940 likes | 1.1k Views
活动目录概述. 姓名:范 尧 认证 :CCIEH3CTECIW 安全分析 MCSE 湖南迈威特邀讲师 www.hnmyway.com. 活动目录概述议程. 活动目录的基本概念 活动目录的结构 管理操作主机 DNS 与活动目录 如何建立活动目录. 活动目录概述议程 Con. 管理用户和组 在活动目录中发布资源 组策略 常用工具 Windows2003 新特性. 活动目录的基本概念. 什么是活动目录 活动目录的对象 活动目录的架构( Schema ) 活动目录与 LDAP. Server1. Server2. 用户. 什么是活动目录.
E N D
活动目录概述 姓名:范 尧 认证:CCIE\H3CTE\CIW安全分析\MCSE 湖南迈威特邀讲师 www.hnmyway.com
活动目录概述议程 • 活动目录的基本概念 • 活动目录的结构 • 管理操作主机 • DNS 与活动目录 • 如何建立活动目录
活动目录概述议程 Con. • 管理用户和组 • 在活动目录中发布资源 • 组策略 • 常用工具 • Windows2003新特性
活动目录的基本概念 • 什么是活动目录 • 活动目录的对象 • 活动目录的架构(Schema) • 活动目录与LDAP
Server1 Server2 用户 什么是活动目录 活动目录服务基于X.500 数据库结构,用于在一个层次结构中组织网络资源 目录 服务器 名称:Server1 OS:Windows 2000 Type:File Server Location:1st Floor 名称:Server2 OS:Novell Netware 4.0 Type:File Server Location:2nd Floor 打印机 名称:Printer1 Type:HP4Si Color:No Duplex:Yes Location:3rd Floor 目录 服务器 名称:Server1 OS:Windows 2000 Type:File Server Location:1st Floor 名称:Server2 OS:Novell Netware 4.0 Type:File Server Location:2nd Floor 打印机 名称:Printer1 Type:HP4Si Color:No Duplex:Yes Location:3rd Floor ? Printer1
目录服务的 功能性 集中式的管理 • 组织 • 管理 • 控制 • 单入口的管理 • 一次登陆,可访问域中所有资源 资源 为什么需要目录服务
属性 打印机名称 打印机位置 属性 姓 名 登录名 活动目录的对象 对象 活动目录 打印机 Printer1 Printer2 打印机 Printer3 属性值 用户 Don Hall Suzan Fine 用户 • 对象代表网络资源 • 属性存储对象的信息
活动目录架构 Schema 对象类 实例 活动目录 Schema : • 随时可用的 • 可动态更新的 • 被 DACLs 保护 属性 实例 计算机 用户属性可能包含: 属性列表 accountExpires department distinguishedName middleName accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo middleName … 用户 打印机
CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft Suzan Fine 轻量级目录访问协议 (LDAP) • LDAP提供通过制定唯一名字路径来访问活动目录的每一个对象 • LDAP 名字路径包括: • Distinguished names • LDAP例子 • LDAP://DC=Microsoft,DC=COM
活动目录的结构 • 活动目录逻辑结构 • 活动目录物理结构 • Sites及活动目录的复制
活动目录逻辑结构 • 域 Domains • 组织单元 Organizational Units • 树和森林 Trees and Forests • 全局编录 Global Catalog
DNS 与活动目录 • DNS在活动目录中的角色 • DNS 和活动目录的命名空间 • 活动目录中的DNS名字解析 • SRV记录
DNS在活动目录中的角色 • 名称解析 • DNS translates computer names to IP addresses • Computers use DNS to locate each other on the network • Windows 2000/2003 域的名称 • Windows 2000 /2003 使用 DNS 命名标准 • DNS 域和活动目录的域使用共同的名称层析结构 • 定位活动目录的物理组件 • DNS根据域控制器提供的服务来确定它们 • 域中计算机使用DNS来定位域控制器何全局编录
DNS Namespace Internet “.” (DNS root domain) com. Active Directory Namespace microsoft microsoft.com America Fareast northamerica.microsoft.com fareast.microsoft.com computer1 = Active Directory domain = DNS node (domain or computer) DNS 和活动目录的命名空间
活动目录中的DNS名字解析 • SRV (Service) 资源纪录 • SRV Records 由域控制器注册 • 域中计算机用DNS 来定位域控制器
