第3章 操作系统安全2.pptVIP

第3章 操作系统安全2——活动目录架构 主要内容： Windows 2000活动目录介绍 Windows 2000 环境下的Active Directory安装、管理 使用AD发布网络资源 利用组策略管理用户环境和发布应用程序 实现组策略 维护AD数据库 实现AD架构 一、Win2000活动目录介绍 Active Directory 介绍 Active Directory 的逻辑结构 Active Directory 的物理结构 管理 Windows 2000 网络的方法 1 Active Directory 介绍 Active Directory 的概念 Active Directory 对象 Active Directory 架构 轻量级目录访问协议（LDAP） 1 Active Directory 介绍 a. 活动目录的概念 活动目录（Active Directory ）是 Windows 2000 网络中的目录服务，提供了对于网络资源的集中存储、管理和控制能力。 b.目录服务（ Active Service ）概念 是一种网络服务，存储有关网络资源的信息，并使资源能够被用户和应用程序访问； 目录服务提供一直的方式来命名、描述、查找、访问、管理和保护资源。 1 Active Directory 介绍 c. 目录服务的功能 目录服务以目录形式存储网络资源信息并且将这些信息提供给用户和应用，用户无需了解网络的物理结构和资源的物理位置就可以轻松地访问网络上的各种资源 d . 集中管理的功能 Active Directory 支持在单点管理分布的桌面、网络服务和应用程序 1 Active Directory 介绍 Active Directory 示意图 1.2 Active Directory 对象 对象（Object）代表着网络中的资源，即AD将所有网络资源都作为对象，存储在分布式数据库中； 每一个 Active Directory 中的对象由一组属性或特性信息描述，用户可通过搜索特性属性的方法定位对象。 1.3 Active Directory 架构 a. Active Directory架构的概念 包括所有对象的定义，是对Active Directory中出现的对象的描述的抽象，由对象类别和属性组成。 b. 对象类别（Object Classes） 描述了可能被创建的目录对象，是一组属性的集合。 c. 架构属性 独立于对象类别进行定义，每个属性只定义一次，但可在多个对象类别中定义 1.3 Active Directory 架构 e . Active Directory架构 (SCHEMA) 的特征 架构存储 AD 中各种对象的各种定义 架构是对于用户应用程序是动态可用的。即用户应用程序可通过读取架构来发现可用的对象和属性； 架构可以动态扩展 ，即用户应用程序能更新和使用扩展的架构； 可以利用动态访问控制列表(DACL) 保护类和属性 。 备注：DACL（discretionary access control lists）的作用是只允许被授权的用户修改架构 1.3 Active Directory 架构 1.4 轻量级目录访问协议（LDAP） 轻量级目录访问协议（LDAP=Lightweight Directory Aceess Protocol），用于查询和更新目录服务协议； LDAP 指定对象在目录中的惟一命名路径，并以此与 Active Directory 进行通信 LDAP 目的之一是使得各种不同厂商的目录服务对象之间可以互相访问 备注：AD对象可由一系列域组件、组织单位（OU）和公用名来代表 1.4 轻量级目录访问协议（LDAP） LDAP 的名字表述路径中有两种方法： 可分辨的名称 每个对象都有一个可分辨的名称，用来标识对象所在的域和到达该对象的完整路径。 DC：组件名，是DNS的域组件； OU：组织单位，可用来包含其他的对象； CN：公用名，除了域组件和组织单位的所有属性 1.4 轻量级目录访问协议（LDAP） LDAP 的名字表述路径中有两种方法 相对可分辨的名称 是轻量级目录访问协议可分辨的名称的一部分，用来惟一地标识容器中的对象； 其组成随客户建立的现有的搜索上下文范围而变化； 所有上下文可从域组件级别变化到公用名级别。 2. Active Directory 的逻辑结构 域 组织单位 树和树林 全局编录 2.1 域 a. 域概念 Domain是由管理员定义的计算机集合，它共享一个公用的目录数