Windows Server 2003 Active Directory域的创建与管理.ppt

目录服务概述 什么是目录服务 目录服务的特点 查询性能高 层次式结构 能够维持对象名称的唯一性 目录服务的优点 简化管理工作 单一帐户登录 强大的查询功能 目录服务概述 高级目录服务 加强网络安全性 使用分布式结构 能够扩展目录信息，并涵盖实际需求 提供跨平台的服务 目录服务概述 目录的层次结构 容器对象(Container Object) 非容器对象(Non-container Object) 目录服务概述 目录对象的命名方式 为各对象赋予RDN(Relative Distinguished Name，相对识别名称) 在目录树中各对象允许相同RDN，但在同一容器中的对象，其RDN不能够相同。 对象的DN(Distinguished Name，识别名称)＝所有上层对象的RDN合并＋对象本身的RDN 此种命名方式的优点 唯一性 层次性 可扩展性 目录服务概述 目录服务的主流标准 LDAP (Lightweight Directory Access Protocol) 支持LDAP的目录服务产品： Lotus Domino Sun One Directory Server Novell Directory Service Microsoft Active Directory Active Directory目录服务 AD中的对象 对象的特性 GUID (Globally Unique Identifier) 128位，不重复 不会改变 ACL (Access Control List) 记录对象的安全设置 可以继承 Active Directory目录服务 ACL实例－1 当C对象继承上层对象的ACL时，X、Y、Z用户对C对象都具有写入的权限 Active Directory目录服务 ACL实例－2 当C移至A对象下层时，则只有X、Z用户对C对象具有写入的权限。 Active Directory目录服务 对象属性 网络上各种资源的相关信息实际存储为对象的属性。 AD中的各对象都具有多重属性，不同种类的对象具有不同的属性组合。 Active Directory目录服务 组织单位(OU-Organizational Unit) 将域内资源层次化 方便设置委派控制 方便应用组策略 Active Directory目录服务 使用组织单位将域内资源层次化 Active Directory目录服务 AD对象命名 安全标识符(SID-Security Identifier) LDAP名称 DN与RDN 标准名称 登陆名称 UPN (User Principle Name) SAM (Security Account Manger) Active Directory目录服务 LDAP名称 A的RDN：CN=Jack A的DN： CN=Jack, OU=Sect1,OU=Product, DC=Microsoft, DC=Com, DC=CN A的标准名称 M/product/sect1/Jack Active Directory目录服务 组在AD中的特性 组可跨越组织单位 组为安全性主体 Windows Server 2003包含用户、组、计算机三种安全性主体。 AD对象只能针对用户、组、计算机来设置权限，无法针对组织单位来设置。 组为非容器对象 Active Directory与域 域的定义 共享一个AD数据库的电脑所构成的集合便是一个域(DOMAIN)。 域与AD的关系 域为AD的分区单位 AD是域的集合 Active Directory与域 Windows Server 2003域的功能 形成独立的管理单位 组策略与委派控制的应用单位 可跨越地域限制 Active Directory与域 域名称 DNS名称 WWWW.XXXX.YYYY.ZZZZ WWWW、XXXX、YYYY和ZZZZ都成为标签(Tag),每个标签不得超过63个字符，以“.”隔开。全部标签加上“.”总数不得超过255个字符。 LDAP名称 Active Directory与域 多重域的结构 域树状目录(Domain Tree) 林(Domain Forest) Active Directory与域 域树状目录(Domain Tree) Active Directory与域 林(Domain Forest) Active Directory与域 域控制器(DC, Domain Controller) 各域至少有1台域控制器(DC),提供AD服务。 域内各DC的地位平等，管理员可在任一DC上管理AD。 由于管理人员可在任一DC上修改AD,因此DC之间必须有复制(Replication)机制，以维持AD数据库的一致性。 Active Directory与域 AD目录的复制 局部