活动目录与Windows域

1、 第2章活动目录与Windows域主编：姚华婷高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材本章学习导航本章学习导航本章学习导航本章学习导航 高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材本章学习要点本章学习要点（1）目录服务目录服务（2）Active Directory（3）建立和管理）建立和管理域域（4）管理）管理Active Directory对象对象（5）配置和应用）配置和应用组策略组策略 建议课时：

2、建议课时：6课时课时高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.1 目录服务概述 l 目录服务定义目录服务定义 目录服务是一种基于客户/服务器模型的信息查询服务。可以将目录看作是一个具有特殊用途的数据库。l 目录服务特点目录服务特点n 数据读取和查询效率非常高n 数据写入效率较低n 以树状的层次结构来描述数据信息目录服务概念目录服务概念高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.1 目录服务概述

3、目录服务适合基于目录和层次结构的信息管理，尤其是基础性、关键性信息管理。n 计算机网络管理：作为网络基础结构的一个重要组成部分n 信息安全管理：用于数字证书管理、安全认证等n 公共查询：提供类似黄页、电子邮件目录之类的公共查询服务n 资源管理：如机构信息、人事信息、账户信息n 作为应用程序的支撑系统：对应用程序进行身份验证和授权n 扩充电子邮件系统：在电子邮件系统之间传递和集成电子邮件目录服务应用目录服务应用高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.1 目录服务概述 l LDAP目录结构目录结

4、构 LDAP目录由包含有描述性信息的各个条目（记录）组成。数据按树状的层次结构来组织，从一个根开始，向下分支到各个条目。l LDAP根的表示方法根的表示方法n X.500标准格式n DNS域名n 域名的不同部分LDAPLDAP协议协议dc=net dc=com dc=org dc=abc ou=office ou=sales cn=zhong 组织机构组织单元用户cn=zhang 根高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.1 目录服务概述 l 微软微软Active Directory l N

5、ovell eDirectoryl OpenLDAPl Sun iPlanet Directory Server目录服务软件目录服务软件高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.2 Active Directory基础 Active Directory是一种用于组织、管理和定位网络资源的增强性目录服务。n 数据存储（存储与AD对象有关的信息）n 全局编录（包含目录中每个对象信息）n 查询和索引机制n 复制服务（通过网络分发目录数据）n 安全子系统集成（网络安全登录过程、目录数据访问控制） n

6、安全策略存储和应用Active Directory Active Directory 功能功能高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.2 Active Directory基础 l 对象类型对象类型n 容器对象n 非容器对象l 对象的对象的LDAP表示方法表示方法n 采用RDN：如CN=zhong。RDN必须唯一。n 采用DN：如 CN=zhong, OU=office, DC=abc, DC=com。n 采用规范名称：如 DirectoryActive Directory 对对象象dc=ne

7、t dc=com dc=org dc=abc ou=office ou=sales cn=zhong 组织机构组织单元用户cn=zhang 根高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.2 Active Directory基础 l Active Directory域域 域是Active Directory的基本单位和核心单元，是Active Directory的分区单位。n 域控制器n 成员服务器n 工作站Active DirectoryActive Directory 结构结构高 职 高 专

8、计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.2 Active Directory基础 l 组织单位（组织单位（OU） n 将域划分成多个组织单位n 组织单位相当于域的子域，包含各种对象n 组织单位本身也具有层次结构n 创建组织单位考虑职能或商务结构Active DirectoryActive Directory 结构结构高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.2 Active Directory基础 l 域树

9、域树 n 将多个域组合成为一个域树n 域树中的第一个域称作根域n 域层次关系仅限于命名方式n 父域和子域的管理员平等Active DirectoryActive Directory 结构结构高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.2 Active Directory基础 l 林林 n 林是一个或多个域树通过信任关系形成的集合n 林中的域树不形成邻接的名称空间n 域树的根域与林的根域建立可传递的信任关系Active DirectoryActive Directory 结构结构高 职 高 专 计

10、 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.2 Active Directory基础 l 域信任关系域信任关系 n 一个域中的账户由另一个域中的域控制器验证n 信任方向可以是单向，也可以是双向n 信任关系可传递，也可不传递n 创建域时相邻域（父域和子域）之间自动创建信任关系Active Directory Active Directory 结构结构高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.2 Active Dir

