Win2003Part3_活动目录和域.ppt

网络工程师培训 Windows2003 主讲 曾爱国 ActiveDirectory基础 ActiveDirectory是WindowsServer2003提供的目录服务 ActiveDirectory可以存储各种对象的有关信息 并使该信息易于管理员和用户查找及使用 它使用结构化的数据存储作为目录信息的逻辑层次结构的基础 同时将安全性集成到了ActiveDirectory中 通过网络登陆 系统管理员能够管理整个网络中的目录数据和单位 而且获得授权的网络用户也可以访问网络上的任何地方的资源 ActiveDirectory概念 ActiveDirectory 活动目录 可简称为AD 是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录服务 ActiveDirectory包括两个方面 目录和与目录相关的服务 目录是存储各种对象的一个物理上的容器 从静态的角度来理解这活动目录与我们以前所结识的 目录 和 文件夹 没有本质区别 仅仅是一个对象 是一实体 而目录服务是使目录中所有信息和资源发挥作用的服务 活动目录是一个分布式的目录服务 信息可以分散在多台不同的计算机上 保证用户能够快速访问 因为多台机器上有相同的信息 所以在信息容器方面具有很强的控制能力 正因如此 不管用户从何处访问或信息处在何处 都对用户提供统一的视图 ActiveDirectory功能 简化管理 增强信息的安全性3 智能的信息复制能力4 与DNS集成紧密5 灵活的查询功能 ActiveDirectory结构 ActiveDirectory是一个分布式的目录服务 因为信息可以分散在多台不同的计算机上 保证各计算机用户快速访问和容错 同时不管用户从何处访问或信息处在何处 对用户提供统一的视图 使用户更容易理解和掌握 ActiveDirectory采用域 域树 域林构成的层次化的目录结构 域 域 Domain 是WindowsServer2003目录服务的基本管理单位 WindowsServer2003把一个域作为一个完整的目录 在WindowsServer2003网络中 一个域能够轻松管理数万个对象 域是ActiveDirectory服务逻辑结构的核心单元 是对象的容器 域树 域树由多个域组成 域树中的第一个域称作根域 相同域树中的其他域为子域 相同域树中直接在另一个域上一层的域称为父域 具有公用根域的所有域构成连续名称空间 这意味着单个域目录中的所有域共享一个等级命名结构 域树中的WindowsServer2003域通过双向可传递信任关系连接在一起 由于这些信任关系是双向的而且是可传递的 因此在域树中新创建的域可以立即与域树或域林中其他的WindowsServer2003域建立信任关系 这些信任关系允许单一登录过程在域树或域林中的所有域上对用户进行身份验证 不过 这也并不意味着经过身份验证的用户在域树的所有域中都拥有相应的权利和权限 因为域是安全界限 所以必须在每个域的基础上指派权利和权限 域树示意图 域林 域林包括多个域树 其中的域树不形成邻接的名称空间 而且域林也有根域 域林的根域是域林中创建的第一个域 域林中所有域树的根域与域林的根域建立可传递的信任关系 域林示意图 中央管理数据库的概念是理解域及其功能的关键 在过去的技术 工作组 中 每台向网络提供服务的计算机都有自己的帐户数据库 这样造成一个用户在多台计算机上都有帐户存在 这种管理对用户和管理员都造成了重复工作 在域中 帐户数据库位于中央服务器 该服务器称做 域控制器 处理所有登录要求 资源认证和管理任务 帐户管理通过域控制器中存储的中心帐户数据库来完成 当一个用户的帐户在域控制器中创建后 他便可使用网络中的任何一项被授权的资源 域控制器 在WindowsServer2003的网络环境中 各域必须至少有一台域控制器 DomainController 简写为DC 存储此域中的ActiveDirectory信息 并提供域相关服务 例如 登录验证 名称解析等 换言之 没有域控制器 就没有所谓的域 在域中 可以同时存在多台域控制器 各域控制器都处于平等关系 亦即网管人员可以在域内任何一台域控制器上管理ActiveDirectory 包括建立帐号 设置组策略 委派控制等 用户也可通过任何一台域控制器来登录域 并访问ActiveDirectory数据库 设置多台域控制器主要是为了提高域的容错能力 以弥补某一台域控制器故障时 还有其它域控制器可维持域的运行 不致造成域全面瘫痪 由于域可能跨越数个以低速连接的局域网络 为避免用户每次登录或访问ActiveDirectory时都通过低速连接 因此可视需求在各局域网络中架设域控制器 以提升使用效率 使用单个局域网 LAN 的小单位可能只需要一个具有两个域控制器的域 具有多个网络位置的大公司在每个站点都需要一个或多个域控制器以提供高可用性和容错能力 如果某一网络划分为多个站点 那么通常一种较好的做法是在每个站点中至少配置一台域控制器以提高网络性能 当用户登录网络时 作为登录过程的一部分必须联系域控制器 如果客户必须连接位于不同站点的域控制器 那么登录过程将耗费很长的时间 通过在每个站点中创建域控制器 在站点内的用户登录处理会更加有效 由于域中所有的域控制器具有相同的ActiveDirectory数据库 