中职-网络操作系统Windows2003-03

1、主讲：宋一兵网络操作系统Windows 2003实用教程 第3章 域与活动目录 网络操作系统Windows 2003实用教程 第3章： 域与活动目录3.1节3.2节3.3节了解域、域树、域林和活动目录的基本概念。熟悉活动目录特点及规划方法。掌握域控制器的安装及管理方法。3.4节3.1 域、域树和域林3.2 活动目录3.3 规划活动目录3.4 域控制器的安装与管理网络操作系统Windows 2003实用教程 第3章 域与活动目录 第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.1 域、域树和域林域（Domain）是Windows网络操作系统

2、中独立运行的单位，域之间相互访问则需要建立信任关系（Trust Relation）。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后，两个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.1.1 工作组假设在一个网络内有几百台计算机，如果不分组，要想在网络上找到某一个计算机是很困难的。因此，Windows提供了一种工作组管理方法，即将一些有着共同特点的计算机放入一个工作组内，这样，用户查找计算机时，只需要先找到该

3、计算机所位于的工作组，再在该工作组内部去找，这样就可以有效地减小搜索范围。安装系统时，默认情况下该计算机自动加入WORKGROUP工作组，当然，计算机可以自由地加入或退出某个工作组。计算机在哪个工作组内，对于信息交换和用户访问来说，是没有什么区别的。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.1.2 域域是一组账户和网络资源，这些资源共享共同的目录数据库和安全策略集，并可能与其他域有安全关系。域是安全的界限，因此在默认情况下某个域的管理权限只限于该域。例如，在一个域中具有设置安全策略权限的管理员不会自动得到在目录中的任何其他域设置安全

4、策略的授权。域定义了安全界限。活动目录包含一个或多个域，每个域均有自己的安全策略以及与其他域的信任关系。 安全策略和设置（如管理权利和访问控制表）不会从一个域移至另一个域。域可帮助组织网络以更好的反映单位的组织结构。每个域仅存储该域中各对象的有关信息。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.1.2 域客户/服务器模式 第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.1.2 域域模式 第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用

5、教程 3.1.2 域多域的模式第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.1.2 域工作组和域的区别可以归结为以下几点。创建方式不同：工作组可以由任何一个计算机的管理员来创建，只要输入新名称，重新启动一下就创建了一个新组，每一个计算机都可以创建一个组。而域只能由服务器来创建，其他的计算机只能加入这个域。安全机制不同：在域中有可以登录该域的账号，这些由域管理员来建立。在工作组中不存在组账号，只有本机上的账号和密码。登录方式不同：在工作组方式下，计算机启动后自动就在工作组中。登录域需要提交域用户名和密码，一旦登录，便被赋予相应的权限。第3

6、章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.1.3 域树域树是一个或多个与根域有信任关系的域的集合。在域树中首先要理解的是信任关系的概念。信任关系是两个域之间安全信息的通信连接。这里需要理解两层含义，一是信任关系是一个通信连接，如果两个域之间没有信任关系，则这两个域之间是不能传输安全信息的，如用户名、口令等就是安全信息；二是两个域之间普通的数据传输是不需要信任关系的。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.1.3 域树Windows Server 2003操作系统中域的信任关

7、系具有以下特点。双向性：如果A域信任B域，则B域就信任A域。可传递性：如果A域信任B域，B域信任C域，则A域就信任C域。Kerberos：使用Kerberos作为身份验证的机制。Kerberos采用DES（数据加密标准）在网上保护由系统和用户发送的信息。信任关系是Windows Server 2003操作系统内置自动创建的，在安装活动目录时，如果含有多个域，那么系统会提示创建信任关系。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.1.4 域林域林是由一个或多个没有形成连续名字空间的域树组成。它与域树最明显的区别在于构成域林的域树之间没有

8、形成连续的名字空间，而域树则是由一些具有连续名字空间的域所组成的。但域林中的所有域树仍共享同一个表结构、配置和全局目录，所有域树通过Kerberos信任关系建立，所以每个域树都了解Kerberos信任关系，不同域树可以交叉引用其他域树中的对象。 第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.1.4 域林域林内所有域树中的域都具有下列特征。域之间的可传递信任关系。域树之间的可传递信任关系。公用架构。公用配置信息。公用全局编录。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.2 活动目

9、录活动目录（Active Directory）是一种目录服务，存储有关网络上的对象的信息，并使管理员和用户更方便地查找和使用这种信息。Active Directory使用结构化的数据存储作为目录信息的逻辑化、分层结构的基础。这种数据存储也称为目录，包含与Active Directory对象有关的信息。这些对象通常包括共享资源，如服务器、卷、打印机、网络用户和计算机账户。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.2.1 活动目录简介目录服务由两部分内容构成，一部分是目录；一部分是服务，在目录部分决定了目录服务系统里都能放哪些东西、放哪

10、些对象，这些对象如何来进行存放等。就如同你是一个库房管理员，由你决定库房里存放什么东西，如桌子、工具、及其零部件等，作为库房管理员来说，当然要合理的摆放这些东西，如果有人要求存放爆炸物品，就会遭到你的拒绝。这就和目录类似，目录决定了存储的问题。 服务（Service）是对用户提出要求的正确响应。活动目录的最终目的是方便用户使用其上的内容，目录是放置存储信息，服务是按用户的要求来提取信息。 第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.2.1 活动目录简介活动目录是构建在Windows Server 2003操作系统之上的目录服务，通过将

