1 / 76

第 3 章 Active Directory 服务

第 3 章 Active Directory 服务. 第一节 Active Directory 的基本概念 Active Directory 是面向 Windows Standard Server 、 Windows Enterprise Server 以及 Windows Datacenter Server 的目录服务。 Active Directory 存储了有关网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等,并且让管理员和用户能够轻松地查找和使用这些信息。. 一、目录形式的数据存储.

fuller-stanton
Download Presentation

第 3 章 Active Directory 服务

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第3章Active Directory 服务 • 第一节 Active Directory 的基本概念 • Active Directory是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。 • Active Directory存储了有关网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等,并且让管理员和用户能够轻松地查找和使用这些信息。

  2. 一、目录形式的数据存储 • 活动目录采用的是Exchange Server的数据存储结构,其特点是不需要事先定义数据库的参数,可以做到动态地增长 。 • 域(Domain)是Windows Server 2003域中Active Directory数据库的基本管理单位。 • 目录存储在域控制器上,并且可以被网络应用程序或者服务所访问。 • 一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。

  3. 在各台域控制器之间进行复制的目录数据: • 域数据:域数据包含了与域中的对象有关的信息 。 • 配置数据:配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表,并且指出了域控制器和全局编录所处的位置。 • 架构数据:架构是对目录中存储的所有对象和属性数据的正式定义。

  4. 二、Active Directory和安全性 • 安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。 • 通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单位,经过授权的网络用户可以访问网络任意位置的资源。 • Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐号和组信息。 • Active Directory允许管理员创建组帐号,管理员得以更加有效地管理系统的安全性。

  5. 三、Active Directory 的架构 • Active Directory的架构(Schema)是一组定义,它对能够存储在Active Directory中的各种对象——以及有关这些对象的各种信息——进行了定义。 • 架构中包括了两种类型的定义:属性和分类。属性和分类还可以被称作架构对象或元数据。 • 1. 分类 • 又称对象分类,描述了管理员所能够创建的目录对象。每一个分类都是一组对象的集合。在创建某个对象时,属性便存储了用来描述对象的信息。

  6. 2. 扩展架构 • 网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构。 • 架构的内容由充当架构操作主控角色的域控制器进行控制。架构的副本被复制到森林中的所有域控制器上。 • 为了修改架构,必须满足以下三个要求: • 成为“Schema Administrators”(架构管理员)组的成员 • 在充当架构操作主控角色的计算机上安装“Active Directory架构”管理单元 • 拥有修改主控架构所需的管理员权限

  7. 对架构进行修改时,必须注意: • 架构扩展是全局性的。在对架构进行扩展的时候,实际上扩展了整个森林的架构,因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。 • 与系统有关的架构分类不能被修改。不能修改Active Directory架构中的默认系统分类;但是,用来修改架构的应用程序可能会添加可选的系统分类,可以对这些分类进行修改。 • 对架构的扩展不可撤销。某些属性或者分类的属性可以在创建后修改。在新的分类或者属性被添加到架构中之后,您可以将它置于非激活状态,但是不能删除它。

  8. 3. 属性 • 属性用来描述对象。每一个属性都拥有它自己的定义,定义则描述了特定于该属性的信息类型。 • 属性仅仅定义一次,但是可以多次使用。 • 多值属性 • 索引属性 • 对属性进行索引有助于更快地查询到拥有该属性的对象。当您将一个属性标记为“已索引”之后,该属性的所有实例都会被添加到该索引,而不是仅仅将作为某个特定分类成员的实例添加到索引。

  9. 四、全局编录 • 全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。此外,全局编录还存储了每个对象最常用的一些可搜索的属性。 • 全局编录在森林中最初的一台域控制器上自动创建。可以为任何一台域控制器添加全局编录功能 。 • 全局编录担当了以下目录角色: • 查找对象 • 提供了根据用户主名的身份验证 • 在多域环境下提供通用组的成员身份信息

  10. 五、操作主机 • Windows Server 2003 Active Directory域控制器操作是一种多主机模式 。 • 在域中联机的第一台Windows Server 2003域控制器将会被默认地自动具有所有5种角色: • 架构主机(Schema Master) • 结构主机(nfrastructure Master) • 域命名主机(Domain Naming Master) • 相对ID(RID)主机 • PDC仿真器

  11. 五、命名约定 • 1. 特异名称 • Active Directory存储器里的每个对象都具有一个DN(distinguished name,特异名称)。DN会唯一地标识一个对象,它包含客户从目录检索对象所需的足够信息。DN包括容纳对象的域名以及通过容器层次结构到达对象的完整路径。例:microsoft.com域里的James Smith用户对象的DN: • DC=COM/DC=Microsoft/CN=Users/CN=James Smith

