活动目录与域控制

1、1 1第第3 3章章 活动目录与域控制活动目录与域控制课程：网络操作系统教材：网络操作系统教程2 2n第第1 1章章 网络操作系统概述网络操作系统概述 n第第2 2章章 Windows Server 2003Windows Server 2003概述概述n第第3 3章章 活动目录与域控制活动目录与域控制n第第4 4章章 Windows Server 2003系统管理与系统服务系统管理与系统服务n第第5 5章章 Windows Server 2003网络服务网络服务n第第6 6章章 Windows Server 2003操作系统安全操作系统安全 n第第7 7章章 UnixUnix操作系统概述操作

2、系统概述n第第8 8章章 shellshell工具及程序开发工具及程序开发 n第第9 9章章 LinuxLinux概述概述 n第第1010章章 LinuxLinux内核内核 n第第1111章章 LinuxLinux系统服务系统服务 n第第1212章章 LinuxLinux操作系统安全操作系统安全 3 3本章学习目标理解理解Active Directory的概念的概念掌握掌握Active Directory的域和域目录的域和域目录正确理解正确理解Active Directory域的信任关系域的信任关系了解了解Active Directory中的对象中的对象第三章第三章 活动目录与域控制活动目录与

3、域控制4 4Active Directory的概念3.1 3.1 活动目录活动目录 Active Directory又称活动目录，是Windows 2000 Server和Windows Server 2003系统中非常重要的目录服务。Active Directory存储网络上各种对象的有关信息，包括用户账户、组、打印机、共享文件夹等，并把这些数据存储在目录服务数据库中，便于管理员和用户查询及使用。它有两方面内容，目录和与目录相关的服务。5 5Active Directory的特点Active Directory是一个完全可扩展、可伸缩的目录服务，方便了管理员在统一的环境下管理整个网络的各种资

4、源。其主要特点如下：信息的安全性信息的安全性集成性集成性多主复制方式多主复制方式可扩展性可扩展性可伸缩性可伸缩性易用性易用性3.1 3.1 活动目录活动目录6 6 域和域控制器 域是在Windows Server 2003网络环境中组建客户/服务器网络的实现方式。所谓域，是由网络管理员定义的一组计算机的集合，实际上就是一个网络。域具备多个优点，能使得网络管理变得十分简单。 组织对象 域中的组织单元用来管理域中的账号和资源。依据企业内部的组织结构，通过设计、规划域域中的组织单元用来管理域中的账号和资源。依据企业内部的组织结构，通过设计、规划域的组织结构，有助于建立恰当的企业网络。的组织结构，有助

5、于建立恰当的企业网络。 安全策略和设置 在一个域中的管理权利，或是对某一个网络资源的访问权利，不会因为网络的连接而自动在一个域中的管理权利，或是对某一个网络资源的访问权利，不会因为网络的连接而自动从一个域移动到另外一个域。从一个域移动到另外一个域。3.2 3.2 域、域目录树和域目录林域、域目录树和域目录林7 7 域和域控制器 将组策略对象应用到域中 域定义了策略生效的基本单位。组策略对象确立了访问、配置和使用域资源方法的规则。将组域定义了策略生效的基本单位。组策略对象确立了访问、配置和使用域资源方法的规则。将组策略对象应用到域中可以加强对资源的安全性管理。这些策略只在域中应用，而不是跨域应用

6、。策略对象应用到域中可以加强对资源的安全性管理。这些策略只在域中应用，而不是跨域应用。 权利委派 理员可以将网络管理权限委派给某些特殊用户。使用组策略对象和组成员相互关联作用的委派理员可以将网络管理权限委派给某些特殊用户。使用组策略对象和组成员相互关联作用的委派授权，允许管理员派放管理权限，以管理整个域或者域中一个或多个组织单元的对象授权，允许管理员派放管理权限，以管理整个域或者域中一个或多个组织单元的对象3.2 3.2 域、域目录树和域目录林域、域目录树和域目录林8 8域目录树 当要配置一个包含多个域的网络时，应该将网络配置成域目录树结构。一棵域目录树就是一个DNS名字空间。它有一个惟一的根

