第3章 Windows Server 2021 域及其账户管理

1、第3章 windows server 2021 域及其账户管理 windows server 2021课件 第三章 windows server 2021 域及其账户 管理 windows server 2021课件 内容提要 活动名目的概述 活动名目的组成 活动名目的安装 活动名目(active directory)是windows 活动名目(active directory)是windows server 2021系统中供应的名目服务，用于存储网络上各种对 2021系统中供应的名目服务，用于存储网络上各种对 象的相关信息，以便于管理员查找和使用。活动名目 是企业it管理的重要组成部分，把握

2、活动名目对提高 是企业it管理的重要组成部分，把握活动名目对提高 windows server 2021的管理技能具有特别重要的意 2021的管理技能具有特别重要的意 义。本章争论活动名目的基本概念、结构元素和特性 ，并介绍有关活动名目服务的基本操作。 windows server 2021课件 3.1 活动名目的概述 活动名目(active directory)是windows server 活动名目(active directory)是windows 2021操作系统供应的一种新的名目服务。所谓名目服 2021操作系统供应的一种新的名目服务。所谓名目服 务其实就是供应了一种按层次结构组织的

3、信息，然后 按名称关联检索信息的服务方式。这种服务供应了一 个存储在名目中的各种资源的统一管理视图，从而减 轻了企业的管理负担。另外，它还为用户和应用程序 供应了对其所包含信息的平安访问。活动名目作为用 户、计算机和网络服务相关信息的中心，支持现有的 行业标准ldap( 行业标准ldap(lightweight directory access protocal,轻量名目访问协议)第3 protocal,轻量名目访问协议)第3版，使任何兼容 ldap的客户端都能与之相互协作，可访问存储在活动 ldap的客户端都能与之相互协作，可访问存储在活动 名目中的信息，如linux、novell系统等。

4、名目中的信息，如linux、novell系统等。 windows server 2021课件 3.1.1 名目服务的含义 名目是一个用于存储用户感爱好的对象信息的信息库。 活动名目(active directory)是用于windows 活动名目(active directory)是用于windows server 2021 的名目服务。它存储着本网络上各种对 象的相关信息，并使用一种易于用户查找及使用的结 构化的数据存储方法来组织和保存数据。在整个名目 中，通过登录验证以及名目中对象的访问掌握，将安 全性集成到 active directory中。通过一次登录 directory中。通过一次

5、登录 (single sign-on,sso),管理员可管理整个网络 sign-on,sso),管理员可管理整个网络 中的名目数据和单位，而且获得授权的网络用户可访 问网络上全部的资源。这种基于策略的管理模式大大 地减轻了简单网络的管理简单度和工作量。 windows server 2021课件 3.1.2 需要名目服务的缘由 名目服务可以实现如下的功能：(1)提高管理者定义的平安性来保证信息不受入侵者的破坏 ； (2)将名目分布在一个 网络中的多台计算机上，提高了整个 网络系统的牢靠性； (3)复制名目可以使得更多用户获得它并且削减使用和管理 开销，提高效率； (4)安排一个名目于多个存储介

6、质中使其可以存储规模特别 大的对象。 名目服务既是管理工具又是终端用户工具。当网络中 对象的数目增加时，名目服务变得很重要。因此，从 这一点上可以将名目服务看做是一个大的分布系统的 转换中心，用户可以利用该中心快捷的管理并使用其 中的资源。 windows server 2021课件 3.1.3 活动名目与域 windows域(domain)是基于nt技术构建的windows windows域(domain)是基于nt技术构建的windows 系统组成的计算机网络的独立平安范围，是 windows的规律管理单位，也就是说一个域就是一 windows的规律管理单位，也就是说一个域就是一 系列的用

7、户账户、访问权限和其他的各种资源的集 合。 活动名目由一个或多个域构成，一个域可以跨越不 止一个物理地点。每一个域都有它自己的平安策略 和本域与其他域之间的平安关系。当多个域通过信 任关系连接起来并且拥有共同的模式、配置和全局 名目时，它们就构成了一个域树。多个域树可以连 接起来形成一个树林。 windows server 2021课件 活动名目的结构图 windows server 2021课件 对象 对象(object)是对某详细事物的命名，如用户、 对象(object)是对某详细事物的命名，如用户、 打印机或应用程序等。属性是对象用来识别主题 的描述性数据。一个用户的属性可能包括用户的

8、name、email和phone等 name、email和phone等 windows server 2021课件 域 域(domain)是windows server 2021活动名目的 域(domain)是windows 2021活动名目的 核心单元，是共享同一活动名目的一组计算机集 合。域是平安的边界，在默认的状况下，一个域 的管理员只能管理自己的域，一个域的管理员要 管理其他的域需要特地的授权。域也是复制单位， 一个域可包含多个域掌握器，当某个域掌握器的 活动名目数据库修改以后，会将此修改复制到其 他全部域掌握器。 windows server 2021课件 组织单元 组织单元(ou,

