1、第8章 活動目錄基礎主要知識點：一、活動目錄邏輯結(jié)構(gòu) （了解）二、活動目錄物理結(jié)構(gòu) （了解）三、活動目錄的安裝 （掌握）四、將計算機加入到域 （掌握）1ppt課件一 活動目錄介紹1、什么是活動目錄 活動目錄（Active Directory）是Windows Server 2003平臺提供的目錄服務，在中央數(shù)據(jù)庫中存放信息，使用戶在網(wǎng)絡上只擁有一個用戶賬號。Windows Server 2003中的活動目錄是高度完善的、自適應能力很強的目錄服務。它支持用戶進行大范圍的修改來滿足特定的商務和組織需要?；顒幽夸浿С侄嘤蚪Y(jié)構(gòu)，由一個或多個域組成。每個域擁有與其他域相關的安全策略和安全關系。這種多域模

2、式可以使Windows Server 2003具有更高的安全性。2ppt課件目錄服務的功能組織管理控制資源集中管理單點管理用戶只需登錄一次，就可訪問整個活動目錄的資源目錄服務：存儲網(wǎng)絡資源的信息，使信息可有效利用 ;實質(zhì)為后臺服務，表現(xiàn)為管理、用戶工具3ppt課件 活動目錄包括兩個方面：目錄和與目錄相關的服務。目錄是存儲各種對象的一個物理上的容器，從靜態(tài)的角度來理解這活動目錄與我們以前所結(jié)識的“目錄”和“文件夾”沒有本質(zhì)區(qū)別，僅僅是一個對象，是一實體；而目錄服務是使目錄中所有信息和資源發(fā)揮作用的服務，活動目錄是一個分布式的目錄服務，信息可以分散在多臺不同的計算機上，保證用戶能夠快速訪問，因為多

3、臺計算機上有相同的信息，所以在信息冗余方面具有很強的控制能力，正因如此，不管用戶從何處訪問或信息處在何處，都對用戶提供統(tǒng)一的視圖。4ppt課件對象：網(wǎng)絡資源 屬性：關于對象的信息屬性名姓登錄名屬性打印機名打印機位置活動目錄PrintersPrinter1Printer2Suzan FineUsersDon Hall屬性值對象打印機用戶Printer3 活動目錄對象5ppt課件2、活動目錄作用 （1） 信息的安全性大大增強 安裝活動目錄后信息的安全性完全與活動目錄集成，用戶授權(quán)管理和目錄進入控制已經(jīng)整合在活動目錄當中了（包括用戶的訪問和登錄權(quán)限等），而它們都是Windows Server 200

4、3操作系統(tǒng)的關鍵安全措施?；顒幽夸浖锌刂朴脩羰跈?quán)，目錄進入控制不僅能在每個目錄中的對象上定義，而且還能在每一個對象的每個屬性上定義，這一點是以前任何系統(tǒng)所不能達到的，包括Windows NT 4.0。除此之外，活動目錄還可以提供存儲和應用程序作用域的安全策略，提供安全策略的存儲和應用范圍。6ppt課件 安全策略可包含帳戶信息，如域范圍內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪問權(quán)等。所以從一定程序上可以說Windows Server 2003的安全性就是活動目錄所體現(xiàn)的安全性。由此可見，對于網(wǎng)絡管理者來說，如何配置好活動目錄中對象及屬性的安全性是一個網(wǎng)絡管理者配置好Windows Server 2003

5、系統(tǒng)的關鍵。 （2） 引入基于策略的管理，使系統(tǒng)的管理更加明朗 活動目錄服務包括目錄對象數(shù)據(jù)存儲和邏輯分層結(jié)構(gòu)（指上面所講的目錄、目錄樹、域、域樹、域林等所組成的層次結(jié)構(gòu)）。作為目錄，它存儲著分配給特定環(huán)境的策略，稱為組策略對象。作為邏輯結(jié)構(gòu)。7ppt課件 它為策略應用程序提供分層的環(huán)境。組策略對象表示了一套商務規(guī)則，它包括與要應用的環(huán)境有關的設置，組策略是用戶或計算機初始化時用到的配置設置。所有的組策略設置都包含在應用到活動目錄、域、或組織單元的組策略對象（GPOs，Group Policy Objects）中。GPOs設置決定目錄對象和域資源的進入權(quán)限，怎樣的域資源可以被用戶使用，以及這些

