使用唯读网域控制站.PPT

第 4 章 Active Directory 網域 本章重點 4 - 1 AD 網域的定義與功用 4 - 2 網域控制站 4 - 3 多重網域的架構 4 - 4 站台與 GC 伺服器 Active Directory 網域 從 Windows 2000 Server 到 Windows Server 2008, 『AD 網域』（AD Domain）始終都是主角。 因此本章將說明網域的定義、功能、名稱及多重網域的架構, 讓讀者先紮穩馬步, 以利於後續各章的實作。 4 - 1 AD 網域的定義與功用 其實網域並非新概念, 早在 Windows NT 就已經有網域。 但是從 Windows 2000 Server 開始, 一方面改用與 DNS 網域相同的架構, 另一方面將 AD 目錄服務整合到網域中, 因此形成一種新的網域。 為了與 NT 網域區別, 一般稱之為 AD 網域。 由於微軟已經宣布淘汰 Windows NT, 因此本書不介紹 NT 網域。後文所指的網域, 若無特別註明為 NT 網域, 則一律代表 AD 網域！ 何謂網域 簡言之, 共用同一份 AD 資料庫之電腦所組成的集合便是一個網域！ 由於 AD 資料庫裡頭包含了使用者帳戶、使用者密碼、電腦帳戶、權限設定等等資訊, 所以同網域內的電腦和使用者, 都是由同一份 AD 資料來決定誰可以存取哪些資源、誰可以做哪些工作等等。 網域的功能 說實在的, 管理網路並非一定要有網域不可－－但是有網域可以省下很多工夫！ 我們先來看沒有網域的情形, 再看有了網域之後的情形, 兩相對照便能明白其中的差別。 工作群組－各自為政的架構 在沒有網域的環境中, 假設有 10 部伺服器和 100 位使用者, 因為每部伺服器都有自己的帳戶資料庫（稱為『本機帳戶資料庫』）, 網路管理員等於要維護 10 × 100 ＝ 1000 筆資料。 而隨著伺服器和使用者數量遞增, 維護工作所佔用的時間也隨之暴增。 微軟將上述這種『各管各的帳戶資料庫』架構, 稱為『工作群組』（Workgroup）架構。 工作群組－各自為政的架構 無論是 Windows 9X、Windows XP、Windows 2000 / 2003、Windows Vista 或 Windows Server 2008, 都支援工作群組架構。 網域－中央集權的架構 要管理分散於各伺服器的帳戶資料庫, 是一件讓人頭痛的事, 不如選一部電腦專門負責管理帳戶資料, 讓其它的電腦都以它的帳戶資料庫為準。 如此一來, 無論使用者或伺服器的數量增加多少, 網路管理員都只要維護一個資料庫即可。 同樣以 10 部伺服器和 100 位使用者的環境為例, 假設我們將 10 部伺服器的帳戶資料庫整合成一個, 儲存在 A 伺服器。 網域－中央集權的架構 並且告訴所有的電腦『：凡是要查證使用者名稱與密碼是否正確時, 一律去問 A 伺服器, 它說了算！』 爾後有任何的帳戶異動, 只要修改 A 伺服器的帳戶資料庫, 效力就遍及 10 部伺服器和 100 位使用者。 若用微軟的術語來說, A 伺服器所儲存的共用帳戶資料庫稱為 AD 資料庫；而 A 伺服器則稱為網域控制站（DC, Domain Controller）。 網域－中央集權的架構 網域名稱 在不同的應用場合, 我們會使用不同的格式來表示網域名稱, 其中較常用到的 2 種格式, 便是 DNS 網域名稱和 LDAP 網域名稱： DNS 網域名稱 AD 網域的命名方式與 DNS 相同, 例如： 其中 WWW、XXX、YYY 和 ZZZ 都稱為標籤（Tag）, 每個標籤不得超過 63 個字元, 並以『.』隔開。 網域名稱 全部的標籤加上全部的『.』總共不得超過 255 個字元。 每一個標籤代表階層式樹狀架構中的一個 AD 網域, 而且愈靠近右邊的標籤代表愈上層的網域, 愈靠近左邊的標籤代表愈下層的網域。 LDAP 網域名稱 DNS 網域名稱利用『.』來區隔網域, 但是 LDAP 則是以『DC』 (Domain Component, 網域元件) 來代表每一層網域。 網域名稱 因此用 LDAP 網域名稱將 FLAG.COM.TW 表示如下： 特別要注意的是：不要將 LDAP 名稱裡的 DC 當成 AD 網域的 Domain Controller。 4 - 2 網域控制站 先前曾介紹過, 存放 AD 資料庫、管理網域中的 AD 物件, 並提供身分驗證服務的電腦稱為網域控制站（DC, Domain Controller）。 網域中必須至少有一部電腦扮演 DC 的角色, 如果沒有 DC, 就沒有所謂的網域。 網域控制站 倘若不用『網域控制站』這個微軟發明的術語, 我們可以稱它為『身分驗證伺服器』（Authentication