熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

活動目錄(Active Directory)基礎(圖)

2022-06-13   來源: Windows服務器 

  活動目錄是Windows 網絡中目錄服務的實現方式目錄服務是一種網絡服務它存儲網絡資源的信息並使得用戶和應用程序能訪問這些資源
  
  活動目錄對象
  
  主要包括用戶計算機和打印機然而網絡中的所有服務器域和站點等也可認為是活動目錄中的對象
  
  活動目錄架構
  
  ◆ 含有活動目錄中所有對象的定義
  
  ◆ 用對象類和對象屬性來描述每個對象
  
  ◆ 在Windows 的網絡中整個森林只有一個架構
  
  ◆ 架構保存在活動目錄中
  
  活動目錄的邏輯結構
  
  活動目錄的邏輯結構用來組織網絡資源
  
  域(Domain)
  
  ◆ 域是Windows 活動目錄的核心單元是共享同一活動目錄的一組計算機集合
  
  ◆ 域是安全的邊界在缺省的情況下一個域的管理員只能管理他自己的域一個域的管理員要管理其他的域需要專門的授權
  
  ◆ 域是復制單位一個域可包含多個域控制器當某個域控制器的活動目錄數據庫修改以後會將此修改復制到其他所有域控制器
  
  組織單元(Organizational UnitsOU)
  
  ◆ OU是域下面的容器對象用於組織對活動目錄對象的管理是Windows 中最小的管理單元
  
  ◆ OU可用來匹配一個企業的實際組織結構域的管理員可以指定某個用戶去管理某個OU
  
  ◆ OU也可以像域一樣做成樹狀的結構即OU下面還可以有OU
  
  ◆ 使用OU可取代Windows NT的多域網絡參見圖
  
 
  圖

  
  樹和森林(Trees and Forests)
  
  樹(Trees)由一個或多個域構成Windows 中的樹共享連續的名字空間樹具有雙向傳遞信任即缺省情況下Windows 中父域和子域樹和樹之間的信任關系都是雙向的而且是可傳遞的
  
  森林(Forests)森林由一棵或多棵樹組成森林中的樹不共享一個連續的名字空間但共享一個普通架構和全局目錄
  
  全局目錄(Global Catalog)
  
  Global Catalog(GC)是一個包含活動目錄中所有對象的屬性信息(不是完全信息是常用屬性的一個子集)的倉庫它為用戶提供以下重要功能
  
  ◆ 在整個森林中查找活動目錄的信息
  
  ◆ 使用通用組成員信息登錄到網絡
  
  ◆ 活動目錄中的第一個域控制器自動成為全局目錄為了平衡登錄和查詢流量您可以設置額外的全局目錄
  
  活動目錄的物理結構
  
  物理結構用來設置和管理網絡流量活動目錄的物理結構由域控制器和站點組成
  
  域控制器(Domain Controller)
  
  活動目錄復制多主復制模式(MultiMaster Replication Model)和活動目錄的物理結構決定復制在什麼時候發生和如何發生
  
  單主操作對從森林中添加/刪除域這樣的操作不適合用多主復制的模式需要單主復制執行單主操作的計算機稱為操作主機
  
  站點(Sites)
  
  ◆ 站點由一個或多個高速連接的IP子網構成
  
  ◆ 站點是網絡的物理結構站點和域沒有必然聯系一個站點可包含多個域一個域也可跨多個站點
  
  ◆ 創建站點的主要理由是為了優化復制流量和使用戶能夠用可靠的高速線路連接到域控制器
  
  活動目錄集成區域
  
  要實現活動目錄集成區域 DNS Server必須裝有活動目錄的DC因為集成後DNS的區域數據庫文件變成了活動目錄的一部分它的復制被包含在活動目錄的復制中所以不會再發生DNS區域傳輸(Zone Transfer)但仍然能向非活動目錄集成的輔助服務器執行區域傳輸避免了主服務器失敗後DNS記錄無法被更新
  
  安裝和設置DNS以支持活動目錄
  
  若在安裝活動目錄時同時安裝DNS操作系統會自動配置DNS並創建與活動目錄域同名的DNS正向查詢區域配置此正向查詢區域與活動目錄集成
  
  活動目錄對DNS的要求
  
  ◆ 支持SRV記錄(強制)
  
  ◆ 支持動態更新協議(推薦)
  
  ◆ 支持增量區域傳輸(推薦)
  
  活動目錄的用戶登錄名
  
  主用戶名(User Principal Name)
  
  主用戶名的格式同Email地址例如john稱為主用戶名前綴稱為主用戶名後綴一般為根域的域名主用戶名只能用於登錄Windows 的網絡
  
  用戶登錄名(User Logon Name)
  
