活动目录的培训资料

活动目录的培训资料活动目录（ActiveDirectory）基础活动目录是Windows网络中目录服务的实现方式。目录服务是一种网络服务，它存储网络资源的信息并使得顾客和应用程序能访问这些资源。活动目录对象重要包括顾客、组、计算机和打印机，然而网络中的所有服务器、域和站点等也可认为是活动目录中的对象。活动目录架构◆具有活动目录中所有对象的定义；◆用对象类和对象属性来描述每个对象；◆在Windows的网络中，整个森林只有一种架构；◆架构保留在活动目录中。活动目录的逻辑构造活动目录的逻辑构造用来组织网络资源。域（Domain）◆域是Windows活动目录的关键单元，是共享同一活动目录的一组计算机集合；◆域是安全的边界，在缺省的状况下，一种域的管理员只能管理他自己的域，一种域的管理员要管理其他的域，需要专门的授权；◆域是复制单位，一种域可包括多种域控制器，当某个域控制器的活动目录数据库修改后来，会将此修改复制到其他所有域控制器。组织单元（OrganizationalUnits，OU）◆OU是域下面的容器对象，用于组织对活动目录对象的管理，是Windows中最小的管理单元；◆OU可用来匹配一种企业的实际组织构造，域的管理员可以指定某个顾客去管理某个OU；◆OU也可以像域同样做成树状的构造，即OU下面还可以有OU；◆使用OU可取代WindowsNT4.0的多域网络，参见图1。图1树和森林（TreesandForests）树（Trees）：由一种或多种域构成。Windows中的树共享持续的名字空间；树具有双向、传递信任，即缺省状况下，Windows中父域和子域、树和树之间的信任关系都是双向的，并且是可传递的。森林（Forests）：森林由一棵或多棵树构成。森林中的树不共享一种持续的名字空间，但共享一种一般架构和全局目录。全局目录（GlobalCatalog）GlobalCatalog（GC）是一种包括活动目录中所有对象的属性信息（不是完全信息，是常用属性的一种子集）的仓库，它为顾客提供如下重要功能：◆在整个森林中查找活动目录的信息；◆使用通用组组员信息登录到网络；◆活动目录中的第一种域控制器自动成为全局目录，为了平衡登录和查询流量，您可以设置额外的全局目录。活动目录的物理构造物理构造用来设置和管理网络流量。活动目录的物理构造由域控制器和站点构成。域控制器（DomainController）活动目录复制：多主复制模式（Multi-MasterReplicationModel）和活动目录的物理构造决定复制在什么时候发生和怎样发生。单主操作：对从森林中添加/删除域这样的操作，不适合用多主复制的模式，需要单主复制，执行单主操作的计算机称为操作主机。站点（Sites）◆站点由一种或多种高速连接的IP子网构成；◆站点是网络的物理构造，站点和域没有必然联络，一种站点可包括多种域，一种域也可跨多种站点；◆创立站点的重要理由是为了优化复制流量和使顾客可以用可靠的高速线路连接到域控制器。活动目录集成区域要实现活动目录集成区域，DNSServer必须装有活动目录的DC。由于集成后DNS的区域数据库文献变成了活动目录的一部分，它的复制被包括在活动目录的复制中，因此不会再发生DNS区域传播（ZoneTransfer）。但仍然能向非活动目录集成的辅助服务器执行区域传播，防止了主服务器失败后，DNS记录无法被更新。安装和设置DNS以支持活动目录若在安装活动目录时同步安装DNS，操作系统会自动配置DNS，并创立与活动目录域同名的DNS正向查询区域、配置此正向查询区域与活动目录集成。活动目录对DNS的规定◆支持SRV记录（强制）；◆支持动态更新协议（推荐）；◆支持增量区域传播（推荐）。活动目录的顾客登录名主顾客名（UserPrincipalName）主顾客名的格式同E-mail地址，例如，，john称为主顾客名前缀，称为主顾客名后缀，一般为根域的域名。主顾客名只能用于登录Windows的网络。顾客登录名（UserLogonName）用于Pre-Windows的环境或Windows；登录时需要顾客名和域名。顾客名惟一性原则◆全名在所属的容器内惟一；◆顾客登录名在所属的域内惟一；◆主顾客名在整个森林内惟一。活动目录中的组全局组（GlobalGroups）；域当地组（DomainLocalGroups）；通用组（UniversalGroups）：通用组一般用于多域的状况，通用组的组员信息保留在GC中。尽量防止通用组直接包括顾客账号组员，而使用全局组作为通用组的组员。