域服务器配置与应用.pdfVIP

部署 Active Directory 目录服务 Active Directory 存储了网络对象大量的相关信息，网络用户和应用程序可 根据不同的授权使用在 Active Directory 中发布的有关用户、计算机、文件和 打印机等信息。Active Directory 支持 LDAP v2 和 LDAP v3，能够与其他供应商 的目录服务互操作。Active Directory 实际上是一种用于组织、管理和定位网 络资源的企业级工具。对于 Windows 网络来说，规模越大，需要管理的资源越多， 建立 Active Directory 目录服务也就越有必要。 Active Directory 基础 1．Active Directory 的功能 Active Directory 提供了一种组织方式并简化了计算机网络系统中资源的 访问。作为一种增强性目录服务，它具有下列功能。 l 数据存储，也称为目录，它存储着与 Active Directory 对象有关的信息。这 些对象包括共享资源，如服务器、文件、打印机、网络用户和计算机账户。 l 包含目录中每个对象信息的全局编录。允许用户和管理员查找目录信息， 而与目录中实际包含数据的域无关。 l 查询和索引机制的建立，可以使网络用户或应用程序发布并查找这些对象 及其属性。 l 通过网络分发目录数据的复制服务。对目录数据所做的任何更改都被复制 到域中的所有域控制器。 l 与网络安全登录过程的安全子系统的集成，以及对目录数据查询和数据修 改的访问控制。 l 提供安全策略的存储和应用范围，支持组策略来实现网络用户和计算机的 集中配置和管理。 2．Active Directory 对象 与其他目录服务器一样，Active Directory 以对象为基本单位，采用层次结 构来组织管理对象。这些对象包括网络中的各项资源，如用户、计算机、打印机 和应用程序等。AD 对象以层次结构组织，可分为两种类型。一类是容器对象， 即可以包含下层对象的对象；另一类是非容器对象，即不能包含下层对象的对象。 每个对象均有一组属性，用来记录该对象的特性。对象与属性的关系相当于数据 库中的记录和字段之间的关系。每个对象都可通过多种不同的名称引用。Activ e Directory 根据对象创建或修改时提供的信息，为每个对象创建 RDN 和规范名 称。例如，在 域、unit1 组织单位中名为 mycomputer 的计算机的DN 是 “CN=mycomputer, OU=unit1, DC=abc, DC=com”。如果采用规范名称（DN 的另 一种表示方法），则表示为 “/unit/1mycomputer”。除此之外，用户账 户还具有一个称为 UPN （用户主体名称）的名称。UPN 是一个友好的名称，比 DN 短并且容易记忆。UPN 包括一个用户登录名称和该用户所属域的 DNS 名称，如 u ser1@，该名称不依赖于DN。 3．Active Directory 架构 Active Directory 中的每个对象都是在架构中定义的类的实例。AD 架构包含 目录中所有对象的定义。架构的英文名称为Schema，也可译为模式，实际上就 是对象类。在 LDAP 目录服务中，Schema 一般以文本方式来存储，在 Active Di rectory 中却将其作为一种特殊的对象。架构对象由对象类和属性组成，是用来 定义对象的对象。 4 ．Active Directory 结构 AD 目录服务建立在域的基础上，由域控制器对网络中的资源实行集中管理和 控制，目录信息存储在域控制器上的 Active Directory 数据库中。Active Dir ectory 以域为基础，具有伸缩性，包含一个或多个域，每个域具有一个或多个 域控制器，可调整目录的规模以满足任何网络的需要。多个域可合并为域树，多 个域树可合并为林。Active Directory 是一个典型的树状结构，按自上而下的 顺序，依次为林→树→域→组织单位。而在实际应用中，通常是按自下而上的方 法来设计 Active Directory 结构的。 l 域：Active Directory 的基本单位和核心单元，是Act