  用於PreWindows 的環境或Windows 登錄時需要用戶名和域名
  
  用戶名惟一性原則
  
  ◆ 全名在所屬的容器內惟一
  
  ◆ 用戶登錄名在所屬的域內惟一
  
  ◆ 主用戶名在整個森林內惟一
  
  活動目錄中的組
  
  全局組(Global Groups)
  
  域本地組(Domain Local Groups)
  
  通用組(Universal Groups)通用組一般用於多域的情況通用組的成員信息保存在GC中盡量避免通用組直接包含用戶賬號成員而使用全局組作為通用組的成員
  
  在域中使用組的策略
  
  使用AGDLP策略
  
  使用AGGDLP策略
  
  使用AGUDLP策略
  
  這裡A表示用戶賬號G表示全局組U表示通用組DL表示域本地組P表示資源權限AGDLP策略是將用戶賬號添加到全局組中將全局組添加到域本地組中然後為域本地組分配資源權限其余類推
  
  在活動目錄中出版資源
  
  所有Windows 的共享打印機都被自動出版在活動目錄中
  
  刪除打印機時也會自動刪除活動目錄中的打印機
  
  打印服務器負責在活動目錄中出版打印機
  
  當修改打印機屬性時會自動更新活動目錄中打印機的屬性
  
  活動目錄安全組件
  
  安全主體(Security Principals)
  
  安全主體是一個能夠對它分配權限的對象例如用戶組和計算機
  
  每一個Windows 域中的安全主體都有一個惟一的安全標識符
  
  安全標識符(Security Identifier——SIDs)
  
  安全標識符是用來標識一個安全主體的一個數值它在這個主體被創建時產生絕對不會重用Windows 中的訪問控制機制是基於SIDs而不是基於名字
  
  安全描述符(Security Descriptors)
  
  安全描述符是包含與一個可以設置安全對象相關的安全信息的數據結構主要包括以下內容
  
  頭部安全描述符的版本信息和一組控制標志
  
  所有者此對象所有者的SID
  
  主要組所有者所屬的主要組的SID
  
  DACL(Discretionary Access Control List)用戶對此對象的訪問控制列表
  
  SACL (System Access Control List)對用戶進行審核的訪問控制列表
  
  如果在一個對象上設置了權限這個對象的安全描述符中將包含一個DACLDACL中包含允許或拒絕訪問這個對象的用戶和組的SIDs如果還對這個對象設置了審核它的安全描述符中還包含一個SACL
  
  活動目錄權限
  
  權限是一種對象所有者的授權通過授權用戶可以對特殊對象進行操作如果對象是所有者可以分派給其他用戶或組部分或全部任務的權限還可以分派所有權的權限
  
  ◆ 允許權限或拒絕權限拒絕權限比任何允許權限優先級高
  
  ◆ 間接否定或直接否定(Implicitly Deny or Explicitly Deny)例如不是明確指定的操作權限是間接否定
  
  ◆ 標准權限和特殊權限標准權限是經常分派的權限而特殊權限是對分派訪問權限的更細致的控制
  
  ◆ 完全控制
  
  ◆ 讀出查看對象和對象屬性
  
  ◆ 寫入修改對象內容和屬性
  
  ◆ 創建所有子對象向OU中添加對象
  
  ◆ 刪除所有子對象從OU中刪除對象
  
  實驗技術
  
  安裝活動目錄

  
  .必備條件計算機必須安裝Windows Server Advanced ServerDatacenter Server和最小M的可用磁盤空間必須有NTFS磁盤分區或卷用於保存SYSVOL文件夾必須運行TCP/IP協議和DNS服務(可在安裝活動目錄的同時安裝DNS)計算機須安裝網卡
  
  .在Windows 上使用dcpromo命令將出現AC安裝向導對話框若在網絡中第一次安裝活動目錄時所創建的是森林的根域此時選擇新域的域控制器單選鈕
  
  .選擇創建一個新的目錄樹創建新的域目錄樹單選鈕輸入新域的DNS全名例如輸入NetBIOS名它一般取DNS域名的第一部分或前這裡是cyc然後指定AD數據庫和SYSVOL保存的文件後者必須位於NTFS分區
  
  .最後指定權限和密碼等此時開始安裝AD並創建一個Windows 的域活動目錄安裝後將在程序/管理下產生三項Active Directory用戶和計算機Active Directory域和信任關系Active Directory站點和服務
  
  .若用無人值守的安裝腳本去安裝活動目錄則使用命
From:http://tw.wingwit.com/Article/os/fwq/201311/29817.html
    推薦文章
    Copyright © 2005-2022 電腦知識網 Computer Knowledge   All rights reserved.