第6讲ActiveDirectory和域.ppt

6.1 活动目录——Active Directory简介 Active Directory（AD）是Active Directory是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录服务，是Windows的核心。 Active Directory可将网络中所有的资源集成在一个统一的全局目录下，资源可以包括各种软硬件资源、Internet和内部网络，如：文件、外设、主机连接、数据库、Web访问、用户、服务以及其他。 Active Directory存储各种对象的有关信息，并使该信息易于管理员和用户查找及使用。 Active Directory集成了安全性，通过网络登陆，系统管理员能够管理整个网络中的目录数据，而获得授权的网络用户也可以访问网络上的任何地方的资源。 Active Directory简介 Active Directory包括两个方面：目录和与目录相关的服务。 目录是存储各种对象的一个物理上的容器，从静态的角度来理解活动目录与以前所结识的“目录”和“文件夹”没有本质区别； 目录服务是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问。 Active Directory的服务功能及优点 高效地组织资源：AD服务把所有的可用资源按照特有的目录方式进行存储和组织，可以应对网络的扩展和资源的扩充； 简洁地查找资源：AD服务把资源组织成各个不同的对象，使用AD服务工具可以方便地查找域中的任何资源； 灵活地管理方式：AD服务提供了集中管理方式和分布式管理方式，既发挥了集中式管理的安全性，又考虑了分布式管理的效率。 6.2 Active Directory结构 Active Directory是一个分布式的目录服务，因为信息可以分散在多台不同的计算机上，保证各计算机用户快速访问和容错；同时不管用户从何处访问或信息处在何处，对用户提供统一的视图，使用户更容易理解和掌握。 Active Directory采用组织单元、域、域树、域林构成的层次化的目录结构。 Active Directory主要包含三种角色：域控制器、成员服务器、工作站。 域（Domain） 域是Windows Server 2003目录服务的基本管理单位； 一个计算机网络最基本的单元就是“域”，活动目录可以贯穿一个或多个域。 在独立的计算机上，域即指计算机本身； 一个域可以分布在多个物理位置上，同时一个物理位置又可以划分不同网段为不同的域，每个域都有自己的安全策略以及它与其他域的信任关系。 当多个域通过信任关系连接起来之后，活动目录可以被多个信任域共享。 域树 域树由多个域组成。域树中的第一个域称作根域。相同域树中的其他域为子域。相同域树中直接在另一个域上一层的域称为父域。 具有公用根域的所有域构成连续名称空间。 域树中的域通过双向可传递信任关系连接在一起，且信任关系是可传递的。 域林 域林包括多个域树。其中的域树不形成邻接的名称空间。而且域林也有根域。域林的根域是域林中创建的第一个域。域林中所有域树的根域与域林的根域建立可传递的信任关系。 域控制器 在Windows Server 2003的网络环境中，各域必须至少有一台域控制器（Domain Controller，简写为DC），存储此域中的Active Directory信息，并提供域相关服务，例如：登录验证、名称解析等。换言之，没有域控制器，就没有所谓的域。 在域中，可以同时存在多台域控制器，各域控制器都处于平等关系。网管人员可以在域内任何一台域控制器上管理Active Directory，包括建立帐号、设置组策略、委派控制等。用户也可通过任何一台域控制器来登录域，并访问Active Directory数据库。 成员服务器与工作站 Active Directory中可以包含一些普通的服务器，称为成员服务器。成员服务器不负责AD的管理，它的任务是完成应用相关的常规事项。 Active Directory中也包含一些工作站，完成和用户进行数据和操作的交互，起到一个终端的作用。 6.3 Active Directory中的重要概念 全局目录：保存了森林中所有对象的所有特征的信息库，默认保存在森林中第一个域控制器上，也可指定某域控制器存储。 复制：通过该功能确保森林中的任何一台域控制器的任何更改都能同步反映到其他域控制器上； 信任：指不同域之间访问资源的权限控制； DNS名称：使用用户友好的名字来标识AD中的所有资源。 6. 4 域间的信任关系 域和域之间的通信是通过信任发生。 信任关系是指在域之间建立的逻辑关系，以便允许通过身份验证，其中信任域负责受信域的登录验证。 受信域中定义的用户帐户可以获得信任权利和权限，即使该用户帐户或组