11、ectory基础 l Active Directory站点站点n 站点可看作是一个或多个IP子网中的一组计算机定义n 站点反映网络物理结构Active Directory Active Directory 结构结构高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.2 Active Directory基础 l Active Directory和和DNS有相同的层次结构有相同的层次结构l DNS区域可存储在区域可存储在Active Directory中中l Active Directory将将DNS作为定

12、位服务使用作为定位服务使用Active Directory Active Directory 与与DNSDNS高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.2 Active Directory基础 l 工作组工作组对等式网络对等式网络n 每台计算机地位平等，只能够管理本机资源n 以本机账户数据库内的用户登录n 账户管理繁琐，系统设置不变WindowsWindows域网络域网络高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会

13、 精 品 教 材2.2 Active Directory基础 l 域域集中管理式网络集中管理式网络n 所有计算机共享域控制器上的目录数据库n 域控制器主管整个域的账户与安全管理n 提高网络管理效率WindowsWindows域网络域网络高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.3 建立和管理域 l 尽可能减少域的数量，推荐使用单一域结构尽可能减少域的数量，推荐使用单一域结构l 组织单位的规划很重要组织单位的规划很重要l Active Directory中必须有一个林中必须有一个林l 选择选择D

14、NS名称名称l 内部名称空间与外部名称空间尽可能保持一致内部名称空间与外部名称空间尽可能保持一致l 多数情况下只需一个多数情况下只需一个Active Directory站点站点Active DirectoryActive Directory 规划规划高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.3 建立和管理域 l 考虑考虑DNS配置配置 域控制器安装域控制器安装 Active Directory安装向导从已配置的DNS服务器列表中定位新域的权威DNS服务器。 如果网络上没有DNS服务器，可在安装

15、Active Directory时选择自动安装和配置本地DNS服务器。高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.3 建立和安装域 l 安装域控制器的步骤安装域控制器的步骤域控制器的域控制器的安装安装高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.3 建立和安装域 l 安装域控制器的步骤安装域控制器的步骤域控制器的域控制器的安装安装高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材

16、高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.3 建立和安装域 l 安装域控制器的步骤安装域控制器的步骤域控制器的域控制器的安装安装高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.3 建立和安装域 l 删除（降级）域控制器删除（降级）域控制器域控制器的域控制器的安装安装高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.3 建立和管理域 l Active Directory 用户和

17、计算机用户和计算机 l Active Directory 域和信任域和信任l Active Directory 站点和服务站点和服务Active DirectoryActive Directory 管理工具管理工具高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.3 建立和管理域 l 将工作站添加到域将工作站添加到域 域成员计算机的配置与管理域成员计算机的配置与管理使用DNS域名一定要确保已经设置好DNS服务器，即该计算机能够获知域控制器IP地址 高 职 高 专 计 算 机 教 育 指 导 委 员 会

18、 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.3 建立和管理域 l 将将服务器添加到域服务器添加到域 域成员计算机的配置与管理域成员计算机的配置与管理高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.3 建立和管理域 l 域成员计算机登录到域域成员计算机登录到域域成员计算机的配置与管理域成员计算机的配置与管理UPN账户登录 SAM账户登录 高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员

19、 会 精 品 教 材2.3 建立和管理域 l 让域成员计算机退出域让域成员计算机退出域域成员计算机的配置与管理域成员计算机的配置与管理高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.3 建立和管理域 使用组织单位可将网络所需的域的数量降到最低程度使用组织单位可将网络所需的域的数量降到最低程度。组织单位可组织单位可以像域一样管理用户、计算机等对象。以像域一样管理用户、计算机等对象。组织单位管理组织单位管理高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机

20、教 育 指 导 委 员 会 精 品 教 材2.4 管理AD用户、计算机和组 l 域域（AD）用户账户用户账户概念概念n 域用户账户在域控制器上建立，用来登录域、访问域内资源。n 域用户账户数据存储在目录数据库，实现用户统一安全认证。n 域成员计算机一般不必再建立和管理本地账户n Windows Server 2003域控制器内置域用户账户n 为加入网络的每个用户创建单独的域用户账户管理域用户账户管理域用户账户高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.4 管理AD用户、计算机和组 l 域用户账户

