《windows server 2003服务器操作系统》第13章活动目录基础

1、编辑ppt第第8章章 活动目录基础活动目录基础主要知识点：主要知识点：一、活动目录逻辑结构一、活动目录逻辑结构 （了解）（了解）二、活动目录物理结构二、活动目录物理结构 （了解）（了解）三、活动目录的安装三、活动目录的安装 （掌握）（掌握）四、将计算机加入到域四、将计算机加入到域 （掌握）（掌握）编辑ppt一一 活动目录介绍活动目录介绍1、什么是活动目录、什么是活动目录 活动目录（活动目录（Active Directory）是）是Windows Server 2003平台提供的目录服务，在中央数据库平台提供的目录服务，在中央数据库中存放信息，使用户在网络上只拥有一个用户账中存放信息，使用户在网

2、络上只拥有一个用户账号。号。Windows Server 2003中的活动目录是高度完中的活动目录是高度完善的、自适应能力很强的目录服务。它支持用户善的、自适应能力很强的目录服务。它支持用户进行大范围的修改来满足特定的商务和组织需要。进行大范围的修改来满足特定的商务和组织需要。活动目录支持多域结构，由一个或多个域组成。活动目录支持多域结构，由一个或多个域组成。每个域拥有与其他域相关的安全策略和安全关系。每个域拥有与其他域相关的安全策略和安全关系。这种多域模式可以使这种多域模式可以使Windows Server 2003具有更具有更高的安全性。高的安全性。编辑pptn组织组织n管理管理n控制控制

3、资资源源n单点管理单点管理n用户只需登录一次，就可访问整个活用户只需登录一次，就可访问整个活动目录的资源动目录的资源目录服务：存储网络资源的信息，使信息可有效利用目录服务：存储网络资源的信息，使信息可有效利用 ;实质为后台实质为后台服务，表现为管理、用户工具服务，表现为管理、用户工具编辑ppt 活动目录包括两个方面：目录和与目录相关活动目录包括两个方面：目录和与目录相关的服务。目录是存储各种对象的一个物理上的容的服务。目录是存储各种对象的一个物理上的容器，从静态的角度来理解这活动目录与我们以前器，从静态的角度来理解这活动目录与我们以前所结识的所结识的“目录目录”和和“文件夹文件夹”没有本质区别

4、，没有本质区别，仅仅是一个对象，是一实体；而目录服务是使目仅仅是一个对象，是一实体；而目录服务是使目录中所有信息和资源发挥作用的服务，活动目录录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问，因为不同的计算机上，保证用户能够快速访问，因为多台计算机上有相同的信息，所以在信息冗余方多台计算机上有相同的信息，所以在信息冗余方面具有很强的控制能力，正因如此，不管用户从面具有很强的控制能力，正因如此，不管用户从何处访问或信息处在何处，都对用户提供统一的何处访问或信息处在何处，都对用户提供统

5、一的视图。视图。编辑ppt对象：网络资源对象：网络资源 属性：关于对象的信息属性：关于对象的信息名名姓姓登录名打印机名打印机名打印机位置打印机位置PrintersPrinter1Printer2Suzan FineUsersDon Hall打印机用户Printer3 活动目录对象活动目录对象编辑ppt2、活动目录作用、活动目录作用 （1） 信息的安全性大大增强信息的安全性大大增强 安装活动目录后信息的安全性完全与活动目安装活动目录后信息的安全性完全与活动目录集成，用户授权管理和目录进入控制已经整合录集成，用户授权管理和目录进入控制已经整合在活动目录当中了（包括用户的访问和登录权限在活动目录当中

6、了（包括用户的访问和登录权限等），而它们都是等），而它们都是Windows Server 2003操作系统操作系统的关键安全措施。活动目录集中控制用户授权，的关键安全措施。活动目录集中控制用户授权，目录进入控制不仅能在每个目录中的对象上定义，目录进入控制不仅能在每个目录中的对象上定义，而且还能在每一个对象的每个属性上定义，这一而且还能在每一个对象的每个属性上定义，这一点是以前任何系统所不能达到的，包括点是以前任何系统所不能达到的，包括Windows NT 4.0。除此之外，活动目录还可以提供存储和应。除此之外，活动目录还可以提供存储和应用程序作用域的安全策略，提供安全策略的存储用程序作用域的安

7、全策略，提供安全策略的存储和应用范围。和应用范围。编辑ppt 安全策略可包含帐户信息，如域范围内的密安全策略可包含帐户信息，如域范围内的密码限制或对特定域资源的访问权等。所以从一定码限制或对特定域资源的访问权等。所以从一定程序上可以说程序上可以说Windows Server 2003的安全性就是的安全性就是活动目录所体现的安全性。由此可见，对于网络活动目录所体现的安全性。由此可见，对于网络管理者来说，如何配置好活动目录中对象及属性管理者来说，如何配置好活动目录中对象及属性的安全性是一个网络管理者配置好的安全性是一个网络管理者配置好Windows Server 2003系统的关键。系统的关键。

8、（2） 引入基于策略的管理，使系统的管理更加明朗引入基于策略的管理，使系统的管理更加明朗 活动目录服务包括目录对象数据存储和逻辑活动目录服务包括目录对象数据存储和逻辑分层结构（指上面所讲的目录、目录树、域、域分层结构（指上面所讲的目录、目录树、域、域树、域林等所组成的层次结构）。作为目录，它树、域林等所组成的层次结构）。作为目录，它存储着分配给特定环境的策略，称为组策略对象。存储着分配给特定环境的策略，称为组策略对象。作为逻辑结构。作为逻辑结构。编辑ppt 它为策略应用程序提供分层的环境。组策略它为策略应用程序提供分层的环境。组策略对象表示了一套商务规则，它包括与要应用的环对象表示了一套商务规

