《windows-server-2003服務(wù)器操作系統(tǒng)》第13章-活動(dòng)目錄基礎(chǔ)

1、第8章 活動(dòng)目錄基礎(chǔ)主要知識(shí)點(diǎn)：一、活動(dòng)目錄邏輯結(jié)構(gòu) （了解）二、活動(dòng)目錄物理結(jié)構(gòu) （了解）三、活動(dòng)目錄的安裝 （掌握）四、將計(jì)算機(jī)加入到域 （掌握）1ppt課件一 活動(dòng)目錄介紹1、什么是活動(dòng)目錄 活動(dòng)目錄（Active Directory）是Windows Server 2003平臺(tái)提供的目錄服務(wù)，在中央數(shù)據(jù)庫中存放信息，使用戶在網(wǎng)絡(luò)上只擁有一個(gè)用戶賬號(hào)。Windows Server 2003中的活動(dòng)目錄是高度完善的、自適應(yīng)能力很強(qiáng)的目錄服務(wù)。它支持用戶進(jìn)行大范圍的修改來滿足特定的商務(wù)和組織需要?；顒?dòng)目錄支持多域結(jié)構(gòu)，由一個(gè)或多個(gè)域組成。每個(gè)域擁有與其他域相關(guān)的安全策略和安全關(guān)系。這種多域模

2、式可以使Windows Server 2003具有更高的安全性。2ppt課件目錄服務(wù)的功能組織管理控制資源集中管理單點(diǎn)管理用戶只需登錄一次，就可訪問整個(gè)活動(dòng)目錄的資源目錄服務(wù)：存儲(chǔ)網(wǎng)絡(luò)資源的信息，使信息可有效利用 ;實(shí)質(zhì)為后臺(tái)服務(wù)，表現(xiàn)為管理、用戶工具3ppt課件 活動(dòng)目錄包括兩個(gè)方面：目錄和與目錄相關(guān)的服務(wù)。目錄是存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器，從靜態(tài)的角度來理解這活動(dòng)目錄與我們以前所結(jié)識(shí)的“目錄”和“文件夾”沒有本質(zhì)區(qū)別，僅僅是一個(gè)對(duì)象，是一實(shí)體；而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，活動(dòng)目錄是一個(gè)分布式的目錄服務(wù)，信息可以分散在多臺(tái)不同的計(jì)算機(jī)上，保證用戶能夠快速訪問，因?yàn)槎?/p>

3、臺(tái)計(jì)算機(jī)上有相同的信息，所以在信息冗余方面具有很強(qiáng)的控制能力，正因如此，不管用戶從何處訪問或信息處在何處，都對(duì)用戶提供統(tǒng)一的視圖。4ppt課件對(duì)象：網(wǎng)絡(luò)資源 屬性：關(guān)于對(duì)象的信息屬性名姓登錄名屬性打印機(jī)名打印機(jī)位置活動(dòng)目錄PrintersPrinter1Printer2Suzan FineUsersDon Hall屬性值對(duì)象打印機(jī)用戶Printer3 活動(dòng)目錄對(duì)象5ppt課件2、活動(dòng)目錄作用 （1） 信息的安全性大大增強(qiáng) 安裝活動(dòng)目錄后信息的安全性完全與活動(dòng)目錄集成，用戶授權(quán)管理和目錄進(jìn)入控制已經(jīng)整合在活動(dòng)目錄當(dāng)中了（包括用戶的訪問和登錄權(quán)限等），而它們都是Windows Server 200

4、3操作系統(tǒng)的關(guān)鍵安全措施?；顒?dòng)目錄集中控制用戶授權(quán)，目錄進(jìn)入控制不僅能在每個(gè)目錄中的對(duì)象上定義，而且還能在每一個(gè)對(duì)象的每個(gè)屬性上定義，這一點(diǎn)是以前任何系統(tǒng)所不能達(dá)到的，包括Windows NT 4.0。除此之外，活動(dòng)目錄還可以提供存儲(chǔ)和應(yīng)用程序作用域的安全策略，提供安全策略的存儲(chǔ)和應(yīng)用范圍。6ppt課件 安全策略可包含帳戶信息，如域范圍內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪問權(quán)等。所以從一定程序上可以說Windows Server 2003的安全性就是活動(dòng)目錄所體現(xiàn)的安全性。由此可見，對(duì)于網(wǎng)絡(luò)管理者來說，如何配置好活動(dòng)目錄中對(duì)象及屬性的安全性是一個(gè)網(wǎng)絡(luò)管理者配置好Windows Server 2003

5、系統(tǒng)的關(guān)鍵。 （2） 引入基于策略的管理，使系統(tǒng)的管理更加明朗 活動(dòng)目錄服務(wù)包括目錄對(duì)象數(shù)據(jù)存儲(chǔ)和邏輯分層結(jié)構(gòu)（指上面所講的目錄、目錄樹、域、域樹、域林等所組成的層次結(jié)構(gòu)）。作為目錄，它存儲(chǔ)著分配給特定環(huán)境的策略，稱為組策略對(duì)象。作為邏輯結(jié)構(gòu)。7ppt課件 它為策略應(yīng)用程序提供分層的環(huán)境。組策略對(duì)象表示了一套商務(wù)規(guī)則，它包括與要應(yīng)用的環(huán)境有關(guān)的設(shè)置，組策略是用戶或計(jì)算機(jī)初始化時(shí)用到的配置設(shè)置。所有的組策略設(shè)置都包含在應(yīng)用到活動(dòng)目錄、域、或組織單元的組策略對(duì)象（GPOs，Group Policy Objects）中。GPOs設(shè)置決定目錄對(duì)象和域資源的進(jìn)入權(quán)限，怎樣的域資源可以被用戶使用，以及這些