21、域用户账户创建创建 管理域用户账户管理域用户账户高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.4 管理AD用户、计算机和组 l 域用户账户域用户账户管理管理 管理域用户账户管理域用户账户高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.4 管理AD用户、计算机和组 l 计算机账户提供一种验证和审核计算机访问网络以及域资源的方法计算机账户提供一种验证和审核计算机访问网络以及域资源的方法l 连接到网络上的每一

22、台计算机都应有自己的唯一计算机账户连接到网络上的每一台计算机都应有自己的唯一计算机账户管理管理计算机账户计算机账户高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.4 管理AD用户、计算机和组 l 组组的的特性特性n 组可跨越组织单位或域n 组可作为安全主体n 组为非容器对象，组成员与组之间没有从属关系l 组组的的作用域作用域n 通用组：具有通用作用域，成员可以是任何域的用户账户、全局组或通用组，权限范围是整个林n 全局组：具有全局作用域，其成员可以是同域用户账户或其他全局组，权限范围是整个林。n 本

23、地域组：具有本地域作用域，成员可以是任何域的用户账户、全局组，权限范围仅限于同域（建立组的域）的资源管理组管理组高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.4 管理AD用户、计算机和组 l 创建和管理创建和管理组组n 设置组的名称，选择组作用域和组类型n 将成员添加到组中 管理组管理组高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.4 管理AD用户、计算机和组 l 每个每个AD对象都有一个访问控制列表

24、对象都有一个访问控制列表l 为为AD对象设置不同的访问级别或权限对象设置不同的访问级别或权限l 只有安全主体能够被授予权限只有安全主体能够被授予权限设置设置ADAD对象访问控制权限对象访问控制权限高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.4 管理AD用户、计算机和组 Windows用户选择向导用于快速查找和选择用户、计算机、组等对象用户选择向导用于快速查找和选择用户、计算机、组等对象 选择用户、计算机或组对象选择用户、计算机或组对象高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品

25、 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.5 查询Active Directory对象 以普通域用户身份登录到域执行以普通域用户身份登录到域执行AD对象查询任务对象查询任务使用使用ADAD用户和计算机控制台查询用户和计算机控制台查询ADAD对象对象高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.5 查询Active Directory对象 在域成员计算机上，可通过在域成员计算机上，可通过“网上邻居网上邻居”来搜索来搜索AD中的用户、联系中的用户、联系人、组、计

26、算机、共享文件夹、打印机、组织单位等对象人、组、计算机、共享文件夹、打印机、组织单位等对象通过网上邻居搜索通过网上邻居搜索ADAD对象对象高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.6 通过组策略配置管理用户和计算机 l 组策略概念组策略概念 n 组策略实际上定制的是Windows系统注册表中相应的配置n 组策略与“组”没有关系n 组策略包括两大类：计算机配置和用户配置组策略概述组策略概述高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指

27、 导 委 员 会 精 品 教 材2.6 通过组策略配置管理用户和计算机 l 本地组策略与本地组策略与AD组策略组策略n 本地组策略设置存储在各个计算机上，只能作用于该计算机n AD组策略存储在域控制器中，只能在Active Directory环境下使用n AD组策略作用于AD站点、域或组织单位中的所有计算机和用户n AD组策略不能应用到组n AD组策略不影响未加入域的计算机和用户组策略概述组策略概述高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.6 通过组策略配置管理用户和计算机 l 组策略对象组策

28、略对象n 软件设置n Windows设置n 管理模板l 组策略对象链接组策略对象链接n 组策略对象的作用范围由组策略对象链接（GPO Link）设置n 组策略对象要生效，必须链接到AD对象（站点、域或组织单位） 组策略组策略概述概述高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.6 通过组策略配置管理用户和计算机组策略组策略概述概述本地组策略对象AD站点域组织单位 l 组策略应用顺序组策略应用顺序 高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材高 职 高 专 计 算 机 教 育 指 导 委 员 会 精 品 教 材2.6 通过组策略配置管理用户和计算机 l 应用组策略应用组策略n 配置管理模板n 文件夹重定向n 指定启动、关机、登录和注销脚本n 管理安全设置n 集中管理软件分发（部署）组策略概述组策略概述