域控制器与用户账户的配置.pptVIP

第2章 域控制器与用户账户的配置 【本章提要】 Active Directory及其对象 域控制器，域、域树、树林及域的信任关系 Active Directory的安装、配置与管理 2.1 Active Directory与域控制器 2.1.1 Active Directory的概念 2.1.2 Active Directory的特点 2.1.3 域控制器 2.1.1 Active Directory的概念 目录是存储有关对象信息的层次结构。在文件系统中，目录用来存储与文件有关的信息。Active Directory(活动目录)是用于Windows 2000 Server的目录服务。它存储了网络上各种对象（如用户帐户、组、计算机、共享资源、打印机和联系人等）的有关信息，并使这些信息容易被管理员和用户查找及使用。Active Directory的目录服务起源于Windows NT 4.0，在Windows 2000 Server中得到更好的发展和应用，具有较好的可扩展性和可调整性，并使用结构化的数据存储作为目录信息逻辑层次结构的基础。 Active Directory中的对象信息以域为安全边界。通过登录验证以及对目录中对象的访问控制，将安全性集成到Active Directory中。通过一次网络登录，管理员可管理整个网络中的目录数据和单位，而获得授权的网络用户可访问网络上任何地方的资源。任何用户只需有一个域账号，就可以访问Active Directory中的全部资源，漫游整个网络。而采用基于域和域控制器策略的管理则可以大大减轻管理的负担。 2.1.2 Active Directory的特点 Active Directory是一个完全可扩展、可伸缩的目录服务，方便了管理员在统一的环境下管理整个网络的各种资源。其主要特点如下。 1．信息的安全性 网络中的计算机安全性完全由Active Directory集成。访问控制不仅可在目录中的每个对象上定义，而且还可以在每个对象的属性上定义。 Active Directory和其安全性服务（如Kerberos、PKI和智能卡等）紧密结合，共同完成安全任务和协同管理。Active Directory存储了域安全策略的信息，如域用户口令的限制策略和系统访问权限等，实施了基于对象的安全模型和访问控制机制。在Active Directory中的每个对象都有一个独有的安全性描述，定义了浏览或更新对象属性所需要的访问权限。管理员可以通过组策略设置执行安全策略。 2.1.2 Active Directory的特点 2．集成性 Active Directory的集成性主要体现在三个方面：用户和资源管理、基于目录的网络服务和基于网络的应用管理。而且，Active Directory还与Internet标准相结合，将很多Internet服务集成在一起，增强了自身网络管理功能。 Active Directory与Internet标准集成，例如，用户账号使用用户名@域名来表示和进行网络登录。又如单个域目录树中的所有域共享一个等级命名结构，与Internet的域名空间结构一致。 Internet域名空间及其解析称为域名系统（DNS）。DNS是将IP地址使用更容易记忆的名字（域名，如）来表示，并把域名解析为IP地址的Internet标准服务。域名空间中，一个子域的域名就是将该子域的名称添加到父域的名称中。例如，是域的子域。 Active Directory具有基于标准的目录访问协议，如轻型目录访问协议（LDAP）和名称服务提供程序接口（NSPI），因此它可以与使用这些协议的其他目录服务相互操作。 2.1.2 Active Directory的特点 3．多主复制方式 复制为目录提供了信息可用性、容错、负载平衡和性能优化等功能。Active Directory使用多主复制方式，即允许用户在任何域控制器上（而不是单个主域控制器上）同时更新目录。 Windows NT 4.0采用主域控制器和备份域控制器，进行目录复制时使用主从方式。Windows 2000 Server则采用了动态活动目录服务，域中所有域控制器之间都是平等的关系，不再区分主域控制器和备份域控制器。Windows 2000 Server在复制目录库时对各个对象的修改顺序数进行比较，判断他们被修改的先后顺序，最新修改的对象属性被保留，旧的属性就被新的属性所取代，这就保证每一个域控制器上的目录服务的数据库都是最新的。在这种机制下，任何一个域控制器上的目录库变更都会自动复制到其他域控制器上。 4．可扩展性 Active Directory可进行扩展，管理员可以将新的对象类添加到架构中，而且可以将新的属性添加到现有的对象类中。 2.1.2 A