Windows 2000网络操作系统 教学课件 作者 张宪海 宋一兵 第3章 活动目录.ppt

第3章 活动目录 第3章 活动目录 3.1 概述 3.1.1 目录服务 3.1.2 域、域树和树林 3.1.3 服务器角色 3.1.4 活动目录的优点 3.1.1 目录服务 　活动目录（Active Directory）是用于 Windows 2000 Server 的目录服务。所谓目录是存储有关网络上对象信息的层次结构，目录服务则提供了用于存储目录数据并使该数据可由网络用户和管理员使用的方法。例如，Active Directory 存储了有关用户帐户的信息，如名称、密码、电话号码等，并允许相同网络上的其他已授权用户访问该信息 。 目录服务具有以下功能: 数据存储，也称为目录 一套规则，即架构 全局编录 查询和索引机制 通过网络分发目录数据的复制服务 安全登录和访问控制 需要正确的客户软件 支持 3.1.2 域、域树和树林 1 ．域 在活动目录中，由共享公用目录数据库的 Windows 2000 Server 网络管理员定义的计算机集合就是域。每个域都有其自身和其他域的安全策略和安全关系，并代表 Windows 2000 计算机网络的单个安全边界。 活动目录由一个或多个域组成，任何一个域都可以处于不同的物理位置。对于 DNS，域是 DNS 名称空间中的任意一个目录树或子树。 域定义了安全界限。目录包含一个或多个域，每个域均有自己的安全策略以及与其他域的信任关系。 域有几个优点： 安全策略和设置（如管理权利和访问控制表）不会从一个域移至另一个域 向域或组织单位委派管理权限消除了对具有广泛管理授权的大量管理员的需要 域可帮助组织网络以更好的反映单位的组织结构 每个域仅存储该域中各对象的有关信息。通过这样区分目录，Active Directory 可将规模扩展到拥有大量对象 2 . 域树 在 DNS 中，用来索引域名的反向分层树状结构就叫做域目录树，简称域树。域树中的第一个域称作根域，相同域树中的其他域为子域，相同域树中直接在另一个域上层的域称为父域，具有公用根域的所有域构成连续名称空间。 3 . 树林 树林包括多个域树，这些域树不形成邻接的名称空间，树林的根域是树林中创建的第一个域，树林中所有域树的根域与树林的根域建立可传递的信任关系。 3.1.3 服务器角色 　Windows 2000 Server 中的域服务器有多种运行角色，并可以在这些角色之间转换： 域控制器 成员服务器 独立服务器 3.1.4 活动目录的优点 信息安全性 基于策略的管理 可扩展性 可伸缩性 信息的复制 与DNS集成 与其他目录服务具有互操作性 灵活的查询 3.2 规划活动目录 3.2.1 规划域结构 3.2.2 创建域控制器 3.2.3 规划祖制单位结构 3.2.3 规范委派模式 3.2.1 规划域结构 　　规划时，应从单域开始，并且只有在单域模式不能满足要求时，才增加其他的域。一个域可跨越多个站点并且包含数百万个对象 。 下述情况下可以考虑创建多个域： 部门之间有不同的密码要求 有大量的对象 不同的Internet域名 对复制进行更多的控制 分散的网络管理 3.2.2 创建域控制器 　　创建域控制器可以创建网络中的第一个域，域控制器的优点是可以提高网络可用性和可靠性，提高站点之间的网络性能。 　　要创建Windows 2000域，必须在该域中至少创建一个域控制器。如果确定单位需要一个以上的域，则必须为每个附加的域至少创建一个域控制器。 　　如果在特定域中已经拥有一个域控制器，则可将其他的域控制器添加到该域以提高网络服务的可用性和可靠性。 3.2.3 规划组织单位结构 　　组织单位是指包含在域中的特别有用的目录对象类型，是可将用户、组、计算机和其他单位放入其中的活动目录容器，是可以指派组策略设置或委派管理权限的最小作用域或单位。组织单位表现为“Active Directory 用户和计算机”中的文件夹，可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。 　　可以在域中创建组织单位的层次结构，这样就可以根据组织模型管理帐户和资源的配置和使用。 可以从以下方面考虑分割网络成独立的域还是独立的组织单位： 如果有一个分散的单位，不同的用户和资源由完全不同的管理人员组来管理，则将网络分割成独立的几个域 如果网络通过链接而分成的两个独立部分速度都非常慢，以至于很难在二者之间实现完整的复制通信，则可将网络分成独立的域 将一个域分成多个组织单位以反映这种结构或单位 将域分成多个组织单位以委派对较小的用户组、组和资源的管理控制。授予的管理控制数量可以是完全型或限制型 如果组织结构可能在以后会更改，可以将一个域分成多个组织单位。如果可能，要组织好域的结构，这样今后就不必经常对它