WinAdmin_ch03(Neo)_AD.ppt

1 第3章WinServer2003的活动目录 姚树春2009 章节目标 活动目录简介活动目录的安装添加客户端计算机到域客户端计算机的管理 3 1活动目录简介 活动目录 AD ActiveDirectory 是面向WindowsStandardServer WindowsEnterpriseServer以及WindowsDatacenterServer的目录服务 AD不能运行在WindowsWebServer上 但是可以通过它对运行WindowsWebServer的计算机进行管理 AD存储了有关网络对象的信息 并且让管理员和用户能够轻松地查找和使用这些信息 AD使用了一种结构化的数据存储方式 并以此作为基础对目录信息进行合乎逻辑的分层组织 MicrosoftActiveDirectory服务是Windows平台的核心组件 它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段 task1 ConceptsofAD ConceptsofAD 何为目录 日常生活中所用的电话簿图书馆中的查询目录查询台网站的搜索功能 ConceptsofAD 1 活动目录的适用范围活动目录存储整个网络上资源的信息便于用户查找 管理和使用这些资源小型网络 UNC路径 一般不使用AD 大型网络 难以确定资源位置 名称所以需要目录服务快速定位资源对用户透明 高效不需要知道资源的物理位置 如何连接 ConceptsofAD 2 NameSpace 命名空间 所谓的 命名空间 就是一个界定好的区域 在这个区域内 我们可以利用某个名称来找到与这个名称相关的信息 例如 电话簿在这个电话簿中找到这个人的电话 地址 生日等 WindowsServer2003的域 就是一个命名空间 ConceptsofAD 3 object 对象 与attribute 属性 WindowsServer2003域内的资源以对象的形式存在 如 用户 计算机 打印机 应用程序等都是对象 而一个对象是通过 属性 来描述其特征的集合 也就是说对象是属性的集合 例如 假如要为 王乔治 建立一个帐号 则必须新建一个为 用户 的对象 object 然后在这个用户帐号输入 姓 名 电话号码 电子邮件 地址等属性 ConceptsofAD ConceptsofAD 4 Container 容器 与OU 组织单位 容器与对象相似 有自己的名称 也是一些属性的集合 容器可以包含其它的对象 也可以包含其它的容器 OU是AD中的一个特殊的容器 他可以包含对象 OU和组策略 ConceptsofAD 5 DomainTree 域树 假设要架设一个含多个域的网络 则可以将网络设置成 域树 这些域以树状形式存在 ConceptsofAD ConceptsofAD 6 Trust 信任 两个域之间必须建立了 信任关系 trustrelation 之后 才可以访问对方域内的资源 例Q 域A的用户登录到其所隶属的域后 这个用户可否访问B域内的资源 A 只要域B信任域A就可以了Q 甲用户隶属于域A 乙计算机隶属于域B 请问甲用户可否利用乙计算机登录到A呢 A 只要域B信任域A就可以了 ConceptsofAD ConceptsofAD 7 Forest 林 若一个网络内含多个域树 则可以将这些域树组合成一个 林 forest 即林是由一个或多个域树所组成 每一个域树都有自己惟一的命名空间 ConceptsofAD 8 Schema 架构 ActiveDirectory内的对象类型与属性数据是定义在架构 Schema 内的 例如定义了 用户 这个对象类包含哪些属性 姓 名 电话等 以及每一个属性的数据类型与其范围等信息 构架打开方法 运行 regsvr32schmmgmt dll mmc添加 ConceptsofAD 对象类例如 打印机 计算机 用户 用户属性可能包括 accountExpiresdepartmentdistinguishedNamemiddleName 属性列表 属性例如 活动目录架构动态获得动态更新通过DACLs保护对象和属性 ConceptsofAD 9 域控制器与ActiveDirectory的复制ActiveDirectory存储在域控制器内 当一台域控制器的Activedirectory数据发生变化后 这些变动的数据会被复制到其他域控制器的ActiveDirectory内 ActiveDirectory数据库的复制有两种模式 多主机复制模式 大部分数据 单主机复制模式 小部分数据 LDAP 10 LDAP 轻型目录访问协议 轻型目录访问协议 LightweightDirectoryProtocol LDAP 是一种用来查询与更新ActiveDirectory的目录服务通信协议 ConceptsofAD LDAP 轻型目录访问协议 为活动目录中的对象标识LDAP命名路径DN 标识名 完整路径 如 CN SuzanFine OU Sales DC contoso DC msftRDN 相对标识名 如 CN SuzanFineDC域组件OU组织单元CN普通名字 ConceptsofAD DN DistinguishedName 可分辨名称 它是对象在AD内的完整路径 例 ConceptsofAD RDN RelativeDN 相对可分辨名称 在DN的完整路径中 用来代表某个对象的部分路径 例 CN u1 ConceptsofAD GUID GlobalUniqueIdentifier 全局唯一标识符 是一个128位的数值 对于建立的任何的对象 系统都会自动指定一个唯一的GUID nbtstat aIP查看 UPN UserPrincipalName 用户规则名 它的格式类似于电子邮件帐户 例如Administrator隶属于 则他的UPN可以是 Administrator AD AD的安装 见书本P25 总结 活动目录简介活动目录的安装添加客户端计算机到域客户端计算机的管理 补充 AD的备份 不能单独备份AD Windows将AD做为系统状态数据的一部分进行备份 系统状态数据包括注册表 系统启动文件 类注册数据库 证书服务数据 文件复制服务 集群服务 域名服务活动目录通常情况下只前3部分 这8部分都不能单独进行备份 必须做为系统状态数据的一部分进行备份 补充 AD的备份 详细过程 开始 菜单 运行 输入 ntbackup 启动win2000备份工具 在 欢迎 标签中使用 备份向导 在备份向导对话框选择备份的内容页面中选择 只备份系统状态数据 下一步 在 备份保存的位置 页面中输入存放备份数据的文件名 如 d akAD0322 bkf 下一步 完成备份向导 如果要进行一些设置 如备份完成后验证数据 请使用 高级 选项进行配置 选择 完成 开始备份 根据数据的多少 可能需要几分钟到十几分钟甚至更长一段时间 备份完毕系统会生成备份报表 建议 通常备份的文件比较大 我备份了几次都在250 300M之间 因此需要找一个大容量的空间存放 因为备份中包含非常敏感的账号等方面的信息 因此备份的数据要妥善保存 补充 AD的恢复 验证方式使用非验证方式恢复AD 重新启动机器 再次使用 目录服务恢复模式 启动Windows2000 以管理员身份登录 开始 运行 输入 ntdsutil 启动命令行工具 恢复整个ActiveDirectory数据库 使用下列命令 authoritativerestorerestoredatabase恢复部分ActiveDirectory数据 使用下列命令