NS-E3-13活动目录的设计及部署方法.pptVIP

活动目录的设计及部署方法 Active Directory的基本概念 Active Directory的安装和基本设置 域控制器相关概念. Active Directory的常用设置 Active Directory的基本概念 活动目录（Active Directory） 存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。 活动目录基本结构 信任简介:包括 域(Domain) 和 域林(Forest). 组织单元(OU) 站点 信任简介 信任是域之间建立的关系，它可使一个域中的用户由处在另一个域中的域控制器来进行验证。 1. Windows NT中的信任 信任仅限于两个域之间，而且信任关系是单向和不可传递的。 信任简介 2. Windows Server 2003和Windows 2000 Server操作系统中的信任。 Windows 2000 Server和Windows Server 2003林中的所有信任都是可传递的、双向信任。 信任简介 3. 信任协议 运行Windows Server 2003的域控制器使用以下两种协议之一来验证用户和应用程序：Kerberos V5或NTLM。 Kerberos V5协议是运行Windows 2000 Server、Windows XP Professional或Windows Server 2003的计算机的默认协议。如果事务中所涉及的任何计算机都不支持Kerberos V5，则将使用NTLM协议。 信任简介 4. 受信域对象 受信域对象（TDO）是特定域内表示每个信任关系的对象。每次建立信任时，在其域中都会创建并存储（在“System”容器中）一个惟一的TDO。TDO中表示了诸如信任传递性、类型以及互换的域名等属性。 组织单元 组织单元是用户和计算机账户、联系人以及其他可作为单个单元管理的组的集合。属于特定组的用户和计算机称为组成员。 Active Directory中的组允许用户： （1）简化管理，即为组而不是个别用户指派对共享资源的权限。 （2）委派管理，即使用组策略为某个组指派一次用户权限，然后向该组添加需要其拥有与该组相同权限的成员。 （3）创建电子邮件通讯组。 站点 1. 站点简介 站点是一组有效连接的子网。站点和域不同；站点代表网络的物理结构，而域代表组织的逻辑结构。 2. 站点的作用：（1）复制；（2）身份验证； （3）启用Active Directory的服务。 3. 定义站点 一个站点是由一个或多个Internet协议（IP）子网组成。 站点 4. 站点和域的区别 （1）可以单独设计和维护网络的逻辑和物理结构。 （2）不必使域名称空间建立在物理网络基础之上。 （3）可以为相同站点中的多个域部署域控制器。 5. 将计算机指派给站点 对于客户端，站点指派是在登录期间由其IP地址和子网掩码动态决定的。对于域控制器，站点成员身份是由Active Directory中其相关服务器对象的位置决定的。 Active Directory的安装 开始--运行--输入“dcpromo” 然后根据安装向导的提示一步一步建立. 具体操作步骤如任务单中所述。 域控制器 确定所需的域控制器数 物理安全 备份域控制器 升级域控制器 确定所需的域控制器数 为了获得高可用性和容错能力，使用单个局域网（LAN）的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个站点都需要一个或多个域控制器以提供高可用性和容错能力。 物理安全 对域控制器的物理访问会为恶意用户提供对加密密码的未授权访问。因此，建议将单位中的所有域控制器锁在一个安全的房间里，只允许有限的公开访问。还可以采取其他安全措施（比如Syskey）以进一步保护域控制器。 备份域控制器 在域控制器上使用备份工具，可以： （1）当域控制器联机时备份Active Directory。 （2）使用批处理文件命令备份Active Directory。 （3）将Active Directory备份到可移动媒体、可用的网络驱动器或文件中。 （4）备份其他系统和数据文件。 升级域控制器 在运行Windows NT 4.0的域控制器上，要成功升级该域首先需要升级主域控制器（PDC）。升级PDC之后，就可以升级备份域控制器（BDC）。 如果目前有一个不含任何运行Windows Server 2003域控制器的Windows 2000 Serve