- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
活动目录的概念 域 域提供了多项优点: § 组织对象。 § 发布有关域对象的资源和信息。 § 将组策略对象应用到域可加强资源和安全性管理。 § 委派授权使用户不再需要大量的具有广泛管理权利的管理员。
要创建域,用户必须将一个或更多的运行 Windows 2000 Server 的计算机升级为域控制器。域控制器为网络用户和计算机提供 Active Directory 目录服务、存储目录数据并管理用户和域之间的交互作用,包括用户登录过程、验证和目录搜索。每个域至少必须包含一个域控制器。 域树和域林 活动目录中的每个域利用 DNS 域名加以标识,并且需要一个或多个域控制器。如果用户的网络需要一个以上的域,则用户可以创建多个域。共享相同的公用架构和全局目录的一个或多个域称为域林。如图 6.1 中所示,如果树林中的多个域有连续的 DNS 域名,则该结构称为域树。
如图6.2所示如果相关域树共享相同的 Active Directory 架构以及目录配置和复制信息,但不共享连续的 DNS 名称空间,则称之为域林。 域树和域林的组合为用户提供了灵活的域命名选项。连续和非连续的 DNS 名称空间都可加入到用户的目录中。 6.1.2. 域和帐户命名 Active Directory 域名通常是该域的完整 DNS 名称。但是,为确保向下兼容,每个域还有一个 Windows 2000 以前版本的名称,以便在运行 Windows 2000 以前版本的操作系统的计算机上使用。用户帐户 在 Active Directory 中,每个用户帐户都有一个用户登录名、一个 Windows 2000 以前版本的用户登录名(安全帐户管理器的帐户名)和一个用户主要名称后缀。在创建用户帐户时,管理员输入其登录名并选择用户主要名称。Active Directory 建议 Windows 2000 以前版本的用户登录名使用此用户登录名的前 20 个字节。 所谓用户主要名称是指由用户账户名称和表示用户账户所在的域的域名组成。这是登录到 Windows 2000 域的标准用法。表准格式为:user@ (类似个人的电子邮件地址)。但不要在用户登录名或用户主要名称中加入 @ 号。Active Directory 在创建用户主要名称时自动添加此符号。包含多个 @ 号的用户主要名称是无效的。 在 Active Directory 中,默认的用户主要名称后缀是域树中根域的 DNS 名。如果用户的单位使用由部门和区域组成的多层域树,则对于底层用户的域名可能很长。对于该域中的用户,默认的用户主要名称可能是 。该域中用户默认的登录名可能是 user@ 。创建主要名称后缀 - root 使同一用户使用更简单的登录名 user@ 就可以登录。 6.1.3 域间信任关系 对于 Windows 2000 计算机,通过基于 Kerberos V5 安全协议的双向、可传递信任关系启用域之间的帐户验证。 在域树中创建域时,相邻域(父域和子域)之间自动建立信任关系。如图 6.2 中的 和 之间自动建立信任关系。在域林中,在树林根域和添加到树林的每个域树的根域之间自动建立信任关系。因为这些信任关系是可传递的,所以可以在域树或域林中的任何域之间进行用户和计算机的身份验证。 如果将 Windows 2000 以前版本的 Windows 域升级为 Windows 2000 域时,Windows 2000 域将保留域和任何其他域之间现有的单向信任关系。包括 Windows 2000 以前版本的 Windows 域的所有信任关系。如果用户要安装新的 Windows 2000 域并且希望与任何 Windows 2000 以前版本的域建立信任关系,则必须创建与那些域的外部信任关系。 所有域信任关系都只能有两个域:信任域和受信任域。域信任关系按以下特征进行描述: § 单向 单向信任是域 A 信任域 B 的单一信任关系。所有的单向关系都是不可传递的,并且所有的不可传递信任都是单向的。身份验证请求只能从信任域传到受信任域。Windows 2000 的域可与以下域建立单向信任:不同树林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 领域。 § 双向 Windows 2000 树林中的所有域信任都是双向可传递信任。建立新的子域时,双向可传递信任在新的子域和父域之间自动建立。
§ 可传递 Windows 2000 树林中的所有域信任都是可传递的。可传递信任始终为双向:此关系中的两个域相互信任。 可传递信任不受信任关系中的两个域的约束。每次当用户建立新的子域时,在父域和新子域之间就隐含地(自动)建立起双向可传递
您可能关注的文档
- 发展服务中小企业的区域性股权市场功能拓展及实施路径研究.pdf
- 构建可信赖长期保存系统.pdf
- VPDN添加和报税申报方式(浙江).pdf
- 构建在中小规模CPU上实时UML框架程序设计环境.doc
- VS2010单文档窗口属性改变和按键文本框的添加.docx
- 发展教育大数据_内涵_价值与挑战.pdf
- 果树扦插苗与压条苗的培育.ppt
- VS2010利用MFC的Picture控件显示与处理图像.doc
- 海贼王如果路飞能吃第二个果实,它是个不错选择.pdf
- VTL存储技术和产品市场分析.pdf
- 中国国家标准 GB/T 18233.4-2024信息技术 用户建筑群通用布缆 第4部分:住宅.pdf
- GB/T 18233.4-2024信息技术 用户建筑群通用布缆 第4部分:住宅.pdf
- GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计.pdf
- 《GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计》.pdf
- 中国国家标准 GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计.pdf
- GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置.pdf
- 《GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置》.pdf
- 中国国家标准 GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置.pdf
- GB/T 17889.4-2024梯子 第4部分:铰链梯.pdf
- 《GB/T 17889.4-2024梯子 第4部分:铰链梯》.pdf
最近下载
- 企业存货管理问题研究——以森马服饰为例.doc
- 2012年数学建模竞赛答案之一 葡萄酒.pdf VIP
- 手机游戏的营销策略分析以《明日方舟》为例.docx VIP
- 急诊POCT专项测试卷附答案.doc
- 2023年全国数学建模竞赛D题的答案.doc VIP
- 100m3每天医疗污水处理方案.docx VIP
- PreSonus 普瑞声纳 Temblor T10EN,CN T10 OwnersManual 04272021说明书用户手册.pdf
- 2021年全国数学建模竞赛D题的答案.pdf VIP
- PreSonus 普瑞声纳 Eris E44EN,CN Eris E44 and E66 OwnersManual EN V3 01112021.说明书用户手册.pdf
- 2003全国大学生数学建模竞赛b题参考答案.docx
文档评论(0)