Win2003Part3_活动目录和域.pptVIP

Active Directory基础 Active Directory是Windows Server 2003提供的目录服务。Active Directory可以存储各种对象的有关信息，并使该信息易于管理员和用户查找及使用，它使用结构化的数据存储作为目录信息的逻辑层次结构的基础，同时将安全性集成到了Active Directory中，通过网络登陆，系统管理员能够管理整个网络中的目录数据和单位，而且获得授权的网络用户也可以访问网络上的任何地方的资源。 Active Directory概念 Active Directory（活动目录，可简称为AD）是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录服务。 Active Directory包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器，从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别，仅仅是一个对象，是一实体；而目录服务是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问，因为多台机器上有相同的信息，所以在信息容器方面具有很强的控制能力，正因如此，不管用户从何处访问或信息处在何处，都对用户提供统一的视图。 Active Directory功能 １．简化管理 ２．增强信息的安全性 3．智能的信息复制能力 4．与DNS集成紧密 5．灵活的查询功能 Active Directory结构 Active Directory是一个分布式的目录服务，因为信息可以分散在多台不同的计算机上，保证各计算机用户快速访问和容错；同时不管用户从何处访问或信息处在何处，对用户提供统一的视图，使用户更容易理解和掌握。 Active Directory采用域、域树、域林构成的层次化的目录结构。 域 域（Domain）是Windows Server 2003目录服务的基本管理单位， Windows Server 2003把一个域作为一个完整的目录，在Windows Server 2003网络中，一个域能够轻松管理数万个对象。域是Active Directory服务逻辑结构的核心单元，是对象的容器。 域树 域树由多个域组成。域树中的第一个域称作根域。相同域树中的其他域为子域。相同域树中直接在另一个域上一层的域称为父域。具有公用根域的所有域构成连续名称空间。这意味着单个域目录中的所有域共享一个等级命名结构。 域树中的Windows Server 2003域通过双向可传递信任关系连接在一起。由于这些信任关系是双向的而且是可传递的，因此在域树中新创建的域可以立即与域树或域林中其他的Windows Server 2003域建立信任关系。这些信任关系允许单一登录过程在域树或域林中的所有域上对用户进行身份验证。不过，这也并不意味着经过身份验证的用户在域树的所有域中都拥有相应的权利和权限。因为域是安全界限，所以必须在每个域的基础上指派权利和权限。 域树示意图 域林 域林包括多个域树。其中的域树不形成邻接的名称空间。而且域林也有根域。域林的根域是域林中创建的第一个域。域林中所有域树的根域与域林的根域建立可传递的信任关系。 域林示意图 中央管理数据库的概念是理解域及其功能的关键。 在过去的技术（工作组）中，每台向网络提供服务的计算机都有自己的帐户数据库。这样造成一个用户在多台计算机上都有帐户存在。这种管理对用户和管理员都造成了重复工作。 在域中，帐户数据库位于中央服务器。该服务器称做“域控制器”，处理所有登录要求、资源认证和管理任务。帐户管理通过域控制器中存储的中心帐户数据库来完成。当一个用户的帐户在域控制器中创建后，他便可使用网络中的任何一项被授权的资源。 域控制器 在Windows Server 2003的网络环境中，各域必须至少有一台域控制器（Domain Controller，简写为DC），存储此域中的Active Directory信息，并提供域相关服务，例如：登录验证、名称解析等。换言之，没有域控制器，就没有所谓的域。 在域中，可以同时存在多台域控制器，各域控制器都处于平等关系。亦即网管人员可以在域内任何一台域控制器上管理Active Directory，包括建立帐号、设置组策略、委派控制等。用户也可通过任何一台域控制器来登录域，并访问Active Directory数据库。 设置多台域控制器主要是为了提高域的容错能力，以弥补某一台域控制器故障时，还有其它域控制器可维持域的运行，不致造成域全面瘫痪。由于域可能跨越数个以低速连接的局域网络，为避免用户每次登录或访问Active Directory时都通过低速连接，因此可视需求在各局域网络中架设域控制器，以提升使