第10章 活动目录域、树和树林
- 格式:ppt
- 大小:971.00 KB
- 文档页数:40
文档推荐
-
管理员操作手册 AD域控及组策略管理 CTO页数:21
-
域组建,域管理,活动目录管理,OU管理页数:16
-
AD域活动目录解决方案页数:17
-
活动目录(域控)解决方案页数:21
-
域与活动目录的管理页数:36
-
活动目录服务与域模式帐户管理页数:24
下载文档原格式
合集下载
活动目录介绍
活动⽬录介绍微软在Windows NT Server 4.0中就已经贯彻了⽬录服务的思想。
NT的"域(domain)"的概念是⽬录服务的⼀个基本单元。
"⼀次登录,Single Logon"在Windows NTServer 的环境下有了具体的应⽤,⽐如Internet Information Server、Exchange Server、SQL Server等都可以与Windows NT Server的账号验证集成起来,⽤户⼀次登录就可以获得Web、Email和数据库等多种多样的⽹络服务。
Windows 2000 Server在Windows NT Server 4.0的基础上,进⼀步发展了"活动⽬录(Active Directory)"。
活动⽬录充分体现了微软产品的"ICE",即集成性(Integration),深⼊性(Comprehensive),和易⽤性(Ease of Use)等优点。
活动⽬录是⼀个完全可扩展,可伸缩的⽬录服务,既能满⾜商业ISP的需要,⼜能满⾜企业内部⽹和外联⽹的需要。
活动⽬录的由来 活动⽬录是从⼀个数据存储开始的。
它采⽤的是Exchange Server的数据存储,称为:Extens ible Storage Service (ESS)。
其特点是不需要事先定义数据库的参数,可以做到动态地增长,性能⾮常优良。
这个数据存储之上已建⽴索引的,可以⽅便快速地搜索和定位。
活动⽬录的分区是"域(Domain)",⼀个域可以存储上百万的对象。
域之间还有层次关系,可以建⽴域树和域森林,⽆限地扩展。
在数据存储之上,微软建⽴了⼀个对象模型,以构成活动⽬录。
这⼀对象模型对LDAP有纯粹的⽀持,还可以管理和修改Schema。
Schema包括了在活动⽬录中的计算机、⽤户和打印机等所有对象的定义,其本⾝也是活动⽬录的内容之⼀,在整个域森林中是唯⼀的。
Windows的使用活动目录讲义
活动目录
活动目录
该窗口可对计算机进行以下管理。 监视诸如登录次数和应用程序错误等系统事件。 创建和管理共享。 浏览与本地或远程计算机相连的用户列表。 启动和终止计划任务和线程。 设置存储设备的属性。 查看设备配置和添加新设备驱动器。
活动目录
⑤创建用户账户 弹出“Active Directory用户和计算机”窗 口 。 在左窗格中右击要创建计算机账户的域,快捷 菜单中选择“新建→用户”选项, “新建对象— 用户”对话框。
活动目录
目录服务把域详细分为组织单元。组织单元是 一个逻辑单位,是域中一些用户和组、文件与打印 机等资源对象的集合。组织单元还可以再划分下级 组织单元,下级组织单元能够继承父组织单元的访 问许可权。 每个组织单元可以有自己单独的管理员并指定 其管理权限,它们管理着不同的任务,从而实现对 资源和用户的分级管理。动态目录服务通过这种域 的组织单元树和域之间的可传递信任树来组织其信 任对象,实现颗粒式管理,为动态活动目录的管理 和扩展带来了极大的方便。
步骤3. 输入要加入的域名,然后单击“确定“。
步骤4.系统提示“输入有权限在域中重命名这台计算机的 帐户的名称和密码”时,输入该域中有权限的用户名和密 码,需经域控制器验证通过。 步骤5.出现“欢迎您加入xxxx.xxx域”后,表示当前计算 机已经成功地加入到指定的域中
活动目录
(2)域和信任关系管理工具 “Active Directory域和信任关系”管理工具 可以帮助系统管理员完成不同域之间信任关系的设 置。 例如,系统中安装两个域:hzjsj域与hzjw域, 两个域各有一台Active Directory的域控制器,且 两个域之间的连接正常。
活动目录
2 安装活动目录 (1)注意事项 1)在服务器上安装活动目录时,磁盘中必须有一个 格式化为NTFS的分区。 2)可以利用系统提供的活动目录安装向导配置服务 器。如果网络没有其他域控制器,可将服务器配置 为域控制器,并新建子域、域目录树或目录林。如 果网络中有其他域控制器,可将服务器设置为附加 域控制器,加入旧域、旧目录树或目录林。 3)活动目录安装后,服务器的开机和关机时间变长, 且系统的执行速度变慢。
MCSE_基础讲义_10
GC
通用组
. . . 还将被复制到所有目 录林中的GC 服务器
减少复制通信流量
减少通用组来把复制限制在单域中 通用组中的成员尽量使用组账号来 减少通用组中的成员 尽量不要改变通用组中的成员,来 减少复制通信
使用通用组的嵌套策略
用户账号添加到全局组中
Users Global Group
把全局组嵌套到全局组中(可选)
第十章 创建和管理 目录林和目录树
概述
目录树和目录林介绍 创建目录树和目录林
目录树和目录林中的信任关系
全局目录(GC) 在目录树和目录林中使用组 解决创建和管理目录树和目录林过程中出现的问 题 最佳方案
目录树和目录林介绍
什么是目录树? 什么是目录林?