9、则，它包括与要应用的环境有关的设置，组策略是用户或计算机初始化时境有关的设置，组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到的配置设置。所有的组策略设置都包含在应用到活动目录、域、或组织单元的组策略对象用到活动目录、域、或组织单元的组策略对象（GPOs，Group Policy Objects）中。）中。GPOs设置设置决定目录对象和域资源的进入权限，怎样的域资决定目录对象和域资源的进入权限，怎样的域资源可以被用户使用，以及这些域资源怎样使用等。源可以被用户使用，以及这些域资源怎样使用等。例如，组策略对象可以决定当用户登录时用户在例如，组策略对象可以决定当用户登录时

10、用户在他们的计算机上看到什么应用程序，当在服务器他们的计算机上看到什么应用程序，当在服务器上启动时有多少用户可连接至上启动时有多少用户可连接至Server，以及当用户，以及当用户转移到不同的部门或组时他们可访问什么文件或转移到不同的部门或组时他们可访问什么文件或服务。服务。编辑ppt 组策略对象可以管理少量的策略而不是大量组策略对象可以管理少量的策略而不是大量的用户和计算机。通过活动目录，可将组策略设的用户和计算机。通过活动目录，可将组策略设置应用于适当的环境中，不管它是整个单位还是置应用于适当的环境中，不管它是整个单位还是单位中的特定部门。单位中的特定部门。（3） 具有很强的可扩展性具有很强

11、的可扩展性 Windows Server 2003的活动目录具有很强的的活动目录具有很强的可扩展性，管理员可以在计划中增加新的对象类，可扩展性，管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。计划包括可或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类以存储在目录中的每一个对象类的定义和对象类的属性。例如，在电子商务上可以给每一个用户的属性。例如，在电子商务上可以给每一个用户对象增加一个购物授权属性，然后存储每一个用对象增加一个购物授权属性，然后存储每一个用户购买权限作为用户账号的一部分。户购买权限作为用户账号的一部分。编辑ppt（4） 具有

12、很强的可伸缩性具有很强的可伸缩性 活动目录可包含在一个或多个域，每个域具活动目录可包含在一个或多个域，每个域具有一个或多个域控制器，以便调整目录的规模以有一个或多个域控制器，以便调整目录的规模以满足任何网络的需要。多个域可组成为域树，多满足任何网络的需要。多个域可组成为域树，多个域树又可组成为树林，活动目录也就随着域的个域树又可组成为树林，活动目录也就随着域的伸缩而伸缩，较好地适应了单位网络的变化。目伸缩而伸缩，较好地适应了单位网络的变化。目录将其架构和配置信息分发给目录中所有的域控录将其架构和配置信息分发给目录中所有的域控制器，该信息存储在域的第一个域控制器中，并制器，该信息存储在域的第一个

13、域控制器中，并且复制到域中任何其他域控制器。当该目录配置且复制到域中任何其他域控制器。当该目录配置为单个域时，添加域控制器将改变目录的规模，为单个域时，添加域控制器将改变目录的规模，而不影响其他域的管理开销。将域添加到目录可而不影响其他域的管理开销。将域添加到目录可以针对不同策略环境划分目录，并调整目录的规以针对不同策略环境划分目录，并调整目录的规模以容纳大量的资源和对象。模以容纳大量的资源和对象。编辑ppt（5） 智能的信息复制能力智能的信息复制能力 信息复制为目录提供了信息可用性、容错、信息复制为目录提供了信息可用性、容错、负载平衡和性能优势，活动目录使用多主机复制，负载平衡和性能优势，活

14、动目录使用多主机复制，允许在任何域控制器上而不是单个主域控制器上允许在任何域控制器上而不是单个主域控制器上同步更新目录。多主机模式具有更大容错的优点，同步更新目录。多主机模式具有更大容错的优点，因为使用多域控制器，即使任何单独的域控制器因为使用多域控制器，即使任何单独的域控制器停止工作，也可继续复制。由于进行了多主机复停止工作，也可继续复制。由于进行了多主机复制，它们将更新目录的单个副本，在域控制器上制，它们将更新目录的单个副本，在域控制器上创建或修改目录信息后，新创建或更改的信息将创建或修改目录信息后，新创建或更改的信息将发送到域中的所有其他域控制器，所以其目录信发送到域中的所有其他域控制器

15、，所以其目录信息是最新的。域控制器需要最新的目录信息，但息是最新的。域控制器需要最新的目录信息，但是要做到高效率，必须把自身的更新限制在只有是要做到高效率，必须把自身的更新限制在只有新建或更改目录信息的时候，以免在网络高峰期新建或更改目录信息的时候，以免在网络高峰期进行同步而影响网络速度。进行同步而影响网络速度。编辑ppt 在域控制器之间不加选择地交换目录信息能在域控制器之间不加选择地交换目录信息能够迅速搞垮任何网络。通过活动目录就能达到只够迅速搞垮任何网络。通过活动目录就能达到只复制更改的目录信息，而不至于大量增加域控制复制更改的目录信息，而不至于大量增加域控制器的负荷。器的负荷。（6）与）

