网络服务器配置与应用（第4版）ppt课件第2章活动目录服务

第第2 2章章 活动目录服务活动目录服务 目录服务已成为网络基础结构的一个重要组成部分。对于 Windows网络来说，Active Directory（活动目录）是用于组织、 管理和定位网络资源的增强性目录服务，作为网络基础设施，以 域为基础对网络资源实行集中管理和控制。 本章学习要点本章学习要点 v目录服务器概念LDAP协议 vActive Directory结构 vActive Directory规划 v域控制器与域成员管理 vActive Directory对象管理与使用 vActive Directory组策略 2.12.1 目录服务基础目录服务基础 2.1.1 什么是目录服务 目录服务是一种基于客户/服务器模型的信息查询 服务。可以将目录看作是一个具有特殊用途的数据库 。 目录服务特点 数据读取和查询效率非常高 数据写入效率较低 以树状的层次结构来描述数据信息 能够维持目录对象名称的唯一性 2.12.1 目录服务基础目录服务基础 2.1.2 目录服务标准 v X.500 包括从X.501到X.509等目录数据服务标准 为网络用户提供分布式目录服务 规定总体命名方式和全球统一的名字空间 在实际应用中存在着不少障碍 v LDAP Internet上目录服务的通用访问协议 简化X.500目录的复杂度以降低开发成本 支持TCP/IP协议 2.12.1 目录服务基础目录服务基础 2.1.3 LDAP协议 LDAP目录树结构 2.12.1 目录服务基础目录服务基础 2.1.3 LDAP协议 v 基本DN（或基准DN） X.500标准格式，如o=abc,c=CN 直接使用公司的DNS域名,如o= 使用DNS域名的不同部分，如dc=abc,dc=com v 识别名称（DN） 包括RDN（相对识别名称）和记录在LDAP目录中的位置 RDN是DN中与目录树结构无关的部分，通常存储在cn属 性里 完整的DN例子：cn=zhong, ou=office, dc=abc, dc=com 2.12.1 目录服务基础目录服务基础 2.1.3 LDAP协议 v LDAP对象类和模式 对象类（objectClasses）定义运行哪一类的对象使用什么属性 模式（Schema）是按照相似性进行分组的对象类集合 v LDAP复制 使用“推”（Push）或“拉”（Pull）的方法在LDAP服务器之间复制部 分或全部数据 vLDAP的安全和访问控制 使用ACL（访问控制列表）来控制对数据读和写的权限 访问控制由LDAP目录服务器完成，可靠性高 LDAP与大多数现有安全层或认证系统集成 2.12.1 目录服务基础目录服务基础 2.1.4 目录服务应用领域 计算机网络管理 信息安全管理 公共信息查询 组织机构和企业的资源管理 作为应用程序的支撑系统 扩充电子邮件系统 2.12.1 目录服务基础目录服务基础 2.1.5 目录服务软件 微软Active Directory Novell eDirectory OpenLDAP 微软Exchange Server Sun iPlanet Directory Server 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.1 Active Directory概述 v Active Directory的功能 数据存储 包含目录中每个对象信息的全局编录 查询和索引机制 通过网络分发目录数据的复制服务 与网络安全登录过程的安全子系统集成 提供安全策略的存储和应用范围 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.1 Active Directory概述 v Active Directory对象 容器对象，即可以包含下层对象的对象 非容器对象，即不能包含下层对象的对象 每个对象均有一组属性，用来记录该对象的特性。对象与属性 的关系相当于数据库中的记录和字段之间的关系。 vActive Directory架构 AD架构包含目录中所有对象的定义，实际上就是对象类 在LDAP目录服务中，架构一般以文本方式来存储 在Active Directory中，架构作为一种特殊的对象 架构对象由对象类和属性组成，是用来定义对象的对象 对象类代表共享一组共同特征的目录对象的类别 每个林只能包含一个架构，存储在架构目录分区中 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.1 Active Directory概述 v Active Directory结构：域 域是Active Directory的基本单位和核心单元 域是Active Directory的分区单位 Active Directory中必须至少有一个域 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.1 Active Directory概述 v Active Directory结构：组织单位 可将域再进一步划分成若干组织单位 组织单位相当于域的子域，可以像域一样包含各种对象 组织单位本身具有层次结构 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.1 Active Directory概述 v Active Directory结构：域树 可将多个域组合成为一个域树 域树中的第一个域称作根域，同一域树中的其他域为子域 域树中的域虽有层次关系，但仅限于命名方式 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.1 Active Directory概述 v Active Directory结构：林 