微软AD活动目录介绍.ppt

活动目录概述 活动目录概述议程 活动目录的基本概念 活动目录的结构 管理操作主机 DNS 与活动目录 如何建立活动目录 活动目录概述议程 Con. 管理用户和组 在活动目录中发布资源 组策略 常用工具 Windows2003新特性 活动目录的基本概念 什么是活动目录 活动目录的对象 活动目录的架构（Schema） 活动目录与LDAP 什么是活动目录 为什么需要目录服务 活动目录的对象 活动目录架构 Schema 轻量级目录访问协议 (LDAP) LDAP提供通过制定唯一名字路径来访问活动目录的每一个对象 LDAP 名字路径包括: Distinguished names LDAP例子 LDAP://DC=Microsoft,DC=COM 活动目录的结构 活动目录逻辑结构 活动目录物理结构 Sites及活动目录的复制 活动目录逻辑结构 域 Domains 组织单元 Organizational Units 树和森林 Trees and Forests 全局编录 Global Catalog 域 Domains 域是一个安全边界 域管理员只能在本域中执行管理操作，除非他被明确地赋予其他域管理员身份 一个域是一个复制单元 域控制器包含域中信息的完整集合，并且参与域信息的复制 域的性能 能力 复制单元 大小 命名 管理委派 域的层次结构 组织单元 用OU来给对象进行分组 管理委派到OU 组织单元 组织单元特性 包含用户、组、打印机、计算机、联系人 可应用组策略 嵌套 灵活 – 容易建立、删除、改变 组织单元的划分原则 基于部门 OUs 基于项目 OUs 基于业务功能 OUs 基于管理 OUs 基于对象 OUs 地理位置 OUs 树和森林 全局编录Global Catalog 活动目录物理结构 域控制器 Sites 活动目录的复制 域控制器 Sites 相关概念 Site层次 活动目录的复制 多主机复制 所有域控制器参预复制，对等的 任何变化将从一台域控制器复制到所有域控制器 任何变化可从不同的域控制器上产生 Sites 允许预定的复制 Schedule Interval Directory Partition 复制 活动目录的复制 Replication Topology GenerationWithin a Site Replication Topology GenerationTwo Domains Within a Site 复制协议 Bridgehead Server Configuration 操作主机 森林范围内： Schema Master Domain Naming Master 域范围内： PDC Emulator RID Master Infrastructure Master 操作主机介绍 操作主机的默认位置 Schema Master 控制所有的Schema更新 复制Schema更新到森林中所有的域控制器 只有在 Schema Admin 组中的成员 才能更该Schema Domain Naming Master 控制在森林中添加和删除域 PDC Emulator RID Master Infrastructure Master 决定操作主机的位置 转移操作主机角色 不丢失数据 方法： NTDSUtil.exe 图形界面 抓取操作主机角色 当且仅当某个操作主机无法再使用 可能丢失数据 方法： NTDSUtil PDC Emulator和Infrastructure Master不可用 PDC Emulator 不可用严重影响网络操作 NT BDC同步 基于Windows2000之前客户端无法更新密码 时间无法同步 Infrastructure Master不可用并不会有严重影响，除非时间很长 优化FSMO RID和PDC 放在同一台域控制器 Infrastructure master不要和Global Catalog放在一起 Schema Master和Domain Naming Master 放在一起 Domain Naming Master放在Global Catalog上 文档 223346 FSMO Placement and Optimization on Windows 2000 Domain Controllers /?id=223346 DNS 与活动目录 DNS在活动目录中的角色 DNS 和活动目录的命名空间 活动目录中的DNS名字解析 SRV记录 DNS在活动目录中的角色 名称解析 DNS translates computer names to IP addresses Computers use DNS to locate eac