Windows 2000活动目录服务.ppt

第８章　活动目录服务 8.1 域与活动目录 8.2 服务器端——活动目录的安装 8.3 客户端计算机加入域或脱离域 8.4 域控制器的管理与设置 8.5 域用户和组的管理 1、掌握 （1）活动目录的安装与卸载. （2）组织单位的创建、删除与管理 （3）域用户帐户和组帐户的创建、删除与管理 （4）域客户的管理 2、理解 （1）活动目录的相关概念: （2）服务器的角色 3、了解 域目录林等相关概念 8．1 活动目录与域 活动目录是Windows 2000中的一个重要概念，也是难点之一。活动目录的使用，使得Windows网络操作系统的整个结构发生了根本的变化，与先前的工作组方式相比，使用活动目录管理网络，更加严密、方便和安全。 8.1.1 目录服务相关概念 1．活动目录 活动目录（Active Directory）简称AD，是在Windows 2000 Server中使用的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。 目录服务包括两部分内容，一部分是目录，一部分是服务。其中目录部分决定了活动目录中包括哪些信息，这些信息如何存储的问题；服务部分决定了如何按照用户要求，合理地处理、提取用户所需的信息。 8.1.1 目录服务相关概念 目录服务实际上是以分布式的网络为基础，在逻辑上提供了集中管理的管理工具和最终用户工具。它集成了网络管理、网络安全和网络互操作性等多种功能。 8.1.1 目录服务相关概念 2．活动目录服务的功能 （1）数据存储 以层次化结构存储着与活动目录对象相关的信息，这些对象通常包括各种共享资源，如：打印机、用户、计算机、组织单位（OU）等。 （2）通过网络分发目录数据的数据复制 域中所有的域控制器（DC）都参与复制并包含他们所控制的域的所有目录信息的完整副本。对目录数据所做的任何更改都被复制到域中的所有域控制器。 8.1.1 目录服务相关概念 （3）定义了一套规则 定义了包含在目录中的对象类和属性、这些对象实例的约束和限制及其名称的格式。 （4）包含目录中每个对象信息的全局编录 允许用户和管理员查找目录信息，而与目录中实际包含数据的域无关。 （5）与网络安全登录过程的安全子系统的集成，以及对目录数据查询和数据修改的访问控制。 8.1.2 活动目录的逻辑结构 1．域（Domain） 域是活动目录中逻辑结构的核心单元，活动目录包含一个或多个域，每个域均有自己的安全策略以及与其他域的信任关系，因此，域是网络安全管理的边界。也就是说，域内的所有对象均处于一个安全管理单位内，域和域之间的关系是不同安全管理单位之间的关系。 8.1.2活动目录的逻辑结构 域是复制的单位。每个域均可以有一个或者几个域控制器（Domain Controler）。所有域控制器可以接收更改信息，并将这些更改的信息复制到域中的其他域控制器中，从而保证同一个域内的所有域控制器中的内容完全一致。 2．域树 8.1.2活动目录的逻辑结构 具有公用根域的所有域构成连续名称空间。由于活动目录的域名采用DNS域名的结构进行命名，所以从图中可以看出，该域目录也符合DNS域名空间的命名策略，它们的名称空间是连续的，即：子域的域名包含其父域的域名，如：子域中包含着父域的域名。 在这棵目录树中的所有域，共享着一个活动目录，也就是说，一棵域树只有一个活动目录。但是，该活动目录内的数据是分散地存储在各个域内，具体位置是域内的域控制器的目录数据库中，当然，每个域中只存储本域内的数据。 8.1.2活动目录的逻辑结构 信任关系是两个域之间安全信息的通信连接，也就是说，两个域只有建立了信任关系后，方可访问对方域内的资源。在Windows 2000 Server中域的信任关系有以下特点： l? 双向性：如果A域信任B域，则B域就信任A域。 l? 可传递性：如果A域信任B域，而B域又信任C域，则A域就自动信任C域，那么根据双向性，C域也信任A域，这样A域和C域就自动地建立起双向的信任关系。 8.1.2活动目录的逻辑结构 因此，当一个域加入到某个域目录树后，它会自动地双向信任当前域目录树的所有域，这种通过传递性建立起来的双向信任关系，称为隐含的信任关系。如图8.1所设置的一棵域目录树，各个域之间存在着隐含的信任关系。假如，现在建立一个新域，加入到当前域树中，它会与该域树中的所有域自动建立起双向的信任关系，新域的用户可以访问其他域内的资源（在其权限允许范围内）。 3．域目录林 域目录林由多个域目录树构成（而域树可以看成是特殊的域目录林），每个域树有自己的独立的名称空间，因此，通常域目录林中的域并不共享连续的名字空间。如图8.2所示的域目