SRV Record Lookup Criteria ldap._tcp.DnsDomainName. LDAP服务器 _ldap._tcp.SiteName._sites.dc. _msdcs.DnsDomainName. 查找同Site的域控制器 _gc._tcp.DnsForestName. GC _gc._tcp.SiteName._sites. DnsForestName. 查找同Site的GC _kerberos._tcp. DnsDomainName. KDC _kerberos._tcp.SiteName. _sites.DnsDomainName. 查找同Site的KDC 由域控制器注册的SRV 记录 • Netlogon 服务负责注册域控制器的所有DNS纪录
支持 SRV 记录 支持动态更新协议 支持AD集成复制 活动目录中DNS的要求 DNS Requirements to Support Active Directory
User1 User2 域 Domains • 域是一个安全边界 • 域管理员只能在本域中执行管理操作,除非他被明确地赋予其他域管理员身份 • 一个域是一个复制单元 • 域控制器包含域中信息的完整集合,并且参与域信息的复制 Windows 2000Domain 复制 User1 User2
域的性能 能力 复制单元 大小 命名 管理委派 NT 4.0 对象 40,000 对象 NetBIOS 建立新域 Windows 2003 属性 1,000,000+ 对象 DNS 在域内建立管理委派到OU
域的层次结构 .. Org com edu cn Microsoft Compaq Digital HP EMEA Fareast “MICROSOFT.COM” Gtec “Fareast.Microsoft.COM” “Gtec.Fareast.Microsoft.COM”
组织单元 网络管理型模型 组织结构 • 用OU来给对象进行分组 • 管理委派到OU Sales Vancouver Users Sales Computers Repair
用于结构化活动目录 公司的组织结构 公司的管理构架 User1 User2 User3 User4 组织单元 Domain Paris Sales Repair
组织单元特性 • 包含用户、组、打印机、计算机、联系人 • 可应用组策略 • 嵌套 • 灵活 –容易建立、删除、改变
组织单元的划分原则 • 基于部门 OUs • 基于项目 OUs • 基于业务功能 OUs • 基于管理 OUs • 基于对象 OUs • 地理位置 OUs
contoso.msft (root) 双向传递性信任 森林 nwtraders.msft asia. contoso.msft au. contoso.msft 树 asia. nwtraders.msft au. nwtraders.msft 双向传递性信任 树 树和森林
所有对象的 属性子集 域 域 域 域 全局编录 域 域 Global Catalog Server 查询 用户登陆时的组成员 全局编录Global Catalog
域 域 子域 子域 子域 子域 ENTERPRISE Forest Global Catalog Domain Tree OU DomainTree OU OU Domain Tree OU OU 子域 OU OU OU OU
活动目录物理结构 • 域控制器 • Sites • 活动目录的复制
域控制器: • 参与活动目录复制 • 在域中作为单操作主机角色 域 User1 User2 User1 User2 复制 域控制器 域控制器 = 活动目录数据库的可写拷贝 域控制器
Seattle New York Chicago Los Angeles Site IP 子网 IP 子网 Sites Sites: • 优化复制通信量 • 使用户可以通过可信赖的、高速的连接登录域控制器
ISTG Site Links (Schedule & Cost) Bridgehead Server Connections • Site • 一个或多个子网 • 一个或多个域 Site Link Bridges 相关概念 Site B Site A Site C
Site层次 域结构 Site Model 物理网络
活动目录的复制 • 多主机复制 • 所有域控制器参预复制,对等的 • 任何变化将从一台域控制器复制到所有域控制器 • 任何变化可从不同的域控制器上产生 • Sites 允许预定的复制 • Schedule • Interval
Schema Schema Schema Schema Forest Full Replica Configuration Configuration NTDS.DIT Configuration Configuration Domain X Domain Domain Domain Domain Domain Y Partial Replica Domain Controller Domain Z Global Catalog Server Replica Schema Configuration DC Domain X Domain Y Domain Z GC DC Directory Partition 复制 Directory Partition也称为命名上下文 Naming Context or NC
被改编的信息送到DC DC将变化复制到其他DC 其他DC将变化复制到更多地DC 1 1 用户 2 2 3 3 活动目录的复制 DC DC DC DC
