第5章Windows 2000 Server活动目录-new.ppt

第5章 Windows 2000 Server活动目录 5.1活动目录概述 5.2活动目录的结构 5.2.1活动目录的逻辑结构 5.2.2活动目录的物理结构 5.3 安装活动目录 5.4 域账户的管理 5.5 组和组织单位的管理 5.1活动目录概述 Active Directory活动目录服务功能是Windows 2000的最重要的新功能之一，它提供了用于存储目录数据并使该数据可由网络用户和管理员使用的方法，它将网络中各种对象组织起来，方便了网络对象的查找，加强了网络的安全性，并大大有利于用户对网络的管理。活动目录的应用起源于Windows NT 4.0，在Windows 2000 Server中得到进一步的发展和应用，具有可扩展性和可调整性，并将结构化数据存储作为目录信息逻辑和分层组织的基础。 5.1.1 Active Directory的概念 活动目录包括两个方面：目录和与目录相关的服务。 目录是存储各种对象的一个物理上的容器；从静态的角度来理解与我们所熟知的“目录”和“文件夹”没有本质区别，仅仅是一个对象，是一个实体 目录服务是使目录中所有信息和资源发挥作用的服务。目录服务标记管理网络中的所有实体资源（比如计算机、用户、打印机、文件、应用等），并且提供了命名、描述、查找、访问以及保护这些实体信息的一致性的方法，允许相同网络上的其他已授权用户和应用访问这些资源。 5.1.1 Active Directory的概念 Active Directory中的对象信息以域为安全边界。通过登录验证以及对目录中对象的访问控制，将安全性集成到Active Directory中。通过一次网络登录，管理员可管理整个网络中的目录数据和单位，而获得授权的网络用户可访问网络上任何地方的资源。任何用户只需有一个域账号，就可以访问Active Directory中的全部资源，漫游整个网络。而采用基于域和域控制器策略的管理则可以大大减轻管理的负担。 5.1.2 Active Directory的特点 Active Directory是一个完全可扩展、可伸缩的目录服务，方便了管理员在统一的环境下管理整个网络的各种资源。其主要特点如下。 1．信息的安全性 网络中的计算机安全性完全由Active Directory集成。访问控制不仅可在目录中的每个对象上定义，而且还可以在每个对象的属性上定义。 Active Directory和其安全性服务（如Kerberos、PKI和智能卡等）紧密结合，共同完成安全任务和协同管理。Active Directory存储了域安全策略的信息，如域用户口令的限制策略和系统访问权限等，实施了基于对象的安全模型和访问控制机制。在Active Directory中的每个对象都有一个独有的安全性描述，定义了浏览或更新对象属性所需要的访问权限。管理员可以通过组策略设置执行安全策略。 5.1.2 Active Directory的特点 2．集成性 Active Directory的集成性主要体现在三个方面：用户和资源管理、基于目录的网络服务和基于网络的应用管理。而且，Active Directory还与Internet标准相结合，将很多Internet服务集成在一起，增强了自身网络管理功能。 Active Directory与Internet标准集成，例如，用户账号使用用户名@域名来表示和进行网络登录。Internet域名空间及其解析称为域名系统（DNS）。域名空间中，一个子域的域名就是将该子域的名称添加到父域的名称中。例如，是域的子域。 Active Directory具有基于标准的目录访问协议，如轻型目录访问协议（LDAP）和名称服务提供程序接口（NSPI），因此它可以与使用这些协议的其他目录服务相互操作。 5.1.2 Active Directory的特点 3．多主复制方式 复制为目录提供了信息可用性、容错、负载平衡和性能优化等功能。Active Directory使用多主复制方式，即允许用户在任何域控制器上（而不是单个主域控制器上）同时更新目录。 Windows NT 4.0采用主域控制器和备份域控制器，进行目录复制时使用主从方式。Windows 2000 Server则采用了动态活动目录服务，域中所有域控制器之间都是平等的关系，不再区分主域控制器和备份域控制器。Windows 2000 Server在复制目录库时对各个对象的修改顺序数进行比较，判断他们被修改的先后顺序，最新修改的对象属性被保留，旧的属性就被新的属性所取代，这就保证每一个域控制器上的目录服务的数据库都是最新的。在这种机制下，任何一个域控制器上的目录库变更都会自动复制到其他域控制器上。 4．可扩展性 Active Directory可进行扩展