什么是目录林根域?
保留Windows NT早期版本的域结构
分散管理控制
创建目录树和目录林
创建新子域 创建新目录树
创建新目录林
创建新子域
活动目录安装向导可以: 创建新域 把子域中的计算机升级为域控制器 在子域和父域之间创建信任关系
已存在的 目录林 contoso.msft 父域 (目录林根域) sales. contoso.msft 新子域 新子域的 域控制器
Domain
Domain
创建GC
AD Sites and Services Console Window Help
Active View
Tree Name Type New Active Directory Connection Active Directory Sites and Services Sites New Default-First-Site-Name All Tasks Servers ATLANTA LONDON Inter-Site Transports Subnets New Window from Here Delete Refresh Properties Help Description: Domain Controller Query Policy: Default Query Policy Description
计算机网络第10章
其他工作
(5)将域服务器降级为独立服务器或成员服务器。 (6)还有可能涉及Windows早期系统升级到 Windows 2000的工作。
10.3.1安装服务器 安装服务器
在安装Windows 2000 Server之前,首先确认一下硬件 设备是否满足Windows 2000 Server运行的基本要求, 微软建议的硬件配置的最低级别如表10-1所示。 其次,还要检查硬件是否在Windows 2000支持的硬件 兼容列表(Hardware Compatibility List,HCL)之中, 以保证Windows 2000的顺利安装和正常运行。如果计 算机硬件没在HCL中,用户可以尝试通过手工安装硬件的 驱动程序的办法来解决兼容性问题。HCL的详细列表数据 可以在Windows 2000系统光盘的\support\Hcl.txt文 件中找到。
10.3Windows 2000服务器安装 服务器安装
本节介绍域方式组网的基本工作。域方式组网要完成以下 方面的工作,即
(1)服务器的安装:
安装Windows 2000服务器版本相关软件,并做相应的 确认和设置工作。
(2)配置服务器:
包括建立第一个域中的第一个域控制器、在域中添加一个 子域、将域添加到域林等方面的工作。
域控制器
在Windows 2000网络中,存放目录数据库的计 算机称为域控制器(domain controller) 只有Windows 2000 Server计算机才能担任域 控制器的角色,Windows NT Windows Workstation/2000 Professional则不行。
10.1.2工作组方式 工作组方式
活 目 动 录
复制
活 目 动 录
CEAC-2201教学大纲
CEAC培训认证体系------CEAC-2201典型企业网络设计教学大纲一、学习时间:本课程建议教学时数为24学时,二、课程介绍一个没有设计的企业网络会造成大量的资源浪费,管理起来很复杂,使用很不方便,从而降低系统的可靠性。
这些都是设计缺陷带来的后果。
一个良好的网络满足企业的需求,表达企业的管理结构,并且体现简洁易于扩展易于实现的原则。
要达到这样的目标,必须经过周密的规划和设计。
在这门课程学习完之后,你可以获得:分析企业需求的能力设计典型企业的网络管理结构的能力实现典型企业的网络建设和管理的能力本门课程以案例为主。
我们提出了几个具有典型意义的企业的案例,在针对这个案例的设计中,学员除了学习到相应的知识和技术外,同时也充分了解了设计中的实际因素(包括费用,物理位置等等),更重要的是学员掌握了设计的基本原则。
在整个课程中,学员在教师的指导下,通过对典型企业的需求进行分析,从而能独立设计出相应的解决方案,并且完成方案的实施。
在这样一个完整的过程中,通过反复讨论、设计、实现、讲评,学员能够掌握构建一个企业网的方法。
三、课程性质、地位和任务CEAC国家信息化计算机教育认证项目是在信息产业部的领导下,由中国电子商务协会、CEAC国家信息化培训认证管理办公室统一组织实施。
CEAC培训认证体系按照企事业单位的实际需求,以决策层、管理层和实施层分类设置课程。
教学内容以最新技术为基础,覆盖了各主流厂商软件,教学模式以案例教学与实践训练相结合。
CEAC项目的目的是帮助企业和政府培养具有分析能力、设计能力、实现能力和解决问题能力的实用型信息化人才。
