1 / 112

Windows 2000/XP网络组建与系统管理

Windows 2000/XP网络组建与系统管理. 李燕. 中南分校. 活动目录的逻辑结构. Acitive Directory (活动目录)是用于 Windows 2000 Server 的目录服务。它 存储着网络上各种对象的有关信息,并使这些信息易于被管理员和用户查找及使用 。对于 Windows 2000 Server 网络管理员来说,活动目录起着十分重要和关键的作用。所以,学习并掌握活动目录域、树和树林的作用与管理是非常重要的。 本章主要阐述的是 Windows 2000 Server 中 活动目录的功能 、 逻辑结构 和 物理结构 。.

quintana-topaz
Download Presentation

Windows 2000/XP网络组建与系统管理

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows 2000/XP网络组建与系统管理 李燕 中南分校

  2. 活动目录的逻辑结构 Acitive Directory(活动目录)是用于Windows 2000 Server的目录服务。它存储着网络上各种对象的有关信息,并使这些信息易于被管理员和用户查找及使用。对于Windows 2000 Server网络管理员来说,活动目录起着十分重要和关键的作用。所以,学习并掌握活动目录域、树和树林的作用与管理是非常重要的。 本章主要阐述的是Windows 2000 Server中活动目录的功能、逻辑结构和物理结构。

  3. Windows 2000 活动目录概述 活动目录的基本概念 • 什么是活动目录(Acitive Directory) ? 从字面上来看活动目录由“活动”和“目录”两部分组成,其中“活动”是用来修饰“目录”,其核心是“目录”两个字,而目录代表的是目录服务(Directory Service)。 当拿到一本新书时首先看到的就是目录,通过目录能知道书中有哪些具体内容。目录服务与目录不同,目录服务是一种网络服务,它存储网络资源的信息并使用户和应用程序能访问这些资源。

  4. 活动目录的基本概念 活动目录中的“目录”的理解包括两个方面:目录和目录服务。 目录负责存储、组织并检索网络中的对象。这意味着它包含用户和组、工作站和服务器、策略和脚本、打印机和队列、交换机和路由器,以及所有与计算机有关的设备。 目录服务使系统管理员能够定义和管理对象及其特征,以便它们能被用户和应用程序使用。

  5. 活动目录的基本概念 简单点说,目录是不同种类的对象的物理存储容器。 例如: 电话薄是一个目录,它包含电话号码和地址; 服务是使目录中的所有信息和资源可用; 例如: 允许用户查询电话薄的应用程序就是目录服务的一个例子。

  6. 活动目录的基本概念 “活动”说明这个目录是动态的、可以扩展的,具体体现如下: (1)活动目录中对象的数量是没有限制的。 Windows NT 4.0的域中对象的数目不能超过四万个,域中没有活动目录的概念,如果一个域中超过了四万个对象就必须使用多域进行管理了。 Windows 2000 Server的活动目录中对象的数目是没有限制的,可以是十万、百万甚至更多。

  7. 活动目录的基本概念 (2)活动目录中对象的属性是可以增加的。 每一个对象都是用它的属性进行描述的,活动目录对象的管理实际上就是对对象属性的管理,而对象的属性是可能发生变化的。 比如:联系方式这个属性可以是通信地址、手机号、BP机号、Email地址等。随着时间的推移,人们的属性会越来越多。此时,管理员可以通过修改活动目录架构来增加一个属性,然后活动目录的用户就可以在活动目录中使用这个属性了。

  8. 活动目录的基本概念 (3)可以方便地添加或删除域。 利用活动目录可以方便地创建域、域树、域目录林的逻辑结构。对域树来说,把域树中的某个子域删除不会影响其他子域和父域的运行,还能在子域下再创建其他子域。因此,活动目录在组织资源时非常灵活。 而通常域结构总是和企业的组织机构是相互映射的,因此能够灵活的添加/删除域可以更好的去反映企业组织结构的变化。

  9. 活动目录的基本概念 • 什么是架构(Scheme)? 架构就是活动目录的基本结构,是组成活动目录的规则。包括对象类和类属性。 类是用来定义在活动目录中可以创建的所有可能的目录对象,如:用户、组和组织单位等。 类属性是用来定义每个对象可以有哪些属性来标识该对象,如:用户可以有登录名、电话号码等属性。

