域和活动目录
win2003支持的网络结构
1、工作组结构图的网络(对等式网络)
网络上没有专门的服务器,没有集中的数据库所有的资源分散在不同的
网络上的计算机都由本机的本地用户安全数据库审核。
2、域结构的网络
域是管理员定义的一组对象的集合(计算机、用户和组),域是一个安全边界,是由网络上的计算机组成,域中的资源存放在集中数据库内,便于用户的查找和使用,便于管理员的管理。
●域中计算机的角色
域控制器
在win2000域内,只有win2000 server 才可做域控制器;win2003内只有WEB版不可以做DC;
DC内存储了该域的AD数据库,它负责审核域用户的登录、域中资源的管理等;
域内可以有多台域控制器,它们的地位是平等的;
多台DC之间按照一定的频率相互复制数据库保持同步(即保持地位平等);
NT域内也有多台域控制器,但只能有一台PDC管理域,其余为BDC
注:额外域控制器的辅助功能:
)容错功能;
)相互减轻负担;
)提高用户的访问效率。
成员服务器
1)具有服务器版本的操作系统;
2)属于某个域中;
3)没有存储AD数据库的称为成员服务器。
注:服务器级的操作系统:
windows NT服务器操作系统
win2000server以上版本
win2003所有版本
其它成员
)本身加入某个域中
)是非服务器版本的操作系统
例如:win2000 pro、win99、winNT workstation 等
注:独立服务器
1)本身是服务器版本操作系统;
2)不属于任何域的计算机。
活动目录地相关概念(一)
活动目录是微软目录服务的一种机制,它是用来存储网络上的用户账户、计算机、打印机等资源信息,方便用户的查找和使用。活动目录指的是用户在使用资源时不需要了解该资源存放在哪台计算机上和哪台计算机上有哪些资源!
、名称空间
所谓的名称空间,实际是划分好的区域,在该区域可以通过名称查找到与该名称相关的信息。
win2000/2003的AD与DNS紧密地整合在一起,其名称空间采用的是DNS架构,其域名也采用DNS格式,如:,等!
、对象及其属性
Win2003 的AD数据库将所有资源都当作对象来处理,如用户、计算机、打印机等都是对象,属性是用于描述对象信息提,如用户对象的电话号码,电子邮件等。
、OU|组织单元
OU是一种比较特殊的容器,类似于文件夹,用于存放对象和其他OU,还具有“组策略”的功能。
、域
域是管理员定义的一组对象的集合(计算机、用户和组),域是一个安全边界,是由网络上的计算机组成,域中的资源存放在集中数据库内,便于用户的查找和使用,便于管理员的管理。
、域树
是多个域按照一定的层次排列,构成倒置的树状结构,且共享一个连续的名称空间。其中最上层的是这棵域树的根域,下一层称为它的子域。
域树内的所有域共享一个AD,此AD内的数据分散地存储在各个域内,且每一个域内只存储该域内的数据。
、信任关系
两个域之间必须建立了“信任关系”之后,才可以访问对方的资源。
)单向信任:如果A域的用户可以访问B域的资源,但B域的用户不可以访问A域的资源,称为单向信任;
)双向信任:如果A域的用户可以访问B域的资源,B域的用户也可以访问A域的资源,称双向信任;
)可传递信任:如果A域信任B域,B域信任C域,则A域也信任C域,则称此信任具有可传递性。而因传递得到的信任关系称为隐性的信任关系。
注:win2003的域树上,父域和子域之间具备双向的、可传递的信任关系。实际上,同一棵域树上的任意两个域之间都是双向的信任关系。这个信任的功能是通过Kerberos安全协议来实现的,因此也被称为Kerberos信任。
、域林
由一个域树或多个域树组成,它们各自有着独立的名称空间。第一个域树的根域就是整个树林的根域,同时其名称也是这个树林的名称。
注:Win2003的域树林中,同一个树林内的域树的根域之间具有双向的、可传递的信任关系。实际上,同一个域林上的任意两个域之间都是双向的信任关系。
实践:1、创建一个新域的域控制器
创建一个新域DC时应注意的几个问题;
1)选定要创建域的计算机,管理员身份登录;
2)设置静态IP地址;
3)设置DNS服务器;
4)至少要有一个NTFS分区;
5)适当的空间大小,至少300M;
6)取一个符合DNS结构的域名。
步骤:
1)开始——运行——输入dcpromo,启动AD安装向导;
1)在“域控制器类型”窗口中,选择“新域的域控制器”;
2)在“创建一个新域”窗口中,选择“新林中的域”;
3)在新的域名页面中,输入域的完整合法域名;
4)在“NETBIOS”域名窗口中确认Netbios;
5)在“数据库和日志文件文件夹”窗口,接受数据库和日志文件夹的默认位置,或者单击“浏览”选择另一个位置;
6)在“共享的系统卷”窗口中,接受Sysvol文件夹的位置,或者单击“浏览”选择另外一个位置;
7)在“DNS注册诊断”窗口,确认是否一个现有的DNS服务器负责该林,或者如果不存在DNS服务器,选择在这台计算机上安装并配置DNS服务器;
9)在“权限”窗口中,选择一个权限选项(取决于将要访问该域控制器的客户端的
windows 版本);
9)检查“总结”窗口,如果需要修改某些地方,单击“上一步”重新配置。如果一切正常,单击“下一步”开始安装。所有文件复制到硬盘驱动器之中,重新启动计算机。
、创建额外DC、成员服务器、成员、子域、加入域树林的准备工作
) PING DC、DNS的IP地址;
) PING 域名
能通,可以进一步操作;
不能通,则按以下步骤操作:
C:>net stop netlogon
C:>net start netlogon
C.
释放缓存:
C:>ipconfig /flushdns
显示缓存:
C:>ipconfig /displaydns
3、创建额外DC、成员服务器、成员、子域、加入域树林
活动目录地相关概念(二)
7.架构
AD内的对象和属性是定义在架构内的,架构定义了对于某种对象,用那些属性来描述它及这些属性对应的数据类型,取值范围等信息。
一个林内的所有域外树使用相同的架构,且Schema Admins组的用户与应用程序可以在架构内新增对象类或属性。
8.DC与AD复制
AD存储在DC内,当一台DC内的AD数据发生变动后,这些变动的数据会被自动复制到其他DC内。
AD数据复制有以下两种模式:
多主机复制:在这种模式中可以直接更新任何一台DC内的AD对象,更新后该对象会被复制到其它DC中。AD的大部分数据都使用多主机复制模式。
单主机复制:在这种模式中,由其中一台DC(称为“操作主机”)负责处理和接收对象的变更,再由它复制到其他所有的主机中。
9、全局编录
“全局编录”由DC来实现,该DC不但存储了自身所有对象的详细信息,而且存储了所在域林中其他所有
域的所有对象的部分主要信息。默认情况下为域林的第一台域控制器,也可以另外指定其他DC作为“全
局编录”。
10、轻型目录访问协议(LDAP)
是一种用来查询和更新AD目录服务通信协议。Win2003域利用“LDAP命名路径”来表示对象在AD内的位置,以便访问AD内的对象。LDAP名称路径包含以下内容:
1)可分辨名称(DN):它是对象在AD内的完整路径。如:CN=bigshi,OU=清网组,OU=南区,DC=
2) 相对可分辨名称(RDN):在DN的完整路径中,用来代表某个对象的部分路径。如CN=bigshi