CEAC-2201典型企业网络设计,根据网络管理员的实际需求,培训内容包括:活动目录的安装、配置与管理,管理活动目录域名系统,管理活动目录和域名系统的复制,组策略的实现与管理,远程安装服务的安装与配置,活动目录的安全解决方案等。
通过本课程的学习,用户应能够高效地搭建一个适合自己需要的网络,简化网络管理。
3-1 活动目录的域、域树、森林的实现与管理
《应用系统集成与管理》指导活动目录的域、域树、森林的实现与管理【实训目的】1.理解Active Directory、域、域树、森林等概念;2.掌握创建域的方法;3.熟悉创建域树和森林的方法;4.了解如何解决在创建域、树、森林过程中出现的问题的方法。
【参考资料】1.戴有炜. Windows Server 2003用户管理指南, 清华大学出版社, 20042.戴有炜. Windows Server 2003 Active Directory配置指南, 清华大学出版社, 2004【实训内容】1.建立Windows Server 2003域建立域的方法是先安装一台独立服务器或成员服务器,然后在将其升级为域控制器。
可以利用两种方法来建立整个网络中的第一台域控制器:1)利用Active Directory安装向导;2)标准安装。
在建立域之前,要先完成以下准备工作:●DNS域名;●DNS服务器。
可以采用两种方式来架设DNS服务器,1)在独立服务器或成员服务器升级为域控制器时,系统会自动在这台服务器上安装Microsoft DNS服务器;2)使用现有的DNS服务器,或是另外安装一台DNS服务器,然后在这台DNS服务器内建立一个用来支持Active Directory域的区域。
●足够的硬盘空间;●一个NTFS硬盘分区。
2.确认Active Directory是否正常Active Directory安装完成之后,应检查DNS的SRV记录、SYSVOL文件夹、Active Directory数据库文件等数据是否已经正常建立等。
3.建立域树和森林具有树状结构的多个域构成域树,域树中最上层是根域,其下有子域,子域下还可以有子域的子域。
要建立子域,必须先安装一台独立服务器,或利用一台隶属于其他域的现有成员服务器,然后将这台服务器升级为子域的域控制器。
建立子域时要首先为子域的域控制器指定DNS服务器的IP地址。
把一个域树添加到另一个域树中就形成最初的森林。
域与活动目录
域与活动目录单元十二域与活动目录本单元要点:域、域树和域林活动目录安装域控制器活动目录的管理域、域树和域林工作组就是将不同的电脑按功能分别列入不同的组中,以方便管理。
工作组名并没有太多的实际意义,只是在“网上邻居”的列表中实现一个分组而已。
“工作组”就像一个自加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。
在主从式网络中,资源集中存放在一台或者几台服务器上,如果仅仅只有一台服务器,问题就很简单,在服务器上为每一位员工建立一个账户即可,用户只需登录该服务器就可以使用服务器中的资源。
然而如果资源分布在多台服务器上呢?如图所示12-1所示,要在每台服务器分别为每一员工建立一个账户,用户需要在每台服务器上登录,感觉又回到了对等网的模式。
图12-1 域是一个安全的边界,也可以理解为服务器控制网络上的计算机能否加入的计算机组合。
在使用了域之后,如图12-2所示,服务器和用户的计算机都在同一域中,用户在域中只要拥有一个账户,用账户登录后即取得一个身份,有了该身份便可以在域中漫游,访问域中任一台服务器上的资源。
图12-2 在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器”,它包含了这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。
随着网络的不断发展,有的企业的网络大的惊人,当网络有十万个用户甚至更多时,域控制器存放的用户数据量很大,更为关键的是如果用户频繁登录,域控制器可能因此不堪重负。
在实际的应用中,我们在网络中划分多个域,每个域的规模控制在一定的范围内,同时也是出于管理上的要求,将大的网络划分成小的网络,每个小的网络管理员管理自己所属的账户,如图12-3所示。
图12-3 为了解决用户跨域访问资源的问题,可以在域之间引入信任,有了信任关系,域A的用户想要访问B域中的资源,让域B信任域A就行了。
域树_域林
域和林信任关系的设计考虑(一)信任关系基础在大型网络中,通常存在多个域,甚至多个林,在具体配置这些域和林之前,先要了解它们之间的默认和可配置的信任关系,以便恰当地配置各级域,以及各个林之间的信任关系。
这也是域、林之间安全、有效访问的基础。
1.什么是信任信任是域或林之间建立的关系,它可使一个域(或林)中的用户由处在另一个域(或林) 中的域控制器来进行验证。
Windows NT中的信任关系与Windows 2000和Windows Server 2003操作系统中的信任关系不同。
