windowsserver2003服务器操作系统活动目录基础.pptxVIP

一 活动目录介绍;; 活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器，从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别，仅仅是一个对象，是一实体；而目录服务是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问，因为多台计算机上有相同的信息，所以在信息冗余方面具有很强的控制能力，正因如此，不管用户从何处访问或信息处在何处，都对用户提供统一的视图。;;2、活动目录作用 （1） 信息的安全性大大增强 安装活动目录后信息的安全性完全与活动目录集成，用户授权管理和目录进入控制已经整合在活动目录当中了（包括用户的访问和登录权限等），而它们都是Windows Server 2003操作系统的关键安全???施。活动目录集中控制用户授权，目录进入控制不仅能在每个目录中的对象上定义，而且还能在每一个对象的每个属性上定义，这一点是以前任何系统所不能达到的，包括Windows NT 4.0。除此之外，活动目录还可以提供存储和应用程序作用域的安全策略，提供安全策略的存储和应用范围。; 安全策略可包含帐户信息，如域范围内的密码限制或对特定域资源的访问权等。所以从一定程序上可以说Windows Server 2003的安全性就是活动目录所体现的安全性。由此可见，对于网络管理者来说，如何配置好活动目录中对象及属性的安全性是一个网络管理者配置好Windows Server 2003系统的关键。 （2） 引入基于策略的管理，使系统的管理更加明朗 活动目录服务包括目录对象数据存储和逻辑分层结构（指上面所讲的目录、目录树、域、域树、域林等所组成的层次结构）。作为目录，它存储着分配给特定环境的策略，称为组策略对象。作为逻辑结构。; 它为策略应用程序提供分层的环境。组策略对象表示了一套商务规则，它包括与要应用的环境有关的设置，组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录、域、或组织单元的组策略对象（GPOs，Group Policy Objects）中。GPOs设置决定目录对象和域资源的进入权限，怎样的域资源可以被用户使用，以及这些域资源怎样使用等。例如，组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应用程序，当在服务器上启动时有多少用户可连接至Server，以及当用户转移到不同的部门或组时他们可访问什么文件或服务。; 组策略对象可以管理少量的策略而不是大量的用户和计算机。通过活动目录，可将组策略设置应用于适当的环境中，不管它是整个单位还是单位中的特定部门。 （3） 具有很强的可扩展性 Windows Server 2003的活动目录具有很强的可扩展性，管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如，在电子商务上可以给每一个用户对象增加一个购物授权属性，然后存储每一个用户购买权限作为用户账号的一部分。;（4） 具有很强的可伸缩性 活动目录可包含在一个或多个域，每个域具有一个或多个域控制器，以便调整目录的规模以满足任何网络的需要。多个域可组成为域树，多个域树又可组成为树林，活动目录也就随着域的伸缩而伸缩，较好地适应了单位网络的变化。目录将其架构和配置信息分发给目录中所有的域控制器，该信息存储在域的第一个域控制器中，并且复制到域中任何其他域控制器。当该目录配置为单个域时，添加域控制器将改变目录的规模，而不影响其他域的管理开销。将域添加到目录可以针对不同策略环境划分目录，并调整目录的规模以容纳大量的资源和对象。;（5） 智能的信息复制能力 信息复制为目录提供了信息可用性、容错、负载平衡和性能优势，活动目录使用多主机复制，允许在任何域控制器上而不是单个主域控制器上同步更新目录。多主机模式具有更大容错的优点，因为使用多域控制器，即使任何单独的域控制器停止工作，也可继续复制。由于进行了多主机复制，它们将更新目录的单个副本，在域控制器上创建或修改目录信息后，新创建或更改的信息将发送到域中的所有其他域控制器，所以其目录信息是最新的。域控制器需要最新的目录信息，但是要做到高效率，必须把自身的更新限制在只有新建或更改目录信息的时候，以免在网络高峰期进行同步而影响网络速度。; 在域控制器之间不加选择地交换目录信息能够迅速搞垮任何网络。通过活动目录就能达到只复制更改的目录信息，而不至于大量