6、域資源怎樣使用等。例如，組策略對(duì)象可以決定當(dāng)用戶登錄時(shí)用戶在他們的計(jì)算機(jī)上看到什么應(yīng)用程序，當(dāng)在服務(wù)器上啟動(dòng)時(shí)有多少用戶可連接至Server，以及當(dāng)用戶轉(zhuǎn)移到不同的部門或組時(shí)他們可訪問什么文件或服務(wù)。8ppt課件 組策略對(duì)象可以管理少量的策略而不是大量的用戶和計(jì)算機(jī)。通過活動(dòng)目錄，可將組策略設(shè)置應(yīng)用于適當(dāng)?shù)沫h(huán)境中，不管它是整個(gè)單位還是單位中的特定部門。（3） 具有很強(qiáng)的可擴(kuò)展性 Windows Server 2003的活動(dòng)目錄具有很強(qiáng)的可擴(kuò)展性，管理員可以在計(jì)劃中增加新的對(duì)象類，或者給現(xiàn)有的對(duì)象類增加新的屬性。計(jì)劃包括可以存儲(chǔ)在目錄中的每一個(gè)對(duì)象類的定義和對(duì)象類的屬性。例如，在電子商務(wù)上可以給

7、每一個(gè)用戶對(duì)象增加一個(gè)購物授權(quán)屬性，然后存儲(chǔ)每一個(gè)用戶購買權(quán)限作為用戶賬號(hào)的一部分。9ppt課件（4） 具有很強(qiáng)的可伸縮性 活動(dòng)目錄可包含在一個(gè)或多個(gè)域，每個(gè)域具有一個(gè)或多個(gè)域控制器，以便調(diào)整目錄的規(guī)模以滿足任何網(wǎng)絡(luò)的需要。多個(gè)域可組成為域樹，多個(gè)域樹又可組成為樹林，活動(dòng)目錄也就隨著域的伸縮而伸縮，較好地適應(yīng)了單位網(wǎng)絡(luò)的變化。目錄將其架構(gòu)和配置信息分發(fā)給目錄中所有的域控制器，該信息存儲(chǔ)在域的第一個(gè)域控制器中，并且復(fù)制到域中任何其他域控制器。當(dāng)該目錄配置為單個(gè)域時(shí)，添加域控制器將改變目錄的規(guī)模，而不影響其他域的管理開銷。將域添加到目錄可以針對(duì)不同策略環(huán)境劃分目錄，并調(diào)整目錄的規(guī)模以容納大量的資源

8、和對(duì)象。10ppt課件（5） 智能的信息復(fù)制能力 信息復(fù)制為目錄提供了信息可用性、容錯(cuò)、負(fù)載平衡和性能優(yōu)勢(shì)，活動(dòng)目錄使用多主機(jī)復(fù)制，允許在任何域控制器上而不是單個(gè)主域控制器上同步更新目錄。多主機(jī)模式具有更大容錯(cuò)的優(yōu)點(diǎn)，因?yàn)槭褂枚嘤蚩刂破?，即使任何單?dú)的域控制器停止工作，也可繼續(xù)復(fù)制。由于進(jìn)行了多主機(jī)復(fù)制，它們將更新目錄的單個(gè)副本，在域控制器上創(chuàng)建或修改目錄信息后，新創(chuàng)建或更改的信息將發(fā)送到域中的所有其他域控制器，所以其目錄信息是最新的。域控制器需要最新的目錄信息，但是要做到高效率，必須把自身的更新限制在只有新建或更改目錄信息的時(shí)候，以免在網(wǎng)絡(luò)高峰期進(jìn)行同步而影響網(wǎng)絡(luò)速度。11ppt課件 在域控

9、制器之間不加選擇地交換目錄信息能夠迅速搞垮任何網(wǎng)絡(luò)。通過活動(dòng)目錄就能達(dá)到只復(fù)制更改的目錄信息，而不至于大量增加域控制器的負(fù)荷。（6）與DNS集成緊密 活動(dòng)目錄使用域名系統(tǒng)（DNS）來為服務(wù)器目錄命名，DNS是將更容易理解的主機(jī)名（如 Mike.M）轉(zhuǎn)換為數(shù)字IP地址的Internet標(biāo)準(zhǔn)服務(wù)，利于在TCP/IP網(wǎng)絡(luò)中計(jì)算機(jī)之間的相互識(shí)別和通訊。DNS的域名基于DNS分層命名結(jié)構(gòu)，這是一種倒置的樹狀結(jié)構(gòu)，單個(gè)根域，在它下面可以是父域和子域（分支和葉子）。關(guān)于這一點(diǎn)會(huì)在后面以專門的篇章加以詳細(xì)講述，在此僅作簡(jiǎn)單介紹。12ppt課件（7） 與其他目錄服務(wù)具有互操性 由于活動(dòng)目錄是基于標(biāo)準(zhǔn)的目錄訪問協(xié)

10、議，許多應(yīng)用程序界面（API）都允許開發(fā)者進(jìn)入這些協(xié)議，例如活動(dòng)目錄服務(wù)界面（ADSI，Active Directory Service Interfaces）、輕型目錄訪問協(xié)議（LDAP，Lightweight Directory Access Protocol）第三版和名稱服務(wù)提供程序接口（NSPI，National Spa and Pool Institute），因此它可與使用這些協(xié)議的其他目錄服務(wù)相互操作。LDAP是用于在活動(dòng)目錄中查詢和檢索信息的目錄訪問協(xié)議。因?yàn)樗且环N工業(yè)標(biāo)準(zhǔn)服務(wù)協(xié)議，所以可使用LDAP開發(fā)程序，與同時(shí)支持LDAP的其他目錄服務(wù)共享活動(dòng)目錄信息。13ppt課件 活

