活動目錄的最佳設(shè)計理念.ppt

1、活動目錄的最佳設(shè)計理念 徐勝嶸Active DirectoryMicrosoft Corporation,概要,活動目錄設(shè)計目標(biāo) 活動目錄相關(guān)概念的闡述 活動目錄中域和組織結(jié)構(gòu)的設(shè)計 活動目錄中物理拓?fù)浣Y(jié)構(gòu)的設(shè)計,asia.nwtraders.msft,europe.nwtraders.msft,nwtraders.msft,域,活動目錄設(shè)計目標(biāo),必須滿足企業(yè)需求 復(fù)雜程度最小的可伸縮性 建立在Internet標(biāo)準(zhǔn)基礎(chǔ)上 靈活的、健壯的安全性 允許使用增量更新和移植 可以與現(xiàn)有的目錄投資一起工作得很好 支持組織變化的靈活性,提供給銷售部管理員用戶操作權(quán)限,Room 6中的彩色打印機(jī),委派管理任

2、務(wù),簡化用戶和網(wǎng)絡(luò)管理,用戶和組織管理 用戶設(shè)備管理,北京,銷售部,臨時職員,限制外部用戶的訪問權(quán)限,Kerberos X.509 智能卡,PKI證書,提供安全服務(wù),保護(hù)數(shù)據(jù)，而同時便于訪問 基于Internet技術(shù),北京,銷售部,臨時職員,北京,銷售部,臨時職員,用戶應(yīng)用程序: 在用戶對象上存儲應(yīng)用程序數(shù)據(jù),Exchange 2000: 合并的用戶和郵箱管理,目錄同步,簡化目錄管理,目錄合并 目錄同步,北京,銷售部,臨時職員,策略：與臨時部門相比，給銷售VP更多的帶寬,將共享文件發(fā)布到便于訪問的位置,增強(qiáng)的底層結(jié)構(gòu)服務(wù),允許使用目錄的網(wǎng)絡(luò) 允許使用目錄的服務(wù),北京,銷售部,臨時職員,策略：給

3、予銷售部員工安裝某些軟件的權(quán)限,發(fā)布服務(wù)器位置,簡化的應(yīng)用程序管理,發(fā)布服務(wù)器位置，以便客戶查找 基于策略和規(guī)則配置的應(yīng)用程序,充分了解活動目錄,Windows用戶 帳號信息 特權(quán) 配置文件 策略,Windows客戶 Mgmt配置文件 網(wǎng)絡(luò)信息 策略,Windows服務(wù)器 Mgmt配置文件 網(wǎng)絡(luò)信息 服務(wù) 打印機(jī) 文件共享 策略,活動目錄,為下列對象管理焦點： 用戶和資源 安全 授權(quán) 策略,What do you want to design today,活動目錄 Schema,目錄由對象組成 對象具有屬性 Schema是容許的對象類型和屬性的詳細(xì)定義 例子,用戶帳號 姓名(Name) 頭銜(

4、Title) 上級(Manager) 辦公室位置(Office Location) 電話(Phone) 部門(Division) 成本中心代碼(Cost Center Code),活動目錄 域 (Domain,域 是活動目錄中的安全邊界 OU屬性僅在域中繼承，而不是跨域繼承 提供復(fù)制邊界 下一層為組織單位(Organizational Unit，OU,活動目錄 OU(組織單位,組織單位 是一個容器對象 活動目錄中分組的最低形式 為帳號管理進(jìn)行分組 可以對組織單位應(yīng)用組策略 可以嵌入到任何層次中,逼真的OU視圖,OU反映管理組織 可以是圖形和/或商務(wù)模型分層結(jié)構(gòu) 某些層次可能有子層，而其他層則可

5、沒有,活動目錄 樹型結(jié)構(gòu)(Tree,域樹(Domain Tree) 一個或多個與根域有關(guān)系的域 域樹內(nèi)的域構(gòu)成了鄰接的命名空間 在域樹中的所有的域中，模式是公共的 由Kerberos信任關(guān)系處理安全性 用戶可以搜索域樹內(nèi)的所有信息,活動目錄 森林型結(jié)構(gòu)(Forest,森林型結(jié)構(gòu) 一組域樹 公共模式和配置 由Kerberos信任關(guān)系保護(hù) 名空間是不鄰接的，如 , 對于擁有在管理規(guī)則中需要自治的分支結(jié)構(gòu)的公司而言，很有用,搜索森林型結(jié)構(gòu)和樹型結(jié)構(gòu),用戶可以使用全局目錄和開始/查找特性，搜索域樹內(nèi)的所有信息 允許快速搜索活動目錄中的密鑰信息，而無需單獨地復(fù)制所有的域,活動目錄 GC(全局目錄,全局目