且网管人员可在任一台域控制器上修改ActiveDirectory信息 因此域控制器间必须有复制 Replication 机制 以维持ActiveDirectory数据的一致性 域间的信任关系 域和域之间的通信是通过信任发生的 信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证管道 信任关系是指在域之间建立的逻辑关系 以便允许通过身份验证 其中信任域负责受信域的登录验证 受信域中定义的用户帐户和全局组可以获得信任权利和权限 即使该用户帐户或组不在信任域的目录中 域信任关系一般可分为单向 双向 可传递和不可传递四种 1 单向信任是两个域之间创建的单向身份验证路径 这意味着在域A和域B之间的单向信任中 域A中的用户可以访问域B中的资源 但是域B中的用户不能访问域A中的资源 2 双向信任两个域之间的信任关系 在该关系中 两个域互相信任 例如 A域信任B域 并且B域也信任A域 3 可传递信任在整个的一组域 例如域树 间流通 并在域和信任该域的所有域之间形成的信任关系 例如 如果A域和B域之间存在可传递信任 并且B域信任C域 则A域也信任C域 可传递信任可以是单向的 也可以是双向的 并且是基于Kerberos的身份验证和ActiveDirectory复制所要求的 4 非传递信任多域环境中的一种信任关系 仅限制在两个域之间 例如 如果A域具有和B域的非传递信任 并且B域信任C域 则A域和C域之间没有信任关系 非传递信任可以为单向或双向 域结构 通常有4种基本类型的域结构 单一域模型 主域模型 多主域模型和完全信任模型 企业根据其规模 地理分布以及其他资源条件 可以选择不同的域结构 单一域模型 单一域模型 SingleDomainModel 是最常见也是最适合小型企业的模式 如图如示 这种模式的优点是 在这种结构下 没有由于太多域所衍生的复杂的管理问题 也没有域间的信任关系 所有资源整合在单一域中 可以集中控制管理 这种模式的缺点是 随着域中的帐户等资料均需由域控制器来管理与验证 从而导致网络在复制帐户与提供登录服务的资料传输量过量而影响网络传输速度 甚至影响域控制器所提供的文件 打印等服务 主域模型 主域模型 MasterDomainModel 适用于规模较完备的企业 可依照部门来规划域 其中一个域为主域 如图所示 在主域模型结构中 所有域的帐户将统一由主域进行管理 其它的域为 从域 而从域到主域之间有信任关系 主域负责帐户的维护 其他从域则不需要建立任何帐户资料 可负责其他文件或打印服务 该模型的优点是 虽然主域负责帐户的维护 但是每个从域可以决定用户 组操作该域的权限 并不是完全控制在主域中 其缺点在于 帐户集中在主域中 容易造成主域网络流量激增而拥塞 多主域模型 多主域模型 MultipleMasterDomain 是可以克服主域模型的缺点 该模型的结构与主域模型类似 但是可以有多个主域 并且各主域间具有双向信任关系 在不同非主域之间也可以存在信任 其结构示意图如下页图所示 多主域模型的优点是 可以克服主域模型的缺点 帐户进行分散管理 减轻了单一主域的压力 其缺点是 帐户分散在不同的主域间会增加管理上的困难度 图多主域模型 完全信任模型 完全信任模型 CompleteTrustModel 是在无法采取集中式管理帐户的情况下使用的 如下图所示 在完全信任模型中 所有的域地位都是平等的 无主 从域之分 每个域自行管理自己域内的帐户 并在各域之间建立双向的信任关系 使所有的域都可以合法存取其它域的资源 用户账户的类型 用户账户有域用户帐户和本地用户账户两种类型 建立在域控制器上的是 域用户账户 这个账户的信息会存储在AD数据库中 域用户账户 可用来登录域 访问域内的资源 包括域内任何计算机上的共享文件夹及共享打印机等 非域控制器的WindowsServer2003独立服务器 成员服务器以及WindowsXP客户端 则会有另一组 本地用户帐户 本地用户帐户的信息不会存储在AD数据库中 而是存在本机中 所以 本地用户帐户 只能够登录账户所在的计算机 访问该机资源 而无法登录域 本地用户帐户 适用于工作组 Workgroup 的网络环境 一般不会在加入域的计算机上建立本地用户账户 原因如下 系统管理员无法在ActiveDirectory用户和计算机集中管理本地用户账户 而必须到各台计算机上 进行本地用户账户的权限设置 这样无疑增加了管理负担 本地用户账户只能在本地计算机上使用 不能访问域中其他计算机的资源 实用性不高 内置的用户账户 WindowsServer2003的域的内置账户有 Administrator与Guest 1 Administrator 系统管理员账户这个账户对域有最大的控制权 可以管理账户和组 文件与打印机以及设置组策略等 使用者无法删除它 建议将Administrator账户重新命名 这样想破坏系统管理员账户密码的人 就无法猜到账户的名称 Administrator账户有如下特点 密码永久有效Administrator账户无法被禁用Administrator账户永远不会到期Administrator账户不受登录时间的限制 也不受只能用指定计算机登录的限制 Guest 来宾用户 Guest是供无账户的用户临时使用的账户 利用Guest账户登录 可访问一些公开的资源 设置此账户 是为方便提供公开资源的系统 不必为所有用户都设