6、域資源怎樣使用等。例如，組策略對象可以決定當用戶登錄時用戶在他們的計算機上看到什么應用程序，當在服務器上啟動時有多少用戶可連接至Server，以及當用戶轉(zhuǎn)移到不同的部門或組時他們可訪問什么文件或服務。8ppt課件 組策略對象可以管理少量的策略而不是大量的用戶和計算機。通過活動目錄，可將組策略設置應用于適當?shù)沫h(huán)境中，不管它是整個單位還是單位中的特定部門。（3） 具有很強的可擴展性 Windows Server 2003的活動目錄具有很強的可擴展性，管理員可以在計劃中增加新的對象類，或者給現(xiàn)有的對象類增加新的屬性。計劃包括可以存儲在目錄中的每一個對象類的定義和對象類的屬性。例如，在電子商務上可以給

7、每一個用戶對象增加一個購物授權(quán)屬性，然后存儲每一個用戶購買權(quán)限作為用戶賬號的一部分。9ppt課件（4） 具有很強的可伸縮性 活動目錄可包含在一個或多個域，每個域具有一個或多個域控制器，以便調(diào)整目錄的規(guī)模以滿足任何網(wǎng)絡的需要。多個域可組成為域樹，多個域樹又可組成為樹林，活動目錄也就隨著域的伸縮而伸縮，較好地適應了單位網(wǎng)絡的變化。目錄將其架構(gòu)和配置信息分發(fā)給目錄中所有的域控制器，該信息存儲在域的第一個域控制器中，并且復制到域中任何其他域控制器。當該目錄配置為單個域時，添加域控制器將改變目錄的規(guī)模，而不影響其他域的管理開銷。將域添加到目錄可以針對不同策略環(huán)境劃分目錄，并調(diào)整目錄的規(guī)模以容納大量的資源

8、和對象。10ppt課件（5） 智能的信息復制能力 信息復制為目錄提供了信息可用性、容錯、負載平衡和性能優(yōu)勢，活動目錄使用多主機復制，允許在任何域控制器上而不是單個主域控制器上同步更新目錄。多主機模式具有更大容錯的優(yōu)點，因為使用多域控制器，即使任何單獨的域控制器停止工作，也可繼續(xù)復制。由于進行了多主機復制，它們將更新目錄的單個副本，在域控制器上創(chuàng)建或修改目錄信息后，新創(chuàng)建或更改的信息將發(fā)送到域中的所有其他域控制器，所以其目錄信息是最新的。域控制器需要最新的目錄信息，但是要做到高效率，必須把自身的更新限制在只有新建或更改目錄信息的時候，以免在網(wǎng)絡高峰期進行同步而影響網(wǎng)絡速度。11ppt課件 在域控

9、制器之間不加選擇地交換目錄信息能夠迅速搞垮任何網(wǎng)絡。通過活動目錄就能達到只復制更改的目錄信息，而不至于大量增加域控制器的負荷。（6）與DNS集成緊密 活動目錄使用域名系統(tǒng)（DNS）來為服務器目錄命名，DNS是將更容易理解的主機名（如 Mike.M）轉(zhuǎn)換為數(shù)字IP地址的Internet標準服務，利于在TCP/IP網(wǎng)絡中計算機之間的相互識別和通訊。DNS的域名基于DNS分層命名結(jié)構(gòu)，這是一種倒置的樹狀結(jié)構(gòu)，單個根域，在它下面可以是父域和子域（分支和葉子）。關于這一點會在后面以專門的篇章加以詳細講述，在此僅作簡單介紹。12ppt課件（7） 與其他目錄服務具有互操性 由于活動目錄是基于標準的目錄訪問協(xié)

10、議，許多應用程序界面（API）都允許開發(fā)者進入這些協(xié)議，例如活動目錄服務界面（ADSI，Active Directory Service Interfaces）、輕型目錄訪問協(xié)議（LDAP，Lightweight Directory Access Protocol）第三版和名稱服務提供程序接口（NSPI，National Spa and Pool Institute），因此它可與使用這些協(xié)議的其他目錄服務相互操作。LDAP是用于在活動目錄中查詢和檢索信息的目錄訪問協(xié)議。因為它是一種工業(yè)標準服務協(xié)議，所以可使用LDAP開發(fā)程序，與同時支持LDAP的其他目錄服務共享活動目錄信息。13ppt課件 活

