活动目录基本概念

1、活动目录介绍目标 能够高效地搭建一个适合自己需要的网络，简化网络管理。内容活动目录概念活动目录概念活动目录的作用特性活动目录的作用特性活动目录的结构活动目录的结构重、难点分析 重点：l活动目录的结构难点：l组织单元l站点 活动目录介绍活动目录能做什么集中的管理网络资源分散的管理网络资源存储对象提高网络性能OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2DomainOU2OU1User1 Computer1Printer1User2集中的管理网络资源ParisRepairSalesUser1Computer1Pr

2、inter1User2Server1Server2Active Directory的基本概念何为目录?日常生活中所用的电话簿图书馆中的查询目录计算机中的文件系统内记录文件名、大小、日期等查询台网站的搜索功能 任务一、活动目录的概念任务一、活动目录的概念活动目录就其本质来讲是一种目录服务，是Windows 2003/2008 Server操作系统所支持的一种采用LDAP的目录服务。在Windows Server 2003/2008域内的目录是用来存储用户账户、组、打印机、共享文件夹等对象的，这些对象的存储处称为“目录数据库”。在Windows 2003/2008域内负责提供目录服务的组件是活动目

3、录，它负责目录数据库的保存、新建、删除、修改与查询等服务。活动目录存储网络上的各种对象的相关信息，使域用户只用一个用户帐号, 就可以访问活动目录中所有的资源（一次登录，全网使用） 。对于网络管理员来讲，活动目录服务提供了集中而且灵活的网络管理能力，使Windows 2003/2008 Server系统用来实现网络管理的关键服务。n组织组织n管理管理n控制控制资源资源n单点管理单点管理n用户只需登录一次，就可访问用户只需登录一次，就可访问整个活动目录的资源整个活动目录的资源活动目录的概念活动目录的概念活动目录服务的功能是组织和管理网络中的全部资源对象。活动目录包括两方面： 目录和目录相关的服务。

4、 目录是存储各种对象的一个物理上的容器，目录管理的基本对象是用户、计算机、文件以及打印机等资源。 而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理。活动目录的概念活动目录的概念目录： 是存储各种对象的一个物理上的容器，存储网络资源的信息，便于用户查找、管理和使用这些资源。 从静态的角度来理解，活动目录与“目录”和“文件夹”没有本质区别，仅仅是一个对象，是一实体。活动目录的概念活动目录的概念活动目录对象活动目录对象对象：网络资源 属性：关于对象的信息名名姓姓登录名打印机名打印机名打印机位置打印机位置PrintersPrinter1Prin

5、ter2Suzan FineUsersDon Hall打印机用户Printer3目录服务： 是使目录中所有信息和资源发挥作用的服务，活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问，提供容错。目录服务包括以下功能：l维护目录信息l合理组织信息结构l全局编目l查询机制l数据复制网络环境AD概念理解工作组原始社会:各服务器（人）各自为政域国家:一定范围内实现集中管理，中央集权AD森林联合国:实现多个基本管理范围（国家，域）的联合管理。减少这些基本范围内的重复管理工作。方便之间资源调用。AD概念理解定义联合国1.谁能加入联合国2.共同遵守的设定和规则3.不干涉别

6、国内政定义AD1.活动目录中能放哪些对象2.通用性设定3.各域数据原则上由数据所在的域进行管理AD适用范围AD适用范围非常广泛，小到一台计算机、一个小型局域网，大至数个广域网的结合。它可以包含此范围中的所有对象，例如文件、打印机、应用程序、服务器、域、用户帐号等。任务二 轻型目录访问协议（LDAP）LDAP(Lightweight Directory Access Protocol),是一种用来查询和更新活动目录的目录服务的通信协议。Win2003/2008域是利用“LDAP命名路径”来表示对象在AD内的位置，以便访问对象。所有对活动目录的访问都通过LDAP来进行。LDAP采用对象的区别名来为