11、网络中的各种资源，如用户账号、用户组、计算机账号以及服务账号等，集中存放在目录数据库中统一管理，为网络管理员，开发人员和最终用户提供快速的数据访问。活动目录主要实现如下3个方面的功能。简化网络管理。强化网络安全。通过互操作性成为应用程序工作的基础。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.2.2 活动目录的优点信息安全性基于策略的管理可扩展性可伸缩性信息的复制与DNS集成与其他目录服务具有互操作性灵活的查询第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.2.3 服务器角色域控制

12、器域控制器是使用 Active Directory 安装向导配置的运行 Windows Server 2003操作系统的计算机。Active Directory 安装向导安装和配置目录服务组件，域控制器存储着目录数据并管理用户域的交互，其中包括用户登录过程、身份验证和目录搜索。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.2.3 服务器角色成员服务器成员服务器是满足以下条件的计算机。运行Windows 2000 Server操作系统系列或Windows Server 2003操作系统系列。是某个域的成员。不是域控制器。因为它不是域控制器

13、，所以成员服务器不处理账户登录过程，不参与 Active Directory 复制，不存储域安全策略信息。成员服务器一般用作文件服务器、应用服务器、数据库服务器、Web服务器、证书服务器、防火墙、远程访问服务器等第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.2.3 服务器角色独立服务器独立服务器是运行于 Windows Server 2003操作系统系列的计算机，并且不是域的成员。独立服务器只有其自身的用户数据库，并且自行处理客户机的登录请求。独立服务器不与其他计算机共享账户信息，并且不提供对域账户的访问权限，但它能够加入工作组。如果

14、Windows Server 2003操作系统作为工作组成员安装，则该服务器是独立的服务器。 第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.3 规划活动目录3.3.1 规划域结构最容易管理的域结构就是单域。规划时，应从单域开始，并且只有在单域模式不能满足要求时，才增加其他的域。一个域可跨越多个站点并且包含数百万个对象。站点结构和域结构互相独立而且非常灵活。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。如果只是反映公司的部门组织结构，则不必创建独立的域树。在一个域中，可以使用组织单位来实现这个目标，然后可以指定组策略

15、设置并将用户、组和计算机放在组织单位中。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.3.2 创建域控制器将Windows Server 2003操作系统的计算机升级为域控制器会创建一个新域，或者向现有的域添加其他域控制器。创建域控制器可以创建网络中的第1个域，域控制器的优点是可以提高网络可用性和可靠性，提高站点之间的网络性能。要创建Windows Server 2003操作系统域，必须在该域中至少创建一个域控制器。如果确定单位需要一个以上的域，则必须为每个附加的域至少创建一个域控制器。域林中的附加域可以是新的子域，也可以是新域树的根。

16、第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.3.3 规划组织单位结构组织单位是指包含在域中的特别有用的目录对象类型，是可将用户、组、计算机和其他单位放入其中的活动目录容器，也是可以指派组策略设置或委派管理权限的最小作用域或单位。组织单位表现为“Active Directory用户和计算机”中的文件夹，可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.3.3 规划组织单位结构可以从以下几个方面考虑是将网络分割成独立的域还是独

17、立的组织单位。如果有一个分散的单位，在该单位中，不同的用户和资源由完全不同的管理人员组来管理，则将网络分割成独立的几个域。如果网络通过链接而分成的两个独立部分速度都非常慢，以至于很难在二者之间实现完整的复制通信，则可将网络分成独立的域。将一个域分成多个组织单位以反映这种结构或单位。将域分成多个组织单位以委派对较小的用户组、组和资源的管理控制。授予的管理控制数量可以是完全型（如创建用户和更改密码）或限制型（如维护打印列队）。如果组织结构可能在以后会更改，可以将一个域分成多个组织单位。如果可能，要组织好域的结构，这样今后就不必经常对它们进行移动或分割。第3章： 域与活动目录3.1节3.2节3.3节

18、3.4节网络操作系统Windows 2003实用教程 3.3.4 规划委派模式可以将权利下派给单位中最底层的部门，方法是在每个域中创建组织单位树，并将部分组织单位子树的权利委派给其他用户或组。通过委派管理权利，不再需要那些定期登录到特定账户的人员，这些账户具有对整个域的管理权。并且还拥有带整个域的管理授权的管理员账户和域管理员器组，可以仍保留这些账户以备少数高度信任的管理员偶尔使用。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.4 域控制器的安装与管理在活动目录中，目录存储只有一种形式，即域控制器（Domain Controller），

19、它包括了完整的域目录的信息。因此，每一个域中必须有一个域控制器，否则域也就不存在了。Windows Server 2003操作系统的活动目录不再有主域控制器和备份域控制器的区别，所有的域控制器在用户访问和提供服务方面都是相同的。它们之间的同步是采用了一种先进的多主复制的技术，称为Update Sequence Numbers（USN）。 第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.4.1 安装域控制器在安装域控制器前，应该做好以下准备工作：确认计算机上是否有NTFS分区。确认是否已经正确安装了TCP/IP协议。确认网络上是否有DNS服

20、务器规划好整个系统的域结构。规划好域间的信任关系。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.4.1 安装域控制器【案例3-1】 安装域控制器。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.4.1 安装域控制器【案例3-1】 安装域控制器。在上面的练习中，活动目录安装向导完成了以下工作。在选定位置创建系统卷。将目录服务数据复制到用户指定的目录。配置本地服务器为服务器的主机。加密Lserver。加密系统目录。加密服务。配置DNS服务。安装活动目录管理工具。第3章： 域与活动目录3.1节3.2节3.3节3.4节网络操作系统Windows 2003实用教程 3.4.1 安装域