7、域并且是一个严格的层次结构，根域以下的每个域都只有一个父域，父域则可以有多个同级的子域。因此，根据这种层次结构所创建的名字空间是邻接的。3.2 3.2 域、域目录树和域目录林域、域目录树和域目录林9 9 域目录林 如果网络的规模比前面提到的域目录树还要大，甚至包含了多个域目录树，这时可以将网络配置为域目录林(也称森林)结构。 各域目录树之间地位相当，由双向传递的信任关系相关联。 单个域组成一棵单域的域目录树，单棵域目录树组成单树的域目录林。 域目录林跟活动目录是同一个概念。 在同一片域目录林中的多棵域目录树并不构成一个邻接的名字空间，而是构成一个基于不同的DNS根域名的不邻接的名字空间，但对象

8、的名字仍然可以由同一个活动目录所解析。 一片域目录林就像一个由交叉引用的对象和成员树之间信任关系所组成的集合而存在。 位于每个名字空间根域的传递信任提供了对资源的相互访问。3.2 3.2 域、域目录树和域目录林域、域目录树和域目录林1010全局编录 有了域目录林之后，同一域目录林中的域控制器共享一个活动目录，这个活动目录是分散存放在各个域的域控制器上的，每个域中的域控制器存有该域的对象的信息。 如果一个域的用户要访问另一个域中的资源，这个用户要能够查找到另一个域中的资源才行。为了让每一个用户都能够快速查找到另一个域内的对象，微软设计了全局编录(Global Catalog，GC)。 全局编录包

9、含了整个活动目录中每一个对象的最重要的属性(即部分属性，而不是全部)，这使得用户或者应用程序即使不知道对象位于哪个域内，也可以迅速找到被访问的对象。3.2 3.2 域、域目录树和域目录林域、域目录树和域目录林1111 域信任关系是建立在两个域之间的关系，一个域中的用户可由另一个域中的域控制器验证。所有域的信任关系只能有两个域：信任域和受信任域。 活动目录通过域间的信任关系提供跨域的安全。当域之间有信任关系时，每个域的认证机构都信任其他所有它所信任的域的认证机构。如果一个用户或应用程序被一个域认证后，所有信任这个认证的域都认可这种认证。一个被信任域中的用户可以访问信任域中的资源，并由信任域上的访

10、问控制所制约。 在Windows Server 2003中，所有信任关系都是可传递的而且是双向的，信任关系中的两个域自动相互信任。3.3 3.3 域的信任关系域的信任关系1212信任路径 信任路径是身份验证请求在域之间必须遵循的一组信任关系。在用户可以访问另一个域中的资源之前，系统安全机制必须确定信任域(含有用户试图访问的资源的域)和受信任域(用户的登录域)之间是否有信任关系，在计算信任域中的域控制器和受信任域的域控制器之间建立信任路径。在图3-5中，信任路径由显示信任方向的箭头标出，其中所有的域信任关系都只能有两个域：信任域和受信任域。3.3 3.3 域的信任关系域的信任关系信任路径1313

11、单向信任和双向信任单向信任单向信任 单向信任是域单向信任是域1信任域信任域2的单一信任关系。所有的单向关系都是不可传递的，并且的单一信任关系。所有的单向关系都是不可传递的，并且所有的不可传递信任都是单向的。身份验证请求只能从信任域传到受信任域。即如所有的不可传递信任都是单向的。身份验证请求只能从信任域传到受信任域。即如果域果域1与域与域2有单向信任关系，域有单向信任关系，域2与域与域3有单向信任关系，则域有单向信任关系，则域1与域与域3之间没有单向信之间没有单向信任关系。任关系。双向信任双向信任 Windows Server 2003树林中的所有域信任都是双向可传递信任。建立新的子域时，双树林

