《的基本概念》PPT课件.ppt

第3章 Active Directory 服务,第一节 Active Directory 的基本概念 Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。 Active Directory存储了有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等，并且让管理员和用户能够轻松地查找和使用这些信息。,一、目录形式的数据存储,活动目录采用的是Exchange Server的数据存储结构，其特点是不需要事先定义数据库的参数，可以做到动态地增长 。 域（Domain）是Windows Server 2003域中Active Directory数据库的基本管理单位。 目录存储在域控制器上，并且可以被网络应用程序或者服务所访问。 一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。,在各台域控制器之间进行复制的目录数据：,域数据：域数据包含了与域中的对象有关的信息 。 配置数据：配置数据描述了目录的拓扑结构。配置数据包括一个包含了所有域、域树和森林的列表，并且指出了域控制器和全局编录所处的位置。 架构数据：架构是对目录中存储的所有对象和属性数据的正式定义。,二、Active Directory和安全性,安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。 通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源。 Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐号和组信息。 Active Directory允许管理员创建组帐号，管理员得以更加有效地管理系统的安全性。,三、Active Directory 的架构,Active Directory的架构（Schema）是一组定义，它对能够存储在Active Directory中的各种对象以及有关这些对象的各种信息进行了定义。 架构中包括了两种类型的定义：属性和分类。属性和分类还可以被称作架构对象或元数据。 1. 分类 又称对象分类，描述了管理员所能够创建的目录对象。每一个分类都是一组对象的集合。在创建某个对象时，属性便存储了用来描述对象的信息。,2. 扩展架构,网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构。 架构的内容由充当架构操作主控角色的域控制器进行控制。架构的副本被复制到森林中的所有域控制器上。 为了修改架构，必须满足以下三个要求： 成为“Schema Administrators”（架构管理员）组的成员 在充当架构操作主控角色的计算机上安装“Active Directory架构”管理单元 拥有修改主控架构所需的管理员权限,对架构进行修改时，必须注意：,架构扩展是全局性的。在对架构进行扩展的时候，实际上扩展了整个森林的架构，因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。 与系统有关的架构分类不能被修改。不能修改Active Directory架构中的默认系统分类；但是，用来修改架构的应用程序可能会添加可选的系统分类，可以对这些分类进行修改。 对架构的扩展不可撤销。某些属性或者分类的属性可以在创建后修改。在新的分类或者属性被添加到架构中之后，您可以将它置于非激活状态，但是不能删除它。,3. 属性,属性用来描述对象。每一个属性都拥有它自己的定义，定义则描述了特定于该属性的信息类型。 属性仅仅定义一次，但是可以多次使用。 多值属性 索引属性 对属性进行索引有助于更快地查询到拥有该属性的对象。当您将一个属性标记为“已索引”之后，该属性的所有实例都会被添加到该索引，而不是仅仅将作为某个特定分类成员的实例添加到索引。,四、 全局编录,全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。此外，全局编录还存储了每个对象最常用的一些可搜索的属性。 全局编录在森林中最初的一台域控制器上自动创建。可以为任何一台域控制器添加全局编录功能 。 全局编录担当了以下目录角色： 查找对象 提供了根据用户主名的身份验证 在多域环境下提供通用组的成员身份信息,五、操作主机,Windows Server 2003 Active Directory域控制器操作是一种多主机模式 。 在域中联机的第一台Windows Server 2003域控制器将会被默认地自动具有所有5种角色： 架构主机（Schema Master） 结构主机（nfrastructure Master） 域命名主机（Domain Naming Master） 相对ID（RID）主机 PDC仿真器,五、命名约定,1. 特异名称 Active Directory存储器里的每个对象都具有一个DN（distinguished name，特异名称）。DN会唯一地标识一个对象，它包含客户从目录检索对象所需的足够信息。DN包括容纳对象的域名以及通过容器层次结构到达对象的完整路径。例：域里的James Smith用户对象的DN： DC=COM/DC=Microsoft/CN=Users/CN=James Smith,2. 相对特异名称,在Active Directory服务里，即使当不知道确切的DN或者DN改变了的时候，都可以搜索一个对象。可以通过查询对象的属性实现。对象的一个属性是它的RDN（relative distinguished name，相对特异名称），RDN是DN全名的一部分。在上一个例子里，James Smith用户对象的RDN是CN=James Smith 。 Active Directory服务允许重复对象的RDN，但是，具有相同的RDN的两个对象不能存在于相同的OU内。,3. 全局唯一标识符,Active Directory存储器里的每个对象都具有唯一的标识。对象可以移动或重命名，但它们的标识自始至终都不会改变。对象的标识是由GUID（globally unique identifier，全局唯一标识符）定义的，GUID是在创建对象时由DSA（Directory System Agent，目录系统代理）指派的128位数字 。GUID自终至终都不会改变，甚至移动对象或重新为对象命名时也如此。