在域中使用组的方略使用A-G-DL-P方略；使用A-G-G-DL-P方略；使用A-G-U-DL-P方略。这里，A表达顾客账号，G表达全局组，U表达通用组，DL表达域当地组，P表达资源权限。A-G-DL-P方略是将顾客账号添加到全局组中，将全局组添加到域当地组中，然后为域当地组分派资源权限。其他类推。在活动目录中出版资源所有Windows的共享打印机都被自动出版在活动目录中；删除打印机时也会自动删除活动目录中的打印机；打印服务器负责在活动目录中出版打印机；当修改打印机属性时，会自动更新活动目录中打印机的属性。活动目录安全组件安全主体（SecurityPrincipals）安全主体是一种可以对它分派权限的对象，例如，顾客、组和计算机；每一种Windows域中的安全主体均有一种惟一的安全标识符。安全标识符（SecurityIdentifier——SIDs）安全标识符是用来标识一种安全主体的一种数值，它在这个主体被创立时产生，绝对不会重用。Windows中的访问控制机制是基于SIDs，而不是基于名字。安全描述符（SecurityDescriptors）安全描述符是包括与一种可以设置安全对象有关的安全信息的数据构造，重要包括如下内容：头部：安全描述符的版本信息和一组控制标志；所有者：此对象所有者的SID；重要组：所有者所属的重要组的SID；DACL（DiscretionaryAccessControlList）：顾客对此对象的访问控制列表；SACL(SystemAccessControlList)：对顾客进行审核的访问控制列表。假如在一种对象上设置了权限，这个对象的安全描述符中将包括一种DACL。DACL中包括容许或拒绝访问这个对象的顾客和组的SIDs；假如还对这个对象设置了审核，它的安全描述符中还包括一种SACL。活动目录权限权限是一种对象所有者的授权，通过授权，顾客可以对特殊对象进行操作。假如对象是所有者，可以分派给其他顾客或组部分或所有任务的权限，还可以分派所有权的权限。◆容许权限或拒绝权限：拒绝权限比任何容许权限优先级高；◆间接否认或直接否认（ImplicitlyDenyorExplicitlyDeny）：例如不是明确指定的操作权限是间接否认；◆原则权限和特殊权限：原则权限是常常分派的权限，而特殊权限是对分派访问权限的更细致的控制：◆完全控制；◆读出：查看对象和对象属性；◆写入：修改对象内容和属性；◆创立所有子对象：向OU中添加对象；◆删除所有子对象：从OU中删除对象。试验技术安装活动目录1．必备条件：计算机必须安装WindowsServer，AdvancedServer、DatacenterServer和最小250M的可用磁盘空间；必须有NTFS磁盘分区或卷用于保留SYSVOL文献夹；必须运行TCP/IP协议和DNS服务（可在安装活动目录的同步安装DNS），计算机须安装网卡。2．在Windows上使用dcpromo命令，将出现“AD安装向导”对话框，若在网络中第一次安装活动目录时，所创立的是森林的根域，此时选择“新域的域控制器”单项选择钮。3．选择“创立一种新的目录树”和“创立新的域目录树”单项选择钮，输入新域的DNS全名，例如，，输入NetBIOS名，它一般取DNS域名的第一部分或前15位，这里是cyc，然后指定AD数据库和SYSVOL保留的文献，后者必须位于NTFS分区。4．最终指定权限和密码等，此时开始安装AD并创立一种Windows的域。活动目录安装后，将在“程序/管理下产生三项：ActiveDirectory顾客和计算机、ActiveDirectory域和信任关系、ActiveDirectory站点和服务。5．若用无人值守的安装脚本去安装活动目录，则使用命令：dcpromo.exe/answer：answer_file。而应答文献answer_file内容的范例为：[DCInstall]AdministratorPasswordabcdAutoConfigDNSyesCreateOrJoincreateDatabasePathc:\winnt\ntdsDNSOnNetworknoDomainNetBiosNameeasthomeLogPathc:\winnt\ntdsNewDomainDNSNParentDomainDNSNameRebootOnSuccessyesReplicaOrNewDomaindomainSiteNamedefault-first-site-nameSysVolPathc:\winnt\sysvolTreeOrChildtree6．