16、与DNS集成紧密集成紧密 活动目录使用域名系统（活动目录使用域名系统（DNS）来为服务器）来为服务器目录命名，目录命名，DNS是将更容易理解的主机名（如是将更容易理解的主机名（如 Mike.M）转换为数字）转换为数字IP地址的地址的Internet标准服务，利于在标准服务，利于在TCP/IP网络中计算机之网络中计算机之间的相互识别和通讯。间的相互识别和通讯。DNS的域名基于的域名基于DNS分层分层命名结构，这是一种倒置的树状结构，单个根域，命名结构，这是一种倒置的树状结构，单个根域，在它下面可以是父域和子域（分支和叶子）。关在它下面可以是父域和子域（分支和叶子）。关于这一点会在后面以专门的篇章

17、加以详细讲述，于这一点会在后面以专门的篇章加以详细讲述，在此仅作简单介绍。在此仅作简单介绍。编辑ppt（7） 与其他目录服务具有互操性与其他目录服务具有互操性 由于活动目录是基于标准的目录访问协议，由于活动目录是基于标准的目录访问协议，许多应用程序界面（许多应用程序界面（API）都允许开发者进入这些）都允许开发者进入这些协议，例如活动目录服务界面（协议，例如活动目录服务界面（ADSI，Active Directory Service Interfaces）、轻型目录访问协议）、轻型目录访问协议（LDAP，Lightweight Directory Access Protocol）第三版和名称服

18、务提供程序接口（第三版和名称服务提供程序接口（NSPI，National Spa and Pool Institute），因此它可与使用这些协），因此它可与使用这些协议的其他目录服务相互操作。议的其他目录服务相互操作。LDAP是用于在活动是用于在活动目录中查询和检索信息的目录访问协议。因为它目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议，所以可使用是一种工业标准服务协议，所以可使用LDAP开发开发程序，与同时支持程序，与同时支持LDAP的其他目录服务共享活动的其他目录服务共享活动目录信息。目录信息。编辑ppt 活动目录支持活动目录支持Microsoft Exchange 4.

19、0和和5.x客户程序所用的客户程序所用的NSPI协议，以提供与协议，以提供与Exchange目录的兼容性。目录的兼容性。（8） 具有灵活的查询具有灵活的查询 任何用户可使用【开始】菜单、【网上邻居】任何用户可使用【开始】菜单、【网上邻居】或【活动目录用户和计算机】上的【搜索】命令，或【活动目录用户和计算机】上的【搜索】命令，通过对象属性快速查找网络上的对象。可通过名通过对象属性快速查找网络上的对象。可通过名字、姓氏、电子邮件名、办公室位置或用户帐户字、姓氏、电子邮件名、办公室位置或用户帐户的其他属性来查找用户，反之亦然。的其他属性来查找用户，反之亦然。编辑ppt二活动目录逻辑结构二活动目录逻辑

20、结构 1、域、域 在在Windows Server 2003中，域不仅限定了与中，域不仅限定了与网络中一群特定的用户相关联的一个对象集合的网络中一群特定的用户相关联的一个对象集合的管理边界，也限定了其安全边界。域是一个管理管理边界，也限定了其安全边界。域是一个管理边界，因为管理特权不会扩展到其他域。域又是边界，因为管理特权不会扩展到其他域。域又是安全边界，因为每个域有一个扩展到位于该域中安全边界，因为每个域有一个扩展到位于该域中的所有安全帐户的安全策略。的所有安全帐户的安全策略。编辑ppt 多个域可以组织成父多个域可以组织成父-子关系，从而形成层次子关系，从而形成层次结构。一个父域是在层次结构

21、中直接高于一个或结构。一个父域是在层次结构中直接高于一个或多个下级（或称子级）的域。一个子域也可以是多个下级（或称子级）的域。一个子域也可以是一个或多个子域的父域，如下图所示。这种层次一个或多个子域的父域，如下图所示。这种层次结构相对于结构相对于Windows NT 4.0和和Windows NT 3.51中中的一般域结构有所改变。的一般域结构有所改变。域层次结构的例子 编辑ppt活动目录使你能够通过名字（属性）找到资源，而不是物理位置,这样使网络的物理结构对用户透明域域Domains组织单元组织单元OU树树Tree和林和林ForestDomain域域域域目录树目录树域域域域域域目录树目录树目

22、录林目录林域域OUOUOU编辑ppt Windows Server 2003中的域层次结构使用户中的域层次结构使用户可以在一次查询中搜索多个域，因为在该层次结可以在一次查询中搜索多个域，因为在该层次结构中每一级都包含其直接上级和直接下级的信息，构中每一级都包含其直接上级和直接下级的信息，这种层次信息使用户不需要知道一个特定对象的这种层次信息使用户不需要知道一个特定对象的位置就可以找到它。而在位置就可以找到它。而在Windows NT 4.0及其更及其更早的版本中，为找到一个对象，用户必须既知道早的版本中，为找到一个对象，用户必须既知道该对象所在的域，又知道它所在的服务器。该对象所在的域，又知道

23、它所在的服务器。 Windows Server 2003对活动目录的域和计算对活动目录的域和计算机的层次型命名使用机的层次型命名使用DNS的命名标准，基于这一的命名标准，基于这一原因，域和计算机对象不仅是原因，域和计算机对象不仅是DNS域层次结构中域层次结构中的一部分，也是活动目录域层次结构中的一部分。的一部分，也是活动目录域层次结构中的一部分。这些域层次尽管有相同的名字，却代表各自独立这些域层次尽管有相同的名字，却代表各自独立的名字空间。的名字空间。编辑ppt DNS的主要功能是将用户可以识别的计算机的主要功能是将用户可以识别的计算机名字映射到计算机可识别的名字映射到计算机可识别的IP地址上

