活动目录基础技术篇1.ppt

若一个网络内含多个域树，则可以将这些域树组合成为一个“林(forest)”，即林是由一或数个域树所组成，且每一个域树都有自己唯一的命名空间。 建立林时，会自动建立根域（root doamin），它具有双向传递性的信任关系。 8、林 8、林 在目录林中，存在不连续的域名称空间。但是它们之间的信任关系是一样的双向可传递式信任 。 活动目录树中的第一个域环境成为目录树的根域 。 活动目录林中的第一个建立的目录树的根域称为目录林的根域。 A marketing. sales. A C sales. C 目录林 目录树 目录树 8、林 8、林 japan. china. 目录树 目录林 japan. china. Tree (root) 域 Windows NT 4.0 单向不可传递信任关系 双向可传递信任关系 9、AD复制 Active Directory存储在域控制器内，当一台域控制器的AD数据发生变动后，这些变动的数据会自动复制到其他域控制器的AD中。 当用户登录域内的某台计算机时，由域控制器根据其AD内的账户数据来审核用户的账户与密码是否正确。 多台域控制器可以提供容错的功能，当一个DC出现故障时，可有由其他的DC来提供服务。另外，也可以提高用户登录的效率，因为多台域控制器可以分担审核用户登录身份的工作 9、AD复制 Active Directory数据库的复制分为两种模式： 多主机复制模式（multi-master replication model） AD中的大部分数据都是利用这种模式进行复制的。这个模式中，可以直接更新任何一台域控制器内的AD对象，更新后的对象会被自动复制到其他DC。例如：账户 单主机操作模式（single master operations model）AD中的少部分数据采用此模式。这个模式中，当提出变更对象数据的要求时，由其中一台域控制器“操作主机”被更新，再由这台“操作主机”将它复制到其它DC中。 例如：当新增或删除一个域时，这个变动数据会被保存到扮演“域命名主机（domain naming master）” 角色的域控制器内，再由这台DC将它复制到其他DC内。 10、轻型目录访问协议（LDAP） LDAP(Lightweight Directory Access Protocol),是一种用来查询与更新AD的目录服务通信协议。Windows Server域是利用“LDAP命名路径”来表示对象在AD内的位置。 所有对活动目录的访问都通过LDAP来进行。LDAP采用对象的区别名来为目录对象提供唯一的名字。 10、轻型目录访问协议（LDAP） 可分辨名称（Distinguished Name,DN），对象在AD中的完整路径: DC=abc，DC= com OU=Market OU=Market1 CN=user1 CN=user1, OU=Market1, OU=Market, DC=abc，DC= com DC：域组件 OU：组织单元 CN：普通名字 10、轻型目录访问协议（LDAP） 相对可分辨名称（Releative Distinguished Name,RDN），对象在AD中的部分路径，: CN=user1 DC=abc，DC= com OU=Market OU=Market1 CN=user1 全局唯一标识符（Global Unique Identifier,GUID），是一个 128bit的数值，对于所建立的任何一个对象，系统都会自动指定一个唯一的GUID给这个对象。可以改变对象的名称，但其GUID永远不会改变。 例如：{31B2F340-016D-11D2-945F-00C04FB984F9} 10、轻型目录访问协议（LDAP） 11、全局编录（GC-Glable Catalog） 全局编录服务是包含着目录林中的所有活动目录对象的属性的一个子集的服务。也就是说全局目录是活动目录林中信息的仓库。 为了让每一个用户、应用程序能够快速的找到位于其他域内的对象。 全局编录服务中包含的是活动目录中经常被查询到的对象属性，例如用户帐户、用户的姓氏、用户的登录名称等。 理解方式 在我国部分地区，一个家族的人为了理顺亲人之间的亲属关系，建立了“族谱”之类的管理某一家族的全体人员的“全局编录”。“族谱”用来在亲友之间检验亲戚关系。家族就相当于活动目录林，而“全局编录”服务就相当于目录林的“族谱”。 11、全局编录（GC-Glable Catalog） 全局目录 GC服务器 对象属性 Domain Domain Domain Domain Domain Domain 查询 利用通用组成员身 份的信息登录网络