11、動(dòng)目錄支持Microsoft Exchange 4.0和5.x客戶程序所用的NSPI協(xié)議，以提供與Exchange目錄的兼容性。（8） 具有靈活的查詢 任何用戶可使用【開始】菜單、【網(wǎng)上鄰居】或【活動(dòng)目錄用戶和計(jì)算機(jī)】上的【搜索】命令，通過對(duì)象屬性快速查找網(wǎng)絡(luò)上的對(duì)象?？赏ㄟ^名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶，反之亦然。14ppt課件二活動(dòng)目錄邏輯結(jié)構(gòu) 1、域 在Windows Server 2003中，域不僅限定了與網(wǎng)絡(luò)中一群特定的用戶相關(guān)聯(lián)的一個(gè)對(duì)象集合的管理邊界，也限定了其安全邊界。域是一個(gè)管理邊界，因?yàn)楣芾硖貦?quán)不會(huì)擴(kuò)展到其他域。域又是安全邊界，因?yàn)槊總€(gè)域有

12、一個(gè)擴(kuò)展到位于該域中的所有安全帳戶的安全策略。15ppt課件 多個(gè)域可以組織成父-子關(guān)系，從而形成層次結(jié)構(gòu)。一個(gè)父域是在層次結(jié)構(gòu)中直接高于一個(gè)或多個(gè)下級(jí)（或稱子級(jí)）的域。一個(gè)子域也可以是一個(gè)或多個(gè)子域的父域，如下圖所示。這種層次結(jié)構(gòu)相對(duì)于Windows NT 4.0和Windows NT 3.51中的一般域結(jié)構(gòu)有所改變。域?qū)哟谓Y(jié)構(gòu)的例子 16ppt課件活動(dòng)目錄使你能夠通過名字（屬性）找到資源，而不是物理位置,這樣使網(wǎng)絡(luò)的物理結(jié)構(gòu)對(duì)用戶透明域Domains組織單元OU樹Tree和林ForestDomain域域目錄樹域域域目錄樹目錄林域OUOUOU17ppt課件 Windows Server 20

13、03中的域?qū)哟谓Y(jié)構(gòu)使用戶可以在一次查詢中搜索多個(gè)域，因?yàn)樵谠搶哟谓Y(jié)構(gòu)中每一級(jí)都包含其直接上級(jí)和直接下級(jí)的信息，這種層次信息使用戶不需要知道一個(gè)特定對(duì)象的位置就可以找到它。而在Windows NT 4.0及其更早的版本中，為找到一個(gè)對(duì)象，用戶必須既知道該對(duì)象所在的域，又知道它所在的服務(wù)器。 Windows Server 2003對(duì)活動(dòng)目錄的域和計(jì)算機(jī)的層次型命名使用DNS的命名標(biāo)準(zhǔn)，基于這一原因，域和計(jì)算機(jī)對(duì)象不僅是DNS域?qū)哟谓Y(jié)構(gòu)中的一部分，也是活動(dòng)目錄域?qū)哟谓Y(jié)構(gòu)中的一部分。這些域?qū)哟伪M管有相同的名字，卻代表各自獨(dú)立的名字空間。18ppt課件 DNS的主要功能是將用戶可以識(shí)別的計(jì)算機(jī)名字映射到

14、計(jì)算機(jī)可識(shí)別的IP地址上。因此，DNS為計(jì)算機(jī)名字定義了一個(gè)名字空間，根據(jù)這些名字可以解析出IP地址，反之亦然。在Windows NT 4.0或更早的版本中，DNS名字是不需要的，域和計(jì)算機(jī)使用NetBIOS名字，這種名字通過使用Windows Internet名字服務(wù)（WINS）而映射到IP地址。盡管對(duì)Windows Server 2003域和基于Windows Server 2003的計(jì)算機(jī)來說，它們是需要DNS名字的，但為了達(dá)到跟Windows NT 4.0域及那些運(yùn)行Windows NT 4.0或更早版本、Windows for Workgroups、Windows 98或Window

15、s 95的客戶機(jī)之間的兼容性，Windows Server 2003中也支持NetBIOS名字。19ppt課件 由于Windows Server 2003兼容支持Windows NT的域，所以按照域中是否有無Windows NT域服務(wù)器，將域分為單純由Windows Server 2003域服務(wù)器組成的本機(jī)模式（Native Mode），以及由Windows NT和Windows Server 2003域服務(wù)器組成的混合模式（Mixed Mode）。由于Windows Server 2003的域服務(wù)器包含Windows NT域服務(wù)器功能，并有重大改進(jìn)和提高，所以由混合模式（Mixed Mode

16、）組成的域的功能受到限制，本機(jī)模式（Native Mode）的功能最完善。20ppt課件2、組織單元 活動(dòng)目錄允許管理員在一個(gè)域內(nèi)創(chuàng)建一個(gè)滿足其組織需要的層次結(jié)構(gòu)。建立這些層次結(jié)構(gòu)要選擇的對(duì)象類是Orgnizational Unit類，這是一個(gè)通用容器，該容器可以因管理上的目的而將其他大多數(shù)對(duì)象類組合到一起?；顒?dòng)目錄中的一個(gè)組織單元與文件系統(tǒng)中的一個(gè)目錄是類似的，它是一個(gè)可以包容其他對(duì)象的容器。21ppt課件（1）管理層次 組織單元可以被嵌套在一起來創(chuàng)建一個(gè)域中的層次結(jié)構(gòu)，并為用戶、組和資源對(duì)象形成邏輯上的管理單元，如打印機(jī)、計(jì)算機(jī)、應(yīng)用程序和文件共享。一個(gè)域中的組織單元層次結(jié)構(gòu)獨(dú)立于其他域的

