副本Active Directory安装配置标准文档.PDF

Active Directory 配置与应用 一． Active directory 的概论 1、Active directory 的几个基本概念 目录(directory)：它就象我们日常用的电话本，本子上记录着家人 朋友的姓名、电话、住址、生日等等，这就是“电话目录”。我们说 的Active directory 是在windows Server 2003 域内负责提供目录 服务的组件。 命名空间(Namespace):就是一个界定好的区域，在这块区域内我们可 以利用某个名称来找到与这个名称有关的信息。一个电话本好象是一 个“命名空间”。 对象(object)：在windows server 2003 域内 用户、计算机、 打印机、应用程序等都是对象。 属性(attribute):属性就是用来描述对象特征的。对象本身就是 一些“属性”的集合。 容器(container)：它和对象相似，也是一些属性的集合。容器 内可以包含其他对象，比如“用户” “计算机”等对象，还可以包 含其他容器。 组织单元(OU):实际就是一个特殊点的容器，可以包含其他容器 与OU，还有“组策略”的功能。 域树(domain tree) :架设一个多域的网络，则网络可以设置成 “域树”的架构，这些域是以倒置树状结构存在。树的最上层是这棵 域树的根域，根域之下会有很多会有很多子域。 信任(trust):要想让两个域可以访问对方域内的资源，必须让两 个域建立“信任关系”。任何一个windows server 2003 域被加入域 树后，这个域都会自动信任前一层的父域，同时父域也会自动信任此 新域，这个信任的功能是通过Kerberos 安全协议来完成的，也被称 做kerberos 信任。如果A 域和B 域双向信任，B 域和C 域也互相信 任，那么A 域和C 域也会自动双向信任，这也叫隐性信任。 林(forest):如果一个网络有多个域树则可以将这些域树组合成 为一个“林”。一个林可以包括一个或多个域树，每一个域树都有自 己唯一的命名空间。所建的第一个域树的根域就是整个林的根域。在 建立林时，会自动建立根域之间具有双向传递性的信任关系。 架构(schema):Active directory 内的对象类与属性数据是定义 在架构内的。一个林内所有的域树都使用相同的架构。 全局编录(global catalog):域树内的所有域共享一个Active directory,但Active directory 的数据确是分散的存储在各个域内， 并且每个域内只存该域本身的对象。因此全局编录它是为了让每一个 用户、应用程序能够快速的找到其他域内的对象而设计的。 2、微软对计算机的管理有两种模型： A、工作组环境：适合一个小型简单网络用的是分散验证。 B、域环境：适合大中型网络环境，用的是集中验证，是共享用户帐 号，计算机帐号和安全策略的计算机集合。 二、windows server 2003 域的建立 由于域的“命名空间”采用的DNS 架构，故Active directory 会和DNS 紧密的结合在一起。这个DNS 服务器必须支持“本地服务资 源记录”、“增量区域传送”、“快速区域传送”和“动态更新(强 烈建议)” 本地服务资源记录：域控制器必须将其所扮演的角色记录到DNS 服务器的SRV 内。 增量区域传送：这个功能让DNS 服务器和其他DNS 服务器之间在 执行区域传送的时候只复制最新修改过的记录，这可以提高复制效率， 减少网络负担。 快速区域传送：此功能能让DNS 服务器可以利用“快速传送格式”， 将区域内的记录传送给其他的DNS 服务器。“快速传送格式”具有压 缩数据的功能可以同时传送多条记录。 动态更新：此功能可以让域控制器将自己登记到DNS 服务器的 SRV 记录之下，否则必须由系统管理员手工输入。 架设DNS 服务器有两种方式： 第一种在独立服务器或成员服务器升级为域控制器时，系统会自 动在这台服务器上安装DNS 服务器，当然也会在自动在DNS 服务器内 建立一个支持Active directory 域的区域。