用:
(1)委派控制:
较高级别的安全权威将权限赋予其它的安全权威,并给他能够完成工作的最小权限。
委派控制的意义主要在于一个域的管理员或者一个森林的管理员,他不会有大量的时间来做一些琐碎的工作。
比如,一个账户锁定了,要把它重新Enable;一个人因为口令输入错误不能登录了,需要给他修改口令等等这样的事情,管理员一般情况下可以把它委派出去。把一些安全关系不太大,不会引起一些问题的
事情委派出去。指定一些普通的用户可以来做这样的事情,这就是委派控制的目的。
在OU上可以委派,也就是说由域管理员可以指定由谁来做OU管理员负责整个OU的管理。委派控制的优点是把大量的工作分散到多个人手中,这样可以减少管理员的负担,相当于给管理员找了几个副手,只要设好他门的权限就可以了。
(2)单域模型
由于域中可以建立多个OU,所以可以帮助我们容易实现单域模型。
我们可以按照组织结构(Organization Structure)来规划和创建OU,如一个企业网络是一个单域模型,我们可以按照组织结构在域中创建OU,有财务部、技术部、生产部、销售部、人事部、维修部等等,如图6-23所示:
图6-23 企业内部域与OU的结构图
我们也可以按照网络管理的模式来进行,比如说有用户、计算机、打印机等等。
我们可以按照自己的需要来进行创建OU,但是不管我们依据什么来创建OU,都发现OU有一个非常不错的地方,就是它的组织性。我们可以使用OU来逻辑组织我们的对象,不管是用户、计算机、打印机还是等等其它的东西。那么这一点在原来的NT4.0中是做不到的。在原来的NT4.0中如果你想对对象进行逻辑的组织,比如说用户或者计算机,那么在这时,你除了去创建域之外没有第二种手段可用。在NT4的时候呢,域是最大的概念,也是最小的概念。在Windows2000中我们除了使用域之外,还可以使用OU来进行对象的组织。原来NT4.0用的比较多的一种域模式叫做单主域模式。如果你把NT4中的单主域模式升级到Windows 2000中,那么账户域保持不变,仍然是把它升级成Win2000的一个域。对于资源域我们就把它加入到域中一个个OU中就可以了。也就是说原来你有多少个资源域,那么在新的账户域中就创建多少个OU,就都可以同样达到我们的目的。
OU与域唯一的区别就是网络安全性的问题,Windows 2000只在域上有安全性的设计,OU上没有安全性的设置,如果我们有不同的安全性的要求,要求做不同的安全策略,那么就在域上做,则只能采用多域模式。如果说我们没有安全性的要求,只是对于资源的合理组织的话,我们就可以使用单域多OU这种形式来进行,如图6-24 所示:
图6-24 不同的域模式
3. 在OU上实现组策略(Group Policy)
选中创建的OU,然后单击右键属性,在属性页中我们可以看到有组策略这一页,如图6-25 所示。具
体细节我们在学习组策略时再来讨论这个问题,目前我们需要了解的是在OU上是可以实现组策略。
图6-25 OU组策略
我们既可以在域上直接来创建OU,也可以在已有的OU中来创建OU,也就是说OU和OU是可以来进行嵌套的。右键选中新建(New),会弹出一个窗口可看到要求我们输入OU的名字,如图6-26所示,这个名字可以随便起,然后单击Ok就可以了,OU的创建比较简单。
图6-26 输入OU对象名称
以上我们介绍的是活动目录中的第一个对象OU,它是活动目录中的最小的一个单位,到Win2000以后对于资源的逻辑组织或者说合理组织除了域之外还有OU,希望大家不要忘。接下来我们来讨论在活动目录中的第二个对象—用户对象。
6.4.2 用户对象
我们首先介绍创建用户对象的方法,在OU上右键选择New,选择User,我们可创建一个用户对象,如图6-27所示:
图6-27 新建用户对象
从图中看到创建用户要输入First Name、Last Name和用户登陆名,其中用户登陆名是使用最多的,也就是我们在登陆时会用什么样的名字进入。在其后还有一个@的符号跟着我们的域名。这是Win2000给我们提供的新的登陆的机制,叫做User Principals Name,简称叫UPN名。用户登陆名加上@加上用户域名,大家看像什么呢?它非常的像我们的邮箱,因此在我们部署了Windows2000以后,对于的前台用户来说要求会更低,用户可以用打开邮箱的地址和口令就可以登陆到Windwos 2000,不需要了解你是那个域的用户和去找那个域控制器去做什么认证,这当然是很让人高兴的事情。
在前面安装完活动目录之后,在登陆的时候,大家会看到在活动目录中有多少个域都会出现在域的下拉列表里。为什么会看到所有的域,因为我们在前面跟大家介绍了Windwos 2000所有的信任关系是自动建立的,当然会出现所有的域了。
如果网络中的域比较多,如一个跨国公司可能会有几十个域,则在这样的一个列表里去查找自己的域当然是件很复杂的事情。现在我们可以告诉用户用你们的邮箱就可以登陆,不需要查找自己属于哪个域,就可以登陆进来。这就是UPN登陆好处的第一点:我们不需要知道自己所在的域就可以登陆。第二点:如果你不喜欢用公司的邮箱,喜欢用互联网上的免费邮箱,如https://www.doczj.com/doc/4f12354210.html,,你仍然可以用在263上的用户名和口令登陆进来,因为缺省User Name的@之后的部分,DNS是有解析的。
如果你想要用263的邮箱登陆,则首先需要添加后缀。其方法是首先打开活动目录安装后添加增加的3个活动目录工具之一Active Directory Domain And trusts,然后在它的上面点右键属性页里,我们会看到可以添加后缀,如图6-28所示: