第3章 活动目录与域控制.pptVIP

[本章学习目标] 理解Active Directory的概念 掌握Active Directory的域和域目录 正确理解Active Directory域的信任关系 了解Active Directory中的对象 第三章 活动目录与域控制 Active Directory的概念 3.1 活动目录 Active Directory又称活动目录，是Windows 2000 Server和Windows Server 2003系统中非常重要的目录服务。Active Directory存储网络上各种对象的有关信息，包括用户账户、组、打印机、共享文件夹等，并把这些数据存储在目录服务数据库中，便于管理员和用户查询及使用。它有两方面内容，目录和与目录相关的服务。 Active Directory的特点 Active Directory是一个完全可扩展、可伸缩的目录服务，方便了管理员在统一的环境下管理整个网络的各种资源。其主要特点如下： 信息的安全性 集成性 多主复制方式 可扩展性 可伸缩性 易用性 3.1 活动目录 域和域控制器 域是在Windows Server 2003网络环境中组建客户/服务器网络的实现方式。所谓域，是由网络管理员定义的一组计算机的集合，实际上就是一个网络。域具备多个优点，能使得网络管理变得十分简单。 组织对象 域中的组织单元用来管理域中的账号和资源。依据企业内部的组织结构，通过设计、规划域的组织结构，有助于建立恰当的企业网络。 安全策略和设置 在一个域中的管理权利，或是对某一个网络资源的访问权利，不会因为网络的连接而自动从一个域移动到另外一个域。 3.2 域、域目录树和域目录林 域和域控制器 将组策略对象应用到域中 域定义了策略生效的基本单位。组策略对象确立了访问、配置和使用域资源方法的规则。将组策略对象应用到域中可以加强对资源的安全性管理。这些策略只在域中应用，而不是跨域应用。 权利委派 理员可以将网络管理权限委派给某些特殊用户。使用组策略对象和组成员相互关联作用的委派授权，允许管理员派放管理权限，以管理整个域或者域中一个或多个组织单元的对象 3.2 域、域目录树和域目录林 域目录树 当要配置一个包含多个域的网络时，应该将网络配置成域目录树结构。一棵域目录树就是一个DNS名字空间。它有一个惟一的根域并且是一个严格的层次结构，根域以下的每个域都只有一个父域，父域则可以有多个同级的子域。因此，根据这种层次结构所创建的名字空间是邻接的。 3.2 域、域目录树和域目录林 域目录林 如果网络的规模比前面提到的域目录树还要大，甚至包含了多个域目录树，这时可以将网络配置为域目录林(也称森林)结构。 各域目录树之间地位相当，由双向传递的信任关系相关联。 单个域组成一棵单域的域目录树，单棵域目录树组成单树的域目录林。 域目录林跟活动目录是同一个概念。 在同一片域目录林中的多棵域目录树并不构成一个邻接的名字空间，而是构成一个基于不同的DNS根域名的不邻接的名字空间，但对象的名字仍然可以由同一个活动目录所解析。 一片域目录林就像一个由交叉引用的对象和成员树之间信任关系所组成的集合而存在。 位于每个名字空间根域的传递信任提供了对资源的相互访问。 3.2 域、域目录树和域目录林 全局编录 有了域目录林之后，同一域目录林中的域控制器共享一个活动目录，这个活动目录是分散存放在各个域的域控制器上的，每个域中的域控制器存有该域的对象的信息。 如果一个域的用户要访问另一个域中的资源，这个用户要能够查找到另一个域中的资源才行。为了让每一个用户都能够快速查找到另一个域内的对象，微软设计了全局编录(Global Catalog，GC)。 全局编录包含了整个活动目录中每一个对象的最重要的属性(即部分属性，而不是全部)，这使得用户或者应用程序即使不知道对象位于哪个域内，也可以迅速找到被访问的对象。 3.2 域、域目录树和域目录林 域信任关系是建立在两个域之间的关系，一个域中的用户可由另一个域中的域控制器验证。所有域的信任关系只能有两个域：信任域和受信任域。 活动目录通过域间的信任关系提供跨域的安全。当域之间有信任关系时，每个域的认证机构都信任其他所有它所信任的域的认证机构。如果一个用户或应用程序被一个域认证后，所有信任这个认证的域都认可这种认证。一个被信任域中的用户可以访问信任域中的资源，并由信任域上的访问控制所制约。 在Windows Server 2003中，所有信任关系都是可传递的而且是双向的，信任关系中的两个域自动相互信任。 3.3 域的信任关系 信任路径 信任路径是身份验证请求在域之间必须遵循的一组信任关系。在用户可以访问另一个域中的资源之前，系统安全机