17、結(jié)構(gòu)；每個(gè)域可以組織自己的層次結(jié)構(gòu)。同樣，由一個(gè)集中的權(quán)威機(jī)構(gòu)管理的多個(gè)域可以實(shí)現(xiàn)相似的組織單元層次結(jié)構(gòu)。這種結(jié)構(gòu)是靈活的，它使得一個(gè)組織可以創(chuàng)建一個(gè)與其管理模型相同的環(huán)境，不管它是集中的還是分散的。22ppt課件（2）組策略 組策略（Group Policy）可以應(yīng)用到組織單元上，來定義該組織單元中包含的計(jì)算機(jī)和用戶組的能力?？刂频募?jí)別范圍從完全的桌面鎖定到相對(duì)自治的用戶經(jīng)驗(yàn)。組策略可以影響功能，如哪些應(yīng)用程序?qū)σ唤M用戶可用，一個(gè)應(yīng)用程序中的哪些特性可以從一臺(tái)特定的機(jī)器上訪問，文檔被保存在何處，應(yīng)用程序和操作系統(tǒng)如何更新，特定的腳本如何應(yīng)用等。 組策略設(shè)置在活動(dòng)目錄中，被作為組策略對(duì)象存儲(chǔ)，

18、一個(gè)組策略對(duì)象可以與一個(gè)或多個(gè)活動(dòng)目錄容器如一個(gè)站點(diǎn)、域或者組織單元相聯(lián)系。23ppt課件（3）控制的代理 基于對(duì)象的安全模型，Windows Server 2003實(shí)現(xiàn)了缺省的被沿著容器對(duì)象的一棵特殊的子樹向下傳播的訪問控制。使用這一技術(shù)，按照在包含著對(duì)象的組織單元中設(shè)定的安全（這些安全有效地代表了對(duì)組織中的管理控制）來確定一整組對(duì)象的安全。要完全利用目錄對(duì)象上的代理和繼承來的控制，最好的方式是組織層次結(jié)構(gòu)以跟該目錄所被管理的方式匹配。24ppt課件 對(duì)目錄對(duì)象的控制可以通過訪問控制應(yīng)用于組織單元。下圖顯示了組織單元域中的結(jié)構(gòu)。組織單元的層次結(jié)構(gòu) 25ppt課件3、樹和森林 根據(jù)DNS命名標(biāo)

19、準(zhǔn)，活動(dòng)目錄域被創(chuàng)建成一棵倒過來的樹形結(jié)構(gòu)，其根在頂部。另外，這種Windows Server 2003域?qū)哟谓Y(jié)構(gòu)基于信任關(guān)系，也就是說，各個(gè)域通過域間的信任關(guān)系相連接。 當(dāng)同一個(gè)組織中的多個(gè)域需要有不同的名字空間時(shí)，要給各個(gè)名字空間創(chuàng)建一棵獨(dú)立的樹。在Windows Server 2003中，各棵樹的根之間自動(dòng)地被雙向的、傳遞的（Transitive）信任關(guān)系所連接。由信任關(guān)系所連接的多棵樹形成森林，一棵不與其他任何樹相連的樹也構(gòu)成一座單樹的森林。 26ppt課件 整個(gè)Windows Server 2003森林的樹狀結(jié)構(gòu)都按父-子關(guān)系和樹-根關(guān)系的形式存儲(chǔ)在活動(dòng)目錄中，而這些關(guān)系都被作為信任

20、帳戶對(duì)象（Trusted Domain類）存儲(chǔ)在一個(gè)特定的域目錄分區(qū)的系統(tǒng)容器中。對(duì)森林中的每個(gè)域，關(guān)于它與父域（如果它是樹根，則跟另一個(gè)樹根域）相聯(lián)系的信息被添加的被復(fù)制的森林中的每個(gè)域內(nèi)的配置數(shù)據(jù)中。因此，域控制器森林中的每臺(tái)域控制器都知道整個(gè)森林的樹狀結(jié)構(gòu)，包括樹之間的鏈接，用戶可以通過活動(dòng)目錄域樹管理器（Domain Tree Manager）查看該樹狀結(jié)構(gòu)。27ppt課件（1）樹 一棵Windows Server 2003樹就是一個(gè)DNS名字空間，它有一個(gè)惟一的根域并且是一個(gè)嚴(yán)格的層次結(jié)構(gòu)，根域以下的每個(gè)域都只有一個(gè)父域。因此，根據(jù)這種層次結(jié)構(gòu)創(chuàng)建的名字空間是鄰接的-層次結(jié)構(gòu)中的每一

21、級(jí)都直接與其上一級(jí)和下一級(jí)（如果存在）相連，如下圖所示。28ppt課件樹狀層次結(jié)構(gòu)29ppt課件 在Windows Server 2003中，下面幾條規(guī)則確定在名字空間中樹如何起作用：一棵樹只有一個(gè)名字，即位于樹根處的域的DNS名字。在根域下面創(chuàng)建的域（子域）的名字總是與根域的名字鄰接。一棵樹的根域的子域的DNS名字反映該組織，因此，叫做“某域”（“somedomain”）的子域在DNS名空間中總是該域的兒子（如child1.somedomain；child2.somedomain等等）。30ppt課件 子域可以表示地理上的實(shí)體（如美國和歐洲）、組織中的管理實(shí)體（如銷售部與市場(chǎng)部），或者其他由

22、組織所指定的范圍，這些視組織的需要而定。域在根域下創(chuàng)建，以減少活動(dòng)目錄副本，并且提供一種創(chuàng)建不變的域名的方法。整個(gè)域體系結(jié)構(gòu)的改變，如域崩潰或域重新創(chuàng)建，都會(huì)帶來一些困難和潛在的對(duì)IT業(yè)影響強(qiáng)烈的支持要求，好的名字空間設(shè)計(jì)應(yīng)該能夠在不需要重新組織現(xiàn)存的域?qū)哟谓Y(jié)構(gòu)的情況下，經(jīng)受住公司的重組要求。31ppt課件（2） 森林 一座森林是一棵或多棵Windows Server 2003活動(dòng)目錄樹的集合，各樹之間地位相當(dāng)，由雙向、傳遞的信任關(guān)系相關(guān)聯(lián)。單個(gè)域組成一棵單域的樹，單棵樹組成單樹的森林。因此，一座森林跟活動(dòng)目錄是同一個(gè)概念，也就是說，在一個(gè)特定的目錄服務(wù)實(shí)例（包括所有的域和所有的配置和模式信息