7、目录对象提供唯一的名字。 轻型目录访问协议（LDAP）可分辨名称（Distinguished Name,DN），对象在AD中的完整路径:DC=abc，DC= comOU=MarketOU=Market1CN=user1CN=user1, OU=Market1, OU=Market, DC=abc，DC= comDC：域组件OU：组织单元CN：普通名字轻型目录访问协议（LDAP）相对可分辨名称（Releative Distinguished Name,RDN），对象在AD中的部分路径，:CN=user1DC=abc，DC= comOU=MarketOU=Market1CN=user1轻型目录访问

8、协议（LDAP）轻型目录访问协议（LDAP）全局唯一标识符（Global Unique Identifier,GUID）： 一个128 bit的数值，AD中每个对象系统都自动指定一个唯一的GUID。轻型目录访问协议（LDAP）用户规则名（User Principal Name,UPN）： 格式类似电子邮件账户：。 用户在登录域时，最好使用UPN登录，因为无论这个用户被移到哪个域，都不会改变他的UPN。任务三 活动目录的特性 信息安全特性： 活动目录服务完成网络中的安全管理，不仅可以管理网络中的计算机和用户，还包括管理网络中的各种服务资源。这些访问资源的安全控制可以在活动目录中针对每个对象定义，

9、也可以在对象的属性中调整。良好的可伸缩特性： 活动目录包含了一个或多个域，每个域具有一个或多个域控制器，以便调整网络的规模。集成DNS服务： 活动目录服务借用现有DNS服务命名体系来定义域环境的名称，这样使得活动目录的域环境更容易被记忆和使用。 另外，活动目录服务器和接受活动目录服务管理的计算机都使用DNS服务来查找和定位网络中的资源和服务。完善的信息复制： 活动目录服务允许在一个域环境中保存多个活动目录服务数据库的副本，这样域环境中就可以有多个域控制器同时进行工作，为客户计算机和用户提供网络资源的管理和定位。灵活的活动目录查询能力： 不论是域环境中的用户还是管理员，都可以使用计算机中的“网上

10、邻居”或者是“开始”菜单中的“搜索”来查找活动目录中的现有对象。 任务四 活动目录的结构逻辑结构物理结构运输部运输部运输部运输部合肥分公司合肥分公司北京总公司北京总公司活动目录的逻辑结构活动目录使用数据库组织和管理网络对象。为灵活组织和存储网络对象，活动目录数据库使用了灵活的分区机制组织和管理网络对象。逻辑结构Domain域域域域目录树目录树域域域域域域目录树目录树目录林目录林域域OUOUOU逻辑结构:组织管理网络资源活动目录能够通过名字（的属性）找到资源，而不是物理位置,这样使网络的物理结构对用户透明。域组织单元域目录树域目录林全局目录活动目录的逻辑结构活动目录的相关术语 1、命名空间： 活

11、动目录就是一个命名空间，是有特定边界的指定区域 ，主要用途是组织资源的说明，使用户按其特性或属性等有关信息来查找资源。 Windows 2003/2008的AD与DNS紧密结合，域“命名空间”采用DNS的架构，域名也采用DNS的格式来命名。2 、对象与属性： Windows 2003/2008域内的资源以对象的形式存在，如用户、组、计算机、打印机等都是对象。而对象是通过属性描述它的基本特征，即对象本身是一些“属性”的集合。比如，一个用户账号的属性中可能包括用户姓名、 电话号码、 电子邮件地址和家庭住址等。活动目录的相关术语 活动目录对象活动目录对象First NameLast NameLogo

12、n NamePrinter NamePrinter LocationPrintersPrinter1Printer2Suzan FineUsersDon HallPrintersUsersPrinter33 、容器与组织单位： 容器是活动目录名字空间的一部分，与目录对象一样，它也有属性，容器内可以存放其他的对象，也可以包含其他的容器。 组织单位是AD内一个比较特殊的容器。 AD通过层次式的架构，将对象、容器、OU等组合在一起，并将它们存储在AD数据库中。活动目录的相关术语 组织单元： 组织单元（OU）是一种用来把活动目录中的对象（用户、组、计算机及其他单位）按照某种管理需求组织在一起的容器，从

