active directory入門第2章域服務(wù)簡介

1、第2章ActiveDirectory域服務(wù)簡介主講：軍：章節(jié)概述AD DS 概述AD DS 邏輯組件概述AD DS 物理組件概述第 1 節(jié)：AD DS 概述部署 AD DS 的原因使用 AD DS 集中管理網(wǎng)絡(luò)AD DS 組件概述驗(yàn)證部署 AD DS 的原因AD DS 提供了一個集中式的系統(tǒng)，用于管理網(wǎng)絡(luò)上的用戶、計(jì)算機(jī)和其他資源。AD DS 功能包括：集中式目錄單一登錄集成安全性可伸縮性公共管理界面驗(yàn)證驗(yàn)證是在網(wǎng)絡(luò)上驗(yàn)證用戶的過程。驗(yàn)證包含兩個組成部分：交互式登錄 授予對本地計(jì)算機(jī)的驗(yàn)證 授予對網(wǎng)絡(luò)資源網(wǎng)絡(luò)的權(quán)權(quán)授權(quán)授權(quán)是驗(yàn)證通過身份驗(yàn)證的用戶是否有權(quán)限來執(zhí)行某個操作的過程。創(chuàng)建帳戶時，安全

2、標(biāo)識符身份驗(yàn)證期間，安全令牌將頒發(fā)(SID) 將頒發(fā)給安全主體給用戶帳戶，令牌中包含用戶的SID 以及所有相關(guān)的組 SID網(wǎng)絡(luò)上的共享資源包括訪問控制安全令牌與資源上的 DACL 進(jìn)列表 (ACL)，ACL 定義誰可以行比較，并相應(yīng)地授予或拒絕訪訪問資源問。使用 AD DS 集中管理網(wǎng)絡(luò)AD DS 通過以下幾點(diǎn)實(shí)現(xiàn)集中管理網(wǎng)絡(luò)：提供了一個集中的地方來管理用戶和組帳戶以及相應(yīng)的工具集提供了一個集中的地方來分配對共享網(wǎng)絡(luò)資源的權(quán)為支持 AD DS 的應(yīng)用程序提供目錄服務(wù)提供用于配置應(yīng)用于所有用戶和計(jì)算機(jī)的安全策略的多種選項(xiàng)提供用于管理用戶桌面和安全設(shè)置的組策略AD DS 組件概述AD DS 由物理

3、組件和邏輯組件組成。物理組件邏輯組件分區(qū)架構(gòu)域域樹林站點(diǎn)數(shù)據(jù)域控制器全局編錄服務(wù)器只讀域控制器 (RODC)組織(OU)第 2 節(jié)：AD DS 邏輯組件概述AD DS 架構(gòu)域AD DS 信任域樹林OU：實(shí)施 AD DS 邏輯組件的場景AD DS 對象演示：管理 AD DS 邏輯組件的工具AD DS 架構(gòu)AD DS 架構(gòu)：在 AD DS 中的每一種對象類型定義可強(qiáng)制實(shí)施與對象創(chuàng)建和配置有關(guān)的規(guī)則對象類型功能示例類對象定義可在目錄中創(chuàng)建何種新對象用戶類計(jì)算機(jī)類屬性對象定義對于每種對象類可哪些信息顯示名域域是邏輯目錄組件，用于分組和管理組織中的AD DS 對象。域提供：管理邊界，用來將策略應(yīng)用于對象

4、組邊界，用于在域控制器之間數(shù)據(jù)驗(yàn)證和邊界，提供限制資源范圍的方法WoodgroveAD DS 信任信任提供了一種使用戶能另一個域中的資源的機(jī)制。林中的所有域信任林中的所有其他域信任可延伸到林之外信任類型描述圖直接式信任方向從信任域流向受信任域信任可傳遞信任關(guān)系延伸到雙域信任之外，以納入其他受信任域。信任和域樹域樹是 AD DS中域的層次結(jié)構(gòu)。域樹中的所有域：其名稱空間銜接父域的名稱空間可以在其名稱空間中添加子域與樹中的其他域之間有雙向可傳遞信任關(guān)系NA.WoodgroveEMEA.WoodWoodgrove林林是一個或多個域樹的集合。林：共享同一全局編錄以支持搜索實(shí)現(xiàn)林中所有域之間的信任共用

