第单元AD.pptVIP

第10章 AD Windows网络模型 workgroup——工作组模型 Active Directory——活动目录（域）模型 一、活动目录概述 1、何谓目录（Directory） 电话簿——电话目录 文件系统——文件目录 说明：不同的目录包含的具体内容、格式等也不尽相同。 目录：是一种便于信息查找的名字服务。 2、目录服务 通过目录容易地、迅速地找到所需的数据。 3、windows server 2008域内的目录 （1）用来存储用户账户、组、打印机、共享文件夹等对象，又称为目录数据库。 （2）windows server 2008域内负责提供目录服务的组件是 ： Active Directory——活动目录 4、命名空间（NameSpace） （1）命名空间是一个界定好的区域，可以利用某个名称来找到与这个名称有关的信息。 （2）Active Directory（活动目录）就是一个命名空间，它采用DNS的架构。 5、对象与属性 AD内的资源都是以对象的形式存在：如用户、计算机、打印机、应用程序等。 用户对象包含的属性：姓、名、电话号码、电子邮件等 6、容器（Container） 容器可以包含其它对象或容器。 7、AD的逻辑结构——层次结构 （1）OU组织单位 （2）域（Domain） AD的域名采用DNS的形式，命名空间具有连续性。 （3）树（Tree） ①域树内的所有域共享一个Active Directory，每个域内只存储该域内的数据。 ②每个域树都有自己唯一的命名空间。 （4）林（Forest） 多棵域树可以组合成一个林； 第一棵域树的根域就是整个林的根域。 8、信任 （1）两个域之间必须建立信任关系（trust relationship）才可以访问对方域内的资源。 （2）信任功能是通过kerberos协议来实现的。 （3）传递性 9、LDAP轻量级目录访问协议 （1）LDAP是一种用来查询与更新AD的目录服务协议。 （2）AD域是利用“LDAP命名路径”来表示对象在AD内的位置。 （3）LDAP命名路径 ①辨别名DN（Distinguished Name） ——对象在AD内的完整路径，如： CN=李平，OU=信息部，DC=abc,DC=COM ②相对辨别名RDN（Relative Distinguished Name） 如： CN=李平 10、Windows Server 2008充当的三种角色 （1）独立服务器 （2）DC （3）成员服务器 二、域用户与组账户的管理 1、建立域用户账户 （1）用户登录名（Windows2000以前版本） 如：user1 （2）UPN名（user principal name,UPN） Windows Server 2008、XP、2000计算机上登录域时使用，格式与邮件格式相同。 如user1@tcbuu.cn 2、域组账户 （1）通用组（universal group） 其成员可以包含整个林中任何一个域内的用户、通用组合全局组，但无法包含任何域内的域本地组。 需要提升域功能模式为： Windows Server 2008 Windows 2000 server native （2）全局组（global group） 功能：用来组织用户，即将有相同权限需求的用户放入一个全局组。 全局组可以访问任何一个域内的资源。 （3）域本地组（domain local group） 功能：主要用来指派其所属域内资源的访问权限。 3、组的使用准则 A（user Account） G（Global group） DL（Domain Local group） U（Universal group） P（Permission） （1）A?G?DL?P （2）A?G?G?DL?P （3）A?G?U?DL?P 三、AD DS安装与升级 AD（Active Directory）活动目录 AD DS安装 升级为DC 01.AD DS安装 02.AD DS安装-简介 03.AD DS安装-确认 04.AD DS安装-进度 05.AD DS安装-结果 06.AD DS升级 07.AD DS升级-向导 08.AD DS升级-向导-OS兼容性 09.AD DS升级-向导-新林中建新域 10.AD DS升级-向导-命名林根域 11.AD DS升级-向导-林功能级别 11.AD DS升级-向导-林功能级别2008 12.AD DS升级-向导-林功能级别2008-检查DNS配置 13.AD DS升级-向导-林功能级别2008-域控选项 14.AD DS升级-向导-DNS 15.AD DS升级-向导-数据库日志SYSVOL位置 16.AD DS升级-向