24、。因此，地址上。因此，DNS为计算机名字定义了一个名字空间，根据这为计算机名字定义了一个名字空间，根据这些名字可以解析出些名字可以解析出IP地址，反之亦然。在地址，反之亦然。在Windows NT 4.0或更早的版本中，或更早的版本中，DNS名字是不需要的，域名字是不需要的，域和计算机使用和计算机使用NetBIOS名字，这种名字通过使用名字，这种名字通过使用Windows Internet名字服务（名字服务（WINS）而映射到）而映射到IP地址。尽管对地址。尽管对Windows Server 2003域和基于域和基于Windows Server 2003的计算机来说，它们是需要的计算机来说，它

25、们是需要DNS名字的，但为了达到跟名字的，但为了达到跟Windows NT 4.0域及域及那些运行那些运行Windows NT 4.0或更早版本、或更早版本、Windows for Workgroups、Windows 98或或Windows 95的客的客户机之间的兼容性，户机之间的兼容性，Windows Server 2003中也支中也支持持NetBIOS名字。名字。编辑ppt 由于由于Windows Server 2003兼容支持兼容支持Windows NT的域，所以按照域中是否有无的域，所以按照域中是否有无Windows NT域域服务器，将域分为单纯由服务器，将域分为单纯由Windows

26、 Server 2003域域服务器组成的本机模式（服务器组成的本机模式（Native Mode），以及由），以及由Windows NT和和Windows Server 2003域服务器组成域服务器组成的混合模式（的混合模式（Mixed Mode）。由于）。由于Windows Server 2003的域服务器包含的域服务器包含Windows NT域服务器域服务器功能，并有重大改进和提高，所以由混合模式功能，并有重大改进和提高，所以由混合模式（Mixed Mode）组成的域的功能受到限制，本机）组成的域的功能受到限制，本机模式（模式（Native Mode）的功能最完善。）的功能最完善。编辑ppt

27、2、组织单元、组织单元 活动目录允许管理员在一个域内创建一个满活动目录允许管理员在一个域内创建一个满足其组织需要的层次结构。建立这些层次结构要足其组织需要的层次结构。建立这些层次结构要选择的对象类是选择的对象类是Orgnizational Unit类，这是一个类，这是一个通用容器，该容器可以因管理上的目的而将其他通用容器，该容器可以因管理上的目的而将其他大多数对象类组合到一起。活动目录中的一个组大多数对象类组合到一起。活动目录中的一个组织单元与文件系统中的一个目录是类似的，它是织单元与文件系统中的一个目录是类似的，它是一个可以包容其他对象的容器。一个可以包容其他对象的容器。编辑ppt（1）管理

28、层次）管理层次 组织单元可以被嵌套在一起来创建一个域中组织单元可以被嵌套在一起来创建一个域中的层次结构，并为用户、组和资源对象形成逻辑的层次结构，并为用户、组和资源对象形成逻辑上的管理单元，如打印机、计算机、应用程序和上的管理单元，如打印机、计算机、应用程序和文件共享。一个域中的组织单元层次结构独立于文件共享。一个域中的组织单元层次结构独立于其他域的结构；每个域可以组织自己的层次结构。其他域的结构；每个域可以组织自己的层次结构。同样，由一个集中的权威机构管理的多个域可以同样，由一个集中的权威机构管理的多个域可以实现相似的组织单元层次结构。这种结构是灵活实现相似的组织单元层次结构。这种结构是灵活

29、的，它使得一个组织可以创建一个与其管理模型的，它使得一个组织可以创建一个与其管理模型相同的环境，不管它是集中的还是分散的。相同的环境，不管它是集中的还是分散的。编辑ppt（2）组策略）组策略 组策略（组策略（Group Policy）可以应用到组织单元）可以应用到组织单元上，来定义该组织单元中包含的计算机和用户组上，来定义该组织单元中包含的计算机和用户组的能力。控制的级别范围从完全的桌面锁定到相的能力。控制的级别范围从完全的桌面锁定到相对自治的用户经验。组策略可以影响功能，如哪对自治的用户经验。组策略可以影响功能，如哪些应用程序对一组用户可用，一个应用程序中的些应用程序对一组用户可用，一个应用

30、程序中的哪些特性可以从一台特定的机器上访问，文档被哪些特性可以从一台特定的机器上访问，文档被保存在何处，应用程序和操作系统如何更新，特保存在何处，应用程序和操作系统如何更新，特定的脚本如何应用等。定的脚本如何应用等。 组策略设置在活动目录中，被作为组策略对组策略设置在活动目录中，被作为组策略对象存储，一个组策略对象可以与一个或多个活动象存储，一个组策略对象可以与一个或多个活动目录容器如一个站点、域或者组织单元相联系。目录容器如一个站点、域或者组织单元相联系。编辑ppt（3）控制的代理）控制的代理 基于对象的安全模型，基于对象的安全模型，Windows Server 2003实现了缺省的被沿着容

