[工学]计算机网络技术实用教程第四版第12章 电子工业出版社.ppt

12.3 活动目录 4. 树（tree） 　　树又称域树，用来描述对象及容器的分层结构关系。 5. 树林（Forest） 　　树林是一颗或多棵Windows Server 2003活动目录树的的集合。各树之间地位相当，由双向可传递的信任关系相关联。单个域组成一棵单域的树，单棵树组成单树的树林。树林与活动目录是同一概念，也就是说，一个特定的目录服务实例中的全部目录分区集合组成一片树林。 12.3 活动目录 6. 域控制器 　　域控制器是运行Active Directory的Windows Server 2003服务器。在域控制器上，Active Directory存储了所有的域范围内的帐户和策略信息，如系统的安全策略、用户身份验证数据和目录搜索。正是由于有Active Directory的存在，域控制器不需要本地安全帐户管理器（SAM）。有以下两种角色： 12.3 活动目录 （1）域控制器 　　一个域可有一个或多个域控制器。通常单个局域网的用户可能只需要一个域就能满足要求。由于一个域比较简单，所以整个域也只要一个域控制器。 （2）成员服务器 　　一个成员服务器是一台运行Windows Server 2003的域成员服务器，由于不是域控制器，因此成员服务器不执行用户身份验证并且不存储安全策略信息。 12.3 活动目录 7. 站点 　　Active Directory中的站点代表网络的物理结构或拓扑。Active Directory使用在目录中存储为站点和站点连接对象建立起最有效的复制拓扑。可以将站点定义为有一个或多个IP子网的一组连接良好的计算机集合。站点与域不同，站点代表网络的物理拓扑，而域代表组织的逻辑结构。 12.3 活动目录 12.3.3 域信任关系 Domain A Domain B Domain C Implicit Trust Established Trust 一个域树和它的信任关系表示 12.3 活动目录 1. 信任协议 　　运行Windows Server 2003的域控制器使用Kerberos V5和NTLM两种协议之一来验证用户和应用程序。Kerberos V5协议是运行Windows计算机的默认协议。如果事务中所涉及的任何计算机都不支持Kerberos V5，则将使用NTLM协议。 12.3 活动目录 2. 信任类型 　　域和域之间的通信是通过信任发生的。信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证管道。使用“Active Directory安装向导”时，将会创建两个默认信任。默认情况下，当使用“Active Directory安装向导”在域树或林根域中添加新域时，系统会自动创建双向的可传递信任。 12.3 活动目录 3. 委托 　　委托是活动目录最重要的安全特性之一，委托使得较高级的管理员对个人或组授予对容器和子树特定的管理权。这样就通过取消大部分用户组的权利而消除了对“域管理员”的需求。 12.3 活动目录 4. 继承 　　继承是授予用户或组权限的对象自由访问控制列表（DACL）中的一个项目，也是对象的系统访问控制列表（SACL）中的项目，该列表指定用户或组要审核的安全事件，访问控制项也被称为ACE。继承使得一个给定的ACE可以从它应用的容器传播到其所有子孙的容器。继承可以与委托相结合，从而保证对目录中整个子树的某一单一操作的管理权。 12.3 活动目录 5. 复制 　　活动目录提供多主版本复制。多主版本复制意味着给定分区的所有复制都是可写的，这就使得给定分区的任意复制的更新都可以完成。活动目录复制系统将一个给定复制的改变传递给所有其他复制。复制时自动且透明的。 12.3 活动目录 6. 可传递的双向信任 　　当一个域加入一个Windows Server 2003域树中时，在加入域与该树中父代之间的可传递双向信任关系就自动建立了。由于信任是可传递的和双向的，所以域成员之间的其他附加信任关系是不需要的。 12.3 活动目录 12.3.4 Active Directory 安装 1. Windows Server 2003管理服务器安装 　　（1）执行“开始?管理工具?配置您的服务器向导”选项，弹出“配置您的服务器向导”对话框。 　　（2）单击“下一步”按钮，再次单击“下一步”，弹出“服务器角色”对话框。 12.3 活动目录 　　（3）单击“下一步”按钮，弹出“操作系统兼容性”对话框，单击“下一步”按钮，弹出“域控制器类型”对话框。 　　（4）单击“下一步”按钮，弹出“创建一个新域”对话框。 　　（5）单击“下一步”按钮，弹出“NetBIOS域名”对话框。 　　（6）单击“下一步”按钮，弹出“数据库和日志文件文件夹”对话框。 计算机网络技术 教学重点和