(1)Windows NT中的信任在Windows NT 4.0及其以前版本中,信任仅限于两个域之间,而且信任关系是单向和不可传递的。
如图5—8所示,指向受信任域的直箭头显示了非传递的、单向信任。
(2)Windows Server 2003和Windows 2000 Server操作系统中的信任Windows 2000 Server和Windows Server 2003林中的所有信任都是可传递的、双向信任。
因此,信任关系中的两个域都是受信任的。
如图5—9所示,如果域A信任域B,且域B信任域C,则域C中的用户(授予适当权限时)可以访问域A 中的资源。
只有Domain Admins 组的成员可以管理信任关系。
2.信任类型域和域之间的通信是通过信任发生的。
信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证管道。
使用“Active Directory安装向导"时,将会创建两个默认信任,而使用“新建信任向导"或Netdom命令行工具可创建另外4种类型的信任。
(1)默认信任在默认情况下,当使用“Active Directory安装向导"在域树或林根域中添加新域时,系统会自动创建双向的可传递信任。
表5-3中定义了两种默认信任类型。
表5—3 两种默认信任(2)其他信任在使用“新建信任向导”或Netdom命令行工具时,可创建其他4种类型的信任:外部信任、领域信任、林信任和快捷信任。
windowsserver2003复习试题
1,活动目录存储关于用户,计算机和网络资源并且使网络资源能够被用户和应用程序访问这些资源。
2.活动目录提供规范化的名称,描述,定位,访问,管理方法和保护这些资源信息。
3.与组策略相结合,活动目录可以使管理员使用同样的管理界面在中心位置管理分布式桌面,网络服务和应用程序。
4.任意写出活动目录所提供的四个功能:集中的控制网络资源,实现用户一次登录访问整个网络,集中的委派资源的管理可扩展,优化网络流量。
5.活动目录逻辑结构包括的组件有对象,组织单元,域,域树,林。
6.域树是以层次结构组织在一起的域。
7.活动目录的物理结构组成:域控制器,活动目录结点,活动目录分区。
8.每一个域控制器包含的活动目录分区:目录分区,配置分区,架构分区,可选的应用程序分区。
9.只有架构主控和域命名主控在目录林范围唯一。
10.目录林中的每个域都有自己的PDC仿真器,RID主控,和基础结构主控。
二、判断1.活动目录可以使网络上的用户访问任何资源,而不需要知道资源在什么位置或物理上它是如何连接到网络上的。
(T)2.通过集中的控制活动目录中的服务器,共享文件夹和打印机等网络资源,允许所有用户的访问。
(F)3.域是活动目录中逻辑结构的核心单元。
(T)4.目录林是一个域目录树。
(F)5.物理结构是用来管理和组织资源的。
(F)6.标示名是对象在容器中的唯一标识,在同一个容器中不能有两个相同的名称的对象。
(T)7.一个目录林中只有一个构架,所以同一个林中的所有域对不同对象的定义一致。
(T)8.目录分区存储域控制器所在域的所有对象副本,目录分区只在同一域的域控制器之间复制。
(T)9.可以通过随即访问控制列表保护所有对象类属性(T)10.在目录回复模式下,活动目录AD仍可正常工作。
(F)三、选择题1.通过使用(A)对象,你可以很容易地定位和管理对象。
A组织单元。
B域C域树D林2.(C)的作用就是保证域的管理员只能在该域内有必要的管理权限,除非管理员得到其他域的明确授权。
第10章_活动目录服务
人民邮电出版社
2. 活动目录服务的对象 在活动目录中目录服务的对象通常包括共享 资源、 网络用户账户、 计算机帐户、 服务、 资源 、 网络用户账户 、 计算机帐户 、 服务 、 数据库和其他任意对象, 数据库和其他任意对象 , 每种对象的管理方 法类似。 在所有对象中, 法类似 。 在所有对象中 , 最常见的管理对象 就是活动目录中的计算机和用户。 就是活动目录中的计算机和用户。 Derectory用户和计算机管理单 3. Active Derectory用户和计算机管理单 元的组成 Directory用户和计算机管理单 4. Active Directory用户和计算机管理单 元中的对象管理类别图10-2 森林的组成
人民邮电出版社
10.1.3 目录服务管理 1.目录服务概述 目录服务是W2000-SER提供的一种基本网络服 目录服务是W2000-SER提供的一种基本网络服 利用目录服务, 务 。 利用目录服务 , 用户或者是管理者无需 知道对象的确切名称, 即可通过对象的一个 知道对象的确切名称 , 或多个属性, 查找到计算机网络中的对象。 或多个属性 , 查找到计算机网络中的对象 。 2000域方式网络中 最主要的目录服务有: 域方式网络中, 在W2000域方式网络中,最主要的目录服务有: 用户管理、 计算机管理、 资源管理、 用户管理 、 计算机管理 、 资源管理 、 基于目 录的网络服务和基于网络的应用管理。 录的网络服务和基于网络的应用管理。