  10. 活动目录的基本概念 活动目录架构用来定义数据类型、语法规则、命名约定和其他更多的内容,是活动目录和结构的正式定义。 注意: (1)当在活动目录中创建对象时,必须遵守这个架构规则。只有在活动目录架构中定义了一个对象的属性才可以在活动目录中使用该属性。

  11. 活动目录的基本概念 注意: (2)活动目录架构具有可扩展性。活动目录架构存储在活动目录的架构表中,当需要活动目录架构,比如增加活动目录中对象的属性时,只要在架构表中进行修改即可。但要注意,活动目录架构的扩展和变更要符合编程和管理的规则。

  12. 活动目录的基本概念

  13. 活动目录的基本概念 什么是全局目录(Global Catalog)? 全局目录是网络中有关对象的信息的中心仓库,它包含Windows 2000目录中所有域中的全部对象以及每个对象所有属性的一个子集(即部分属性),在内部实现了一个与域结构相同的层次。

  14. 活动目录的基本概念 全局目录相当于一个总目录,就像一套系列丛书有一个总目录一样,在全局目录中存储已有活动目录对象的子集。在默认情况下,存储在全局目录中的对象属性是那些经常用到的内容,而非全部属性。整个目录林会共享相同的全局目录信息。活动目录通过同步复制过程,从组成目录的域自动生成全局目录。 存放全局目录数据库的服务器称作全局目录服务器,它保存着所在域的数据库的完全拷贝和域树中所有对象的部分拷贝。全局目录服务器实现了与目录树使用的名字空间结构相同的名字空间。

  15. 活动目录的基本概念 当在第一台域控制器上安装活动目录时,该域控制器便自动成为全局目录服务器,用户也可以通过“活动目录站点和服务器”管理器将附属域控制器设置为全局目录服务器。 全局目录服务器越多,对用户查询的反应就越快,而同步复制通信量就越大,因此用户需要根据网络结构及查询通信量进行决策。在每个站点上至少建立一个全局目录服务器是一个很好的想法,这样客户总是有一个用于查找操作的存储库。

  16. 活动目录的基本概念 全局目录与系统关系

  17. 活动目录的基本概念 • 什么是信任关系? 域是一个安全边界,通常如果希望去访问这个安全边界之内的资源,必须先得到这个域的域控制器的身份验证,验证合法方可进入域。 信任关系存在于域与域之间,目的是为了实现跨域(即跨越安全边界)的访问。 域信任关系使得一个域中的用户可由另一域中的域控制器进行验证,从而使得用户能去访问另一个域中的资源。

  18. 活动目录的基本概念 所有域信任关系中只有两种域:信任关系域和被信任关系域。 例如: 域A信任域B,则域B中的用户可以通过域A中的域控制器进行身份验证后访问域A中的资源。 本例中,域B被域A信任,域A信任域B,其结果就是域B中用户能实现跨越域A的安全边界访问域A中资源。

  19. 活动目录的基本概念 • 域信任关系按以下特征进行描述: • 单向 单向信任是域 A 信任域 B 的单一信任关系。所有的单向关系都是不可传递的,并且所有的不可传递信任都是单向的。常见的单向信任关系有:不同树林中的 Windows 2000 域 、Windows NT 4.0 域 、Kerberos V5 领域。 • 双向 Windows 2000 树林中的所有域信任都是双向可传递信任。建立新的子域时,双向可传递信任在新的

  20. 活动目录的基本概念 子域和父域之间自动建立。 • 可传递 Windows 2000 树林中的所有域信任都是可传递的。可传递信任始终为双向,此关系中的两个域相互信任。 可传递信任不受信任关系中的两个域的约束。每次当用户建立新的子域时,在父域和新子域之间就隐含地(自动)建立起双向可传递信任关系。这样,可传递信任关系在域树中按其形成的方式向上流动,并在域树中的所有域之间建立起可传递信任。

