实用网络操作系统 教学课件 作者 史宝会 1第06章.pptVIP

第 6 章 活 动 目 录 6.1 活 动 目 录 概 述 6.2 活动目录的特性 6.3 安装活动目录 6.4 域控制器管理 6.5 用户和计算机账户管理 6.6 组和组织单元管理 6.1 活 动 目 录 概 述 6.1.1 目录形式的数据存储 人们经常将数据存储作为目录的代名词。 目录存储在被称为域控制器的服务器上，并且可以被网络应用程序或者服务所访问。一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者域林中的其他域控制器上。由于目录可以被复制，而且所有的域控制器都拥有目录的一个可写副本，因此用户和管理员便可以在域的任何位置方便地获得所需的目录信息。 目录数据存储在域控制器上的Ntds.dit文件中。建议将该文件存储在一个NTFS分区上。有些数据保存在目录数据库文件中，而有些数据则保存在一个被复制的文件系统上，例如登录脚本和组策略。 有以下3种类型的目录数据会在各台域控制器之间进行复制。 一、域数据 二、配置数据 三、架构数据 6.1.2 活动目录相关名词术语 一、名字空间 二、对象 三、容器 四、目录树 五、域 六、组织单元 七、域树 八、域林 九、站点 十、域控制器 6.1.3 活动目录的结构 一、逻辑结构 1．域、域树、域林 2．组织单元 二、物理结构 1．站点 使用站点的意义主要在于以下3点。 （1）提高了验证过程的效率 （2）平衡了复制频率 （3）可提供有关站点连接信息 2．域控制器 域控制器是指运行Windows 2000 Server版本的服务器，它保存了活动目录信息的副本。域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其他域控制器上，使各个域控制器上的目录信息处于同步。 域控制器存储着目录数据并管理用户域的交互关系，其中包括用户登录过程、身份验证和目录搜索。一个域可以有一个或多个域控制器。规模较小的域可以只需要两个域控制器，一个实际使用，另一个用于容错性检查；而规模较大的域可以使用多个域控制器。 Windows 2000 Server 的结构与Windows NT的域结构不同的是，活动目录中的域控制器没有主次之分。活动目录采用多主机复制方案，每一个域控制器都有一个可写入的目录副本，这为目录信息容错带来了很多的好处。尽管在某一个时刻，不同的域控制器的目录信息可能有所不同，但一旦活动目录中的所有域控制器执行同步操作后，最新的变化信息就会一致。 尽管活动目录支持多主机复制方案，但由于复制引起的通信流量，以及网络潜在的冲突，变化的传播并不一定能够顺利进行。因此，有必要在域控制器中制定全局目录服务操作主机。全局目录是一个信息仓库，包括活动目录中所有对象的一部分属性，这往往是在查询过程中访问最为频繁的属性。利用这些信息，可以定位到任何一个对象实际所在的位置。全局目录服务器是一个域控制器，它保存了全局目录的一个副本，并执行对全局目录的查询操作。 6.2 活动目录的特性 6.2.1 活动目录的集成性 Windows 2000 Server操作系统活动目录的集成性主要是指它结合了3个方面的管理内容：用户和资源管理、基于目录的网络服务和基于网络的应用管理。另外，Windows 2000 Server操作系统活动目录还广泛地采纳了因特网标准，把众多的因特网服务都集成在一起，增强自身网络管理功能。 目录管理的基本对象是用户和计算机，还包括文件、打印机等资源。用户对象的属性非常丰富，不但有常见的账号名、口令等，还包括邮件信箱和个人主页地址、在公司中的职位关系等，可以在活动目录中给用户对象发送邮件和访问其个人主页等。在活动目录中，支持全局性的查找，例如查找在整个网络中的双面打印的彩色打印机等。 基于活动目录的应用服务是Windows 2000 Server平台上的新一代的应用程序，它使应用开发人员可以扩展活动目录的Schema和UI两个对象，通过ADSI/ADO编程在活动目录中发布服务绑定信息，通过组策略配置应用程序。比较典型的基于目录的应用的例子是网络会议。在活动目录的环境中，你只要在NetMeeting中敲入同事的E-mail别名，就可以通过活动目录中的定位服务，与其进行对话和桌面协作等，非常方便。 活动目录完全采用了因特网标准协议，甚至连用户账号都可以用“用户名@域名”来表征，进行网络登录。 6.2.2 活动目录的深入性 Windows 2000 Server操作系统活动目录的深入性主要体现在其企