第10章 活动目录服务 10章
10.1
Windows 2000活动目 录概述
10.1.1 Windows 2000活动目录的基本概念 活动目录的基本概念 1. 活动目录及其组织结构与特点 活动目录的Active Directory, 简称AD AD。 活动目录的 Active Directory , 简称 AD 。 它 2000是 在 W2000-SER 中 使 用 的 目 录 服 务 , 也 是 2000网络体系结构中最重要的概念 网络体系结构中最重要的概念。 W2000网络体系结构中最重要的概念。 目录(Directory)和文件目录( 2. 目录(Directory)和文件目录(File Directory) Directory) (1 ) 目录 2000中 在 Windows 2000 中 , 目录是用来存储各种对 象的一个物理容器, 象的一个物理容器 , 用它来管理的对象可以 人民邮电出版社 计算机、 用户账户、 是 : 域 、 组 、 计算机 、 用户账户 、 文件目录 和打印机等。 和打印机等。
2. 活动目录服务的对象 在活动目录中目录服务的对象通常包括共享 资源、 网络用户账户、 计算机帐户、 服务、 资源 、 网络用户账户 、 计算机帐户 、 服务 、 数据库和其他任意对象, 数据库和其他任意对象 , 每种对象的管理方 法类似。 在所有对象中, 法类似 。 在所有对象中 , 最常见的管理对象 就是活动目录中的计算机和用户。 就是活动目录中的计算机和用户。 Derectory用户和计算机管理单 3. Active Derectory用户和计算机管理单 元的组成 Directory用户和计算机管理单 4. Active Directory用户和计算机管理单 元中的对象管理类别图10-2 森林的组成
人民邮电出版社
10.1.3 目录服务管理 1.目录服务概述 目录服务是W2000-SER提供的一种基本网络服 目录服务是W2000-SER提供的一种基本网络服 利用目录服务, 务 。 利用目录服务 , 用户或者是管理者无需 知道对象的确切名称, 即可通过对象的一个 知道对象的确切名称 , 或多个属性, 查找到计算机网络中的对象。 或多个属性 , 查找到计算机网络中的对象 。 2000域方式网络中 最主要的目录服务有: 域方式网络中, 在W2000域方式网络中,最主要的目录服务有: 用户管理、 计算机管理、 资源管理、 用户管理 、 计算机管理 、 资源管理 、 基于目 录的网络服务和基于网络的应用管理。 录的网络服务和基于网络的应用管理。
第10章 活动目录服务 10章
10.1
Windows 2000活动目 录概述
10.1.1 Windows 2000活动目录的基本概念 活动目录的基本概念 1. 活动目录及其组织结构与特点 活动目录的Active Directory, 简称AD AD。 活动目录的 Active Directory , 简称 AD 。 它 2000是 在 W2000-SER 中 使 用 的 目 录 服 务 , 也 是 2000网络体系结构中最重要的概念 网络体系结构中最重要的概念。 W2000网络体系结构中最重要的概念。 目录(Directory)和文件目录( 2. 目录(Directory)和文件目录(File Directory) Directory) (1 ) 目录 2000中 在 Windows 2000 中 , 目录是用来存储各种对 象的一个物理容器, 象的一个物理容器 , 用它来管理的对象可以 人民邮电出版社 计算机、 用户账户、 是 : 域 、 组 、 计算机 、 用户账户 、 文件目录 和打印机等。 和打印机等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 指DNS的AD集成区域
10-5活动目录中的DNS角色介绍
• 名字解析(正向,反向)
– DNS将计算机名称转化为IP地址 – 计算机使用DNS在网络中互相查找
• Windows 2003域的命名协定
– 2003AD使用DNS的域名命名标准 – DNS域和AD域共享一公共的分层命名结构
• 如
Computer2
FQDN = Windows 2003 计算机名 = Computer1
• DNS主机名与AD中计算机帐号是相同的
– 计算机名可认为是特殊的域名
• FQDN:完全有效域名
– 计算机的全称域名 – 计算机的全名
10-7活动目录中DNS名字解析
DNS域名空间 Internet
―.‖
com.
