计算机网络实验4windows网络域的实现.docx

计 算 机 网 络 实 验 4 w i n d o w s 网 络 域 的 实 现 ( 总 8 3 页 ) --本页仅作为文档封面，使用时请直接删除即可-- -- 内页可以根据需求调整合适字体及大小-- 2 实验序号：实验 3 《计算机网络》实验报告 实验项目名称： windows 网络域的实现 学 号 实验地点 姓 名 指导教师 专业班级 实验时间 专升本 4 班 一、实验目的及要求 活动目录的基本概念 活动目录的规划与安装 域控制器的管理 用户账户和计算机账户的管理 组和组织单位的管理 资源发布和域的管理 二、实验设备(环境)及要求 两台 windows2003服务器 三、实验内容与步骤 概 述 活动目录简介 活动目录的三种特性 集成性 深入性 易用性 活动目录的逻辑结构 1．域(Domain) 域是活动目录中逻辑结构的核心单元，活动目录包含一个或多个域，每 个域均有自己的安全策略以及与其他域的信任关系，因此，域是网络安全管理 的边界。也就是说，域内的所有对象均处于一个安全管理单位内，域和域之间 的关系是不同安全管理单位之间的关系。 域是复制的单位。每个域均可以有一个或者几个域控制器(Domain 3 Controler)。所有域控制器可以接收更改信息，并将这些更改的信息复制到域 中的其他域控制器中，从而保证同一个域内的所有域控制器中的内容完全一 致。 活动目录的逻辑结构 2．域树 根据实际要求，一个网络可能需要包含多个域，这时，可以将网络设置成域目 录树的结构(层次结构)。 活动目录的逻辑结构 域树中的第一个域称作根域，相同域树中的其他域为子域，相同域树中上层的 域称为子域的父域。如图所示为一棵域目录树，其中根域为，一级子域为和， 下面分别还有两个二级子域。 具有公用根域的所有域构成连续名称空间。由于活动目录的域名采用 DNS 域名 的结构进行命名，所以从图中可以看出，该域目录也符合 DNS 域名空间的命名 策略，它们的名称空间是连续的，即：子域的域名包含其父域的域名，如：子 域中包含着父域的域名。 在这棵目录树中的所有域，共享着一个活动目录，也就是说，一棵域树只有一 个活动目录。但是，该活动目录内的数据是分散地存储在各个域内，具体位置 是域内的域控制器的目录数据库中， 当然，每个域中只存储本域内的数据。 活动目录的逻辑结构 信任关系是两个域之间安全信息的通信连接，也就是说，两个域只有建立了信 任关系后，方可访问对方域内的资源。在 Windows Server 2003 中域的信任关 系有以下特点： l 双向性：如果 A 域信任 B 域， 则 B 域就信任 A 域。 l 可传递性：如果 A 域信任 B 域，而 B 域又信任 C 域， 则 A 域就自动信任 C 域， 那么根据双向性，C 域也信任 A 域，这样 A 域和C 域就自动地建立起双向 的信任关系。 活动目录的逻辑结构 因此，当一个域加入到某个域目录树后，它会自动地双向信任当前域目录树的 4 所有域，这种通过传递性建立起来的双向信任关系，称为隐含的信任关系。如 图所设置的一棵域目录树，各个域之间存在着隐含的信任关系。假如，现在建 立一个新域，加入到当前域树中，它会与该域树中的所有域自动建立起双向的 信任关系，新域的用户可以访问其他域内的资源(在其权限允许范围内)。 活动目录的逻辑结构 3．域林 域林由多个域目录树构成(而域树可以看成是特殊的域林)，每个域树有自己 的独立的名称空间，因此，通常域林中的域并不共享连续的名字空间。如图所 示的域目林中包含两棵域树：和。 创建的第一棵域树的根域就是整个域树的根域，同时该域的域名就是域林的名 称。假设图中的第一棵域树为，那么域就是域林的名称。 活动目录的逻辑结构 域林中所有域树中的根域之间，会自动地建立双向的、可传递的信任关系，因 此，域目录林中任何一个域中的用户，都有权限访问其他域目录树中的资源。 服务器的角色 1．域控制器(DC) 域控制器就是存储活动目录的服务器，它负责活动目录数据库的维护、用户身 份的验证和活动目录的安全性。 一个域可以有一个或若干个域控制器，通常它们的地位是平等的。在域中，各 域控制器相互复制活动目录的更改。例如： 某个域有两个域控制器 A 和 B，在 域控制器 A 上创建了一个用户帐户(zhangsan)时，这个帐户(zhangsan)就 被建立在当前域控制器 A 的活动目录中， 然后 zhangsan 的相关数据就会自动地 复制到域控制器 B 中。 一个域中包含多个域控制器，可以获得高性能，提高容错能力。因为当一台域 控制器出现故障了，其他的域控制器仍然可以提供服务，而用户是感觉不到 的。 同样，在域林中，各域控制器相互之间也把信息自动复制给对方，从而为用户 提供最新