  12. 2. 相对特异名称 • 在Active Directory服务里,即使当不知道确切的DN或者DN改变了的时候,都可以搜索一个对象。可以通过查询对象的属性实现。对象的一个属性是它的RDN(relative distinguished name,相对特异名称),RDN是DN全名的一部分。在上一个例子里,James Smith用户对象的RDN是CN=James Smith 。 • Active Directory服务允许重复对象的RDN,但是,具有相同的RDN的两个对象不能存在于相同的OU内。

  13. 3. 全局唯一标识符 • Active Directory存储器里的每个对象都具有唯一的标识。对象可以移动或重命名,但它们的标识自始至终都不会改变。对象的标识是由GUID(globally unique identifier,全局唯一标识符)定义的,GUID是在创建对象时由DSA(Directory System Agent,目录系统代理)指派的128位数字 。GUID自终至终都不会改变,甚至移动对象或重新为对象命名时也如此。应用程序可以保存对象的GUID,确保能够检索该对象,而无论它的当前的DN是什么。

  14. 4. 用户主体名称 • UPN(user principle name,用户主体名称)是一个友好的名称,它比DN短,更易于记住。UPN由代表用户的速记名称和用户对象驻留的域的DNS名称组成。UPN格式是用户名、@字符,再加上用户主体名称的后缀。 • 例如,microsoft.com树里的用户James Smith可能有一个username@microsoft.com的UPN。 • 用户主体名称与用户对象的特异名称无关,所以可以移动或重新命名用户对象,而不会影响用户的注册名称。

  15. 第二节 Active Directory的特性 • 目录或架构的可扩展性 • 可调整性 • 易用性 • 信息安全性 • 基于策略的管理 • 信息复制 • 与DNS的集成 • 与其他目录的互操作

  16. 第三节 安装Active Directory • 启动Windows Server 2003系统,以Administrator权限登录 。

  17. Active Directory安装向导

  18. 提示操作系统兼容性

  19. 选择域控制器类型

  20. 选择创建的域的类型

  21. 指定域名

  22. 指定域的NetBIOS名称

  23. 指定放置Active Directory数据库和日志文件的文件夹

  24. 数据库日志和系统卷设置

  25. DNS注册诊断

  26. 选择兼容模式

  27. 设定还原模式管理员密码

  28. 安装选项摘要

  29. 安装过程截图

  30. 提示插入Windows Server 2003 Enterprise Edition CD-ROM

  31. 安装完成

  32. 提示重启计算机以使更改生效

  33. 第四节 域操作 • 一、加入域 • 方法一:在安装Windows Server 2003期间,有一步是选择计算机的安全角色,可以选择作为工作组或域的一部分。可以简单地成为一个工作组的一员,也可以将它配置成域控制器 • 作为域成员的普通Windows Server 2003计算机。 • 如果选择加入域,那么必须输入域管理员的账号和密码。这样可以防止非域管理员非法将Windows Server 2003计算机加入到域中。

  34. 方法二:使用“系统属性”对话框

  35. 二、将域中的成员服务器提升为域控制器

  36. 三、降级域控制器为普通的成员服务器

  37. Active Directory安装向导

  38. 全局编录确认

  39. 删除域控制器

  40. 应用程序目录分区

  41. 确认删除

  42. 管理员密码

  43. 摘要

  44. 四、全局编录服务器 • 全局编录在森林中最初的一台域控制器上自动创建。可以为任何一台域控制器添加全局编录功能。 • 全局编录服务器存储了它所在域的所有目录对象的完整副本,以及森林中其它域中所有目录对象的部分副本,全局编录实现了两个关键的功能: • 通过给域控制器提供通用的组隶属关系信息,来提供对任意域的网络登录。 • 提供搜索目录信息的能力,不管目录林中哪个域包含数据。

  45. 五、启用或禁用全局编录 • 以Administrator用户登录,选择“开始”→“管理工具”→“Active Directory站点和服务”

  46. 右击要启用或禁用的全局编录服务器的NTDS Setting,选中“属性”

  47. 六、更改域名和计算机

  48. 计算机更名警告

  49. 计算机名称更改 注意:不能直接修改域控制器的计算机名,如果此计算机是域控制器,那么“隶属于”框会变灰。只有先撤销计算机的域控制器身份,使其成为域中普通的成员服务器,然后才能更改计算机名。

  50. 第四节 管理Active Directory用户和计算机 • 一、用户账号简介 • 用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。定期使用网络的每个人都应有一个惟一的用户账号。 • Windows Server 2003提供两种主要类型的用户账号:本地用户账号和域用户账号。除此之外,Windows Server 2003系统中还有内置的用户账号。

More Related