windows高级应用AD_01_概念.ppt

Active Directory概论 本章目标 Active Direvtory 的基本概念 域功能与林功能 目录分区 理解目录服务的组成和规划 掌握目录服务的相关概念 掌握Windows Server 2003域的建立 目录服务概述 目录用来管理用户和计算机 目录服务可以帮助用户或应用程序查找或管理目录中的信息 目录服务可以帮助用户增加、删除、或修改目录中的对象信息 活动目录是什么？ 目录服务的作用 集中存储网络资源 简化管理工作 单个账户登录 强大的查询功能 活动目录的对象 目录服务的逻辑结构 域 域是安全的边界 除非管理员得到其他域的明确授权，否则域管理员只能在该域内有必要的管理权限 域是一个复制单元 域内的域控制器包含活动目录的副本并参与活动目录的复制 组织单元（OU） OU 可以把对象组织到一个逻辑结构中，使其能最佳适应组织的需要。 委派 OU 的管理控制权，必须把 OU 及 OU 包含对象的具体的权限指定给一个或几个用户和组。 目录服务的物理结构 主要概念 全局编录 目录服务的物理结构 LDAP 操作主机 域的模式 全局编录 全局编录存储了它所在域的所有目录对象的完整副本，以及森林中其它域中所有目录对象的部分副本 担当了以下目录角色 查找对象 提供了根据用户主名的身份验证 user1@ 在多域环境下提供通用组的成员身份信息 目录服务的物理结构 活动目录中的站点代表网络的物理结构，或称拓扑 站点 站点是一个或多个高速连接的子网 一个站点可以包含多个域 一个域也可以包含多个站点 域控制器 参与活动目录复制 在域中执行单主机操作 LDAP LDAP (轻型目录访问协议) LDAP 是一种用来查询与更新AD目录服务通信协议。Win2003利用”LDAP命名路径”来表示对象在AD中的位置。 LDAP 名称路径包括: 可分辨名称（Distinguished Name） 相对可分辨名称 （Relative Distinguished Name） 全局唯一标识符（GUID-Global Unique identifier-128bits） 用户规则名（UPN-User Principal Name） 服务规则名（SPN-Service Principal Name） 操作主机 林范围内的操作主机角色 架构主机 域命名主机 域范围内的操作主机角色 RID 主机 PDC 仿真主机 结构主机 域的模式及功能 Windows 2000混合模式域 Windows 2000纯模式 Windows Server 2003模式 目录分区 Schema Directory Partition 它存储着整个林中所有对象与属性的定义数据，也存储着如何建立这些对象与属性的规则。整个林共享一份相同的架构目录分区，它会被复制到整个林中的所有域控制器。 Configuration Directory Partition 其内存储着整个AD的结构，如有哪些域、有哪些站点、有哪些域控制器等数据。整个林共享一份相同的配置目录分区，它会被复制到整个林中的的所有域控制器。 Domain Directory Partition 其中存储着该域内的对象，如用户、组、计算机与组织单元等对象。每个域各自拥有一份域目录分区，它会被复制到同一个域内的所有域控制器，并不会被复制到其他域的域控制器。 Application Directory Partition 一般来说，应用目录分区是由应用程序所建立的，其内存储着与此应用程序有关的数据。例如，Window Server 2003的DNS服务器会在AD内建立应用目录分区，以便存储DNS服务器设定的数据。应用目录分区会被复制到林中的特定域控制器，而不是所有域控制器。 基于AD的网络的管理措施 利用活动目录来实行集中式管理 管理用户环境 委派管理控制权 利用活动目录来实行集中式管理 活动目录: 可以使一个管理员集中管理网络资源 可以使管理员容易的确定对象的信息 可以使管理员把相似的对象组织到 OU 中 可以使管理员给站点、域或 OU 指定具体的组策略设置 管理用户环境 利用组策略可以: 限制用户可利用的范围 集中管理软件安装，修复，升级和删除 配置数据使其跟随用户，无论是否与网络相连 委派管理控制权 本章总结 目录用来管理用户和计算机。目录服务可以帮助用户或应用程序查找或管理目录中的信息。目录服务可以帮助用户增加、删除、或修改目录中的对象信息 活动目录的对象包括网络中的各种资源，资源属性存储描述对象信息。 活动目录的逻辑组成包括：森林、域、OU、对象。 活动目录的物理组成包括：站点和域控制器（DC） 全局编录存储了它所在域的所有目录对象的完整副本，以及森林中其它域中所有