第13章 AD概论.ppt

ActiveDirector概述 本章主要内容 ActiveDirectory的基本概念域功能与林功能目录的分区 任务一 AD的基本概念 ActiveDirectory的基本概念 何为目录 日常生活中所用的电话簿图书馆中的查询目录查询台网站的搜索功能 ActiveDirectory的基本概念 1 活动目录的适用范围活动目录存储整个网络上资源的信息便于用户查找 管理和使用这些资源小型网络 UNC路径 一般不使用AD 大型网络 难以确定资源位置 名称所以需要目录服务快速定位资源对用户透明 高效不需要知道资源的物理位置 如何连接 ActiveDirectory的基本概念 2 命名空间所谓的 命名空间 就是一个界定好的区域 在这个区域内 我们可以利用某个名称来找到与这个名称相关的信息 例如 电话簿在这个电话簿中找到这个人的电话 地址 生日等 WindowsServer2003的域 就是一个命名空间 ActiveDirectory的基本概念 3 对象 object 与属性 attribute WindowsServer2003域内的资源以对象的形式存在 如 用户 计算机 打印机 应用程序等都是对象 而一个对象是通过 属性 来描述其特征的集合 也就是说对象是属性的集合 例如 假如要为 王乔治 建立一个帐号 则必须新建一个为 用户 的对象 object 然后在这个用户帐号输入 姓 名 电话号码 电子邮件 地址等属性 ActiveDirectory的基本概念 ActiveDirectory的基本概念 4 容器 Container 与组织单位 OU 容器与对象相似 有自己的名称 也是一些属性的集合 容器可以包含其它的对象 也可以包含其它的容器 OU是AD中的一个特殊的容器 他可以包含对象 OU和组策略 ActiveDirectory的基本概念 5 域树假设要架设一个含多个域的网络 则可以将网络设置成 域树 这些域以树状形式存在 ActiveDirectory的基本概念 ActiveDirectory的基本概念 6 信任两个域之间必须建立了 信任关系 trustrelation 之后 才可以访问对方域内的资源 例Q 域A的用户登录到其所隶属的域后 这个用户可否访问B域内的资源 A 只要域B信任域A就可以了Q 甲用户隶属于域A 乙计算机隶属于域B 请问甲用户可否利用乙计算机登录到A呢 A 只要域B信任域A就可以了 ActiveDirectory的基本概念 ActiveDirectory的基本概念 7 林若一个网络内含多个域树 则可以将这些域树组合成一个 林 forest 即林是由一个或多个域树所组成 每一个域树都有自己惟一的命名空间 ActiveDirectory的基本概念 8 架构ActiveDirectory内的对象类型与属性数据是定义在架构 Schema 内的 例如定义了 用户 这个对象类包含哪些属性 姓 名 电话等 以及每一个属性的数据类型与其范围等信息 构架打开方法 运行 regsvr32schmmgmt dll mmc添加 ActiveDirectory的基本概念 对象类例如 打印机 计算机 用户 用户属性可能包括 accountExpiresdepartmentdistinguishedNamemiddleName 属性列表 属性例如 活动目录架构动态获得动态更新通过DACLs保护对象和属性 ActiveDirectory的基本概念 9 域控制器与ActiveDirectory的复制ActiveDirectory存储在域控制器内 当一台域控制器的Activedirectory数据发生变化后 这些变动的数据会被复制到其他域控制器的ActiveDirectory内 ActiveDirectory数据库的复制有两种模式 多主机复制模式 大部分数据 单主机复制模式 小部分数据 10 轻型目录访问协议轻型目录访问协议 LightweightDirectoryProtocol LDAP 是一种用来查询与更新ActiveDirectory的目录服务通信协议 ActiveDirectory的基本概念 轻型目录访问协议 LDAP 为活动目录中的对象标识LDAP命名路径标识名DN 完整路径 如 CN SuzanFine OU Sales DC contoso DC msft相对标识名RDN如 CN SuzanFineDC域组件OU组织单元CN普通名字 