12、中的所有域信任都是双向可传递信任。建立新的子域时，双向可传递信任在新的子域和父域之间自动建立。在双向信任中，域向可传递信任在新的子域和父域之间自动建立。在双向信任中，域1信任域信任域2，且域，且域2信任域信任域1。这意味着身份验证请求可在两个目录中的两个域之间传递。这意味着身份验证请求可在两个目录中的两个域之间传递。3.3 3.3 域的信任关系域的信任关系1414可传递信任 Windows Server 2003树林中的所有域信任都是可传递的。可传递信任始终为双向的，即此关系中的每两个域相互信任。 可传递信任不受信任关系中两个域的约束。每次当建立新的子域时，在父域和新子域之间就隐含(自动)地建

13、立起双向可传递信任关系。这样，可传递信任关系在域树中按其形成的方式向上流动，并在树林中的所有域之间建立起可传递信任。 因为域1和域2有可传递信任关系，域2和域3有可传递信任关系，所以域3中的用户(在获得相应权限时)可访问域1中的资源。因为域1和域A具有可传递信任关系，并且域A的域树中的其他域和域A具有可传递信任关系，所以域B中的用户(当授予适当权限时)可访问域3中的资源。 可传递信任只能存在于相同树林中的域之间。由于信任关系的流动，在相同树林中的域之间不可能有不可传递信任。3.3 3.3 域的信任关系域的信任关系1515信任协议 Windows通过使用Kerberos v5和NTLM认证协议中

14、的一个，对用户或应用程序进行认证。对协议的选择由客户机与服务器的能力来决定。如果客户机不识别Kerberos v5协议(比如一台运行Windows NT 4.0的计算机)，则使用NTLM(ChallengeResponse)协议来进行认证；反之，如果资源服务器不支持Kerberos认证，客户机就应使用NTLM来给服务器认证。 在运行Windows Server 2003的计算机上，Kerberos v5协议是用于网络认证的默认协议。而在Windows NT 4.0和Windows 95/98的计算机中，NTLM是默认的用于网络认证的协议。为了与这些版本兼容，Windows Server 200

15、3中保留了NTLM。3.3 3.3 域的信任关系域的信任关系1616树、树林信任关系 对于运行Windows Server 2003的计算机，可以通过基于Kerberos v5安全协议的双向可传递信任关系启用域之间的账户验证。 在域树中创建域时，相邻域(父域和子域)之间自动建立信任关系。树林中，在树林根域和添加到树林的每个域树的根域之间自动建立信任关系。因为这些信任关系是可传递的，所以可以在域树或树林中的任何域之间进行用户和计算机的身份验证。 将Windows 2000 Server以前版本的Windows域升级为Windows Server 2003域时，保留域和任何其他域之间现有的单向信任

16、关系，包括Windows 2000 Server以前版本的Windows域的所有信任关系。如果要安装新的Windows Server 2003域并且希望与任何Windows 2000 Server以前版本的域建立信任关系，则必须创建与那些域的外部信任关系。 外部信任创建了与树林外部的域的信任关系。创建外部信任的优点在于使用户可以通过树林的信任路径不包含的域进行身份验证。所有的外部验证都是单向非传递的信任，当然，在需要时也可以将两个单向信任合并为一个双向信任关系。3.3 3.3 域的信任关系域的信任关系1717Active Directory是一个分布式目录服务系统，目录中的对象分布在一个域树林

17、中是一个分布式目录服务系统，目录中的对象分布在一个域树林中的域控制器中，同一个域中的所有域控制器可以被直接更新。的域控制器中，同一个域中的所有域控制器可以被直接更新。Active Directory的的复制，是一个使域控制器的改变与该域树林中保存有信息副本的其他域控制器复制，是一个使域控制器的改变与该域树林中保存有信息副本的其他域控制器同步的过程。通过跟踪每个域控制器的改变并且有计划地更新其他域控制器，同步的过程。通过跟踪每个域控制器的改变并且有计划地更新其他域控制器，可以保证整个目录数据的完整性。可以保证整个目录数据的完整性。3.4 Active Directory3.4 Active Di