23、）中的全部目錄分區(qū)的集合組成一座森林。32ppt課件 在同一座森林中的多棵樹并不構(gòu)成一個(gè)鄰接的名字空間，而是構(gòu)成一個(gè)基于不同的DNS根域名的不鄰接的名字空間。然而，一座森林中的多棵樹共享一個(gè)公共的目錄模式、配置數(shù)據(jù)以及全局編目。這種對(duì)公共的模式和配置數(shù)據(jù)的共享，再加上樹根之間的信任關(guān)系，將一座森林與由一些不相聯(lián)系的樹組成的一個(gè)集合區(qū)分開來。盡管每棵樹根的名字跟其他樹根的名字不相鄰接，所有的樹還是共享一個(gè)全局名字空間，因?yàn)閷?duì)象的名字仍然可以由同一個(gè)活動(dòng)目錄所解析。一座森林像一個(gè)由交叉引用的對(duì)象和成員樹所知道的信任關(guān)系所組成的集合而存在，位于每個(gè)名字空間的根域的傳遞信任提供了對(duì)資源的相互訪問。33

24、ppt課件 森林結(jié)構(gòu)給公司提供了從獨(dú)立的、明確的、不相鄰接的名字空間建設(shè)自己的事業(yè)的選擇。如果公司有一些有獨(dú)立的DNS名字的商業(yè)部門，可以創(chuàng)建另外的樹來容納這些名字。下圖顯示了這種類型的一個(gè)組織的例子。有兩棵樹的森林結(jié)構(gòu) 34ppt課件 在一座活動(dòng)目錄森林中的多個(gè)域共享一個(gè)目錄模式、配置信息和全局編目，它們也擁有傳遞的信任關(guān)系，使得每個(gè)域中的用戶可以訪問樹中所有其他域內(nèi)的可用資源。 森林中第一個(gè)創(chuàng)建的域稱為森林根域，它不可以被刪除、更改或重命名。當(dāng)用戶創(chuàng)建一棵新的樹時(shí)，要指定初始樹的根域，在第二棵樹的根域和森林根域間建立起一種信任關(guān)系。因?yàn)樾湃侮P(guān)系是傳遞和雙向的，第三棵樹的根域跟第二棵樹的根域

25、之間也存在一個(gè)雙向的信任關(guān)系。35ppt課件（3）信任關(guān)系 活動(dòng)目錄通過域間的信任關(guān)系提供跨域的安全。當(dāng)域之間有信任關(guān)系時(shí)，每個(gè)域的認(rèn)證機(jī)構(gòu)都信任其他所有它所信任的域的認(rèn)證機(jī)構(gòu)。如果一個(gè)用戶或應(yīng)用程序被一個(gè)域認(rèn)證后，所有信任這個(gè)認(rèn)證域的域都認(rèn)可這種認(rèn)證。一個(gè)被信任域中的用戶可以訪問信任域中的資源，并要受施加于信任域上的訪問控制所制約。36ppt課件1）傳遞和非傳遞信任 在Windows NT 3.51和Windows NT 4.0中，信任關(guān)系必須明確地朝一個(gè)方向創(chuàng)建，一個(gè)雙向的信任關(guān)系通過創(chuàng)建兩個(gè)單向的信任關(guān)系而建立。為達(dá)到可以訪問資源的目的，各個(gè)域可以通過明確的設(shè)置為單向或雙向信任關(guān)系來連接

26、，但它們不一定要以其他任何方式相聯(lián)系。在Windows Server 2003中，域可以加入到一個(gè)域樹或森林中，每個(gè)子域與父域有一個(gè)自動(dòng)的雙向信任關(guān)系，這種信任關(guān)系也是傳遞的。傳遞信任指延伸到一個(gè)域的信任關(guān)系也自動(dòng)地延伸到該域所信任的任何一個(gè)域上。 37ppt課件 傳遞信任自動(dòng)地應(yīng)用于域樹或森林的所有成員域上。因此，當(dāng)一個(gè)孫域被創(chuàng)建時(shí)，父域與子域之間的信任關(guān)系被孫域所認(rèn)可，反之亦然。例如，如果一個(gè)用戶帳戶已經(jīng)由父域認(rèn)證，該用戶就可以訪問孫域中的資源；同樣，如果用戶已由子域認(rèn)證，則他就可以訪問父域中和孫域中的資源。 Windows Server 2003域中的傳遞信任的結(jié)果是：一座活動(dòng)目錄森林中

27、的所有域之間完全是信任的，每個(gè)域與其父域有一個(gè)傳遞信任關(guān)系，每棵樹的根域都與森林的根域有一個(gè)傳遞信任關(guān)系。38ppt課件 當(dāng)一個(gè)傳遞信任關(guān)系不合適時(shí)，可以在Windows Server 2003域間創(chuàng)建一個(gè)非傳遞信任關(guān)系，但是這種信任關(guān)系必須明確地創(chuàng)建。例如，可以在不處在同一座森林中的Windows Server 2003域之間創(chuàng)建非傳遞信任關(guān)系。 Windows Server 2003域和Windows NT 4.0域之間的信任關(guān)系總是非傳遞信任關(guān)系。如果兩個(gè)域中一個(gè)是帳戶域而另一個(gè)是資源域的話，該信任關(guān)系通常被創(chuàng)建為單向的；如果兩個(gè)域中都有用戶帳戶，則它們之間可以創(chuàng)建雙向的信任關(guān)系。兩個(gè)域