Schema/Configuration NC Topology microsoft.com domain NC Topology Connection Object microsoft.com DC2 DC2 DC1 DC1 DC4 DC4 DC3 DC3 Replication Topology GenerationWithin a Site
microsoft.com DCA DC2 DC2 DCA DC1 DC1 DCB DC4 DC4 DCB DC3 DC3 Schema/Configuration NC Topology microsoft.com domain NC Topology sales.microsoft.com domain NC Topology Connection Object Replication Topology GenerationTwo DomainsWithin a Site sales. microsoft.com
复制协议 Intra-Site复制 Inter-Site复制 Transport 拓扑结构 复制模型 压缩 RPC over IP Ring Notify/Pull None RPC or SMTP* Spanning Tree Request/Pull Full SMTP over IP is only supported for DC of different domains (i.e. Schema, Configuration and GC replication)
Bridgehead Server Configuration Domain A.B.com Domain B.com Bridgehead Server N.Y. 域控制器 CHI Site Link (Cost) (1) • Site间复制只在桥头堡服务器之间 L.A. (4) • 桥头堡服务器可以不止一个 (2) (1) ATL.
操作主机 • 森林范围内: • Schema Master • Domain Naming Master • 域范围内: • PDC Emulator • RID Master • Infrastructure Master
单主机操作 复制 操作主机 操作主机介绍 • 只有作为操作主机的域控制器才能对活动目录信息作相应改变 • 在操作主机上作的改变将会复制到其他的域控制器 • 任何域控制器可以作为操作主机 • 操作主机角色可以转移
操作主机的默认位置 • 森林范围你的角色: • Schema master • Domain naming master • 域范围内角色: • RID master • PDC emulator • Infrastructure master 森林中的第一台域控制器
Schema Master • 控制所有的Schema更新 • 复制Schema更新到森林中所有的域控制器 • 只有在 Schema Admin 组中的成员 才能更该Schema Schema Master 复制
Domain Naming Master Global Catalog Server New Domain Domain Naming Master • 控制在森林中添加和删除域
PDC Emulator Windows NT BDC Client Computer Running Pre-Windows 2000 Version of Windows PDC Emulator • 在NT BDC和基于Windows2000之前的客户端存在时作为PDC • 用于基于Windows2000之前的客户端更新密码 • 对于基于Windows2000的客户端,最小化复制密码更改的延迟 • 管理时间同步
Move RID Master RID Allocation Block of RIDs Object SID = Domain SID + RID RID Master Move • 给域中其他的域控制器分配 RIDs块
Move Infrastructure Master • Updates References to Objects and Group Memberships from Other Domains 组成员列表 GUID SID New DN Global Group 嵌套到 Domain Local Group Infrastructure Master
决定操作主机的位置 确认当前操作主机的位置 • 用“Active Directory 用户和计算机” 查找 • RID master • PDC emulator • Infrastructure master • 用“Active Directory 域和信任” 查找 • Domain naming master • 用 “Active Directory Schema”查找 • Schema master • regsvr32 schmmgmt.dll • 其他方法: • netdom query FSMO • dcdiag /test:KnowsOfRoleHolders /v
Functioning Operations Master Transfer Role to Another Domain Controller 转移操作主机角色 • 不丢失数据 • 方法: • NTDSUtil.exe • 图形界面
Non Functioning Operations Master Seize a Role and Reassign to Another Functioning Domain Controller 抓取操作主机角色 • 当且仅当某个操作主机无法再使用 • 可能丢失数据 • 方法: • NTDSUtil