活動目錄的最佳設(shè)計理念課件

活動目錄的最佳設(shè)計理念

ActiveDirectory

MicrosoftCorporation概要活動目錄設(shè)計目標(biāo)活動目錄相關(guān)概念的闡述活動目錄中域和組織結(jié)構(gòu)的設(shè)計活動目錄中物理拓?fù)浣Y(jié)構(gòu)的設(shè)計asia.nwtraders.msfteurope.nwtraders.msftnwtraders.msft=域活動目錄設(shè)計目標(biāo)必須滿足企業(yè)需求復(fù)雜程度最小的可伸縮性建立在Internet標(biāo)準(zhǔn)基礎(chǔ)上靈活的、健壯的安全性允許使用增量更新和移植可以與現(xiàn)有的目錄投資一起工作得很好支持組織變化的靈活性限制外部用戶

的訪問權(quán)限KerberosX.509智能卡PKI證書提供安全服務(wù)保護(hù)數(shù)據(jù)，而同時便于訪問基于Internet技術(shù)北京銷售部臨時職員北京銷售部臨時職員用戶應(yīng)用程序:在用戶對象上存儲

應(yīng)用程序數(shù)據(jù)Exchange2000:合并的用戶和郵箱管理目錄同步簡化目錄管理目錄合并目錄同步北京銷售部臨時職員策略：與臨時部門相比，給銷售VP更多的帶寬將共享文件發(fā)布到

便于訪問的位置增強(qiáng)的底層結(jié)構(gòu)服務(wù)允許使用目錄的網(wǎng)絡(luò)允許使用目錄的服務(wù)充分了解活動目錄?Windows用戶帳號信息特權(quán)配置文件策略Windows客戶Mgmt配置文件網(wǎng)絡(luò)信息策略Windows服務(wù)器Mgmt配置文件網(wǎng)絡(luò)信息服務(wù)打印機(jī)文件共享策略活動目錄為下列對象管理焦點：用戶和資源安全授權(quán)策略Whatdoyouwanttodesign

today?應(yīng)用程序服務(wù)器配置單一注冊用于程序?qū)Ｓ?/p>

的目錄信息

策略Internet防火墻服務(wù)配置安全策略虛擬專用網(wǎng)絡(luò)策略網(wǎng)絡(luò)設(shè)備配置服務(wù)質(zhì)量策略安全策略其他目錄WhitepagesE-Commerce其他NOSUserregistrySecurityPolicy電子郵件服務(wù)器郵箱信息通訊簿不僅僅是一個目錄!活動目錄–Schema目錄由對象組成

對象具有屬性Schema是容許的對象類型和屬性的詳細(xì)定義例子:用戶帳號姓名(Name)頭銜(Title)上級(Manager)辦公室位置(OfficeLocation)電話(Phone)部門(Division)成本中心代碼(CostCenterCode)…活動目錄–域(Domain)

域是活動目錄中的安全邊界OU屬性僅在域中繼承，而不是跨域繼承提供復(fù)制邊界下一層為組織單位(OrganizationalUnit，OU)銷售部財務(wù)部研發(fā)部銷售人員管理人員制造分配逼真的OU視圖OU反映管理組織可以是圖形和/或商務(wù)模型分層結(jié)構(gòu)某些層次可能有子層，而其他層則可沒有活動目錄–樹型結(jié)構(gòu)(Tree)

域樹(DomainTree)一個或多個與根域有關(guān)系的域域樹內(nèi)的域構(gòu)成了鄰接的命名空間在域樹中的所有的域中，模式是公共的由Kerberos信任關(guān)系處理安全性用戶可以搜索域樹內(nèi)的所有信息活動目錄–森林型結(jié)構(gòu)(Forest)森林型結(jié)構(gòu)一組域樹公共模式和配置由Kerberos信任關(guān)系保護(hù)名空間是不鄰接的，如,對于擁有在管理規(guī)則中需要自治的分支結(jié)構(gòu)的公司而言，很有用活動目錄–GC(全局目錄)