28、之間的信任關(guān)系（不管單向還是雙向、傳遞還是非傳遞）在活動(dòng)目錄中都被存儲(chǔ)為一個(gè)域間的信任帳戶對(duì)象（Interdomain Trust Account Object）。39ppt課件2）信任的方向 在描述信任關(guān)系時(shí)，箭頭以如下方式說明域間的信任方向：如果B是信任域，A是被信任域，BA表示域B信任域A。（相同的信任關(guān)系可以表示為AB，即A被B所信任。）當(dāng)域B信任域A（BA）時(shí)，在域A中擁有帳戶的用戶可以被認(rèn)證訪問域B中的資源。然而，在域B中擁有帳戶的用戶不被信任，因此不能被認(rèn)證訪問域A中的資源。40ppt課件 japan. china. 目錄樹目錄林japan. china. Tree(root)域

29、 Windows NT 4.0單向不可傳遞信任關(guān)系雙向可傳遞信任關(guān)系41ppt課件 Windows Server 2003域的一個(gè)層次結(jié)構(gòu)由域間的信任關(guān)系實(shí)現(xiàn)。在活動(dòng)目錄中，一個(gè)父域與一個(gè)子域間的信任關(guān)系是雙向的（AB），但有如下的限制：一個(gè)域樹中的兩個(gè)域間的父-子關(guān)系由一個(gè)下級(jí)的名字關(guān)系定義。例如，是的一個(gè)兒子，但并不是的兒子。父-子信任關(guān)系不僅要求一個(gè)父子關(guān)系，還要求一個(gè)信任方向如下：只有當(dāng)BA并且B是A的一個(gè)下一級(jí)的名字時(shí)，域A才可以被指定為域B的父親。當(dāng)一個(gè)新域作為一個(gè)兒子加入一棵域樹時(shí)，就自動(dòng)地定義了一個(gè)建立雙向的、傳遞的信任關(guān)系的父-子信任關(guān)系。42ppt課件 使用雙向的、傳遞的信

30、任關(guān)系減少了管理時(shí)間，因?yàn)樗鼫p少了超過一半的必須被管理的信任關(guān)系數(shù)，如下圖所示。NT4.0中域間的顯式雙向信任關(guān)系 Windows Server 2003中域間的自動(dòng)43ppt課件三 活動(dòng)目錄物理結(jié)構(gòu) 1、域控制器 域控制器是使用Active Directory安裝向?qū)渲玫倪\(yùn)行Windows Server 2003的計(jì)算機(jī)。Active Directory安裝向?qū)О惭b和配置為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供Active Directory目錄服務(wù)的組件。域控制器存儲(chǔ)著目錄數(shù)據(jù)并管理用戶域的交互，其中包括用戶登錄過程、身份驗(yàn)證和目錄搜索。44ppt課件 一個(gè)域可有一個(gè)或多個(gè)域控制器。使用單個(gè)局域網(wǎng)（LAN

31、）的小單位可能只需要一個(gè)具有兩個(gè)域控制器的域。具有多個(gè)網(wǎng)絡(luò)位置的大公司在每個(gè)位置都需要一個(gè)或多個(gè)域控制器以提供高可用性和容錯(cuò)能力。 Active Directory支持域中所有域控制器之間目錄數(shù)據(jù)的多宿主復(fù)制。但是，某些更改以多宿主方式進(jìn)行是不實(shí)際的，因?yàn)檫@樣只有一個(gè)稱作操作主機(jī)的域控制器可接受這些更改請(qǐng)求。45ppt課件2、全局編目服務(wù)器 全局編目服務(wù)器包含了目錄中所有對(duì)象的信息，這使得用戶和管理員可以在不知目錄中究竟哪個(gè)域包含數(shù)據(jù)的情況下查找目錄信息。 一座森林中的每臺(tái)域控制器都存儲(chǔ)本域的完整目錄信息。全局編目服務(wù)器是一個(gè)不僅存儲(chǔ)本域的完整目錄，同時(shí)還存儲(chǔ)森林中所有域目錄的一個(gè)部分的、只讀

32、的副本域控制器。額外的目錄分區(qū)之所以是“部分”的，是因?yàn)楸M管它們合起來包含了目錄中的每個(gè)對(duì)象，但對(duì)每個(gè)對(duì)象只包含一個(gè)受限的不完整的屬性集合。全局編目由活動(dòng)目錄副本復(fù)制系統(tǒng)自動(dòng)地建立。 46ppt課件3、站點(diǎn) 站點(diǎn)就是具有高帶寬連接的網(wǎng)絡(luò)的一個(gè)區(qū)域。為方便起見，將站點(diǎn)考慮為由一個(gè)或多個(gè) IP 子網(wǎng)中的一組計(jì)算機(jī)定義。這樣會(huì)工作得比較好，因?yàn)橐_保目錄信息的有效交換，站點(diǎn)中的計(jì)算機(jī)需要很好地連接，尤其是子網(wǎng)內(nèi)的計(jì)算機(jī)。如果站點(diǎn)包括多個(gè)子網(wǎng)，由于相同原因那些子網(wǎng)也必須良好地連接。廣域網(wǎng)（WAN）應(yīng)使用多個(gè)站點(diǎn)，如果未使用，整個(gè)廣域網(wǎng)內(nèi)的服務(wù)請(qǐng)求或復(fù)制目錄信息可能效率非常低。 47ppt課件 如后圖所

33、示，站點(diǎn)反映網(wǎng)絡(luò)的物理結(jié)構(gòu)，而域通常反映企業(yè)的邏輯結(jié)構(gòu)。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)相互獨(dú)立，其具有下列因果關(guān)系：網(wǎng)絡(luò)的物理結(jié)構(gòu)及其域結(jié)構(gòu)之間沒有必要的相關(guān)性Active Directory允許單個(gè)站點(diǎn)中有多個(gè)域，單個(gè)域中有多個(gè)站點(diǎn)站點(diǎn)和域名稱空間之間沒有必要的連接48ppt課件 Active Directory站點(diǎn)和服務(wù)允許用戶指定站點(diǎn)信息。Active Directory使用該信息確定如何充分地使用可用網(wǎng)絡(luò)資源。這使得下列類型的操作更有效：（1） 服務(wù)請(qǐng)求 當(dāng)客戶從域控制器請(qǐng)求服務(wù)時(shí)，只要相同域中的域控制器有一個(gè)可用，此請(qǐng)求就將會(huì)發(fā)給這個(gè)域控制器。選擇與發(fā)出請(qǐng)求的客戶連接良好的域控制器將使該請(qǐng)求的處