  21. 活动目录的基本概念 • NT和2000中常见的信任关系 活动目录服务支持两种形式的信任关系: (1)单向不可传递信任(One-Way Nontransitive Trusts) 在单向信任关系中,如果域A信任域B,域B并不自动地信任域A。 (2)双向可传递信任(Two-Way Transitive Trusts) 在双向信任关系中,如果域A信任域B,那么域B就信任域A。在可传递的信任关系中,如果域A信任域B,并且域B信任域C,那么域A就信任域C。

  22. 活动目录的基本概念

  23. 活动目录的基本概念 Windows 2000 支持双向可传递的信任关系,并且是作为一种缺省的信任关系。当用户建立一个新的子域时,系统会自动地建立这个子域与其父域之间的这种信任关系。 如果在两个域之间存在一个双向可传递信任关系,可以在一个域中授予用户使用资源的权限而在另一个域中把权限授予组帐号,反之亦可。

  24. 域 A 域 1 域 D 域 2 域 B 域 C 域 3 域 E 活动目录的基本概念 下面是关于信任关系的实际应用的一个实例,在两棵独立的树之间如何建立信任关系,才能使得所有的域都能通过其他域的身份验证后访问其他域中的资源呢?

  25. 活动目录的基本概念 • 什么是名字空间? 从本质上讲,活动目录就是一个名字空间,我们可以把名字空间理解为任何给定名字的解析边界,这个边界就是指这个名字所能提供或关联、映射的所有信息范围。 通俗地说就是我们在服务器上通过查找一个对象可以查到的所有关联信息总和,如一个用户,如果我们在服务器已给这个用户定义了诸如:用户名、用户密码、工作单位、联系电话、家庭住址等,那上面所说的总和广义上理解就是“用户”这个名字的名字空间,因为我们只输入一个用户名即可找到上面所列的一切信息。

  26. 活动目录的基本概念 名字解析是把一个名字翻译成该名字所代表的对象或者信息的处理过程。 举例来说,在一个电话目录形成一个名字空间中,我们可以从每一个电话户头的名字可以被解析到相应的电话号码。 名字空间是层次结构的,有了这样的分层次名字空间,活动目录从原来的域模型向前发展为一种新的“树的树”模型。通过把名字空间分裂为层次结构,再也不需要在一个平铺列表上观察上万个用户了。

  27. 目录服务和活动目录概述 • 技术需求 随着网络技术的迅速发展,局域网(LAN)和广域网(WAN)的规模越来越大,系统的结构越来越复杂,并且还需要将企业内部网连接到其他系统,在网络中需要运行的应用程序也越来越多,网络中的资源越来越丰富,数据量越来越大,需要管理和共享的数据分布在网络系统的各个服务器和工作站中,给信息管理带来了很大的困难。因此需要网络操作系统具有目录服务的功能,将更多的用户与网络上的资源连接在一起,为用户提供更强大的、透明的、紧密集成的目录服务的能力。

  28. 目录服务和活动目录概述 目录服务是扩展的计算机系统最重要的组件之一,它的作用是将物理上分布的数据变成逻辑上集中的数据进行管理,并为管理员提供方便的网络管理界面。 • 活动目录的功能 • 提供了为分布式网络环境而设计的目录服务 。 • 使得组织机构可以有效地共享和管理关于网络资源和用户的信息。 • 使得操作系统可以验证用户的身份,并控制用户对网络资源的访问。 • 是将各种功能集成在一起的集成平台。

  29. 目录服务和活动目录概述 • 活动目录的关键特性 (l)分层次和可扩展的名字空间 分层次的名字空间提高了存储能力,支持多达一千万个对象,并且提高了查找和管理对象的速度。 名字空间的可扩展性使得管理员可以将新的对象类添加到架构中,而且可将新的属性添加到现有的对象类中。 (2) 可调整性 活动目录可包括多个域,每个域中可有多个域控制器,这使得可以调整目录以便满足任何网络的要求。

  30. 目录服务和活动目录概述 通过将域连入一棵可传递信任的层次结构的树,可以构成一棵域的树。因为域树使用双向可传递信任,所以通过简单的对树的“连接”,就能进行域的管理。用户帐户在树的任何地方都是有效的。 (3) 多主复制 Windows 2000的活动目录使用多主复制模型,每个域控制器都存储和保留活动目录的完整拷贝。可以在域中的任何一个域控制器上对目录进行修改,并由该域控制器把修改复制给它的复制伙伴。

