域服务器的配置与应用.doc

?部署Active Directory目录服务 Active Directory存储了网络对象大量的相关信息，网络用户和应用程序可根据不同的授权使用在Active Directory中发布的有关用户、计算机、文件和打印机等信息。Active Directory支持LDAP v2和LDAP v3，能够与其他供应商的目录服务互操作。Active Directory实际上是一种用于组织、管理和定位网络资源的企业级工具。对于Windows网络来说，规模越大，需要管理的资源越多，建立Active Directory目录服务也就越有必要。 Active Directory基础 1．Active Directory的功能 Active Directory提供了一种组织方式并简化了计算机网络系统中资源的访问。作为一种增强性目录服务，它具有下列功能。 l???? 数据存储，也称为目录，它存储着与Active Directory对象有关的信息。这些对象包括共享资源，如服务器、文件、打印机、网络用户和计算机账户。 l???? 包含目录中每个对象信息的全局编录。允许用户和管理员查找目录信息，而与目录中实际包含数据的域无关。 l???? 查询和索引机制的建立，可以使网络用户或应用程序发布并查找这些对象及其属性。 l???? 通过网络分发目录数据的复制服务。对目录数据所做的任何更改都被复制到域中的所有域控制器。 l???? 与网络安全登录过程的安全子系统的集成，以及对目录数据查询和数据修改的访问控制。 l???? 提供安全策略的存储和应用范围，支持组策略来实现网络用户和计算机的集中配置和管理。 2．Active Directory对象 与其他目录服务器一样，Active Directory以对象为基本单位，采用层次结构来组织管理对象。这些对象包括网络中的各项资源，如用户、计算机、打印机和应用程序等。AD对象以层次结构组织，可分为两种类型。一类是容器对象，即可以包含下层对象的对象；另一类是非容器对象，即不能包含下层对象的对象。每个对象均有一组属性，用来记录该对象的特性。对象与属性的关系相当于数据库中的记录和字段之间的关系。每个对象都可通过多种不同的名称引用。Active Directory根据对象创建或修改时提供的信息，为每个对象创建RDN和规范名称。例如，在域、unit1组织单位中名为mycomputer的计算机的DN是“CN=mycomputer, OU=unit1, DC=abc, DC=com”。如果采用规范名称（DN的另一种表示方法），则表示为“/unit/1mycomputer”。除此之外，用户账户还具有一个称为UPN（用户主体名称）的名称。UPN是一个友好的名称，比DN短并且容易记忆。UPN包括一个用户登录名称和该用户所属域的DNS名称，如user1@，该名称不依赖于DN。 3．Active Directory架构 Active Directory中的每个对象都是在架构中定义的类的实例。AD架构包含目录中所有对象的定义。架构的英文名称为Schema，也可译为模式，实际上就是对象类。在LDAP目录服务中，Schema一般以文本方式来存储，在Active Directory中却将其作为一种特殊的对象。架构对象由对象类和属性组成，是用来定义对象的对象。 4．Active Directory结构 AD目录服务建立在域的基础上，由域控制器对网络中的资源实行集中管理和控制，目录信息存储在域控制器上的Active Directory数据库中。Active Directory以域为基础，具有伸缩性，包含一个或多个域，每个域具有一个或多个域控制器，可调整目录的规模以满足任何网络的需要。多个域可合并为域树，多个域树可合并为林。Active Directory是一个典型的树状结构，按自上而下的顺序，依次为林→树→域→组织单位。而在实际应用中，通常是按自下而上的方法来设计Active Directory结构的。 l???? 域：Active Directory的基本单位和核心单元，是Active Directory的分区单位，Active Directory中必须至少有一个域。共享同一个AD数据库的计算机组成一个域。一个典型的域包括域控制器、成员服务器和工作站等类型的计算机。 l???? 组织单位：将域再进一步划分成多个组织单位（简称OU）以便于管理。组织单位是可将用户、组、计算机和其他组织单位放入其中的Active Directory容器。每个域的组织单位层次都是独立的，组织单位不能包括来自其他域的对象。组织单位相当于域的子域，本身也具有层次结构。 l???? 域树：可将多个域组合成为一个域树。 l???? 林：一个或多个域树的集合。 5．Active Direc