林是一个或多个域树通过信任关系形成的集合 林中的域树不形成邻接的名称空间 林的根域是林中创建的第一个域 所有域树的根域与林的根域建立可传递的信任关系 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.1 Active Directory概述 v Active Directory站点 站点可看作是一个或多个IP子网中的一组计算机定义 站点反映网络物理结构 主要作用是使Active Directory适应复杂的网络连接环境 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.1 Active Directory概述 v Active Directory目录复制 旨在保持每台域控制器具有相同的Active Directory数据库 提供信息可用性、容错、负载平衡和性能优势 Active Directory使用一种多主机复制模型 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.1 Active Directory概述 v Active Directory与DNS集成 Active Directory和DNS有相同的层次结构 DNS区域可存储在Active Directory中 Active Directory将DNS作为定位服务使用 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.1 Active Directory概述 v 工作组与域网络结构 工作组适用于小型网络 域拥有较优越的管理能力，更适合于大中型网络 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.2 Active Directory规划 尽可能减少域的数量，建议企业网应尽可能使用单一域结构 组织单位规划很重要，在域内划分组织单位可依据多种标准 林是驻留在该林内的所有对象的安全和管理边界，必须有一 个林 选择DNS名称用于Active Directory域时通常使用现有域名 内部名称空间与外部名称空间尽可能保持一致 多数情况下只需一个Active Directory站点 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.3 Active Directory安装 v 服务器角色及其转换 Windows Server 2003服务器可以按不同角色运行 Active Directory环境有3种角色：域控制器、成员服务器和独立服务器 域中服务器角色可进行转换 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.3 Active Directory安装 v 考虑DNS配置 默认Active Directory安装向导从已配置的DNS服务器列表中定位新 域的权威DNS服务器。如果找到可接受动态更新的DNS服务器，则 在重新启动域控制器时，所有域控制器的相应记录都自动在DNS服 务器上注册 如果网络上没有DNS服务器，可在安装Active Directory时选择自动 安装和配置本地DNS服务器，这样DNS服务器将安装在运行Active Directory安装向导的域控制器上 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.3 Active Directory安装 v 安装域控制器 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.3 Active Directory安装 v 安装域控制器 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.4 Active Directory管理工具 Active Directory 用户和计算机 Active Directory 域和信任 Active Directory 站点和服务 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.5 域控制器的管理 v 提升域功能级别 Windows 2000混合 Windows 2000纯模式 Windows Server 2003（临时） Windows Server 2003 v删除（降级）域控制器 如果该域有子域，则不能将它删除 降级域中最后一个域控制器将使该域从树林中删除 降级林中的最后一个域控制器将删除林 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.6 域成员计算机的配置与管理 v 将计算机加入到域 Windows 2000及更高版本的计算机可作为域成员加入到域 将独立服务器加入到域 将工作站加入到域 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.6 域成员计算机的配置与管理 v域成员计算机登录到域 使用UPN用户名“用户名域名”和密码登录到域 使用SAM账户名称和密码登录到域 2.2.2 2 部署部署ActiveActive DirectoryDirectory目录服务目录服务 2.2.6 域成员计算机的配置与管理 v让域成员计算机退出域 将域成员计算机重新加入工作组即可 2.3 2.3 管理和使用管理和使用ADAD对象和资源对象和资源 2.3.1 了解Active Directory对象 vActive Directory对象的特性 每个对象具有全域唯一标识符（GUID） 每个对象有一份访问控制列表（ACL），记载安全性主体访问权限 对象具有多种名称格式，具体名称类型见下表 