若要删除活动目录，则使用dcpromo/CA命令。创立批量顾客批量倒入过程（TheBulkImportProcess）将顾客信息事先创立到文本文献中，有两种类型的文本文献：用逗号分割的文献和用回车符分割的文献。用逗号分割的文献格式：dn，objectclass，samaccountname，userprincipalname，displayname，useraccountcontrol用回车符分割的文献格式：#creatjohn（阐明行）dn：cn=john，ou=humanresourses，dc=cyc，dc=comObjectclass：userSamaccountname：johnUserprincipalname：Displayname：johnUseraccountcontrol：512用CSVDE创立多种顾客账号命令格式：csvde-i-ffilename其中：-i表达正在把一种文献导入活动目录；-f表达下一种参数是导入的文献名且是使用逗号分割的文献。CSVDE只能创立顾客，不能修改和删除顾客。用LDIFDE创立多种顾客账号命令格式：ldifde-i-ffilenameLDIFDE命令使用的文献是用回车符分割的文献，它不仅能创立顾客，并且能修改和删除顾客。在“ActiveDirectory顾客和计算机”窗口建立顾客账号1．从“开始”菜单，依次选择“程序”、“管理工具”与“ActiveDirectory顾客和计算机”命令，将打开“ActiveDirectory顾客和计算机”窗口。2．展开要建立的域，使用鼠标右键单击要建立顾客和组的文献夹，在弹出的快捷菜单上选择“新建”命令，再选择对应的下一级命令。公布打印机1．在“ActiveDirectory顾客和计算机”窗口上，右击需要公布打印机的OU。2．选择“新建”，并选择“打印机”命令。3．输入要在活动目录上公布的打印机的UNC（格式：\\servername\sharename）名字。或：使用Pubprn..vbs脚本文献（%systemroot%\system32\pubprn.vbs），其格式：pubprn.vbs\\instructor\canonLDAP：//OU=Sales，DC=cyc，DC=com公布共享文献夹1．在“ActiveDirectory顾客和计算机”窗口上，右击需要公布打印机的OU。2．选择“新建”，并选择“共享文献夹”命令。3．输入要在活动目录上公布的共享文献夹的UNC名字。设置活动目录权限设置原则权限1．从“开始”菜单，依次选择“程序”、“管理工具”与“ActiveDirectory顾客和计算机”命令。2．在“ActiveDirectory顾客和计算机”窗口上单击“查看”菜单，选择“高级功能”命令。3．右击要设置权限的对象，选择“属性”命令，将打开“属性”对话框，并单击“安全”标签。4．要添加新权限，单击“添加”按钮，单击需要委派权限的顾客账户或组，单击“添加”按钮，然后单击“确定”；若要删除权限，选择需要删除的顾客账户或组，单击“删除”按钮，然后单击“确定”。5．在“权限”栏目中，选择需要添加或变化权限的“容许”或“拒绝”复选框。设置特殊权限原则权限对于大多数管理任务来说已经足够，然而，也可以浏览一下原则权限中的特殊权限，这可以使访问权限的控制愈加细致。按下列环节浏览特殊权限：1．在“属性”对话框，单击“安全”标签，单击“高级”按钮。2．在“访问控制设置”对话框上，在“权限”标签上，单击需要浏览的项，然后单击“查看/编辑”按钮。3．将打开“权限项目”对话框，实既有关设置。委派管理控制委派是将活动目录对象的管理责任分派给某顾客、组或OU。1．启动“控制委派向导”，在“ActiveDirectory顾客和计算机”窗口中，单击需要委派控制的OU，在快捷菜单上，单击“委派控制”菜单，将打开“控制委派向导”。2．选择将要委派控制的顾客或组。3．指定委派的任务。4．选择活动目录对象类型。委派控制向导容许选择下列控制中的一种：◆详细的OU。对详细OU的控制意味着可以管理OU内所有的对象，也可以在该OU中建立新的对象。◆OU内详细的对象。向导显示一系列可以委派控制的对象类型，例如，计算机对象、组对象和打印机对象。5．把权限分给将要委派控制的顾客或组。权限类型为：◆常规：最常用的权限；◆特殊属性：所有属性的权限；◆特殊子对象的创立/删除：建立或删除新对象的权限。结束语互联网的发展速度举世瞩目，通过互联网所带来的经济效益更为人们所关注。在网络日益普及的今天，