34、理效率更高。49ppt課件（2） 復(fù)制 站點(diǎn)使目錄信息以流水線的方式復(fù)制。目錄架構(gòu)和配置信息分布在整個(gè)樹林中，而且域數(shù)據(jù)分布在域中的所有域控制器之間。通過有策略地減少復(fù)制，網(wǎng)絡(luò)擁塞也會(huì)同樣減少。Active Directory在一個(gè)站點(diǎn)內(nèi)比在站點(diǎn)之間更頻繁地復(fù)制目錄信息。這樣，連接最好的域控制器中最可能需要特定目錄信息的域控制器首先接收復(fù)制的內(nèi)容。其他站點(diǎn)中的域控制器接收對(duì)目錄所進(jìn)行的更改，但不頻繁，可以降低網(wǎng)絡(luò)帶寬的消耗。 如果配置方案未組織成站點(diǎn)，則域和客戶之間的信息交換可能非?；靵y。站點(diǎn)能提高網(wǎng)絡(luò)使用的效率。50ppt課件 站點(diǎn)成員身份分別針對(duì)域控制器和客戶機(jī)確定，可能會(huì)有所不同?？蛻魴C(jī)

35、確定它打開時(shí)所在的站點(diǎn)，所以其站點(diǎn)位置經(jīng)常動(dòng)態(tài)更新。域控制器的站點(diǎn)位置由其目錄內(nèi)服務(wù)器對(duì)象所屬的站點(diǎn)決定，這樣除非域控制器的服務(wù)器對(duì)象被有意地移動(dòng)到不同的站點(diǎn)，否則其站點(diǎn)位置應(yīng)該一致。如果域控制器或客戶機(jī)具有未包含在任何站點(diǎn)中的地址，則客戶機(jī)或域控制器包含在創(chuàng)建的初始站點(diǎn)內(nèi)（Default-First-Site）。客戶或域控制器的操作就如同Default-First-Site的成員一樣處理，而與實(shí)際IP地址或子網(wǎng)位置無關(guān)。因此，所有站點(diǎn)總是有相關(guān)的域控制器，因?yàn)樽罱挠蚩刂破鲗⒆约号c沒有域控制器的站點(diǎn)相關(guān)聯(lián)（除非刪除站點(diǎn)Default-First-Site）。51ppt課件站點(diǎn)對(duì)目錄復(fù)制的影響

36、 52ppt課件四活動(dòng)目錄的安裝 1、活動(dòng)目錄的安裝過程 Windows Server 2003提供了一個(gè)活動(dòng)目錄安裝向?qū)磉M(jìn)行活動(dòng)目錄的安裝，在活動(dòng)目錄安裝完成后計(jì)算機(jī)會(huì)發(fā)生一些變化。為了驗(yàn)證這些變化，在安裝活動(dòng)目錄之前，在【計(jì)算機(jī)管理】工具下創(chuàng)建一個(gè)本地用戶賬號(hào)xhce，如后圖所示。53ppt課件創(chuàng)建本地用戶帳戶xhce54ppt課件 下面是在一臺(tái)Windows Server 2003計(jì)算機(jī)上安裝活動(dòng)目錄的步驟：第1步 在Windows Server 2003計(jì)算機(jī)上打開【運(yùn) 行】窗口，在【打開】欄中輸入“dcpromo”命 令，如下圖所示。輸入“dcpromo”命令 55ppt課件第2步

37、 單擊【確定】按鈕，出現(xiàn)【Active Directory 安裝向?qū)А繉?duì)話框，如下圖所示。 Active Directory安裝向?qū)?duì)話框 56ppt課件第3步 單擊【下一步】按鈕，出現(xiàn)【操作系統(tǒng)兼容 性】對(duì)話框。在此提示關(guān)于操作系統(tǒng)的兼容 性的信息，如下圖所示。操作系統(tǒng)兼容性對(duì)話框 57ppt課件第4步 單擊【下一步】按鈕，出現(xiàn)【域控制器類 型】對(duì)話框。在此我們選擇【新域的域控制 器】，如下圖所示。選擇新建域控制器的類型 58ppt課件第5步 單擊【下一步】按鈕，出現(xiàn)【創(chuàng)建一個(gè)新 域】對(duì)話框。在此選擇要?jiǎng)?chuàng)建的域的類型， 此處選擇【在新林中的域】選項(xiàng)，如下圖。選擇新建域的類型 59ppt課件第

38、6步 單擊【下一步】按鈕，出現(xiàn)【新的域名】對(duì) 話框。在此為要?jiǎng)?chuàng)建的域指定DNS名稱，此 處指定的DNS名稱為“”，如下圖。指定新域的DNS名稱 60ppt課件第7步 單擊【下一步】按鈕，出現(xiàn)【NetBIOS域名】 對(duì)話框。為新域指定的NetBIOS名，如下圖。指定新域的NetBIOS名稱 61ppt課件第8步 單擊【下一步】按鈕，出現(xiàn)【數(shù)據(jù)庫和日志 文件文件夾】對(duì)話框，在此選擇活動(dòng)目錄數(shù) 據(jù)庫和日志的存放位置，如下圖所示。指定Active Directory數(shù)據(jù)庫和日志的存放位置 62ppt課件第9步 單擊【下一步】按鈕，出現(xiàn)【共享的系統(tǒng) 卷】對(duì)話框。在此指定SYSVOL文件夾的位 置，如下圖