  31. 目录服务和活动目录概述 多主复制提供了信息的有效性、容错性、加载平衡和性能优点。如果某个域控制器减慢、停止或失败,则同一域中的其他域控制器仍然可以提供必要的目录访问,因为它们包含着相同的目录数据。 (4) 与DNS集成 活动目录使用DNS为域完成命名和定位服务,域名同时也是DNS名,Windows 2000 Server使用动态DNS,这使得动态分配地址的客户机可以直接注册到DNS服务器并自动更新DNS数据库。

  32. 目录服务和活动目录概述 (5) 灵活的查询 用户和管理员可使用“开始”→“搜索”命令搜索各种资源,包括网络邻居活动目录用户、计算机,并可使用对象属性进行搜索。例如,可通过名字、姓氏、E-mail名称、办公室位置或用户帐户等属性搜索资源。 (6) 在线备份和恢复 为了使域控制器实现更高的可用性,活动目录允许在线的域控制器备份。

  33. 目录服务和活动目录概述 (7) 自动可扩展结构 活动目录允许用户扩充结构,创建新的属性和对象。开发者可以利用这一特性在应用软件目录下创建自己的数据结构,从而把目录作为一个数据存储来使用。 (8) 以轻量目录访问协议(LDAP)作为互操作性的核心协议 LDAP是用于查询和检索活动目录信息的目录访问协议。以信息目录的形式存在,在该目录中可只定义一次用户和组,而在多台机器和多个应用程序间共享它们。

  34. 目录服务和活动目录概述 使用LDAP的程序可以与其他目录服务共享活动目录信息,这些目录服务同样支持LDAP。 LDAP询问通常以一个平铺的记录集合或列表的形式返回结果,这样就允许全局目录被用作一个功能与全局地址簿相似的存储库。 (9) 信息安全性 安全性完全与活动目录集成。不仅可以在目录中的每个对象上定义访问控制,而且还可以在每个对象的属性上定义。

  35. 目录服务和活动目录概述 活动目录提供安全策略的存储和应用范围。安全策略可以包含账户信息,如域范围内的密码限制或对特定域资源的访问权。通过组策略设置执行安全策略。 Windows 2000支持多种网络安全协议,使用这些协议能获得更强大、更有效的安全性,实现对Internet安全协议的支持。

  36. 活动目录的逻辑结构 活动目录可以用一个逻辑结构来描述。不必考虑硬件和连接问题,用户可以设计活动目录以适应自己所在组织的商务和管理结构。这些逻辑概念包括: (1) 活动目录对象的唯一名字。 (2) 逻辑结构的组件对象。 (3) 逻辑结构对象在活动目录中是如何被组织的。 活动目录中的每个对象必须被唯一的名字所标识,这是因为在活动目录中,所有信息或资源被定义为对象或对象属性,而命名协议允许不同的客户把唯一的名字解析为对象或它们代表的信息。

  37. 逻辑结构组件 活动目录包括如下的逻辑组件: (1) 对象(Object)。这些是用户创建的对象类的真实实例。例如,用户创建一个用户对象,该对象应遵循用户类的定义。 (2) 属性(Attribute)。这些是所有对象的特征。给定类型的所有对象具有相同的属性,但有不同的值。每个对象具有的属性以及它们可以包含的值都在对象类中定义。

  38. 逻辑结构组织 在活动目录中,对象在逻辑上按层次结构进行组织。活动目录中创建总体结构化层次的对象有域、组织单元、树和森林。

  39. 逻辑结构组织 • 活动目录逻辑结构,主要反映企业的管理层次和组织划分。 • 活动目录的逻辑结构的的四个层次对应的企业组织机构对象有一些可参考的原则,罗列如下: • 森林:用来映射一个拥有多项独立业务的大型集团公司。例如:跨国集团P&G。 • 树: 可以用来映射拥有一个独立业务的大中型公司。例如:大型集团下的某业务公司。

  40. 逻辑结构组织 • 域:映射企业/公司中业务或管理比较集中的部门。(数据集中、业务集中、管理集中、职能集中)例如:大学中的学院、企业中的处、部、分厂等,这些部门信息集中,管理权限集中。 • 组织单元:映射的对象由域的映射关系决定,通常用来映射域所映射的部门下的分支或组。 例如:财务处为域,则财务处各科室就为组织单元。