(DNS根域)
AD域名空间
microsoft
training
sales
training.
computer1
= DNS节点(域/计算机)
sales. = AD域
• 要点:
– 使域和计算机成为
对象 属性 打印机名 打印机位置 Users Don Hall Suzan Fine 活动目录 Printers Printer1 Printer2 Printer3 属性 名 姓 登录名 属性值
打印机
用户
• 对象:网络资源
• 属性:关于对象的信息
目录服务使用用户可以通过查找对象的一个或多 个具体属性来确定对象的位置
DNS主机名称和Windows 2003计算机名称
DNS
―.‖
com. microsoft sales training computer1
DNS的主机记录和AD计算机对象对应 同一物理计算机
DNS允许计算机查找AD中的DC
活动目录
Builtin Computers Computer1
10-2活动目录的逻辑结构(logic
Structure)
• 具有伸缩性,包括下列组件:
– 域Domain:核心单元 – 组织单元OU – 域目录树与目录树Tree\Forest – 全局目录GC
逻辑结构:组织网络资源
• 活动目录使你能够通过名字(属性)找到资源,而 不是物理位置,这样使网络的物理结构对用户透明 域Domains 组织单元OU 树Tree和林Forest
• 查找活动目录的物理成分
– DNS通过提供的服务来验证域服务器 – 计算机使用DNS来查找DC和GC
10-6 DNS和活动目录
• DNS域和AD域使用相同的
– 分层命名结构和域名 – 但实际上域名空间是不同的
• 好处:
– 使2003网络计算机能够利用DNS
• 查找提供AD相关服务的DC和计算机
DNS和活动目录的域名空间
• DNS的节点 • AD的对象 • 并相对应
• 活动目录和Internet
– 如DNS的.com服务器中包含 – 使别的域利用Internet来查找 – 反之,你也可通过—.com来查找 Internet上的域名服务器的资源记录
MCSE:Windows2003
周建波
Email:zjb58@
10
Windows 2003中的 活动目录介绍
10-1活动目录介绍
• 活动目录存储整个网络上资源的信 息
– 便于用户查找、管理和使用这些资源
– 小型网络:UNC(通一命名标准)路 径 – 大型网络:难以确定资源位置、名称 – 所以需要目录服务快速定位资源
组织单元OU(Organizational Units)
网络管理模式 组织结构
Sales Users
Vancouver Sales
Computers
Repair
• 利用OU可以把对象组织到一个逻辑结构中,使 其最好地适应你的组织需求 • 可以把管理控制权委派给OU内的对象,通过指 定权限到一个或几个用户和组
建立一个GC服务器
AD Sites and Services Console Window Help
Active View
Tree Name Type New Active Directory Connection Active Directory Sites and Services Sites New Default-First-Site-Name All Tasks Servers ATLANTA LONDON Inter-Site Transports Subnets New Window from Here Delete Refresh 属性 Help Description: Domain Controller Query Policy: Default Query Policy Description
对象属性
Domain
Domain
Domain
Domain
全局目录
查询 利用通用组成员身 份的信息登录网络
GC服务器 Domain Domain
GC和登录过程
GC服务器
•User登录
•域
•域
•域
•域
•域
•GC提供 • 为用户帐号提供通用 组权利信息 • 当用户登录用一个用 户主要名称UPN(如: www@)时, 提供域信息
_gc._tcp.DnsForestName.
_gc._tcp.站点名._sites. Dns林名. _kerberos._tcp. DNS域名. _kerberos._tcp.站点名. _sites.DNS域名.
运行Windows 2003的域控制器额外注册SRV记录 _msdcs 子 域,格式如下:
• 定义复制和登录发生的时间和地点
• 域控制器DC
– 存储AD的副本,管理信息的变化和复制 – 一至多个,建议最少两个容错
10-4概述
• DNS和AD集成—2003关键特性
– 使用相同的分层命名结构 – 域、计算机成为AD的对象/DNS资源记录 – 客户机可通过查询DNS找到DC(或其它对 象) – 使DNS主区域结构存储于AD,并随AD复制
用户
打印机
轻型目录访问协议(LDAP)
• 为活动目录中的对象标识LDAP命名路径 • 标识名DN(完整路径)
– 如:CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft
• 相对标识名RDN
– 如: CN=Suzan Fine • DC 域组件 • OU 组织单元 • CN 普通名字
组织结构
通过组织OU,可建立一个层次结构
ou
ou
ou
ou
ou
ou
ou
ou
深层次/浅层次的结构
ou
ou
目录树和目录林
双向可传递信任关系
目录林
目录树
china.
japan.
Tree
china. japan.