6、錄 包含在每個域內(nèi)包含的信息的部分副本 網(wǎng)絡(luò)管理員可以指定哪些屬性可以放置在全局目錄中，以及索引哪些屬性 站點友好的搜索,全局目錄域樹,被指定為全局目錄的域樹了解自己的域信息 (這些信息是完整的,另外，它還有來自域樹中其他域的部分信息,模式(Schema,全局目錄(GC,用戶帳號 姓名(Name) 頭銜(Title) 上級(Manager) 辦公室位置(Office Location) 電話(Phone) 部門(Division) 成本中心編號(Cost Center Code) 證書期限(Certification Expires) 打印機(jī) 名稱(Name) 制造商(Mfr) 型號(Mode

7、l) 顏色(Color) 雙工(Duplex) 資產(chǎn)編號(Asset #) 紙張尺寸(Paper Size,全局目錄(GC,用戶帳號 姓名(Name) 頭銜(Title) 上級(Manager) 辦公室位置(Office Location) 電話(Phone) 打印機(jī) 名稱(Name 制造商(Mfr) 型號(Model) 顏色(Color) 雙工(Duplex,物理情況如何,我們已經(jīng)定義了幫助我們進(jìn)行邏輯管理的所有術(shù)語 我們?nèi)绾慰紤]物理拓?fù)?活動目錄 站點(Site,站點 直接與網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)連接性相聯(lián)系 定義為“優(yōu)良的”網(wǎng)絡(luò)連接的一個方面 主要影響 用戶登錄，分布式文件系統(tǒng) 復(fù)制通信量 站點

8、邊界與域邊界無關(guān),對各部分進(jìn)行評估,利用一個域開始 在一組指導(dǎo)方針基礎(chǔ)上繼續(xù) 我們并不是試圖創(chuàng)造一個藝術(shù)品；實用性才是準(zhǔn)則 反映商務(wù)需求，地理布局，并允許空間增長,各部分的規(guī)則,每個站點，域、組織單位 (SDOU)必須有存在的原因 誰正在創(chuàng)建DS對象? 目標(biāo)? 誰管理該對象? 該對象存活的期限? 特殊特征，特殊條件,從何處開始,不要對了解它很有把握 不要誤解它 反復(fù)的處理，改進(jìn)，修改 評估不同的模型，并進(jìn)行對比 要考慮商務(wù)增長趨勢，商務(wù)中的變化量，以及變化的頻度 將重點放在單域解決方案上 簡單 = 更好,一個域,組織單位設(shè)置,組織單位是在域內(nèi)定義的 反映組織部門 設(shè)計用來產(chǎn)生企業(yè)模型的邏輯模型

9、 考慮以下概念的含義: 組策略的繼承 安全性的繼承 典型地，每個域的組織單位都不同,例子: 組織單位分層結(jié)構(gòu),,GP1,GP1,GP1,組策略1,指定到開始菜單的調(diào)試應(yīng)用程序,從開始菜單中刪除“運行(Run,GP2,Group Policy 2,GP1,2,GP1,2,GP1,2,域邊界模型,域是不是沿地理或企業(yè)邊界創(chuàng)建的? 商務(wù)組織中最穩(wěn)定的領(lǐng)域是什么? 例子: 地理邊界：Microsoft Corporation 企業(yè)邊界：Mobile組織,為什么選擇多個域,不同的企業(yè)位置 跨國公司 地區(qū)總部 局域網(wǎng)鏈接 主要站點之間的慢速鏈接 降低復(fù)制通信量 安全邊界 分支機(jī)構(gòu) 聯(lián)

10、營公司 合作伙伴,地理邊界,,,,,NA,EURO,ASIA,有多少個域,,,,,西部,中部l,東部,英國,德國,法國,日本,澳大利亞,新西蘭,總部,域模型,何時考慮使用森林型結(jié)構(gòu),如果公司各部門或分支是互相獨立且完全不相干的，森林型結(jié)構(gòu)可能是最好的模型 創(chuàng)建一個森林型結(jié)構(gòu)將產(chǎn)生: 單獨管理的域樹 多個名空間 多個管理員 不要創(chuàng)建森林型結(jié)構(gòu)，除非有這樣做的可靠的商務(wù)原因