对象名称说明示例 SID（安全标识符）标识用户、组和计算机账户的唯一号码S-1-5-21-1292428093-725345543 LDAP RDNLADP相对识别名称cn=wang LDAP DNLADP唯一识别名称cn=wang,ou=sales,dc=abc,dc=com AD规范名称AD管理工具使用的名称/sales/wang UPNWindows 2000/2003域登录名称 SAMWindows NT域登录名称wang 2.3 2.3 管理和使用管理和使用ADAD对象和资源对象和资源 2.3.1 了解Active Directory对象 vActive Directory对象主要类别 用户（User） 计算机（Computer） 联系人（Contact） 组（Group） 组织单位（Organization Unit） 打印机（Printer） 共享文件夹（Shared Folder） InterOrgPersion 2.3 2.3 管理和使用管理和使用ADAD对象和资源对象和资源 2.3.2 管理域用户账户 域用户账户在域控制器上建立，又称AD用户账户 域用户账户存储在目录数据库中，可实现统一的安全认证 Windows Server 2003内置域用户账户 Administrator（系统管 理员账户）和Guest（来宾账户） 域用户账户有一个用户登录名、一个Windows 2000以前版本 的用户登录名（SAM）和一个用户主要名称后缀 2.3 2.3 管理和使用管理和使用ADAD对象和资源对象和资源 2.3.3 管理计算机账户 计算机账户提供验证和审核计算机访问网络及域资源的方法 每个运行Windows NT/2000及更高版本的计算机在域中都有 一个计算机账户 将计算机加入到域时自动添加相应的计算机账户 可在域控制器上创建计算机账户 2.3 2.3 管理和使用管理和使用ADAD对象和资源对象和资源 2.3.4 管理组 v组的基本特性 组可跨越组织单位或域 组可作为安全主体，与用户、计算机一样被授予权限 组为非容器对象，组成员与组之间没有从属关系 v组的作用域 通用组 全局组 本地域组 v组的类型 安全组 通信组 2.3 2.3 管理和使用管理和使用ADAD对象和资源对象和资源 2.3.4 管理组 v 默认组 创建域时自动创建的安全组称为默认组 默认组被自动指派一组用户权利 默认组位于“Builtin”容器和“Users”容器中 v 创建与管理组 v 将成员添加到组中 定位到组，再选择成员加入到该组中 定位到成员，再选择成员加入到组中 2.3 2.3 管理和使用管理和使用ADAD对象和资源对象和资源 2.3.5 管理组织单位 组织单位是指派组策略设置或委派管理权限的最小作用域 组织单位可包含组，但是组不能将组织单位作为成员 组可作为安全主体，被授予权限，而组织单位不行 2.3 2.3 管理和使用管理和使用ADAD对象和资源对象和资源 2.3.6 设置AD对象访问控制权限 每个AD对象都有一个访问控制列表，记录安全主体（用户 、组、计算机）对其读取、写入、审核等访问权限 在域中访问控制是通过为对象设置不同的访问级别或权限 ，在对象级别进行管理的 2.3 2.3 管理和使用管理和使用ADAD对象和资源对象和资源 2.3.7 查询Active Directory对象 使用“Active Directory用户和计算机”控制台查询AD对象 通过“网上邻居”搜索AD对象 2.2.4 4 通过组策略集中管理通过组策略集中管理WindowsWindows网络网络 2.4.1 组策略概述 v 组策略的两类配置 计算机配置：包含所有与计算机有关的策略设置 用户配置：包含所有与用户有关的策略设置 v AD组策略与本地组策略 AD组策略存储在域控制器中，只能在AD环境下使用 AD组策略不影响未加入域的计算机和用户 本地组策略设置存储在各计算机上，只能作用于该计算机 2.2.4 4 通过组策略集中管理通过组策略集中管理WindowsWindows网络网络 2.4.1 组策略概述 v 组策略对象(GPO) 软件设置：管理软件的安装、发布、更新、修复和卸载等 Windows设置：设置脚本文件、账户策略、用户权限等。 管理模板：基于注册表来管理用户和计算机的环境 v 组策略对象链接（GPO Link） 以站点、域或组织单位为作用范围来定义不同层次的组策略对象 组策略对象的作用范围是由组策略对象链接（GPO Link）来设置 组策略对象要生效，必须链接到某个AD容器（站点、域或组织单位） 2.2.4 4 通过组策略集中管理通过组策略集中管理WindowsWindows网络网络 2.4.1 组策略概述 v 用户策略和计算机策略 用户和计算机是接收策略的唯一AD对象类型 针对用户和计算机的配置，相应地称为用户策略和计算机策略 用户在登录计算机时获得用户策略 计算机启动时即获得计算机策略 v 组策略应用顺序 本地组策略对象AD站点AD域AD组织单位 v 组策略用途 统一配置管理模板 设置文件夹重定向 指定启动、关机、登录和注销脚本 管理安全设置 集中管理软件分发（部署） 2.2.4 4 通过组策略集中管理通过组策略集中管理WindowsWindows网络网络 2.4.2 组策略管理工具 v “组策略”选项卡 使用“Active Directory用户和计算机”控制台来管理适合域或组织单位的组策略 使用“Active Directory站点和服务”控制台来创建和管理适合AD站点的组策略 v 组策略管理控制台（GPMC） 一种集中管理方案，以解决组策略部署中的难点，减轻实施组策略的负担 由一个全新的MMC管理单元及一整套脚本化的接口组成 2.2.4 4 通过组策略集中管理通过组策略集中管理WindowsWindows网络网络 2.4.3 创建和管理AD组策略对