31、器对象的一棵特殊的子树实现了缺省的被沿着容器对象的一棵特殊的子树向下传播的访问控制。使用这一技术，按照在包向下传播的访问控制。使用这一技术，按照在包含着对象的组织单元中设定的安全（这些安全有含着对象的组织单元中设定的安全（这些安全有效地代表了对组织中的管理控制）来确定一整组效地代表了对组织中的管理控制）来确定一整组对象的安全。要完全利用目录对象上的代理和继对象的安全。要完全利用目录对象上的代理和继承来的控制，最好的方式是组织层次结构以跟该承来的控制，最好的方式是组织层次结构以跟该目录所被管理的方式匹配。目录所被管理的方式匹配。编辑ppt 对目录对象的控制可以通过访问控制应用于对目录对象的控制可

32、以通过访问控制应用于组织单元。下图显示了组织单元域中的结构。组织单元。下图显示了组织单元域中的结构。组织单元的层次结构 编辑ppt3、树和森林、树和森林 根据根据DNS命名标准，活动目录域被创建成一命名标准，活动目录域被创建成一棵倒过来的树形结构，其根在顶部。另外，这种棵倒过来的树形结构，其根在顶部。另外，这种Windows Server 2003域层次结构基于信任关系，域层次结构基于信任关系，也就是说，各个域通过域间的信任关系相连接。也就是说，各个域通过域间的信任关系相连接。 当同一个组织中的多个域需要有不同的名字当同一个组织中的多个域需要有不同的名字空间时，要给各个名字空间创建一棵独立的树

33、。空间时，要给各个名字空间创建一棵独立的树。在在Windows Server 2003中，各棵树的根之间自动中，各棵树的根之间自动地被双向的、传递的（地被双向的、传递的（Transitive）信任关系所连）信任关系所连接。由信任关系所连接的多棵树形成森林，一棵接。由信任关系所连接的多棵树形成森林，一棵不与其他任何树相连的树也构成一座单树的森林。不与其他任何树相连的树也构成一座单树的森林。 编辑ppt 整个整个Windows Server 2003森林的树状结构都森林的树状结构都按父按父-子关系和树子关系和树-根关系的形式存储在活动目录中，根关系的形式存储在活动目录中，而这些关系都被作为信任帐户

34、对象（而这些关系都被作为信任帐户对象（Trusted Domain类）存储在一个特定的域目录分区的系统类）存储在一个特定的域目录分区的系统容器中。对森林中的每个域，关于它与父域（如容器中。对森林中的每个域，关于它与父域（如果它是树根，则跟另一个树根域）相联系的信息果它是树根，则跟另一个树根域）相联系的信息被添加的被复制的森林中的每个域内的配置数据被添加的被复制的森林中的每个域内的配置数据中。因此，域控制器森林中的每台域控制器都知中。因此，域控制器森林中的每台域控制器都知道整个森林的树状结构，包括树之间的链接，用道整个森林的树状结构，包括树之间的链接，用户可以通过活动目录域树管理器（户可以通过活

35、动目录域树管理器（Domain Tree Manager）查看该树状结构。）查看该树状结构。编辑ppt（1）树）树 一棵一棵Windows Server 2003树就是一个树就是一个DNS名名字空间，它有一个惟一的根域并且是一个严格的字空间，它有一个惟一的根域并且是一个严格的层次结构，根域以下的每个域都只有一个父域。层次结构，根域以下的每个域都只有一个父域。因此，根据这种层次结构创建的名字空间是邻接因此，根据这种层次结构创建的名字空间是邻接的的-层次结构中的每一级都直接与其上一级和下一层次结构中的每一级都直接与其上一级和下一级（如果存在）相连，如下图所示。级（如果存在）相连，如下图所示。编辑p

36、pt树状层次结构编辑ppt 在在Windows Server 2003中，下面几条规则确中，下面几条规则确定在名字空间中树如何起作用：定在名字空间中树如何起作用：n一棵树只有一个名字，即位于树根处的域的一棵树只有一个名字，即位于树根处的域的DNS名字。名字。n在根域下面创建的域（子域）的名字总是与根在根域下面创建的域（子域）的名字总是与根域的名字邻接。域的名字邻接。n一棵树的根域的子域的一棵树的根域的子域的DNS名字反映该组织，名字反映该组织，因此，叫做因此，叫做“某域某域”（“somedomain”）的子）的子域在域在DNS名空间中总是该域的儿子（如名空间中总是该域的儿子（如；等等等）。等）

37、。编辑ppt 子域可以表示地理上的实体（如美国和欧子域可以表示地理上的实体（如美国和欧洲）、组织中的管理实体（如销售部与市场部），洲）、组织中的管理实体（如销售部与市场部），或者其他由组织所指定的范围，这些视组织的需或者其他由组织所指定的范围，这些视组织的需要而定。域在根域下创建，以减少活动目录副本，要而定。域在根域下创建，以减少活动目录副本，并且提供一种创建不变的域名的方法。整个域体并且提供一种创建不变的域名的方法。整个域体系结构的改变，如域崩溃或域重新创建，都会带系结构的改变，如域崩溃或域重新创建，都会带来一些困难和潜在的对来一些困难和潜在的对IT业影响强烈的支持要求，业影响强烈的支持要求

38、，好的名字空间设计应该能够在不需要重新组织现好的名字空间设计应该能够在不需要重新组织现存的域层次结构的情况下，经受住公司的重组要存的域层次结构的情况下，经受住公司的重组要求。求。编辑ppt（2） 森林森林 一座森林是一棵或多棵一座森林是一棵或多棵Windows Server 2003活动目录树的集合，各树之间地位相当，由双向、活动目录树的集合，各树之间地位相当，由双向、传递的信任关系相关联。单个域组成一棵单域的传递的信任关系相关联。单个域组成一棵单域的树，单棵树组成单树的森林。因此，一座森林跟树，单棵树组成单树的森林。因此，一座森林跟活动目录是同一个概念，也就是说，在一个特定活动目录是同一个概