11、,森林型結(jié)構(gòu),使得多個公司可以很容易地一起工作，而無需改變名稱 為輕松進(jìn)行合并或銷售做好了準(zhǔn)備 避免了與管理員相關(guān)的政治問題,,,,考慮物理拓?fù)湓O(shè)計,站點 全局目錄 DNS,定義站點,站點是由IP子網(wǎng)定義的，網(wǎng)絡(luò)連接性“優(yōu)良”的區(qū)域 “優(yōu)良”通常指局域網(wǎng)速度 站點內(nèi)復(fù)制通過RPC自動進(jìn)行 站點間復(fù)制由網(wǎng)絡(luò)管理員配置 時刻，頻度,站點,控制復(fù)制 計劃 可變傳輸 對客戶端定位全局目錄進(jìn)行控制 需要DNS集成 全局目錄服務(wù)器 應(yīng)用程序可以是站點感知的 DFS 控制對應(yīng)用程序資源的訪問,站點,總部和西部域位于同一個站點中 我們可以在包含

12、總部域和西部域的站點中，為東部域放置一個全局目錄,域可以跨越站點 復(fù)制是可以控制的,站點 登錄,客戶端機(jī)器查找DC的位置，并與其聯(lián)系 DC查看客戶端機(jī)器的IP地址 如果客戶端不是位于本地子網(wǎng)中，DC查看是否存在與該客戶端更近的 如果當(dāng)前的DC不是最近的DC，則通知高客戶端,全局目錄,DC1, Global Catalog,DC2, Domain Controller,DC3, Domain Controller,DC4, Global Catalog,DC5, Domain Controller,推薦的每站點最小值 其他基于應(yīng)用程序的詢數(shù)目的全局目錄 減少了在多域環(huán)境中，跨域目錄信息查詢的數(shù)目

13、,DNS需求 定位器,域控制器動態(tài)地注冊服務(wù)定位記錄 SRV 資源記錄 (RFC 2052) 映像 (服務(wù)) - (提供服務(wù)的主機(jī)) 服務(wù)/端口/機(jī)器定位機(jī)制 與SMTP服務(wù)和MX資源記錄首選值類似 NETLOGON服務(wù)發(fā)送更新 動態(tài)更新協(xié)議(RFC 2136,DNS需求 定位器記錄,SRV記錄的命名類似于 _ldap._tcp. i.e. _ldap._. _._. DNS服務(wù)器具有上的期限 必須支持SRV記錄 應(yīng)當(dāng)(必須)支持動態(tài)更新,Netlogon.dns文件,如果你的服務(wù)器不支持動態(tài)更新，你必須將這些記錄添加到dns中,namerica.nwtraders.msft. 600 IN

14、A _ldap._rica.nwtraders.msft. 600 IN SRV 0 100 389 AUSTIN.namerica.nwtraders.msft. _ldap._tcp.pdc._rica.nwtraders.msft. 600 IN SRV 0 100 389 AUSTIN.namerica.nwtraders.msft. _ldap._tcp.74477583-2a83-11d3-b715-0008c71afe38.domains._rica.nwtraders.msft. 600 IN SR

15、V 0 100 389 AUSTIN.namerica.nwtraders.msft. 74477582-2a83-11d3-b715-0008c71afe38._rica.nwtraders.msft. 600 IN CNAME AUSTIN.namerica.nwtraders.msft. _kerberos._tcp.dc._rica.nwtraders.msft. 600 IN SRV 0 100 88 AUSTIN.namerica.nwtraders.msft. _ldap._tcp.dc._rica.nwtraders.

16、msft. 600 IN SRV 0 100 389 AUSTIN.namerica.nwtraders.msft. _kerberos._rica.nwtraders.msft. 600 IN SRV 0 100 88 AUSTIN.namerica.nwtraders.msft. _kerberos._rica.nwtraders.msft. 600 IN SRV 0 100 88 AUSTIN.namerica.nwtraders.msft. _kpasswd._rica.nwtraders.msft. 600 IN SRV 0 100 4

17、64 AUSTIN.namerica.nwtraders.msft. _kpasswd._rica.nwtraders.msft. 600 IN SRV 0 100 464 AUSTIN.namerica.nwtraders.msft. _ldap._tcp.TEXAS._rica.nwtraders.msft. 600 IN SRV 0 100 389 AUSTIN.namerica.nwtraders.msft. _kerberos._tcp.TEXAS._sites.dc._rica.nwtraders.msft. 600 IN S

18、RV 0 100 88 AUSTIN.namerica.nwtraders.msft. _ldap._tcp.TEXAS._sites.dc._rica.nwtraders.msft. 600 IN SRV 0 100 389 AUSTIN.namerica.nwtraders.msft. _kerberos._tcp.TEXAS._rica.nwtraders.msft. 600 IN SRV 0 100 88 AUSTIN.namerica.nwtraders.msft. _ldap._tcp.gc._rica.nwtraders.msft. 600 IN SRV 0 100 3268 AUSTIN.namerica.nwtraders.msft. _gc._rica.nwtraders.msft. 600 IN A _gc._tcp.nam