第三章 Active Directory服务.ppt

第3章 Active Directory 服务 第一节 Active Directory 的基本概念 Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。 Active Directory存储了有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等，并且让管理员和用户能够轻松地查找和使用这些信息。 一、目录形式的数据存储 活动目录采用的是Exchange Server的数据存储结构，其特点是不需要事先定义数据库的参数，可以做到动态地增长 。 域（Domain）是Windows Server 2003域中Active Directory数据库的基本管理单位。 目录存储在域控制器上，并且可以被网络应用程序或者服务所访问。 一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。 在各台域控制器之间进行复制的目录数据： 域数据：域数据包含了与域中的对象有关的信息 。 配置数据：配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表，并且指出了域控制器和全局编录所处的位置。 架构数据：架构是对目录中存储的所有对象和属性数据的正式定义。 二、Active Directory和安全性 安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。 通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源。 Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐号和组信息。 Active Directory允许管理员创建组帐号，管理员得以更加有效地管理系统的安全性。 三、Active Directory 的架构 Active Directory的架构（Schema）是一组定义，它对能够存储在Active Directory中的各种对象——以及有关这些对象的各种信息——进行了定义。 架构中包括了两种类型的定义：属性和分类。属性和分类还可以被称作架构对象或元数据。 1. 分类 又称对象分类，描述了管理员所能够创建的目录对象。每一个分类都是一组对象的集合。在创建某个对象时，属性便存储了用来描述对象的信息。 2. 扩展架构 网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构。 架构的内容由充当架构操作主控角色的域控制器进行控制。架构的副本被复制到森林中的所有域控制器上。 为了修改架构，必须满足以下三个要求： 成为“Schema Administrators”（架构管理员）组的成员 在充当架构操作主控角色的计算机上安装“Active Directory架构”管理单元 拥有修改主控架构所需的管理员权限 对架构进行修改时，必须注意： 架构扩展是全局性的。在对架构进行扩展的时候，实际上扩展了整个森林的架构，因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。 与系统有关的架构分类不能被修改。不能修改Active Directory架构中的默认系统分类；但是，用来修改架构的应用程序可能会添加可选的系统分类，可以对这些分类进行修改。 对架构的扩展不可撤销。某些属性或者分类的属性可以在创建后修改。在新的分类或者属性被添加到架构中之后，您可以将它置于非激活状态，但是不能删除它。 3. 属性 属性用来描述对象。每一个属性都拥有它自己的定义，定义则描述了特定于该属性的信息类型。 属性仅仅定义一次，但是可以多次使用。 多值属性 索引属性 对属性进行索引有助于更快地查询到拥有该属性的对象。当您将一个属性标记为“已索引”之后，该属性的所有实例都会被添加到该索引，而不是仅仅将作为某个特定分类成员的实例添加到索引。 四、 全局编录 全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。此外，全局编录还存储了每个对象最常用的一些可搜索的属性。 全局编录在森林中最初的一台域控制器上自动创建。可以为任何一台域控制器添加全局编录功能 。 全局编录担当了以下目录角色： 查找对象 提供了根据用户主名的身份验证 在多域环境下提供通用组的成员身份信息 五、操作主机 Windows Server 2003 Active Directory域控制器操作是一种多主机模式 。 在域中联机的第一台Wind