39、念，也就是说，在一个特定的目录服务实例（包括所有的域和所有的配置和的目录服务实例（包括所有的域和所有的配置和模式信息）中的全部目录分区的集合组成一座森模式信息）中的全部目录分区的集合组成一座森林。林。编辑ppt 在同一座森林中的多棵树并不构成一个邻接在同一座森林中的多棵树并不构成一个邻接的名字空间，而是构成一个基于不同的的名字空间，而是构成一个基于不同的DNS根域根域名的不邻接的名字空间。然而，一座森林中的多名的不邻接的名字空间。然而，一座森林中的多棵树共享一个公共的目录模式、配置数据以及全棵树共享一个公共的目录模式、配置数据以及全局编目。这种对公共的模式和配置数据的共享，局编目。这种对公共的

40、模式和配置数据的共享，再加上树根之间的信任关系，将一座森林与由一再加上树根之间的信任关系，将一座森林与由一些不相联系的树组成的一个集合区分开来。尽管些不相联系的树组成的一个集合区分开来。尽管每棵树根的名字跟其他树根的名字不相邻接，所每棵树根的名字跟其他树根的名字不相邻接，所有的树还是共享一个全局名字空间，因为对象的有的树还是共享一个全局名字空间，因为对象的名字仍然可以由同一个活动目录所解析。一座森名字仍然可以由同一个活动目录所解析。一座森林像一个由交叉引用的对象和成员树所知道的信林像一个由交叉引用的对象和成员树所知道的信任关系所组成的集合而存在，位于每个名字空间任关系所组成的集合而存在，位于每

41、个名字空间的根域的传递信任提供了对资源的相互访问。的根域的传递信任提供了对资源的相互访问。编辑ppt 森林结构给公司提供了从独立的、明确的、森林结构给公司提供了从独立的、明确的、不相邻接的名字空间建设自己的事业的选择。如不相邻接的名字空间建设自己的事业的选择。如果公司有一些有独立的果公司有一些有独立的DNS名字的商业部门，可名字的商业部门，可以创建另外的树来容纳这些名字。下图显示了这以创建另外的树来容纳这些名字。下图显示了这种类型的一个组织的例子。种类型的一个组织的例子。有两棵树的森林结构 编辑ppt 在一座活动目录森林中的多个域共享一个目在一座活动目录森林中的多个域共享一个目录模式、配置信息

42、和全局编目，它们也拥有传递录模式、配置信息和全局编目，它们也拥有传递的信任关系，使得每个域中的用户可以访问树中的信任关系，使得每个域中的用户可以访问树中所有其他域内的可用资源。所有其他域内的可用资源。 森林中第一个创建的域称为森林根域，它不森林中第一个创建的域称为森林根域，它不可以被删除、更改或重命名。当用户创建一棵新可以被删除、更改或重命名。当用户创建一棵新的树时，要指定初始树的根域，在第二棵树的根的树时，要指定初始树的根域，在第二棵树的根域和森林根域间建立起一种信任关系。因为信任域和森林根域间建立起一种信任关系。因为信任关系是传递和双向的，第三棵树的根域跟第二棵关系是传递和双向的，第三棵树

43、的根域跟第二棵树的根域之间也存在一个双向的信任关系。树的根域之间也存在一个双向的信任关系。编辑ppt（3）信任关系）信任关系 活动目录通过域间的信任关系提供跨域的安活动目录通过域间的信任关系提供跨域的安全。当域之间有信任关系时，每个域的认证机构全。当域之间有信任关系时，每个域的认证机构都信任其他所有它所信任的域的认证机构。如果都信任其他所有它所信任的域的认证机构。如果一个用户或应用程序被一个域认证后，所有信任一个用户或应用程序被一个域认证后，所有信任这个认证域的域都认可这种认证。一个被信任域这个认证域的域都认可这种认证。一个被信任域中的用户可以访问信任域中的资源，并要受施加中的用户可以访问信任

44、域中的资源，并要受施加于信任域上的访问控制所制约。于信任域上的访问控制所制约。编辑ppt1）传递和非传递信任）传递和非传递信任 在在Windows NT 3.51和和Windows NT 4.0中，信中，信任关系必须明确地朝一个方向创建，一个双向的任关系必须明确地朝一个方向创建，一个双向的信任关系通过创建两个单向的信任关系而建立。信任关系通过创建两个单向的信任关系而建立。为达到可以访问资源的目的，各个域可以通过明为达到可以访问资源的目的，各个域可以通过明确的设置为单向或双向信任关系来连接，但它们确的设置为单向或双向信任关系来连接，但它们不一定要以其他任何方式相联系。在不一定要以其他任何方式相联

45、系。在Windows Server 2003中，域可以加入到一个域树或森林中，中，域可以加入到一个域树或森林中，每个子域与父域有一个自动的双向信任关系，这每个子域与父域有一个自动的双向信任关系，这种信任关系也是传递的。传递信任指延伸到一个种信任关系也是传递的。传递信任指延伸到一个域的信任关系也自动地延伸到该域所信任的任何域的信任关系也自动地延伸到该域所信任的任何一个域上。一个域上。 编辑ppt 传递信任自动地应用于域树或森林的所有成员传递信任自动地应用于域树或森林的所有成员域上。因此，当一个孙域被创建时，父域与子域域上。因此，当一个孙域被创建时，父域与子域之间的信任关系被孙域所认可，反之亦然。