查找标准
允许计算机在该域中查找LDAP服务器,所有 DC配置这个记录 允许计算机查找该域控制器和该站点,所有 DC配置这个记录 允许计算机DNS域名查找该林全局目录服务 器,仅GC且为2003DC配置这个记录 允许计算机查找该林该站点的的全局目录服 务器,仅GC且为2003DC配置这个记录 允许计算机在该域中查找KDC服务器,所有 K5DC配置这个记录 允许计算机查找该域该站点的KDC服务器, 所有K5DC配置这个记录
单向不可传递信任关系
域 Windows NT 4.0
什么是目录树
目录树根 域
父域
父域
contoso.msft
子域
子域
sales.contoso.msft 连续的名字空间,
(域后缀延续 )
sales.contoso.msft
新域
什么是目录林?
一个目录林是一个或多个目录树 在目录林中的目录树不共同一个连 续的名字空间
NTDS Settings Properties
General Object Security
NTDS Settings
启用或者禁用 全局编录GC
全局编录
10-3活动目录的物理结构(Physical Structure)
– 与逻辑结构相互独立,之间没有必然的联系 – 一般用来配置管理网络交流 – DC和站点组成活动目录的物理结构
Protocol
Name Ttl
Class
Priority Weight
Port
Target
_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft.
由域控制器配置的服务记录
SRV记录
ldap._tcp.DNS域名. _ldap._tcp.站点名._sites.dc. _msdcs.DNS域名.
7
8
客户发送请求到域 控制器 运行在DC上的 LDAP服务器
10-8活动目录的集成区域
在活动目录中存储主要区域 DNS区域复制随AD复制进行
AD集成区域
区域 数据库 DNS服务器 活动目录
一个建立的域
目录林
目录树根域
目录林根域 全局目录
配置和架构
nwtraders.msft
目录树
企业Enterprise Admins contoso.msft sales.contoso.msft Schema Admins
目录树
marketing.nwtraders.msft
全局目录服务器(GC服务器)
活动目录架构(Schema)
对象类 例如: • • • • 活动目录架构 动态获得 动态更新 通过DACLs保护对象和属性 属性 例如:
10-5活动目录中的DNS角色介绍
• 名字解析(正向,反向)
– DNS将计算机名称转化为IP地址 – 计算机使用DNS在网络中互相查找
• Windows 2003域的命名协定
– 2003AD使用DNS的域名命名标准 – DNS域和AD域共享一公共的分层命名结构
• 如
Computer2
FQDN = Windows 2003 计算机名 = Computer1
• DNS主机名与AD中计算机帐号是相同的
– 计算机名可认为是特殊的域名
• FQDN:完全有效域名
– 计算机的全称域名 – 计算机的全名
10-7活动目录中DNS名字解析
DNS域名空间 Internet
―.‖
com.
(DNS根域)
AD域名空间
microsoft
training
sales
training.
computer1
= DNS节点(域/计算机)
sales. = AD域
• 要点:
– 使域和计算机成为
对象 属性 打印机名 打印机位置 Users Don Hall Suzan Fine 活动目录 Printers Printer1 Printer2 Printer3 属性 名 姓 登录名 属性值
打印机
用户
• 对象:网络资源
• 属性:关于对象的信息
目录服务使用用户可以通过查找对象的一个或多 个具体属性来确定对象的位置
DNS主机名称和Windows 2003计算机名称
DNS
―.‖
com. microsoft sales training computer1
DNS的主机记录和AD计算机对象对应 同一物理计算机
DNS允许计算机查找AD中的DC
活动目录
Builtin Computers Computer1
10-2活动目录的逻辑结构(logic
Structure)
• 具有伸缩性,包括下列组件:
– 域Domain:核心单元 – 组织单元OU – 域目录树与目录树Tree\Forest – 全局目录GC
逻辑结构:组织网络资源
• 活动目录使你能够通过名字(属性)找到资源,而 不是物理位置,这样使网络的物理结构对用户透明 域Domains 组织单元OU 树Tree和林Forest
• 查找活动目录的物理成分
– DNS通过提供的服务来验证域服务器 – 计算机使用DNS来查找DC和GC
10-6 DNS和活动目录
• DNS域和AD域使用相同的
– 分层命名结构和域名 – 但实际上域名空间是不同的
• 好处:
– 使2003网络计算机能够利用DNS
• 查找提供AD相关服务的DC和计算机
DNS和活动目录的域名空间
• DNS的节点 • AD的对象 • 并相对应
• 活动目录和Internet
– 如DNS的.com服务器中包含 – 使别的域利用Internet来查找 – 反之,你也可通过—.com来查找 Internet上的域名服务器的资源记录
MCSE:Windows2003
周建波
Email:zjb58@
10
Windows 2003中的 活动目录介绍
10-1活动目录介绍
• 活动目录存储整个网络上资源的信 息
– 便于用户查找、管理和使用这些资源
– 小型网络:UNC(通一命名标准)路 径 – 大型网络:难以确定资源位置、名称 – 所以需要目录服务快速定位资源
组织单元OU(Organizational Units)
网络管理模式 组织结构
Sales Users
Vancouver Sales
Computers
Repair
• 利用OU可以把对象组织到一个逻辑结构中,使 其最好地适应你的组织需求 • 可以把管理控制权委派给OU内的对象,通过指 定权限到一个或几个用户和组
建立一个GC服务器
AD Sites and Services Console Window Help
Active View
Tree Name Type New Active Directory Connection Active Directory Sites and Services Sites New Default-First-Site-Name All Tasks Servers ATLANTA LONDON Inter-Site Transports Subnets New Window from Here Delete Refresh 属性 Help Description: Domain Controller Query Policy: Default Query Policy Description
对象属性
Domain
Domain
Domain
Domain
全局目录
查询 利用通用组成员身 份的信息登录网络
GC服务器 Domain Domain
GC和登录过程
GC服务器
•User登录
•域
•域
•域
•域
•域
•GC提供 • 为用户帐号提供通用 组权利信息 • 当用户登录用一个用 户主要名称UPN(如: www@)时, 提供域信息
_gc._tcp.DnsForestName.
