第9章活动目录祥解.ppt

第9章 活动目录 学习目标 理解活动目录的基本概念 熟悉活动目录的规划和安装 掌握活动目录中用户和计算机帐户的创建与管理 掌握组的类型与创建 掌握组织单位的创建及组策略的使用 熟悉域的管理与资源发布 了解活动目录中域的信任关系。 概述 Windows 2000支持工作组和域两种网络组织模式。 在工作组模式下，每一台计算机都拥有独立的帐户体系和权限设定。该模式只适用于十台左右计算机的小型网络。 在域模式下，可对大量的计算机及网络资源进行有效的整合管理。域是建立在活动目录基础之上的逻辑单元。 活动目录简介 (1) 活动目录（Active Directory，简称AD）提供了一套为分布式网络环境设计的目录服务。 使用活动目录可以有效地对相关网络资源及用户的信息进行共享和集中式的管理。 目录服务在网络安全方面扮演着中心授权机构的角色。 活动目录担当着系统集成和系统管理的任务。 活动目录简介 (2) 活动目录包括两方面：目录和目录相关的服务。 目录是存储各种对象的容器，目录管理的基本对象是用户、计算机、文件以及打印机等资源。 目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理。 活动目录的工作方式(1) 活动目录按照层次式的、面向对象的方式存储信息，并且提供支持分布式网络环境的多主复制机制。 层次式组织 活动目录使用层次化方式组织信息以简化网络的使用和管理 面向对象的存储 活动目录的对象和属性被访问控制列表所保护 多主复制 活动目录通过支持多主复制实现灵活性、高可用性和高性能 活动目录的优点 1.与DNS的紧密集成 2.灵活的查询 3.可扩展性 4.基于策略的管理 5.可伸缩性 6.信息复制 7.信息安全 8.互操作性 活动目录的逻辑结构 活动目录中的逻辑单元包括： 域 组织单位 域树 域林 域（Domain） 域是活动目录逻辑结构的核心单元，是用户帐户和网络资源的集合。 域划分了安全边界，一个域管理员只能管理本域，而不能控制其他域。除非其他的域明确地赋予该管理员管理权限。 每个域都有自己的安全策略，以及与其他域之间的安全信任关系。 在活动目录的复制过程中，域也是一个重要的单元，由于活动目录采用了多主机的复制模式，所以域中每个域控制器既可以接收来自域中其他的域控制器的变化信息，也可以把变化信息复制到其他的域控制器上。 每一个域都有一个域名，在Windows 2000中域的域名采取DNS的命名方式，具有层次结构的特征。同时为了和早期操作系统保持兼容，域还有一个NetBIOS名。 组织单位（Organizational Unit，简称OU） 组织单位是一个容器对象，使用它可以将域中的对象组织成一个逻辑单元。 组织单位可以包含各种对象，例如用户账户、用户组、计算机帐户、打印机以及其他的组织单位。 组织单位层次结构局限于域的内部，所以一个域中的组织单位层次结构与另一个域中的组织单位层次结构完全独立。 域树（Tree） 域树是指活动目录中具有连续名称的一个或多个域的集合。 域树中的域共享同一个活动目录结构和全局编录，具有相同的DNS域名后缀，形成一个连续域名空间的层次结构。 域树中创建的第一个域称之为根域，它的名字也被当作域树的名字。 在域树中新加入的域就成为其中的一个子域。 每个子域和母域之间都自动建立双向可传递的信任关系。 域树结构 域林（Forest） 域林是由多个域树组成，这些域树不使用连续的域名空间，每一个域树都拥有自己的DNS域名空间。 域林中的每个域树的根域之间建立了双向可传递的信任关系，它们共享活动目录结构及全局编录。 域林中创建的第一个域树称之为根树，它的名字也被当作域林的名字。 域林结构 活动目录的物理结构 活动目录的物理结构和逻辑结构是两个相对独立的概念。 逻辑结构主要用于对网络资源进行组织管理. 物理结构则侧重于计算机网络的配置和优化。活动目录的物理结构涉及到两个重要的概念：域控制器和站点。 域控制器（Domain Controller，简称DC） （1）域控制器的定义 域控制器是指安装了活动目录的一台Windows 2000 Server服务器，它保存了活动目录信息的一个副本。 域控制器管理活动目录数据的变化，并把这些变化复制到同一个域中的其他域控制器上。 域控制器负责管理用户和域的交互过程，包括用户登录进程、身份验证以及目录搜索。 一个域可以有一个或多个域控制器，活动目录中的域控制器没有主次之分，每一个域控制器都有一个可读写的目录副本。 在某一个时刻，不同的域控制器中的活动目录信息可能有所不同，一旦活动目录中的所有域控制器完成同步操作之后，所有的活动目录副本的信息就会一致。 全局编录（Gl