13、名称上理解，它是一个单位、一个容器，用来容纳活动目录中的各种对象。组织单元可包含用户、组、计算机、打印机、共享文件夹及其他组织单元。 活动目录的相关术语 理解方式理解方式OU相当于公司里面的部门机构，可以理解为生活中公司总经理（域管理员）按照职能把公司（活动目录域）划分成为部门（组织单元），并且任命部门经理（OU中的被委派用户），部门经理代替总经理在本部门内部行使管理权利。通过组织OU，可建立一个层次结构，将域内的资源层次化。利用OU可以简化域中对象的管理，可以把管理控制权委派给OU内的对象进行管理。方便应用组策略SalesVancouverRepairUsersSalesComputers4

14、、域： 域是Win2003/2008 Server网络系统的安全性边界。一个计算机网络最基本的单元就是“域”，活动目录可以贯穿一个或多个域。 每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后，活动目录可以被多个信任域共享。活动目录的相关术语 域环境是活动目录中的逻辑结构的核心管理单元。 域内包含网络中的计算机、用户和网络服务等对象。每个活动目录域有唯一的名字。特点：1、域环境定义了安全边界：安全边界的作用保证了域环境的管理者只能在自己的域环境内部行使管理员的权利。2、域环境也是活动目录服务数据库的复制单元：域内可以存在多台域控制器,所有的域控制器都能够执行对活

15、动目录的查询等工作，同时把活动目录数据库的变化复制给其他的域控制器。 活动目录的相关术语 安全边界安全边界复制复制管理管理安全策略安全策略组策略组策略复制单元复制单元Windows 2003/2008 域域User1User2User1User2理解方式理解方式活动目录域环境可以理解为分布在地球上的各个国家。每个国家都有自己的安全管理法律，形成了地理上连接在一起而安全管理互相独立的“域” 。活动目录管理的网络也是物理上（可能）互相连接的众多计算机，其中的一部分主机遵守共同的安全管理机制，形成管理层次上相对独立的“域”。5 、域树： 要架设一个内含多个域的网络，则可以将网络设置成“域树”的架构，

16、即这些域是以树状形式存在。 域树由多个域组成，这些域共享同一个结构和配置，形成一个连续的名字空间。域树中的域通过双向可传递信任关系连接在一起。活动目录的相关术语 域目录树的概念如果多个域环境使用了连续的命名空间（类似我们平时说的都姓一个姓氏），称这样的多域结构为活动目录树活动目录树。活动目录树中的下层域成为其上层域的子域子域，上层域称为父域父域。从形式上来讲，如果父域名称是，那么子域的名称应该是XXX。父域 子域连续的名字空间，（域后缀延续 ）sales.contoso.msft父域父域子域子域新域新域目录树根目录树根 域域contoso.msftsales.contoso.msft域目录树的

17、概念域树nwtraders.msftmarketing. nwtraders.msftsales. nwtraders.msftcontoso.msftsales. contoso.msft目录林目录林目录树目录树目录树目录树6 、域林： 域林是指由一个或多个非连续名字空间的域树组成，它与上面所讲的域树最明显的区别就在于这些域树之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。 活动目录的相关术语 域林 使用一个活动目录树或者多个活动目录树组成的更大范围的多域环境，在目录林中，存在不连续的域名称空间。但是它们之间的信任关