46、例如，之间的信任关系被孙域所认可，反之亦然。例如，如果一个用户帐户已经由父域认证，该用户就可如果一个用户帐户已经由父域认证，该用户就可以访问孙域中的资源；同样，如果用户已由子域以访问孙域中的资源；同样，如果用户已由子域认证，则他就可以访问父域中和孙域中的资源。认证，则他就可以访问父域中和孙域中的资源。 Windows Server 2003域中的传递信任的结果域中的传递信任的结果是：一座活动目录森林中的所有域之间完全是信是：一座活动目录森林中的所有域之间完全是信任的，每个域与其父域有一个传递信任关系，每任的，每个域与其父域有一个传递信任关系，每棵树的根域都与森林的根域有一个传递信任关系。棵树的

47、根域都与森林的根域有一个传递信任关系。编辑ppt 当一个传递信任关系不合适时，可以在当一个传递信任关系不合适时，可以在Windows Server 2003域间创建一个非传递信任关域间创建一个非传递信任关系，但是这种信任关系必须明确地创建。例如，系，但是这种信任关系必须明确地创建。例如，可以在不处在同一座森林中的可以在不处在同一座森林中的Windows Server 2003域之间创建非传递信任关系。域之间创建非传递信任关系。 Windows Server 2003域和域和Windows NT 4.0域域之间的信任关系总是非传递信任关系。如果两个之间的信任关系总是非传递信任关系。如果两个域中一

48、个是帐户域而另一个是资源域的话，该信域中一个是帐户域而另一个是资源域的话，该信任关系通常被创建为单向的；如果两个域中都有任关系通常被创建为单向的；如果两个域中都有用户帐户，则它们之间可以创建双向的信任关系。用户帐户，则它们之间可以创建双向的信任关系。两个域之间的信任关系（不管单向还是双向、传两个域之间的信任关系（不管单向还是双向、传递还是非传递）在活动目录中都被存储为一个域递还是非传递）在活动目录中都被存储为一个域间的信任帐户对象（间的信任帐户对象（Interdomain Trust Account Object）。）。编辑ppt2）信任的方向）信任的方向 在描述信任关系时，箭头以如下方式说明

49、域在描述信任关系时，箭头以如下方式说明域间的信任方向：间的信任方向：n如果如果B是信任域，是信任域，A是被信任域，是被信任域，BA表示域表示域B信任域信任域A。（相同的信任关系可以表示为。（相同的信任关系可以表示为AB，即即A被被B所信任。）所信任。）n当域当域B信任域信任域A（BA）时，在域）时，在域A中拥有帐户中拥有帐户的用户可以被认证访问域的用户可以被认证访问域B中的资源。然而，中的资源。然而，在域在域B中拥有帐户的用户不被信任，因此不能中拥有帐户的用户不被信任，因此不能被认证访问域被认证访问域A中的资源。中的资源。编辑ppt japan. china. 目录树目录树目录林目录林japa

50、n. china. T(root)域域 Windows NT 4.0单向不可传递信任关系单向不可传递信任关系双向可传递信任关系双向可传递信任关系编辑ppt Windows Server 2003域的一个层次结构由域域的一个层次结构由域间的信任关系实现。在活动目录中，一个父域与间的信任关系实现。在活动目录中，一个父域与一个子域间的信任关系是双向的（一个子域间的信任关系是双向的（AB），但有），但有如下的限制：如下的限制：n一个域树中的两个域间的父一个域树中的两个域间的父-子关系由一个下级子关系由一个下级的名字关系定义。例如，的名字关系定义。例如，是是的一个儿子，但的一个儿子，但并并不是不是的儿子

51、。父的儿子。父-子信任关系不仅要求一个父子子信任关系不仅要求一个父子关系，还要求一个信任方向如下：只有当关系，还要求一个信任方向如下：只有当BA并且并且B是是A的一个下一级的名字时，域的一个下一级的名字时，域A才可以才可以被指定为域被指定为域B的父亲。的父亲。n当一个新域作为一个儿子加入一棵域树时，就当一个新域作为一个儿子加入一棵域树时，就自动地定义了一个建立双向的、传递的信任关自动地定义了一个建立双向的、传递的信任关系的父系的父-子信任关系。子信任关系。编辑ppt 使用双向的、传递的信任关系减少了管理时使用双向的、传递的信任关系减少了管理时间，因为它减少了超过一半的必须被管理的信任间，因为它

52、减少了超过一半的必须被管理的信任关系数，如下图所示。关系数，如下图所示。NT4.0中域间的显式双向信任关系 Windows Server 2003中域间的自动编辑ppt三三 活动目录物理结构活动目录物理结构 1、域控制器、域控制器 域控制器是使用域控制器是使用Active Directory安装向导配安装向导配置的运行置的运行Windows Server 2003的计算机。的计算机。Active Directory安装向导安装和配置为网络用户和计算安装向导安装和配置为网络用户和计算机提供机提供Active Directory目录服务的组件。域控制目录服务的组件。域控制器存储着目录数据并管理用户

53、域的交互，其中包器存储着目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。括用户登录过程、身份验证和目录搜索。编辑ppt 一个域可有一个或多个域控制器。使用单个一个域可有一个或多个域控制器。使用单个局域网（局域网（LAN）的小单位可能只需要一个具有两）的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可每个位置都需要一个或多个域控制器以提供高可用性和容错能力。用性和容错能力。 Active Directory支持域中所有域控制器之间支持域中所有域控制器之间目录数据的多宿主复