39、。指定SYSVOL文件夾的位置 63ppt課件第10步 單擊【下一步】按鈕，系統(tǒng)會(huì)自動(dòng)到DNS服 務(wù)器中查找是否有相應(yīng)的DNS區(qū)域，如果在 DNS服務(wù)器上有相應(yīng)的DNS區(qū)域并已設(shè)置了 區(qū)域?qū)傩栽试S動(dòng)態(tài)更新，則立即進(jìn)行安裝。 如果沒有相應(yīng)的DNS區(qū)域則出現(xiàn)如后圖所示 【DNS注冊(cè)診斷】對(duì)話框。此處選擇【在這 臺(tái)計(jì)算機(jī)上安裝并配置DNS服務(wù)器，并將這 臺(tái)DNS服務(wù)器設(shè)為這臺(tái)計(jì)算機(jī)的首選DNS服 務(wù)器】選項(xiàng)。64ppt課件DNS診斷信息 65ppt課件第11步 單擊【下一步】按鈕，出現(xiàn)【權(quán)限】對(duì)話 框。在此選擇用戶和組對(duì)象的默認(rèn)權(quán)限。此 處按系統(tǒng)默認(rèn)設(shè)置選擇【只與Windows 2000或Windo

40、ws Server 2003操作系統(tǒng)兼容 的權(quán)限】，如下圖所示。選擇用戶和組對(duì)象的默認(rèn)權(quán)限 66ppt課件第12步 單擊【下一步】按鈕，出現(xiàn)【目錄服務(wù)還原 模式的管理員密碼】對(duì)話框。在此需要指定 【目錄服務(wù)還原模式】下的管理員密碼，如 下圖所示。指定“目錄服務(wù)還原模式”下的管理員密碼 67ppt課件第13步 單擊【下一步】按鈕，出現(xiàn)【摘要】對(duì)話 框，如下圖所示。在此會(huì)給出以上各步驟選 擇結(jié)果的匯總，此時(shí)如果要修改先前所做配 置只要單擊【上一步】按鈕即可。復(fù)查并確認(rèn)選定的選擇 68ppt課件第14步 單擊【下一步】按鈕開始安裝活動(dòng)目錄，如 下圖所示。開始執(zhí)行Active Directory的安裝

41、 69ppt課件第15步 在安裝過程中需要提供Windows Server 2003 的安裝文件，如下圖所示。單擊【瀏覽】按 鈕選擇安裝文件的位置，然后單擊【確定】 按鈕即可。指定Windows Server 2003的安裝文件 70ppt課件第16步 根據(jù)計(jì)算機(jī)的配置不同，活動(dòng)目錄的安裝過 程可能需要幾分鐘或幾十分鐘的時(shí)間。安裝 完成后會(huì)看到如下圖所示對(duì)話框，顯示活動(dòng) 目錄安裝成功。Active Directory安裝成功 71ppt課件第17步 單擊【完成】按鈕出現(xiàn)如下圖所示對(duì)話框。 這表示活動(dòng)目錄安裝成功后必須重新啟動(dòng)計(jì) 算機(jī)才會(huì)生效。重新啟動(dòng)計(jì)算機(jī)提示對(duì)話框 72ppt課件第18步 單

42、擊【立即重新啟動(dòng)】按鈕，重新啟動(dòng)后該 計(jì)算機(jī)就以域控制器的角色出現(xiàn)在網(wǎng)絡(luò)中， 如下圖所示。域控制器登錄對(duì)話框 73ppt課件2、安裝活動(dòng)目錄后操作系統(tǒng)的變化 （1） 查看域控制器的計(jì)算機(jī)名 安裝活動(dòng)目錄后DC（Domain Controller，即域控制器）的計(jì)算機(jī)名會(huì)發(fā)后 變化，在DC上右鍵單擊【我的電腦】，選擇 【屬性】，在彈出的【系統(tǒng)屬性】對(duì)話框中選 擇【計(jì)算機(jī)名】標(biāo)簽，可以查看當(dāng)前域控制器 的計(jì)算機(jī)名，如后圖所示。74ppt課件查看域控制器的計(jì)算機(jī)名 75ppt課件（2） 查看管理工具 在DC上依次打開【開始】【程序】【管理工具】，可以看到新增加5個(gè)與活動(dòng)目錄相關(guān)的工具，如下圖所示。在

43、后面的章節(jié)中將分別講解這些工具的使用。與活動(dòng)目錄相關(guān)的五個(gè)工具 76ppt課件Active Directory用戶和計(jì)算機(jī)：該工具用于管理域中的用戶、組、計(jì)算機(jī)賬號(hào)及OU等Active Directory域和信任關(guān)系：該工具用于管理活動(dòng)目錄域之間的信任關(guān)系A(chǔ)ctive Directory站點(diǎn)和服務(wù)：該工具用于管理與活動(dòng)目錄復(fù)制相關(guān)的站點(diǎn)信息域安全策略：該工具用于創(chuàng)建和管理域的安全策略域控制器安全策略：該工具用于創(chuàng)建和管理域控制器的安全策略77ppt課件（3） 查看用戶和組賬號(hào)的位置 活動(dòng)目錄安裝成功后，計(jì)算機(jī)上的用戶和組賬號(hào)的位置會(huì)發(fā)生變化。在DC上打開【計(jì)算機(jī)管理】控制臺(tái)，發(fā)現(xiàn)已經(jīng)看不到【本地用戶和組】工具，如下圖所示。計(jì)算機(jī)管理控制臺(tái)工具 78ppt課件 在DC上使用【Active Directory用戶和計(jì)算機(jī)】工具來管理用戶和組賬號(hào)。在DC上依次打開【開始】【程序】【管理工具】【Active Directory用戶和計(jì)算機(jī)】，在控制臺(tái)下打開Users容器，在這里可以看到先前創(chuàng)建的用戶賬號(hào)qiufen。如下圖所示。qiufen【Active Directory用戶和計(jì)算機(jī)】工具管理用