ActiveDirectory的基本概念 可分辨名称 DistinguishedName DN 它是对象在AD内的完整路径 例 ActiveDirectory的基本概念 相对可分辨名称 RelativeDN 在DN的完整路径中 用来代表某个对象的部分路径 例 CN u1 ActiveDirectory的基本概念 全局唯一标识符 GlobalUniqueIdentifier GUID 是一个128位的数值 对于建立的任何的对象 系统都会自动指定一个唯一的GUID nbtstat aIP查看 用户规则名 UserPrincipalName UPN 它的格式类似于电子邮件帐户 例如Administrator隶属于 则他的UPN可以是 Administrator 11 全局编录 全局编录 由域控制器来实现 它包含ActiveDirectory内的每个对象 不过只存储每个对象的部分属性 而不是全局属性 任务二 域功能和林功能 域 安全边界域管理员只能在域内进行管理 除非明确得到其它域的授权复制单元域控制器DC在域内参加复制 并且包含它的域目录信息的完整副本 Windows2003域 User1User2 复制 安全边界 复制管理安全策略组策略 概述 DNS和AD集成 2003关键特性使用相同的分层命名结构域 计算机成为AD的对象 DNS资源记录客户机可通过查询DNS找到DC 或其它对象 使DNS主区域结构存储于AD 并随AD复制指DNS的AD集成区域 活动目录中的DNS角色介绍 名字解析 正向 反向 DNS将计算机名称转化为IP地址计算机使用DNS在网络中互相查找Windows2003域的命名协定2003AD使用DNS的域名命名标准DNS域和AD域共享一公共的分层命名结构如查找活动目录的物理成分DNS通过提供的服务来验证域服务器计算机使用DNS来查找DC和GC DNS域和AD域使用相同的分层命名结构和域名但实际上域名空间是不同的好处 使2003网络计算机能够利用DNS查找提供AD相关服务的DC和计算机 DNS和活动目录 DNS和活动目录的域名空间 training microsoft DNS域名空间 AD域名空间 sales computer1 DNS根域 com Internet 要点 使域和计算机成为DNS的节点AD的对象并相对应活动目录和Internet如DNS的 com服务器中包含使别的域利用Internet来查找反之 你也可通过 com来查找Internet上的域名服务器的资源记录 DNS主机名称和Windows2003计算机名称 DNS的主机记录和AD计算机对象对应同一物理计算机DNS允许计算机查找AD中的DC DNS com sales training computer1 microsoft FQDN Windows2003计算机名 Computer1 DNS主机名与AD中计算机帐号是相同的计算机名可认为是特殊的域名FQDN 完全有效域名计算机的全称域名计算机的全名 活动目录中DNS名字解析 服务资源记录 SRV记录 2003计算机通过DNS的SRV记录来查找DC本域 特定域 树状结构中的域还可查找全局目录GC KerberosKDC服务器的域控制器将服务和DNS计算机名称一一对应服务记录和资源记录 SRV记录格式 ldap tcp contoso msft600INSRV0100389london contoso msft 由域控制器配置的服务记录 运行Windows2003的域控制器额外注册SRV记录 msdcs子域 格式如下 Service Protocol DcType msdcs DNS域名 怎样使用DNS来查找域控制器 活动目录的集成区域 活动目录 域控制器DC DNS服务器 AD集成区域 区域数据库 在活动目录中存储主要区域DNS区域复制随AD复制进行 好处 消除了主DNS服务器作为单个主控带来的不足之处能够进行安全可靠的动态更新对那些没有配置为域控制器的DNS服务器执行标准区域传送 安装和配置DNS以支持活动目录 DNS的执行必须支持SRV记录配置正向和反向区域活动目录的DNS需求没有DNS无法安装活动目录SRV服务记录DNS动态更新协议增量区域传送增量复制IXFR 全量复制AXFR2003的DNS服务器 以上三点全支持NT4 SP4 安装和配置DNS分配静态IP地址配置DNS的主后缀安装DNS服