_gc._tcp.站点名._sites. Dns林名. _kerberos._tcp. DNS域名. _kerberos._tcp.站点名. _sites.DNS域名.
运行Windows 2003的域控制器额外注册SRV记录 _msdcs 子 域,格式如下:
• 定义复制和登录发生的时间和地点
• 域控制器DC
– 存储AD的副本,管理信息的变化和复制 – 一至多个,建议最少两个容错
10-4概述
• DNS和AD集成—2003关键特性
– 使用相同的分层命名结构 – 域、计算机成为AD的对象/DNS资源记录 – 客户机可通过查询DNS找到DC(或其它对 象) – 使DNS主区域结构存储于AD,并随AD复制
用户
打印机
轻型目录访问协议(LDAP)
• 为活动目录中的对象标识LDAP命名路径 • 标识名DN(完整路径)
– 如:CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft
• 相对标识名RDN
– 如: CN=Suzan Fine • DC 域组件 • OU 组织单元 • CN 普通名字
组织结构
通过组织OU,可建立一个层次结构
ou
ou
ou
ou
ou
ou
ou
ou
深层次/浅层次的结构
ou
ou
目录树和目录林
双向可传递信任关系
目录林
目录树
china.
japan.
Tree
china. japan.
查找标准
允许计算机在该域中查找LDAP服务器,所有 DC配置这个记录 允许计算机查找该域控制器和该站点,所有 DC配置这个记录 允许计算机DNS域名查找该林全局目录服务 器,仅GC且为2003DC配置这个记录 允许计算机查找该林该站点的的全局目录服 务器,仅GC且为2003DC配置这个记录 允许计算机在该域中查找KDC服务器,所有 K5DC配置这个记录 允许计算机查找该域该站点的KDC服务器, 所有K5DC配置这个记录
单向不可传递信任关系
域 Windows NT 4.0
什么是目录树
目录树根 域
父域
父域
contoso.msft
子域
子域
sales.contoso.msft 连续的名字空间,
(域后缀延续 )
sales.contoso.msft
新域
什么是目录林?
一个目录林是一个或多个目录树 在目录林中的目录树不共同一个连 续的名字空间
NTDS Settings Properties
General Object Security
NTDS Settings
启用或者禁用 全局编录GC
全局编录
10-3活动目录的物理结构(Physical Structure)
– 与逻辑结构相互独立,之间没有必然的联系 – 一般用来配置管理网络交流 – DC和站点组成活动目录的物理结构
Protocol
Name Ttl
Class
Priority Weight
Port
Target
_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft.
由域控制器配置的服务记录
SRV记录
ldap._tcp.DNS域名. _ldap._tcp.站点名._sites.dc. _msdcs.DNS域名.
7
8
客户发送请求到域 控制器 运行在DC上的 LDAP服务器
10-8活动目录的集成区域
在活动目录中存储主要区域 DNS区域复制随AD复制进行
AD集成区域
区域 数据库 DNS服务器 活动目录
一个建立的域
目录林
目录树根域
目录林根域 全局目录
配置和架构
nwtraders.msft
目录树
企业Enterprise Admins contoso.msft sales.contoso.msft Schema Admins
目录树
marketing.nwtraders.msft
全局目录服务器(GC服务器)
活动目录架构(Schema)
对象类 例如: • • • • 活动目录架构 动态获得 动态更新 通过DACLs保护对象和属性 属性 例如: