活動目錄是Windows
網絡中目錄服務的實現方式
目錄服務是一種網絡服務
它存儲網絡資源的信息並使得用戶和應用程序能訪問這些資源
活動目錄對象 主要包括用戶
組
計算機和打印機
然而網絡中的所有服務器
域和站點等也可認為是活動目錄中的對象
活動目錄架構 ◆ 含有活動目錄中所有對象的定義
◆ 用對象類和對象屬性來描述每個對象
◆ 在Windows
的網絡中
整個森林只有一個架構
◆ 架構保存在活動目錄中
活動目錄的邏輯結構 活動目錄的邏輯結構用來組織網絡資源
域(Domain) ◆ 域是Windows
活動目錄的核心單元
是共享同一活動目錄的一組計算機集合
◆ 域是安全的邊界
在缺省的情況下
一個域的管理員只能管理他自己的域
一個域的管理員要管理其他的域
需要專門的授權
◆ 域是復制單位
一個域可包含多個域控制器
當某個域控制器的活動目錄數據庫修改以後
會將此修改復制到其他所有域控制器
組織單元(Organizational UnitsOU) ◆ OU是域下面的容器對象
用於組織對活動目錄對象的管理
是Windows
中最小的管理單元
◆ OU可用來匹配一個企業的實際組織結構
域的管理員可以指定某個用戶去管理某個OU
◆ OU也可以像域一樣做成樹狀的結構
即OU下面還可以有OU
◆ 使用OU可取代Windows NT
的多域網絡
參見圖
圖 樹和森林(Trees and Forests) 樹(Trees)
由一個或多個域構成
Windows
中的樹共享連續的名字空間
樹具有雙向
傳遞信任
即缺省情況下
Windows
中父域和子域
樹和樹之間的信任關系都是雙向的
而且是可傳遞的
森林(Forests)
森林由一棵或多棵樹組成
森林中的樹不共享一個連續的名字空間
但共享一個普通架構和全局目錄
全局目錄(Global Catalog) Global Catalog(GC)是一個包含活動目錄中所有對象的屬性信息(不是完全信息
是常用屬性的一個子集)的倉庫
它為用戶提供以下重要功能
◆ 在整個森林中查找活動目錄的信息
◆ 使用通用組成員信息登錄到網絡
◆ 活動目錄中的第一個域控制器自動成為全局目錄
為了平衡登錄和查詢流量
您可以設置額外的全局目錄
活動目錄的物理結構 物理結構用來設置和管理網絡流量
活動目錄的物理結構由域控制器和站點組成
域控制器(Domain Controller) 活動目錄復制
多主復制模式(Multi
Master Replication Model)和活動目錄的物理結構決定復制在什麼時候發生和如何發生
單主操作
對從森林中添加/刪除域這樣的操作
不適合用多主復制的模式
需要單主復制
執行單主操作的計算機稱為操作主機
站點(Sites) ◆ 站點由一個或多個高速連接的IP子網構成
◆ 站點是網絡的物理結構
站點和域沒有必然聯系
一個站點可包含多個域
一個域也可跨多個站點
◆ 創建站點的主要理由是為了優化復制流量和使用戶能夠用可靠的高速線路連接到域控制器
活動目錄集成區域 要實現活動目錄集成區域
DNS Server必須裝有活動目錄的DC
因為集成後DNS的區域數據庫文件變成了活動目錄的一部分
它的復制被包含在活動目錄的復制中
所以不會再發生DNS區域傳輸(Zone Transfer)
但仍然能向非活動目錄集成的輔助服務器執行區域傳輸
避免了主服務器失敗後
DNS記錄無法被更新
安裝和設置DNS以支持活動目錄
若在安裝活動目錄時同時安裝DNS
操作系統會自動配置DNS
並創建與活動目錄域同名的DNS正向查詢區域
配置此正向查詢區域與活動目錄集成
活動目錄對DNS的要求 ◆ 支持SRV記錄(強制)
◆ 支持動態更新協議(推薦)
◆ 支持增量區域傳輸(推薦)
活動目錄的用戶登錄名 主用戶名(User Principal Name)
主用戶名的格式同E
mail地址
例如
john稱為主用戶名前綴
稱為主用戶名後綴
一般為根域的域名
主用戶名只能用於登錄Windows
的網絡
用戶登錄名(User Logon Name)
用於Pre
Windows
的環境或Windows
登錄時需要用戶名和域名
用戶名惟一性原則 ◆ 全名在所屬的容器內惟一
◆ 用戶登錄名在所屬的域內惟一
◆ 主用戶名在整個森林內惟一
