计算机网络实验4 windows 网络域的实现解读.docVIP

《计算机网络》实验报告 实验序号：实验3　　　实验项目名称：windows 网络域的实现 学　　号 姓　　名 专业班级 专升本4班 实验地点 指导教师 实验时间 一、实验目的及要求 活动目录的基本概念 ? 活动目录的规划与安装 ? 域控制器的管理 ? 用户账户和计算机账户的管理 ? 组和组织单位的管理 ? 资源发布和域的管理 二、实验设备（环境）及要求 两台windows2003服务器 三、实验内容与步骤 2.1 概 述 2.1.1 活动目录简介 2.1.2 活动目录的三种特性 集成性 深入性 易用性 活动目录的逻辑结构 1．域（Domain） 域是活动目录中逻辑结构的核心单元，活动目录包含一个或多个域，每个域均有自己的安全策略以及与其他域的信任关系，因此，域是网络安全管理的边界。也就是说，域内的所有对象均处于一个安全管理单位内，域和域之间的关系是不同安全管理单位之间的关系。 域是复制的单位。每个域均可以有一个或者几个域控制器（Domain Controler）。所有域控制器可以接收更改信息，并将这些更改的信息复制到域中的其他域控制器中，从而保证同一个域内的所有域控制器中的内容完全一致。 活动目录的逻辑结构 2．域树 根据实际要求，一个网络可能需要包含多个域，这时，可以将网络设置成域目录树的结构（层次结构）。 活动目录的逻辑结构 域树中的第一个域称作根域，相同域树中的其他域为子域，相同域树中上层的域称为子域的父域。如图8.1所示为一棵域目录树，其中根域为，一级子域为和，下面分别还有两个二级子域。 具有公用根域的所有域构成连续名称空间。由于活动目录的域名采用DNS域名的结构进行命名，所以从图中可以看出，该域目录也符合DNS域名空间的命名策略，它们的名称空间是连续的，即：子域的域名包含其父域的域名，如：子域中包含着父域的域名。 在这棵目录树中的所有域，共享着一个活动目录，也就是说，一棵域树只有一个活动目录。但是，该活动目录内的数据是分散地存储在各个域内，具体位置是域内的域控制器的目录数据库中，当然，每个域中只存储本域内的数据。 活动目录的逻辑结构 信任关系是两个域之间安全信息的通信连接，也就是说，两个域只有建立了信任关系后，方可访问对方域内的资源。在Windows Server 2003中域的信任关系有以下特点： l? 双向性：如果A域信任B域，则B域就信任A域。 l? 可传递性：如果A域信任B域，而B域又信任C域，则A域就自动信任C域，那么根据双向性，C域也信任A域，这样A域和C域就自动地建立起双向的信任关系。 活动目录的逻辑结构 因此，当一个域加入到某个域目录树后，它会自动地双向信任当前域目录树的所有域，这种通过传递性建立起来的双向信任关系，称为隐含的信任关系。如图8.1所设置的一棵域目录树，各个域之间存在着隐含的信任关系。假如，现在建立一个新域，加入到当前域树中，它会与该域树中的所有域自动建立起双向的信任关系，新域的用户可以访问其他域内的资源（在其权限允许范围内）。 活动目录的逻辑结构 3．域林 域林由多个域目录树构成（而域树可以看成是特殊的域林），每个域树有自己的独立的名称空间，因此，通常域林中的域并不共享连续的名字空间。如图8.2所示的域目林中包含两棵域树：和。 创建的第一棵域树的根域就是整个域树的根域，同时该域的域名就是域林的名称。假设图8.2中的第一棵域树为，那么域就是域林的名称。 8.1.2活动目录的逻辑结构 域林中所有域树中的根域之间，会自动地建立双向的、可传递的信任关系，因此，域目录林中任何一个域中的用户，都有权限访问其他域目录树中的资源。 服务器的角色 1．域控制器（DC） 域控制器就是存储活动目录的服务器，它负责活动目录数据库的维护、用户身份的验证和活动目录的安全性。 一个域可以有一个或若干个域控制器，通常它们的地位是平等的。在域中，各域控制器相互复制活动目录的更改。例如：某个域有两个域控制器A和B，在域控制器A上创建了一个用户帐户（zhangsan）时，这个帐户（zhangsan）就被建立在当前域控制器A的活动目录中，然后zhangsan的相关数据就会自动地复制到域控制器B中。 一个域中包含多个域控制器，可以获得高性能，提高容错能力。因为当一台域控制器出现故障了，其他的域控制器仍然可以提供服务，而用户是感觉不到的。 同样，在域林中，各域控制器相互之间也把信息自动复制给对方，从而为用户提供最新的全局编录，方便了用户在域林中搜索信息。 2．成员服务器 成员服务器是运行Windows Server2003的计算机，它是域的成员但不是域控制器。因为它不是域控制器，所以成员服务器不处理账户登录过程，不参与活动目录复制，也不存储域安全策略信息。成员服务器一般用作文件服务器