全局目錄包含在每個域內(nèi)包含的信息的部分副本網(wǎng)絡(luò)管理員可以指定哪些屬性可以放置在全局目錄中，以及索引哪些屬性站點友好的搜索全局目錄

域樹被指定為全局目錄的域樹了解自己的域信息(這些信息是完整的)另外，它還有來自域樹中其他域的部分信息模式(Schema)全局目錄(GC)用戶帳號姓名(Name)頭銜(Title)上級(Manager)辦公室位置(OfficeLocation)電話(Phone)部門(Division)成本中心編號(CostCenterCode)證書期限(CertificationExpires)…打印機(jī)名稱(Name)制造商(Mfr)型號(Model)顏色(Color)雙工(Duplex)資產(chǎn)編號(Asset#)紙張尺寸(PaperSize)全局目錄(GC)用戶帳號姓名(Name)頭銜(Title)上級(Manager)辦公室位置(OfficeLocation)電話(Phone)打印機(jī)名稱(Name制造商(Mfr)型號(Model)顏色(Color)雙工(Duplex)活動目錄–站點(Site)站點直接與網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)連接性相聯(lián)系定義為“優(yōu)良的”網(wǎng)絡(luò)連接的一個方面主要影響用戶登錄，分布式文件系統(tǒng)復(fù)制通信量站點邊界與域邊界無關(guān)對各部分進(jìn)行評估利用一個域開始在一組指導(dǎo)方針基礎(chǔ)上繼續(xù)我們并不是試圖創(chuàng)造一個藝術(shù)品；實用性才是準(zhǔn)則反映商務(wù)需求，地理布局，并允許空間增長各部分的規(guī)則每個站點，域、組織單位(SDOU)必須有存在的原因誰正在創(chuàng)建DS對象?目標(biāo)?誰管理該對象?該對象存活的期限?特殊特征，特殊條件一個域ououououououououououou組織單位設(shè)置組織單位是在域內(nèi)定義的反映組織部門設(shè)計用來產(chǎn)生企業(yè)模型的邏輯模型考慮以下概念的含義:組策略的繼承安全性的繼承典型地，每個域的組織單位都不同域邊界模型域是不是沿地理或企業(yè)邊界創(chuàng)建的?商務(wù)組織中最穩(wěn)定的領(lǐng)域是什么?例子:地理邊界：MicrosoftCorporation企業(yè)邊界：Mobile組織為什么選擇多個域?不同的企業(yè)位置跨國公司地區(qū)總部局域網(wǎng)鏈接主要站點之間的慢速鏈接降低復(fù)制通信量安全邊界分支機(jī)構(gòu)聯(lián)營公司合作伙伴地理邊界NAEUROASIA有多少個域?西部中部l東部英國德國法國日本澳大利亞新西蘭總部域模型西部中部l東部英國德國法國日本澳大利亞新西蘭總部何時考慮使用森林型結(jié)構(gòu)如果公司各部門或分支是互相獨立且完全不相干的，森林型結(jié)構(gòu)可能是最好的模型創(chuàng)建一個森林型結(jié)構(gòu)將產(chǎn)生:單獨管理的域樹多個名空間多個管理員不要創(chuàng)建森林型結(jié)構(gòu)，除非有這樣做的可靠的商務(wù)原因森林型結(jié)構(gòu)使得多個公司可以很容易地一起工作，而無需改變名稱為輕松進(jìn)行合并或銷售做好了準(zhǔn)備避免了與管理員相關(guān)的政治問題考慮物理拓?fù)湓O(shè)計站點全局目錄DNS定義站點站點是由IP子網(wǎng)定義的，網(wǎng)絡(luò)連接性“優(yōu)良”的區(qū)域“優(yōu)良”通常指局域網(wǎng)速度站點內(nèi)復(fù)制通過RPC自動進(jìn)行站點間復(fù)制由網(wǎng)絡(luò)管理員配置時刻，頻度站點控制復(fù)制計劃可變傳輸對客戶端定位全局目錄進(jìn)行控制需要DNS集成全局目錄服務(wù)器應(yīng)用程序可以是站點感知的–DFS控制對應(yīng)用程序資源的訪問站點西部中部東部英國德國法國日本澳大利亞新西蘭總部總部和西部域位于同一個站點中我們可以在包含總部域和西部域的站點中，為東部域放置一個全局目錄

