计算机活动目录和组策略课件.pptx

肖正强 2009年05月12日;活动目录是Windows 网络体系结构中一个基本且不可分割的部分。它在Windows NT 4.0操作系统的域结构基础上改进而成，并提供了一套为分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 ;活动目录允许组织机构按照层次式的、面向对象的方式存储信息，并且提供支持分布式网络环境的多主复制机制。 层次式组织 活动目录使用对象来代表诸如用户、组、主机、设备及应用程序这样的网络资源。它使用容器来代表组织（如市场部）或相关对象的集合（如打印机）。它将信息组织为由这些对象和容器组成的树结构，这与Windows操作系统用目录和文件来组织一台计算机上信息的方法非常类似。 图1：活动目录使用层次化方式组织信息以简化网络的使用和管理 此外，活动目录通过提供单一、集中、全面的视图来管理对象集合和容器集合间的联系。这使得资源在一个高度分布式的网络中更容易被定位、管理和使用。活动目录的层次式结构具有灵活性并且可以进行配置，因此，组织机构能够按照一种优化自身可用性和管理能力的方法对资源进行组织。 在图1中，容器用来代表用户、主机、设备和应用程序的集合。容器可以被嵌套（在一个容器中创建另一个容器），从而精确反映公司内部的组织结构。在这个例子中，市场和人力资源组织容器代表它们各自的部门以及它们在公司内部的相互联系。将对象组织在目录中允许管理员在一个宏观层次上（作为集合）管理对象而非采取一对一的方式。这种方式在允许组织机构根据其自身商务运作来安排网络管理的同时，更增加了管理的效率和准确性。 ;活动目录允许组织机构按照层次式的、面向对象的方式存储信息，并且提供支持分布式网络环境的多主复制机制。 面向对象的存储 如前所述，活动目录用对象的形式存储有关网络元素的信息。这些对象可以被设置属性来描述对象的特征。这种方式允许公司在目录中存储各种各样的信息并且密切控制对信息的访问。 图2：活动目录的对象和属性被访问控制列表所保护 如图2所示，对象和属性级安全性允许管理员精确控制对存储在目录中的信息访问。例如，一个为Bob Jones创建的存储在目录中的用户对象拥有用于记录Bob的姓名、电子邮件地址、电话号码和社会保险号码的属性。活动目录允许管理员为对象的每一个属性和对象自身分配访问权限。在这个例子中，系统管理员允许对Bob Jones对象进行全局访问，却封闭了对其社会保险号码的访问。 ;活动目录允许组织机构按照层次式的、面向对象的方式存储信息，并且提供支持分布式网络环境的多主复制机制。 多主复制 为了在分布式环境中提供高性能、可用性和灵活性，活动目录使用多主复制。如下图3所示，这种机制允许组织机构创建被称作目录复制的多个目录拷贝，并把它们放置在网络中的各个位置上。网络中任一位置上的变更都将自动被复制到整个网络上（这与单主复制机制相反，在单主复制中，所有变更必须针对单一的、授权的目录复制） 图3：活动目录通过支持多主复制实现灵活性、高可用性和性能 例如，完全同步的目录复制能够使活动目录在广域网（WAN）中的每个位置上均可使用。因为用户可以使用本地目录服务而非在广域网中漫游来定位资源，该过程能够向用户提供更高速的网络性能。根据可用的管理资源情况，这些相同的目录可在本地或远程进行管理。 ;DC：Domain Controller（域控制器）域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。 GC：Global Catalog全局编录服务器(GC)是有着特殊含义的域控制器。通过GC，可以提高在活动目录中有哪些信誉好的足球投注网站对象的速度，可以加快用户登录验证等。dsquery server -domain -isgc