活動目錄中的組 全局組(Global Groups)
域本地組(Domain Local Groups)
通用組(Universal Groups)
通用組一般用於多域的情況
通用組的成員信息保存在GC中
盡量避免通用組直接包含用戶賬號成員
而使用全局組作為通用組的成員
在域中使用組的策略
使用A
G
DL
P策略
使用A
G
G
DL
P策略
使用A
G
U
DL
P策略
這裡
A表示用戶賬號
G表示全局組
U表示通用組
DL表示域本地組
P表示資源權限
A
G
DL
P策略是將用戶賬號添加到全局組中
將全局組添加到域本地組中
然後為域本地組分配資源權限
其余類推
在活動目錄中出版資源 所有Windows
的共享打印機都被自動出版在活動目錄中
刪除打印機時也會自動刪除活動目錄中的打印機
打印服務器負責在活動目錄中出版打印機
當修改打印機屬性時
會自動更新活動目錄中打印機的屬性
活動目錄安全組件
安全主體(Security Principals)
安全主體是一個能夠對它分配權限的對象
例如
用戶
組和計算機
每一個Windows
域中的安全主體都有一個惟一的安全標識符
安全標識符(Security Identifier——SIDs)
安全標識符是用來標識一個安全主體的一個數值
它在這個主體被創建時產生
絕對不會重用
Windows
中的訪問控制機制是基於SIDs
而不是基於名字
安全描述符(Security Descriptors)
安全描述符是包含與一個可以設置安全對象相關的安全信息的數據結構
主要包括以下內容
頭部
安全描述符的版本信息和一組控制標志
所有者
此對象所有者的SID
主要組
所有者所屬的主要組的SID
DACL(Discretionary Access Control List)
用戶對此對象的訪問控制列表
SACL (System Access Control List)
對用戶進行審核的訪問控制列表
如果在一個對象上設置了權限
這個對象的安全描述符中將包含一個DACL
DACL中包含允許或拒絕訪問這個對象的用戶和組的SIDs
如果還對這個對象設置了審核
它的安全描述符中還包含一個SACL
活動目錄權限 權限是一種對象所有者的授權
通過授權
用戶可以對特殊對象進行操作
如果對象是所有者
可以分派給其他用戶或組部分或全部任務的權限
還可以分派所有權的權限
◆ 允許權限或拒絕權限
拒絕權限比任何允許權限優先級高
◆ 間接否定或直接否定(Implicitly Deny or Explicitly Deny)
例如不是明確指定的操作權限是間接否定
◆ 標准權限和特殊權限
標准權限是經常分派的權限
而特殊權限是對分派訪問權限的更細致的控制
◆ 完全控制
◆ 讀出
查看對象和對象屬性
◆ 寫入
修改對象內容和屬性
◆ 創建所有子對象
向OU中添加對象
◆ 刪除所有子對象
從OU中刪除對象
實驗技術
安裝活動目錄 .必備條件
計算機必須安裝Windows
Server
Advanced Server
Datacenter Server和最小
M的可用磁盤空間
必須有NTFS磁盤分區或卷用於保存SYSVOL文件夾
必須運行TCP/IP協議和DNS服務(可在安裝活動目錄的同時安裝DNS)
計算機須安裝網卡
.在Windows
上使用dcpromo命令
將出現
AC安裝向導
對話框
若在網絡中第一次安裝活動目錄時
所創建的是森林的根域
此時選擇
新域的域控制器
單選鈕
.選擇
創建一個新的目錄樹
和
創建新的域目錄樹
單選鈕
輸入新域的DNS全名
例如
輸入NetBIOS名
它一般取DNS域名的第一部分或前
位
這裡是cyc
然後指定AD數據庫和SYSVOL保存的文件
後者必須位於NTFS分區
.最後指定權限和密碼等
此時開始安裝AD並創建一個Windows
的域
活動目錄安裝後
將在
程序/管理下產生三項
Active Directory用戶和計算機
Active Directory域和信任關系
Active Directory站點和服務
.若用無人值守的安裝腳本去安裝活動目錄
則使用命
From:http://tw.wingwit.com/Article/os/fwq/201311/29817.html
