chap04域与活动目录.pptVIP

第4章 域与活动目录 本章内容： 域、域树和域林 活动目录 安装域控制器 活动目录的管理 两个概念：域与活动目录 什么是域？ Domain。域是一种安全的边界。 什么是活动目录？ AD—存储网络资源索引的一个数据库 域与活动目录的关系 安装了AD的域中服务器叫做域控制器。 4.1.1 为什么需要域 4.1.1 为什么需要域 服务器和用户的计算机都在同一个域中，用户在域中只要拥有一个账号 用户只需要在域中拥有一个域账户，只需要在域中登录一次就可以访问域中的资源了。 4.1.1 为什么创建多个域？ 用户信息存放在域中的域控制器(DC，Domain Controller)上 当网络有十万个用户甚至更多，域控制器存放的用户数据量将很大，更为关键的是如果用户频繁登录，域控制器可能因此而不堪重负。 分成多个域，每个域的规模控制在一定的范围之内。实际上，分成小的域不仅仅出于服务器不堪重负的原因，更多的是出于管理上的要求。 4.1.1 为什么创建多个域 4.1.1 不同域之间如何互相访问？ 划分成小的网络后（域），问题又产生了。在域1中的用户登录后可以访问域1中的服务器上的资源，域2的用户可以访问域2中的服务器上的资源；域1的用户却访问不了域2中的服务器上的资源，域2的用户也访问不了域1中的服务器上的资源。 为了解决用户跨域访问资源的问题，可以在域之间引入信任 4.1.1不同域之间如何互相访问？ A域信任B域，A称为信任域（Trusting Domain），B称为被信任域（Trusted Domain），B域的用户可以访问A域中的资源 4.1.1不同域之间如何互相访问？ 信任关系有可传递和不可传递之分 A信任B，B又信任C，如果信任关系是可传递的，A就信任C A信任B，B又信任C，如果信任关系是不可传递的，A就不信任C。 4.1.2 为什么要域树（Domain Tree） 在一个企业中可能有很多域，如果要互相跨域访问资源，需要建立多个信任。必须创建多个双向信任关系：n*(n-1)/2 4.1.2 为什么要域树（Domain Tree） 之所以会这样，是因为A、B、C、D、E域被看成是独立的域，所以信任关系被看成不可传递，而实际上A、B、C、D、E域都是在同一企业中，很可能B是A的主管单位，C又是B的主管单位 4.1.2 为什么要域树（Domain Tree） 4.1.2 为什么要域树（Domain Tree） 域树中，信任关系是可传递的。父域和子域的信任关系是双向可传递的，结果是域树中的一个域隐含地信任域树中所有地域。图中共有7个域，所有域相互信任也只需要6个信任关系，远比之前的7*6/2=21个信任关系要少得多。 域树中，域的名字是从父域派生出来的。 4.1.3 域林（Domain Forest） 域树中的域的名字和DNS域的名字非常相同，在Windows 2000 Server以后的系统中，域和DNS域的关系非常密切，因为域中的计算机使用DNS来定位域控制器和服务器以及其它计算机、网络服务等，实际上域的名字就是DNS的域的名字。 4.1.3 域林（Domain Forest） 企业可能同时拥有和两个DNS域名 ，这时候会派生出两棵域树。 这两个域树共同构成了域林。在同一域林中的域树的信任关系也是双向可传递的。 4.2.1 什么是活动目录 我们的电话本、地址本也是一种目录，微软的活动目录（AD，Active Directory）也是一种存放信息的方式而已 域控制器（DC，Domain Controller）上存放有域中所有用户、组、计算机等信息。域控制器就把这些信息存放在活动目录中，活动目录实际上就是一个特殊的数据库 4.2.2 活动目录和DNS Windows Server 2003的活动目录和DNS是紧密不可分的，它使用DNS服务器来登记域控制器的IP、各种资源的定位等 在一个域林中至少要有一个DNS服务器存在。 Windows Server 2003中域的命名也是采用DNS的格式来命名的。 4.2.3 活动目录中的组织单元（OU，Organization Unit） 1. 对象 用户、计算机、打印机、组等等 每个对象都有自己的属性以及属性值 2. 组织单元（OU，Organization Unit） 组织单元把这些对象按逻辑进行分组，便于管理、查找、授权和访问。 组织单元有许多划分方法，也可以根据地理位置进行划分（实际中根据企业中管理模型划分） 4.2.4 全局编录（GC） 全局编录包含了整个活动目录中每一个对象的最重要的属性（即部分属性，而不是全部） 默认一个森林里面第一个DC是GC，存放所有域对象的副本。 域、域树、域林 4.2.5 用户访问资源的过程 1. 访问本地域中的资源 2. 访问跨域的资