域可以跨越站點

復(fù)制是可以控制的站點–登錄客戶端機(jī)器查找DC的位置，并與其聯(lián)系DC查看客戶端機(jī)器的IP地址如果客戶端不是位于本地子網(wǎng)中，DC查看是否存在與該客戶端更近的如果當(dāng)前的DC不是最近的DC，則通知高客戶端全局目錄DC1,GlobalCatalogDC2,DomainControllerDC3,DomainControllerDC4,GlobalCatalogDC5,DomainController推薦的每站點最小值其他基于應(yīng)用程序的詢數(shù)目的全局目錄減少了在多域環(huán)境中，跨域目錄信息查詢的數(shù)目DNS需求

定位器域控制器動態(tài)地注冊服務(wù)定位記錄SRV資源記錄(RFC2052)映像(服務(wù))-->(提供服務(wù)的主機(jī))服務(wù)/端口/機(jī)器定位機(jī)制與SMTP服務(wù)和MX資源記錄首選值類似NETLOGON服務(wù)發(fā)送更新動態(tài)更新協(xié)議(RFC2136)DNS需求

定位器記錄SRV記錄的命名類似于_ldap._tcp.<domainname>.i.e._ldap._._<service>._<protocol>.<domainname>DNS服務(wù)器具有<域名>上的期限必須支持SRV記錄應(yīng)當(dāng)(必須)支持動態(tài)更新Netlogon.dns文件如果你的服務(wù)器不支持動態(tài)更新，你必須將這些記錄添加到dns中namerica.nwtraders.msft.600INA_ldap._rica.nwtraders.msft.600INSRV0100389AUSTIN.namerica.nwtraders.msft._ldap._tcp.pdc._rica.nwtraders.msft.600INSRV0100389AUSTIN.namerica.nwtraders.msft._ldap._tcp.74477583-2a83-11d3-b715-0008c71afe38.domains._rica.nwtraders.msft.600INSRV0100389AUSTIN.namerica.nwtraders.msft.74477582-2a83-11d3-b715-0008c71afe38._rica.nwtraders.msft.600INCNAMEAUSTIN.namerica.nwtraders.msft._kerberos._tcp.dc._rica.nwtraders.msft.600INSRV010088AUSTIN.namerica.nwtraders.msft._ldap._tcp.dc._rica.nwtraders.msft.600INSRV0100389AUSTIN.namerica.nwtraders.msft._kerberos._rica.nwtraders.msft.600INSRV010088AUSTIN.namerica.nwtraders.msft._kerberos._rica.nwtraders.msft.600INSRV010088AUSTIN.namerica.nwtraders.msft._kpasswd._rica.nwtraders.msft.600INSRV0100464AUSTIN.namerica.nwtraders.msft._kpasswd._rica.nwtraders.msft.600INSRV0100464AUSTIN.namerica.nwtraders.msft._ldap._tcp.TEXAS._rica.nwtraders.msft.600INSRV0100389AUSTIN.namerica.nwtraders.msft._kerberos._tcp.TEXAS._sites.dc._rica.nwtraders.msft.600INSRV010088AUSTIN.namerica.nwtraders.msft._ldap._tcp.TEXAS._sites.dc._rica.nwtraders.msft.600INSRV0100389AUSTIN.namerica.nwtraders.msft._kerberos._tcp.TEXAS._rica.nwtraders.msft.600INSRV010088AUSTIN.namerica.nwtraders.msft._ldap._tcp.gc._rica.nwtraders.msft.600INSRV01003268AUSTIN.namerica.nwtraders.msft._gc._rica.nwtraders.msft.600INA_gc._rica.nw