第5章 活动目录.pptVIP

第5章 活动目录 学习目标 ? 活动目录的基本概念 ? 活动目录的规划与安装 ? 域控制器的管理 ? 用户账户和计算机账户的管理 ? 组和组织单位的管理 ? 资源发布和域的管理 5.1 概 述 域(Domain) 是WindowsServer2003目录服务的基本管理单位 域模式的最大好处就是它的单一网络登录能力，任何用户只要在域中有一个账户，就可以漫游网络。域目录树中的每一个节点都有自己的安全边界，这种层次结构既保证了安全性，又做到细致兼备。但是以前的域的信任关系过分强调安全性而可调整性不够，新一代的动态目录服务增强了信任关系，扩展了域目录树的灵活性，它把一个域作为一个完整的目录，域之间能够通过一种基于Kerberos认证的可传递信任关系建立起树状连接，从而使单一账尸在该树状结构中的任何地方都有效，这样在网络管理和扩展时就变得比较容易。 活动目录服务把域详细划分成组织单位，组织单位是一个逻辑单位，它是域中一些用户和组、文件与打印机等资源对象的集合。组织单位中还可以再划分下级组织单位，并且下级组织单位能够继承父单位的访问许可权。每一个组织单位可以有自己单独的管理员并为其指定管理权限，从而实现了对资源和用户的分级管理。活动目录服务通过这种域内的组织单位树和域之间的可传递信任树来组织其信任对象，实现颗粒式管理。这样在WindowsServer2003网络中，一个域能够轻松地管理数万个对象，而一棵域树则可以是包含上亿个对象的庞大的网络。 在WindowsServer2003中，域中所有域控制器是平等的，不再区分主域控制器和备份域控制器，这是因为WindowsServer2003采用了动态活动目录服务，在进行目录复制时不采用主从方式，而是采用多主复制方式。Windows Server 2003在复制目录库时对各个对象的修改顺序数进行大小比较，判断它们被修改的先后顺序，最新修改的对象属性被保留，旧的属性被新的属性所取代，这就保证每一个域控制器上的目录服务数据库都是最新的。通过这种方式，任何一个域控制器上的目录库变更都会自动复制到其他域控制器上。 Windows Server 2003也不再划分全局组和本地组，组内可以包含任何用户和其他组账户，而不管它们在域目录树的什么位置，这样有利于管理员对组进行管理。 Windows Server 2003动态目录服务的另一大特点是把DNS作为其定位服务，增强其与Internet的融合。同时WindowsServer2003将DNS与其特有的DHCP和WINS紧密配合，支持动态DNS，从而使DNS管理变得更加方便。另外，WindowsServer2003广泛地支持标准的命名规则，例如，WWW使用的HTTP URL命名规则、Internet电子邮件使用的RFC 822命名规则、NetBIOS采用的UNC命名规则以及LDAP(Light-weight Directory Access Protocol， 轻型目录访问协议)URLs和X.500命名规则等。 为了扩展的需要，Windows Server 2003活动目录服务内置了目录访问C语言、活动目录组件、开放服务信息处理等API接口，为目录服务的应用和开发提供了强大的工具。在向上发展的同时， Windows Server 2003也向下兼容，Windows NT和旧的BackOffice系统可以很容易地融入WindowsServer2003动态活动目录，或者直接升级到Windows Server 2003系统。 5.1.2 活动目录的三种特性 集成性：结合了各种管理：用户、资源管理、基于目录的网络服务和基于网络的应用管理，另外，Windows Server 2003活动目录还广泛地采纳了Internet标准，将众多Internet服务集成在一起，增强了自身的网络管理功能。 目录管理的基本对象是用户和计算机，还包括文件、打印机等资源。用户对象的属性不仅包括常见的账号名、口令等，还包括邮件信箱和个人主页地址等，因此在活动目录中可以向用户对象发送邮件和访问其个人主页。在活动目录中，支持全局性的查找，例如查找在整个网络中的双面打印的彩色打印机等。 集成性2 Windows Server 2003平台上基于活动目录的应用服务允许开发人员扩展活动目录的Schema和UI两个对象，通过ADSI／ADO编程，在活动目录中发布服务绑定信息，通过组策略配置应用程序。基于目录的典型应用例子如NetMeeting，在活动目录的环境中，只要在NetMeeting中敲入同事的E-mail别名，就可以通过活动目录中的定位服务，与其进行对话和桌面协作等。 活动目录完全采用了Intemet标准协议，甚至用户账号都可以用“用户名@域名”来表示和进行网络登录。单个域