5、Entrise Admins 和Schema Admins 組共享同一配置分區(qū)共享同一架構(gòu)OUOU 是可包含用戶、組、計(jì)算機(jī)和其他 OU的 Active Directory 容器。OU 用于：層次化地、邏輯地表示公司組織結(jié)構(gòu)以的方式管理一系列對象將權(quán)限委派給對象的管理員組應(yīng)用策略：實(shí)施 AD DS 邏輯組件的場景對于每一個場景，描述將需要實(shí)施的 AD DS 邏輯組件：場景 1：小型公司場景 2：中型公司場景 3：學(xué)術(shù)機(jī)構(gòu)場景 4：企業(yè)機(jī)構(gòu)AD DS 對象對象描述用戶使用戶能夠網(wǎng)絡(luò)資源Inet類似于用戶帳戶用于兼容其他目錄服務(wù)聯(lián)系人主要用于將電子郵件地址分配給外部用戶不允許網(wǎng)絡(luò)組用于簡化控制的管

6、理計(jì)算機(jī)實(shí)現(xiàn)計(jì)算機(jī)對資源的驗(yàn)證和審核用于簡化查找并連接的過程共享文件夾使用戶能根據(jù)屬性搜索共享文件夾演示：管理 AD DS 邏輯組件的工具在本演示中，你將了解用于管理 AD DS 邏輯組件的工具。第 3 節(jié)：AD DS 物理組件概述AD DS 域控制器DNS 和 AD DS 概述全局編錄服務(wù)器AD DS 數(shù)據(jù)AD DS站點(diǎn)：實(shí)施 AD DS 物理組件的場景演示：管理 AD DS 物理組件的工具AD DS 域控制器域控制器是安裝了 AD DS 服務(wù)器角色的服務(wù)器。域控制器：承載 AD DS 目錄的副本提供驗(yàn)證和服務(wù)將更新到域和林中的其他域控制器允許在服務(wù)器上管理用戶帳戶和網(wǎng)絡(luò)資源Windows

7、Server 2008 AD DS 支持 RODC DNS 和 AD DS 概述AD DS 需要 DNS 基礎(chǔ)結(jié)構(gòu)AD DS 域名必須是 DNS 域名AD DS 域控制器記錄必須在DNS 區(qū)域可作為 Active DNS 中注冊才能使其他域控Directory 集成區(qū)域存儲在制器和客戶端計(jì)算機(jī)能找到該AD DS 中域控制器DNS區(qū)域DNSDNS 域名全局編錄服務(wù)器全局編錄服務(wù)器是了全局編錄的副本的域控制器。全局編錄：包含林中所有 AD DS 對象的副本，但是該副本僅包含林中每個對象的部分屬性提高搜索對象的效率，因?yàn)樗苊饬瞬槐匾赜蚩刂破魇怯脩舻卿浀接蛑兴匦璧腁D DS 數(shù)據(jù) AD DS 數(shù)

8、據(jù)包含和管理用戶、服務(wù)和應(yīng)用程序的目錄信息的數(shù)據(jù)庫文件和文件進(jìn)程。AD DS 數(shù)據(jù)：由 Ntds.dit文件%SystemRoot%NTDS 文件夾中默認(rèn)在所有域控制器上的只能通過域控制器進(jìn)程和協(xié)議AD DS AD DS將 AD DS 數(shù)據(jù)庫的所有更新到域中或林中的所有其他域控制器。AD DS：確保所有域控制器都有相同的信息使用多主機(jī) (multimaster)模型可通過創(chuàng)建 AD DS 站點(diǎn)來進(jìn)行管理AD DS拓?fù)涫窃谛碌挠蚩刂破魈砑拥接蛑袝r自動創(chuàng)建的。站點(diǎn)AD DS 站點(diǎn)用于表示一個網(wǎng)段，在該網(wǎng)段中，所有域控制器都通過快速可靠的網(wǎng)絡(luò)連接相連。站點(diǎn)：與 IP 子網(wǎng)關(guān)聯(lián)用于管理流量用于管理客戶端登錄流量(DFS) 或由可識別站點(diǎn)的應(yīng)用程序使用，如分布式文件系統(tǒng)Exchange Server 2007用于將組策略對象分配給公司位置中的所有用戶和計(jì)算機(jī)：實(shí)施 AD DS 物理組件的場景對于每一個場景，描述將需要實(shí)施的 AD DS 物理組件：場景 1：小型公司場景 2：中型公司場景 3：學(xué)術(shù)機(jī)構(gòu)場景 4：企業(yè)機(jī)構(gòu)演示：管理 AD DS 物理組件的工具在本演示中，你將了解用于管理 AD DS 物理組件的工具。實(shí)驗(yàn)：研究 AD DS 組件和工具： 檢查 AD DS 邏輯組件練練習(xí) 2： 檢查 AD DS 物理組件實(shí)驗(yàn)回顧在此實(shí)驗(yàn)中，你使用了管理工具來管理 AD