  41. 逻辑结构组织 • 域(Domain) 域是活动目录中逻辑结构的核心单元,它是由管理员定义的共享公共目录数据库的计算机集合。 一个域是对象(如计算机、用户等)的容器,这些对象具有相同的安全需求、复制过程和管理,都在这个域中被其它对象共享。

  42. 逻辑结构组织 域的作用表现在下述三个方面: • 安全界限(Security Boundary ) 域定义了一个安全边界,每个域只保存属于本域的对象,所有的对象都在这个安全的范围内接受统一的管理。同时,域管理员只能管理本域。 安全边界的作用就是保证域的管理者只能在该域内拥有必要的管理权限,如果要让一个域的管理员去管其他域,除非他能事先得到其他域管理员的明确授权。

  43. 逻辑结构组织 • 复制单元(Unit of Replication) 域是企业中进行数据复制的单元。目前企业的管理不再是一种围墙式的管理,而是分布在全球范围内的一个物理上分离、逻辑上耦合的整体。为了避免网络上海量的数据传送,需要将域做为一个复制的单元来进行数据的拷贝。 企业中设定了一个域,但这个域中设定的数个域控制器可能不在一个物理的位置上。此时,域中所有域控制器都拥有一个本域的所有目录信息的完全拷贝并且在企业范围内参与复制。

  44. 北京 上海 shanght.com 逻辑结构组织 域是一种逻辑的组织形式,因此一个域能 跨越多个物理位置。 例如:北京和上海的两个网段 同属一个域,北京和上海之间用WAN 相连,如果两地各有一台域控制 器,则需要这两台域控制器之 间实现数据同步,而同步的内 容就是域的信息。 因此域是复制的单元。

  45. 逻辑结构组织 注:活动目录、域和域控制器的关系: 域是一种逻辑上的资源的组织形式。这种形式对网络中的资源进行了集中的统一管理,并且有严格的安全边界。另外一种常见的网络资源的管理方式就是工作组模式,它对网络资源进行了松散管理。 要想实现域的管理,必须在一台计算机上安装活动目录才能实现,而安装了活动目录的计算机就称为域控制器。

  46. 逻辑结构组织 域模式(Domain Modes) 域模式是指对域的管理方法,分为混合模式(Mixed Mode)和本机模式(Native Modes) 两种。 在混合模式中,一个域中的多台域控制器上安装的操作系统可以是不同的,既能支持运行Windows 2000 Server的域控制器,又能支持运行Microsoft Windows NT的域控制器。两种不同的域控制器都能在网络上被其他的机器识别。 本机模式中,所有域控制器上都运行Windows 2000 Server。

  47. 逻辑结构组织 域的两种模式

  48. 逻辑结构组织 活动目录在混合模式下安装是为了支持已有的还没升级到Windows 2000的域控制器。用户能无限期地在混合模式下管理它的域,这就允许用户按满足其组织要求的时间表来升级运行Windows NT的域控制器。 如果用户的网络没有运行Windows NT的域控制器或所有域控制器都被升级到了Windows 2000,那么用户就可以把域从混合模式转换到本机模式。 从混合模式改变到本机模式是一单向过程,用户不能从本机模式改变到混合模式。

  49. 逻辑结构组织 • 组织单元(OU,Organizational Units ) 容器,是活动目录中一个重要的概念,包括域、OU、站点等,它能容纳一些东西,比如用户、计算机等。 组织单元是活动目录中的一个特殊容器,它可以把用户、组、计算机和打印机等对象组织起来。 与一般的容器仅能容纳对象不同,OU不仅可以包含对象,而且可以进行策略设置和委派管理,这是普通容器不能办到的。

  50. 逻辑结构组织 (1) OU层次结构 OU的作用是让用户根据自己业务管理的特点,来把对象组成某种逻辑层次结构,能符合本部门的基本结构和反映出本部门的某一特点。这些特点往往是: ①基于部门或地理界线的组织结构。 比如:一个业务特点突出的部门或者分布在某一地理位置的分支,可以设定为一个OU。 ②基于管理责任的网络管理模型。

More Related