18、rectory的复制的复制1818多主机复制方式 Active Directory的复制采用多主机复制方式，这样可以迅速保持目录信息的同步。多主机复制方式与Windows NT的主从复制方式有很大的不同。主从复制方式要求所有更新都必须对位于主域控制器的目录的主副本进行，然后复制到各个副本。这种方式在副本较少的目录和所有变化较集中的应用环境中适用，对于大规模组织或分布式组织则显得效率低下。在Windows Server 2003的活动目录中，所有的域控制器都是平等的，无主域控制器和备份域控制器之分。任何域控制器的改变都会对目录数据进行更新。 在多主机复制方式中，一个域控制器不必对其他每一个域控制

19、器进行复制。系统自动设计了一套功能较好的连接，该连接决定从哪些域控制器复制到其他哪些域控制器中，以确保网络不会因复制通信过载以及复制延迟而对网络通信带来影响。这组用于将变化复制给域控制器的连接称为复制拓扑结构。这样的自动机制可大大减轻网络管理员的负担。3.4 Active Directory3.4 Active Directory的复制的复制1919站点间的复制 站点间的复制，主要是指发生在处于不同地理位置的主机之间的Active Directory站点复制。站点之间的目录更新可根据配置的日程安排自动进行。在站点之间进行的目录更新被压缩以节省带宽。 Active Directory站点复制服务

20、，使用用户提供的关于站点连接的信息，自动建立最有效的站点间复制拓扑。每个站点被指派一个域控制器(称为站点间拓扑生成程序)以建立该拓扑，使用最低开销跨越树算法，以消除站点之间的冗余复制路径。站点间复制拓扑将定期更新，以响应网络中发生的任何更改。 Active Directory站点复制服务，通过最小化复制的频率，以及允许安排站点复制链接的可用性，来节省站点之间的带宽。在默认情况下，跨越每个站点链接的站点间每180分钟(3小时)进行一次复制，可以通过调整该频率来满足自己的具体需求。但是，提高此频率将增加复制所带来的带宽量。此外，还可以将复制限制在每周的特定日子和每天的具体时间。3.4 Active

21、 Directory3.4 Active Directory的复制的复制2020站点内的复制 站内复制可以实现速度优化，站点内的目录更新根据更改通知自动进行。在站点内复制的目录更新并不压缩。 每个域控制器上的知识一致性检查(KCC)，使用双向环式设计自动建立站内复制的最有效的复制拓扑。这种双向环式拓扑至少将为每个域控制器创建两个链接(用于容错)，任意两个域控制器之间不多于3个跃点(以减少复制滞后时间)。为了避免出现多于3个跃点的连接，此拓扑可以包括跨环的快捷连接。3.4 Active Directory3.4 Active Directory的复制的复制2121管理复制 ctive Direc

22、tory依靠站点配置信息来管理和优化复制过程。在某些情况下，Active Directory可自动配置这些设置。此外，用户可以使用“Active Directory站点和服务”为自己的网络配置与站点相关的信息，包括站点链接、站点链接桥和桥头服务器的设置等。3.4 Active Directory3.4 Active Directory的复制的复制2222对象 活动目录对象代表组成一个网络的物理实体。一个对象就是一个架构的存储实例，一个架构在活动目录模式中定义为一个确定的、强制的和可选的属性集合。架构也包含一些确定哪些架构的对象可以高于(作为其父亲)该架构特定对象的规则。每个属性也在活动目录模式中定义。 当用户在活动目录中创建一个对象时，要为对象的属性提供值，该值必须根据目录模式中的规则提供。例如，当创建一个用户对象时，要提供用户姓名