18、系是一样的双向可传递式信任 。活动目录树中的第一个域环境成为目录树的根域 。活动目录林中的第一个建立的目录树的根域称为目录林的根域。目录林根域目录林根域n目录林根域是在林中第目录林根域是在林中第一个建立的域一个建立的域contoso.msft目录林目录林目录林根域目录林根域nwtraders.msft目录树目录树目录树根域目录树根域全局目录全局目录marketing.nwtraders.msftsales.contoso.msft目录树目录树域域域域域域域树域树Domain域域域域域树域树域森林域森林D域林 目录树和目录林 japan. china. 目录树目录树目录林目录林japan. ch

19、ina. T(root)域域 Windows NT 4.0单向不可传递信任关系单向不可传递信任关系双向可传递信任关系双向可传递信任关系7、信任 两个域之间必须建立了“信任关系”之后，才可以访问对方域内的资源。 任何一个Win2003/2008域被加入到域树后，会自动信任其前一层的父域，同时父域也会自动信任这个新域，具有“双向传递性”。8、全局编录（GC-Glable Catalog）全局编录服务是包含着目录林中的所有活动目录对象的属性的一个子集的服务。也就是说全局目录是活动目录林中信息的仓库。可以让用户很容易的找到所需的对象。 全局目录服务中包含的是活动目录中经常被查询到的对象的部分属性，例如

20、用户帐户、用户的姓氏、用户的登录名称等。还负责提供用户登录时，该用户所隶属的“通用组”的数据；或当用户利用UPN登录时，提供该用户是隶属于哪一个域的数据。 全局编录服务器 一个森林中的每台域控制器都存储本域的完整目录信息(一个林内的所有域树使用相同的架构)。 全局编录服务器是一个不仅存储本域的完整目录，同时还存储森林中所有域目录的一个部分的、只读的副本的域控制器。（子域对象属性的子集，只包含约4%，可查子集对象的常用属性）全局编目服务器包含了域目录林中所有对象的信息 ，只要给出目标对象的一个或几个属性，用户和应用程序就可以在 AD域目录林中找到这些对象。 全局目录全局目录全局编录服务器是在林中

21、全局编录服务器是在林中第一个建立的域控制器第一个建立的域控制器contoso.msft目录林目录林目录林根域目录林根域nwtraders.msft目录树目录树目录树根域目录树根域全局目录全局目录marketing.nwtraders.msftsales.contoso.msft目录树目录树理解指南理解指南在我国部分地区，一个家族的人为了理顺亲人之间的亲属关系，建立了“族谱”之类的管理某一家族的全体人员的“全局目录”。“家谱”用来在亲友之间检验亲戚关系。家族就相当于活动目录林，而“全局目录”服务就相当于目录林的“族谱”。活动目录的物理结构：网络的配置和优化 域控制器（domain control

22、ler）站点（site）Domain Controllers （域控制器）: l参与活动目录复制l在一个活动目录中执行单主控操作Domain ControllerDomain ControllerDomainUser1User2User1User2= A Writeable Copy of the Active Directory Database一份可写入的一份可写入的AD数据库数据库活动目录的物理结构域控制器： 运行Win2003/2008 Server的活动目录服务的计算机，存储活动目录服务的数据库副本。域控制器是管理员执行活动目录服务管理的对象的调整的位置，域控制器管理活动目录服务信息

23、的变化，并将其写入活动目录服务数据库。一个域可有一个或多个域控制器。 活动目录的物理结构提高域的容错能力，为每个站点架设一台DC，提升使用效率。复制复制DC-BDC-CDC-A控制器之间的复制控制器之间的复制复制拓扑域中计算机角色域中计算机角色域控制器域控制器 域控制器必须是一台运行Win2003/2008 Server的计算机，一个域可以有一个或多个域控制器： 1、提供AD服务。 2、存储与复制AD数据库。 3、管理域中的活动，包括“用户登录”，“身份验证”与“目录查询”。成员服务器成员服务器 运行 Win2003/2008 Server 的计算机，但它不是 Win2003/2008 Server域的域控制器。成员服务器加入域，但不存储目录数据库的副本，不存储目录数据库不处理帐户