active directory入门第2章域服务简介

1、第2章ActiveDirectory域服务简介主讲：军：章节概述AD DS 概述AD DS 逻辑组件概述AD DS 物理组件概述第 1 节：AD DS 概述部署 AD DS 的原因使用 AD DS 集中管理网络AD DS 组件概述验证部署 AD DS 的原因AD DS 提供了一个集中式的系统，用于管理网络上的用户、计算机和其他资源。AD DS 功能包括：集中式目录单一登录集成安全性可伸缩性公共管理界面验证验证是在网络上验证用户的过程。验证包含两个组成部分：交互式登录 授予对本地计算机的验证 授予对网络资源网络的权权授权授权是验证通过身份验证的用户是否有权限来执行某个操作的过程。创建帐户时，安全

2、标识符身份验证期间，安全令牌将颁发(SID) 将颁发给安全主体给用户帐户，令牌中包含用户的SID 以及所有相关的组 SID网络上的共享资源包括访问控制安全令牌与资源上的 DACL 进列表 (ACL)，ACL 定义谁可以行比较，并相应地授予或拒绝访访问资源问。使用 AD DS 集中管理网络AD DS 通过以下几点实现集中管理网络：提供了一个集中的地方来管理用户和组帐户以及相应的工具集提供了一个集中的地方来分配对共享网络资源的权为支持 AD DS 的应用程序提供目录服务提供用于配置应用于所有用户和计算机的安全策略的多种选项提供用于管理用户桌面和安全设置的组策略AD DS 组件概述AD DS 由物理

3、组件和逻辑组件组成。物理组件逻辑组件分区架构域域树林站点数据域控制器全局编录服务器只读域控制器 (RODC)组织(OU)第 2 节：AD DS 逻辑组件概述AD DS 架构域AD DS 信任域树林OU：实施 AD DS 逻辑组件的场景AD DS 对象演示：管理 AD DS 逻辑组件的工具AD DS 架构AD DS 架构：在 AD DS 中的每一种对象类型定义可强制实施与对象创建和配置有关的规则对象类型功能示例类对象定义可在目录中创建何种新对象用户类计算机类属性对象定义对于每种对象类可哪些信息显示名域域是逻辑目录组件，用于分组和管理组织中的AD DS 对象。域提供：管理边界，用来将策略应用于对象

4、组边界，用于在域控制器之间数据验证和边界，提供限制资源范围的方法WoodgroveAD DS 信任信任提供了一种使用户能另一个域中的资源的机制。林中的所有域信任林中的所有其他域信任可延伸到林之外信任类型描述图直接式信任方向从信任域流向受信任域信任可传递信任关系延伸到双域信任之外，以纳入其他受信任域。信任和域树域树是 AD DS中域的层次结构。域树中的所有域：其名称空间衔接父域的名称空间可以在其名称空间中添加子域与树中的其他域之间有双向可传递信任关系NA.WoodgroveEMEA.WoodWoodgrove林林是一个或多个域树的集合。林：共享同一全局编录以支持搜索实现林中所有域之间的信任共用

5、Entrise Admins 和Schema Admins 组共享同一配置分区共享同一架构OUOU 是可包含用户、组、计算机和其他 OU的 Active Directory 容器。OU 用于：层次化地、逻辑地表示公司组织结构以的方式管理一系列对象将权限委派给对象的管理员组应用策略：实施 AD DS 逻辑组件的场景对于每一个场景，描述将需要实施的 AD DS 逻辑组件：场景 1：小型公司场景 2：中型公司场景 3：学术机构场景 4：企业机构AD DS 对象对象描述用户使用户能够网络资源Inet类似于用户帐户用于兼容其他目录服务联系人主要用于将电子邮件地址分配给外部用户不允许网络组用于简化控制的管

6、理计算机实现计算机对资源的验证和审核用于简化查找并连接的过程共享文件夹使用户能根据属性搜索共享文件夹演示：管理 AD DS 逻辑组件的工具在本演示中，你将了解用于管理 AD DS 逻辑组件的工具。第 3 节：AD DS 物理组件概述AD DS 域控制器DNS 和 AD DS 概述全局编录服务器AD DS 数据AD DS站点：实施 AD DS 物理组件的场景演示：管理 AD DS 物理组件的工具AD DS 域控制器域控制器是安装了 AD DS 服务器角色的服务器。域控制器：承载 AD DS 目录的副本提供验证和服务将更新到域和林中的其他域控制器允许在服务器上管理用户帐户和网络资源Windows

7、Server 2008 AD DS 支持 RODC DNS 和 AD DS 概述AD DS 需要 DNS 基础结构AD DS 域名必须是 DNS 域名AD DS 域控制器记录必须在DNS 区域可作为 Active DNS 中注册才能使其他域控Directory 集成区域存储在制器和客户端计算机能找到该AD DS 中域控制器DNS区域DNSDNS 域名全局编录服务器全局编录服务器是了全局编录的副本的域控制器。全局编录：包含林中所有 AD DS 对象的副本，但是该副本仅包含林中每个对象的部分属性提高搜索对象的效率，因为它避免了不必要地域控制器是用户登录到域中所必需的AD DS 数据 AD DS 数

8、据包含和管理用户、服务和应用程序的目录信息的数据库文件和文件进程。AD DS 数据：由 Ntds.dit文件%SystemRoot%NTDS 文件夹中默认在所有域控制器上的只能通过域控制器进程和协议AD DS AD DS将 AD DS 数据库的所有更新到域中或林中的所有其他域控制器。AD DS：确保所有域控制器都有相同的信息使用多主机 (multimaster)模型可通过创建 AD DS 站点来进行管理AD DS拓扑是在新的域控制器添加到域中时自动创建的。站点AD DS 站点用于表示一个网段，在该网段中，所有域控制器都通过快速可靠的网络连接相连。站点：与 IP 子网关联用于管理流量用于管理客户端登录流量(DFS) 或由可识别站点的应用程序使用，如分布式文件系统Exchange Server 2007用于将组策略对象分配给公司位置中的所有用户和计算机：实施 AD DS 物理组件的场景对于每一个场景，描述将需要实施的 AD DS 物理组件：场景 1：小型公司场景 2：中型公司场景 3：学术机构场景 4：企业机构演示：管理 AD DS 物理组件的工具在本演示中，你将了解用于管理 AD DS 物理组件的工具。实验：研究 AD DS 组件和工具： 检查 AD DS 逻辑组件练练习 2： 检查 AD DS 物理组件实验回顾在此实验中，你使用了管理工具来管理 AD