应用程序可以保存对象的GUID，确保能够检索该对象，而无论它的当前的DN是什么。,4. 用户主体名称,UPN（user principle name，用户主体名称）是一个友好的名称，它比DN短，更易于记住。UPN由代表用户的速记名称和用户对象驻留的域的DNS名称组成。UPN格式是用户名、字符，再加上用户主体名称的后缀。 例如，树里的用户James Smith可能有一个的UPN。 用户主体名称与用户对象的特异名称无关，所以可以移动或重新命名用户对象，而不会影响用户的注册名称。,第二节 Active Directory的特性,目录或架构的可扩展性 可调整性 易用性 信息安全性 基于策略的管理 信息复制 与DNS的集成 与其他目录的互操作,第三节 安装Active Directory,启动Windows Server 2003系统，以Administrator权限登录 。,Active Directory安装向导,提示操作系统兼容性,选择域控制器类型,选择创建的域的类型,指定域名,指定域的NetBIOS名称,指定放置Active Directory数据库和日志文件的文件夹,数据库日志和系统卷设置,DNS注册诊断,选择兼容模式,设定还原模式管理员密码,安装选项摘要,安装过程截图,提示插入Windows Server 2003 Enterprise Edition CD-ROM,安装完成,提示重启计算机以使更改生效,第四节 域操作,一、加入域 方法一：在安装Windows Server 2003期间，有一步是选择计算机的安全角色，可以选择作为工作组或域的一部分。可以简单地成为一个工作组的一员，也可以将它配置成域控制器 作为域成员的普通Windows Server 2003计算机。 如果选择加入域，那么必须输入域管理员的账号和密码。这样可以防止非域管理员非法将Windows Server 2003计算机加入到域中。,方法二：使用“系统属性”对话框,二、将域中的成员服务器提升为域控制器,三、降级域控制器为普通的成员服务器,Active Directory安装向导,全局编录确认,删除域控制器,应用程序目录分区,确认删除,管理员密码,摘要,四、全局编录服务器,全局编录在森林中最初的一台域控制器上自动创建。可以为任何一台域控制器添加全局编录功能。 全局编录服务器存储了它所在域的所有目录对象的完整副本，以及森林中其它域中所有目录对象的部分副本，全局编录实现了两个关键的功能： 通过给域控制器提供通用的组隶属关系信息，来提供对任意域的网络登录。 提供搜索目录信息的能力，不管目录林中哪个域包含数据。,五、启用或禁用全局编录,以Administrator用户登录，选择“开始”“管理工具”“Active Directory站点和服务”,右击要启用或禁用的全局编录服务器的NTDS Setting，选中“属性”,六、更改域名和计算机,计算机更名警告,计算机名称更改,注意：不能直接修改域控制器的计算机名，如果此计算机是域控制器，那么“隶属于”框会变灰。只有先撤销计算机的域控制器身份，使其成为域中普通的成员服务器，然后才能更改计算机名。,第四节 管理Active Directory用户和计算机,一、用户账号简介 用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。定期使用网络的每个人都应有一个惟一的用户账号。 Windows Server 2003提供两种主要类型的用户账号：本地用户账号和域用户账号。除此之外，Windows Server 2003系统中还有内置的用户账号。,1. 本地用户账号（Local User Account）,本地用户账号只能登录到账号所在计算机并获得对该资源的访问。 当创建本地用户账号后，Windows Server 2003将在该机的本地安全性数据库中创建该账号，本地账号信息仍为本地，不会被复制到其他计算机或域控制器。 当创建一个本地用户账号后，计算机使用本地安全性数据库验证本地用户账号，以便让用户登录到该计算机。 注意不要在需要访问域资源的计算机上创建本地用户账号，因为域不能识别本地用户账号，也不允许本地用户访问域资源。,2. 域用户账号（Domain User Account）,域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。域用户账号是在域控制器上建立的，作为AD的一个对象保存在域的AD数据库中。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的域控制器所验证。 当在一个域控制器上新建一个用户账号后，该用户账号被复制到域中所有其他计算机上，复制过程完成后，域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。,3. 内置用户账号（Built-in User Account）,Windows Server 2003自动创建若干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。 最常用的两个内置账号是Administrator和Guest。 使用内置Administrator（管理员）账号管理计算机和域配置 。 Guest（来客）账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。,二、创建本地用户账号,“开始”“管理工具” “计算机管理”,添加用户,新用户对话框,在“计算机管理-用户”子窗口中看到新创建的账号,三、创建域用户账号,“管理工具”“Active Directory用户和计算机”,新建对象用户,输入密码,完成创建域用户账号,四、设置用户账号属性,1.设置个人属性常规、地址选项卡,设置个人属性电话、单位选项卡,2. 设置账号属性,3.设置登录时间,4. 设置用户可登录的计算机,五、维护用户账号,1. 禁用、启用、重命名和删除用户账号,2. 重设密码,3. 解除用户账号锁定,清空复选框,六、创建用户配置文件,用户配置文件定义了用户使用Windows Server 2003的工作环境。,1. 用户配置文件的类型,本地用户配置文件：如果某个用户配置文件仅限于本机使用，则称为本地用户配置文件。 漫游用户配置文件：漫游用户配置文件是保存在网络服务器上的用户配置文件。 强制用户配置文件：强制用户配置文件也属于漫游用户配置文件，不过它具有只读属性，其内容由系统管理员事先设置，用户无法更改，每次登录时都要使用固定的工作配置。,2. 使用本地配置文件,在运行Win