第04章活动目录逻辑结构概论.pptVIP

第四章 活动目录 4.1 概 述 活动目录包括两个方面 目录 是存储各种对象的一个物理上的容器，从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别，仅仅是一个对象，是一实体； 目录服务 目录服务是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问 4.1 概 述 4.1.1 活动目录简介 活动目录也说明了Microsoft在网络结构方面的策略转移，虽然在以前NT时代也有部分产品（如EXCHANGE SERVER、IIS等）提供过类似于活动目录的服务，然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。 活动目录支持技术 动态主机配置协议DHCP DNS动态更新协议 简单网络时间协议SNTP 轻量级目录访问协议LDAP Kerberos 5 X.509 v3证书 TCP/IP 活动目录命名 识别名 普通名字Common Name,域组件Domain Component DC=com,DC=contoso,CN=users,CN=Jams Smith 相对识别名：识别名中对象属性的部分 Jams Smith 用户主名 由用户的登陆名和用户对象所在域的DNS名组成 全局唯一标识符GUID 名字的唯一性 4.1.2 相关名词术语 1、名字空间： 从本质上讲，活动目录就是一个名字空间，我们可以把名字空间理解为任何给定名字的解析边界，这个边界就是指这个名字所能提供或关联、映射的所有信息范围。 2、对象： 对象是活动目录中的信息实体，也即我们通常所见的“属性”，但它是一组属性的集合，往往代表了有形的实体，比如用户账户、 文 件名等。 3、容器： 容器是活动目录名字空间的一部分 4、目录树： 在任何一个名字空间中，目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象，树的非叶子节点是容器。 4.1.2 相关名词术语 5、域： 域是WIN2K网络系统的安全性边界。一个计算机网最基本的单元就是“域” 6、组织单元： 组织单元是可以指派组策略设置或委派管理权限的最小作用单位。 7、域树： 域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间。树中的域通过信任关系连接起来，活动目录包含一个或多个域树。 4.1.2 相关名词术语 8、域林： 域林是指由一个或多个没有形成连续名字空间的域树组成，它与域树最明显的区别就在于这些域树之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成。 9、站点： 站点是指包括活动目录域服务器的一个网络位置，通常是一个或多个通过TCP/IP连接起来的子网。 10、域控制器： 域控制器是使用活动目录安装向导配置的WIN2K Server 的计算机。 4.1.3 安装活动目录的意义 信息的安全性大大增强 引入基于策略的管理，使系统的管理更加明朗 具有很强的可扩展性 具有很强的可伸缩性 智能的信息复制能力 4.1.3 安装活动目录的意义 与 DNS 集成紧密 与其他目录服务具有互操性 具有灵活的查询 4.2 活动目录的逻辑结构 活动目录中的逻辑单元主要包括： 域、域树、域林 域、域树、域林 信任关系 组织单元（OU） 域 域是WIN2K网络系统的逻辑组织单元 域是对象（如计算机、用户等）的容器 域中所有的域控制器都是平等的 每个域都有自己的安全策略，以及它与其他域的安全信任关系 域模式 混合模式 本机模式 树和森林 树是对共享连续名字空间的域的分层布置 森林是不共享连续名字空间的一组树 森林中的树共享共同的配置、模版和全局目录 信任关系 域信任关系使得一个域中的用户可由另一域中的域控制器进行验证，才能使一个域中的用户访问另一个域中的资源 所有域信任关系中只有两种域：信任关系域和被信任关系域 信任与被信任关系可以是单向的，也可以是双向的 所有不属于相同域目录树或林中WiIN2K 域间建立的委托关系都是不传递的 信任关系 WIN2K中的域传递信任关系一般是系统自动的 ，但对于相同域目录树或林中的WiIN2K域，也可以显式（手工）地创建传递信任关系 默认情况下，不传递信任关系是单向的 所有WiIN2K域和WINNT域之间的委托关系都是不传递的 ,在混合模式的网络中，所有WindowsNT信任关系都是不传递的 域（Domain）是活动目录的分区，定义了安全边界，在没经过授权的情况下，不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成，每一个域可以存储上百万个对象，域之间还有层次关系，可以建立域树和域林，如图所示，进行无限地域扩展。图中