9、organizational unit)是组织、管 组织单元(ou, unit)是组织、管 理一个域内对象的容器，它能包涵用户账户、用户组、 计算机、打印机和其他的组织单元。很明显，通过组 织单元的包涵，组织单元具有很清晰的层次结构。使 用组织单位可关心管理员将网络所需的域数量降到最 低，组织单位还可以创建缩放到任意规模的管理模型。 这种包涵结构可以使管理者将组织单元切入到域中来 反映出企业的组织结构，同时管理者还可以委派任务 与授权。使用组织单位，可以在组织单位中代表规律 层次结构的域中创建容器，这样就可以依据实际的组 织模型管理账户和资源 的配置和使用。 windows server 20

10、21课件 树 树(tree),又称为域树，用来描述对象及容器的分 树(tree),又称为域树，用来描述对象及容器的分 层结构关系。域树是由若干具有共同的模式、配置的 域构成的，形成了一个接近的名字空间。在树中的域 也是通过信任关系连接起来的。活动名目是一个或更 多树的集合。树可以通过两种途径表示，一种是域之 间的关系，另一种是域树的名字空间。 windows server 2021课件 域树名字空间的特点(1)一棵树只有一个名字，即位于树根处的域的 dns名字； dns名字； (2)在根域下面创建的域(子域)的名字总是与根 域的名字邻接； (3)一棵树子域的dns名字是反映该组织机构的。 )一

11、棵树子域的dns名字是反映该组织机构的。 windows server 2021课件 树林 树林是一棵或多棵windows server 2021活动名目 树林是一棵或多棵windows 2021活动名目 树的集合。各树之间地位相当，由双向传递的信 任关系相关联。单个域组成一棵单域的树，单棵 树组成单树的树林。树林与活动名目是同一个概 念，也就是说，一个特定的名目服务实例(包括 全部的域、全部的配置和模式信息)中的全部目 录分区集合组成一片树林。 windows server 2021课件 3.2 active directory的物理结构 directory的物理结构 域掌握器 站点 win

12、dows server 2021课件 3.2.1 域掌握器 域掌握器是运行active directory 的 windows 域掌握器是运行active server 2021服务器。由于在域掌握器上，active 2021服务器。由于在域掌握器上，active directory 存储了全部的域范围内的账户和策略 信息，如系统的平安策略、用户身份验证数据和 名目搜寻。账户信息可以属于用户、服务和计算 机账户。由于有active 机账户。由于有active directory 的存在，域控 制器不需要本地平安账户管理器(sam)。在域中 制器不需要本地平安账户管理器(sam)。在域中 作为服

13、务器的系统可以充当以下两种角色中的任 何一种：域掌握器或成员服务器。 windows server 2021课件 1.域掌握器 一个域可有一个或多个域掌握器。通常单个局域 网(lan)的用户可能只需要一个域就能够满意要 网(lan)的用户可能只需要一个域就能够满意要 求。由于一个域比较简洁，所以整个域也只要一 个域掌握器。为了获得高可用性和较强的容错能 力，具有多个网络位置的大型网络或组织可能在 每个部分都需要一个或多个域掌握器。这样的设 计，使得大型组织的管理特别的烦琐，而active 计，使得大型组织的管理特别的烦琐，而active directory 支持域中全部域掌握器之间名目数据 的

14、多宿主复制，从而可以降低管理的简单程度， 提高管理效率。 windows server 2021课件 2.成员服务器 一个成员服务器是一台运行windows server 2021 一个成员服务器是一台运行windows 的域成员服 务器，由于不是域掌握器，因此成员 服务器不执行用户身份验证并且不存储平安策略 信息，这样可以让成员服务器拥有更高的处理能 力来处理网络中的其他服务。所以在网络中，通 常使用成员服务器作为专用的文件服务器、应用 服务器、数据库服务器或者web服务器，特地用于 服务器、数据库服务器或者web服务器，特地用于 为网络中的用户供应一种或几种服务。由于将身 份认证和服务分开

15、，这样可以获得较好的效率。 windows server 2021课件 3.2.2 站点 站点定义为由一个或多个 ip 子网的一组连接良 好的计算机集合。站点与域不同，站点代表网络 的物理结构，而域代表组织的规律结构。这样的 集合会提高工作效率，由于要确保站点内名目信 息的有效交换，站点中的计算机需要很好地连接， 尤其是不同子网内的计算机，通过站点可以简化 active directory内的站点之间的复制、身份验 directory内的站点之间的复制、身份验 证等活动。 windows server 2021课件 站点 站点在概念上不同于windows server 2021 的域，因 站点

16、在概念上不同于windows 为一个站点可以跨越多个域，而一个域也可以跨越多 个站点。站点并不属于域名称空间的一部分，站点控 制域信息的复制，并可以关心确定资源位置的远近。 站点反映网络的物理结构，而域通常反映组织的规律 结构。规律结构和物理结构相互独立，具有以下特点 ： (1)网络的物理结构及其域结构之间没有必要的相关 性。 (2)active directory 允许单个站点中有多个域，单 个域中有多个站点。 (3)站点和域名称空间之间没有必要的连接。 windows server 2021课件 3.3 域信任关系 信任是域之间建立的关系，它可使一个域中的用 户由处在另一个域中的域掌握器来进行验证。 windows server 2021域之间信任关系建立在 2021域之间信任关系建立在 kerberos平安协议上，kerberos信任是可传递的、 kerberos平安协议上，kerberos信任是可传递的、 分层次和结构的。windows 分层次和结构的。windows server 2021树林中的