第四次课——活动目录介绍和安装.pptVIP

活动目录架构简介 活动目录是做什么的? 集中控制网络资源 资源的集中和分散的管理 在逻辑架构中实现对象的安全存放 优化网络传输 集中管理用户帐户和密码，计算机，打印机等资源。 就像银行一样，持有存折可以通存通兑 什么是活动目录? 是一个具有一定结构的信息库，包含了用户和资源的相关信息。 活动目录的对象与属性 在win2003域内,资源以对象形式存在，如用户，计算机，打印机，应用程序等。 NT时代的域的概念比较简单，就是一个集中管理帐户的银行。但现在的域的概念已经很复杂了。 域电子邮件地址，DNS主机名称和活动目录帐户都统一在一起，内部的资源也更丰富，内部结构更复杂。 目录树 一个域目录树中的各域自动建立起双向，可传递的信任关系。双向信任关系淡化了两域 的界限。互通如一家。 什么叫可传递的信任关系 在NT4中信任关系是不可传递的： A信任C，B信任C，那么A不信任B，B也不信任A 而win2000 之后的操作系统域目录树中的字母域之间自动建立的信任关系是可传递的。 那么 类比：信任关系就像建立外交关系的国家之间有平等的往来，而没有建立的就不能互相访问。 目录林 H 目录林中的域不共用连续的名字空间 目录林中的域目录树共用共同的架构和全局编录（一个域的活动目录类似一本书读目录，全局编录就像一系列书的总目录） 一个不与其他域树相连的单一域树形成一个只有一棵树的目录林 把目录林根域的名字指定为此目录林的名字（安装的时候就知道） 每个域目录树根域与目录林根域间存在传递信任关系。 什么是全局目录（ Global Catalog）? 包含了活动目录中所有信息的一个子集。（类比：一系列书的总目录，是经常用到的内容） 活动目录的物理结构 域功能级别 一：域功能级别 1：win2000混合模式：域控制器可以是win2003,win2000,winnt 2: win2000原始模式：这个级别内的域控制器可以是win2003,win2000server 3: win2003server：域控制能是win2003 域功能级别可提升，但不能再回到原有级别 位置：右键点击活动目录用户和计算机提升域功能级别 林功能级别 1：win2000:这个级别内的域控制器可是win2003,win2000server ,winnt4 2: win2003过渡版：这个级别内的域控可以是win2003,winnt4,但不能有win2000 3: win2003: 这个级别内的所有域控制器必须是win2003 什么是标识名和相关标识名? 安装活动目录 建立域的方法是先安装一台win2003独立服务器，然后再将其升级为域控制器 之前必须考虑好： 1：要使用的DNS域名 2：DNS服务器 3：有足够的磁盘空间（250M） 4：具备NTFS分区 DNS域和活动目录域 1：DNS的工作是主机名解析服务 2：活动目录是目录服务，实现网络资源的集中管理 3：DNS可以独立于活动目录存在，但活动目录必须有DNS才能工作。 4：为了支持活动目录正常工作，DNS还要支持服务定位（SRV） 5：DNS和活动目录集成，所以加入域的计算机自动的出现在DNS的记录中。 DNS准备 安装活动目录前，DNS要准备好： 1：在建立第一台域控制器时一并安装DNS服务器。并自动建立一个支持活动目录的区域。并自动启用一个只有安全的动态更新。 这适合原网络没有DNS的情况。 我的意见：既然活动目录必须有DNS支持，那每台域控安装时都安装DNS。这样DNS服务器本身也在域中。 2：使用现有的DNS服务器。 需要升级的服务器，DNS地址指向已有的DNS服务器，建立一个区域和规划好的域名一致，并选择非安全的动态更新。 升级活动目录的方法 安装使用：配制你的服务器或命令行：dcprpmo 安装时选择： 1：现有域的额外域控制器 2：现有目录树中创建子域 3：将新的目录树放入现有目录林 有多种组合，对应目录树和目录林的概念。 对于域中的第二台域控，叫额外域控。 删除域控 降级为独立服务器或成员服务器即可。 只有Domain Admins ,Enterprise A