54、制。但是，某些更改以多宿目录数据的多宿主复制。但是，某些更改以多宿主方式进行是不实际的，因为这样只有一个称作主方式进行是不实际的，因为这样只有一个称作操作主机的域控制器可接受这些更改请求。操作主机的域控制器可接受这些更改请求。编辑ppt2、全局编目服务器、全局编目服务器 全局编目服务器包含了目录中所有对象的信息，全局编目服务器包含了目录中所有对象的信息，这使得用户和管理员可以在不知目录中究竟哪个这使得用户和管理员可以在不知目录中究竟哪个域包含数据的情况下查找目录信息。域包含数据的情况下查找目录信息。 一座森林中的每台域控制器都存储本域的完一座森林中的每台域控制器都存储本域的完整目录信息。全局编

55、目服务器是一个不仅存储本整目录信息。全局编目服务器是一个不仅存储本域的完整目录，同时还存储森林中所有域目录的域的完整目录，同时还存储森林中所有域目录的一个部分的、只读的副本域控制器。额外的目录一个部分的、只读的副本域控制器。额外的目录分区之所以是分区之所以是“部分部分”的，是因为尽管它们合起的，是因为尽管它们合起来包含了目录中的每个对象，但对每个对象只包来包含了目录中的每个对象，但对每个对象只包含一个受限的不完整的属性集合。全局编目由活含一个受限的不完整的属性集合。全局编目由活动目录副本复制系统自动地建立。动目录副本复制系统自动地建立。 编辑ppt3、站点、站点 站点就是具有高带宽连接的网络的

56、一个区域。站点就是具有高带宽连接的网络的一个区域。为方便起见，将站点考虑为由一个或多个为方便起见，将站点考虑为由一个或多个 IP 子网子网中的一组计算机定义。这样会工作得比较好，因中的一组计算机定义。这样会工作得比较好，因为要确保目录信息的有效交换，站点中的计算机为要确保目录信息的有效交换，站点中的计算机需要很好地连接，尤其是子网内的计算机。如果需要很好地连接，尤其是子网内的计算机。如果站点包括多个子网，由于相同原因那些子网也必站点包括多个子网，由于相同原因那些子网也必须良好地连接。广域网（须良好地连接。广域网（WAN）应使用多个站点，）应使用多个站点，如果未使用，整个广域网内的服务请求或复制

57、目如果未使用，整个广域网内的服务请求或复制目录信息可能效率非常低。录信息可能效率非常低。 编辑ppt 如后图所示，站点反映网络的物理结构，而如后图所示，站点反映网络的物理结构，而域通常反映企业的逻辑结构。逻辑结构和物理结域通常反映企业的逻辑结构。逻辑结构和物理结构相互独立，其具有下列因果关系：构相互独立，其具有下列因果关系：n网络的物理结构及其域结构之间没有必要的网络的物理结构及其域结构之间没有必要的相关性相关性nActive Directory允许单个站点中有多个域，允许单个站点中有多个域，单个域中有多个站点单个域中有多个站点n站点和域名称空间之间没有必要的连接站点和域名称空间之间没有必要的

58、连接编辑ppt Active Directory站点和服务允许用户指定站站点和服务允许用户指定站点信息。点信息。Active Directory使用该信息确定如何充使用该信息确定如何充分地使用可用网络资源。这使得下列类型的操作分地使用可用网络资源。这使得下列类型的操作更有效：更有效：（1） 服务请求服务请求 当客户从域控制器请求服务时，只要相同域当客户从域控制器请求服务时，只要相同域中的域控制器有一个可用，此请求就将会发给这中的域控制器有一个可用，此请求就将会发给这个域控制器。选择与发出请求的客户连接良好的个域控制器。选择与发出请求的客户连接良好的域控制器将使该请求的处理效率更高。域控制器将使

59、该请求的处理效率更高。编辑ppt（2） 复制复制 站点使目录信息以流水线的方式复制。目录站点使目录信息以流水线的方式复制。目录架构和配置信息分布在整个树林中，而且域数据架构和配置信息分布在整个树林中，而且域数据分布在域中的所有域控制器之间。通过有策略地分布在域中的所有域控制器之间。通过有策略地减少复制，网络拥塞也会同样减少。减少复制，网络拥塞也会同样减少。Active Directory在一个站点内比在站点之间更频繁地复在一个站点内比在站点之间更频繁地复制目录信息。这样，连接最好的域控制器中最可制目录信息。这样，连接最好的域控制器中最可能需要特定目录信息的域控制器首先接收复制的能需要特定目录信

60、息的域控制器首先接收复制的内容。其他站点中的域控制器接收对目录所进行内容。其他站点中的域控制器接收对目录所进行的更改，但不频繁，可以降低网络带宽的消耗。的更改，但不频繁，可以降低网络带宽的消耗。 如果配置方案未组织成站点，则域和客户之如果配置方案未组织成站点，则域和客户之间的信息交换可能非常混乱。站点能提高网络使间的信息交换可能非常混乱。站点能提高网络使用的效率。用的效率。编辑ppt 站点成员身份分别针对域控制器和客户机确站点成员身份分别针对域控制器和客户机确定，可能会有所不同。客户机确定它打开时所在定，可能会有所不同。客户机确定它打开时所在的站点，所以其站点位置经常动态更新。域控制的站点，所