11、動目錄支持Microsoft Exchange 4.0和5.x客戶程序所用的NSPI協(xié)議，以提供與Exchange目錄的兼容性。（8） 具有靈活的查詢 任何用戶可使用【開始】菜單、【網(wǎng)上鄰居】或【活動目錄用戶和計算機】上的【搜索】命令，通過對象屬性快速查找網(wǎng)絡上的對象?？赏ㄟ^名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶，反之亦然。14ppt課件二活動目錄邏輯結(jié)構(gòu) 1、域 在Windows Server 2003中，域不僅限定了與網(wǎng)絡中一群特定的用戶相關聯(lián)的一個對象集合的管理邊界，也限定了其安全邊界。域是一個管理邊界，因為管理特權(quán)不會擴展到其他域。域又是安全邊界，因為每個域有

12、一個擴展到位于該域中的所有安全帳戶的安全策略。15ppt課件 多個域可以組織成父-子關系，從而形成層次結(jié)構(gòu)。一個父域是在層次結(jié)構(gòu)中直接高于一個或多個下級（或稱子級）的域。一個子域也可以是一個或多個子域的父域，如下圖所示。這種層次結(jié)構(gòu)相對于Windows NT 4.0和Windows NT 3.51中的一般域結(jié)構(gòu)有所改變。域?qū)哟谓Y(jié)構(gòu)的例子 16ppt課件活動目錄使你能夠通過名字（屬性）找到資源，而不是物理位置,這樣使網(wǎng)絡的物理結(jié)構(gòu)對用戶透明域Domains組織單元OU樹Tree和林ForestDomain域域目錄樹域域域目錄樹目錄林域OUOUOU17ppt課件 Windows Server 20

13、03中的域?qū)哟谓Y(jié)構(gòu)使用戶可以在一次查詢中搜索多個域，因為在該層次結(jié)構(gòu)中每一級都包含其直接上級和直接下級的信息，這種層次信息使用戶不需要知道一個特定對象的位置就可以找到它。而在Windows NT 4.0及其更早的版本中，為找到一個對象，用戶必須既知道該對象所在的域，又知道它所在的服務器。 Windows Server 2003對活動目錄的域和計算機的層次型命名使用DNS的命名標準，基于這一原因，域和計算機對象不僅是DNS域?qū)哟谓Y(jié)構(gòu)中的一部分，也是活動目錄域?qū)哟谓Y(jié)構(gòu)中的一部分。這些域?qū)哟伪M管有相同的名字，卻代表各自獨立的名字空間。18ppt課件 DNS的主要功能是將用戶可以識別的計算機名字映射到

14、計算機可識別的IP地址上。因此，DNS為計算機名字定義了一個名字空間，根據(jù)這些名字可以解析出IP地址，反之亦然。在Windows NT 4.0或更早的版本中，DNS名字是不需要的，域和計算機使用NetBIOS名字，這種名字通過使用Windows Internet名字服務（WINS）而映射到IP地址。盡管對Windows Server 2003域和基于Windows Server 2003的計算機來說，它們是需要DNS名字的，但為了達到跟Windows NT 4.0域及那些運行Windows NT 4.0或更早版本、Windows for Workgroups、Windows 98或Window

15、s 95的客戶機之間的兼容性，Windows Server 2003中也支持NetBIOS名字。19ppt課件 由于Windows Server 2003兼容支持Windows NT的域，所以按照域中是否有無Windows NT域服務器，將域分為單純由Windows Server 2003域服務器組成的本機模式（Native Mode），以及由Windows NT和Windows Server 2003域服務器組成的混合模式（Mixed Mode）。由于Windows Server 2003的域服務器包含Windows NT域服務器功能，并有重大改進和提高，所以由混合模式（Mixed Mode

16、）組成的域的功能受到限制，本機模式（Native Mode）的功能最完善。20ppt課件2、組織單元 活動目錄允許管理員在一個域內(nèi)創(chuàng)建一個滿足其組織需要的層次結(jié)構(gòu)。建立這些層次結(jié)構(gòu)要選擇的對象類是Orgnizational Unit類，這是一個通用容器，該容器可以因管理上的目的而將其他大多數(shù)對象類組合到一起?；顒幽夸浿械囊粋€組織單元與文件系統(tǒng)中的一個目錄是類似的，它是一個可以包容其他對象的容器。21ppt課件（1）管理層次 組織單元可以被嵌套在一起來創(chuàng)建一個域中的層次結(jié)構(gòu)，并為用戶、組和資源對象形成邏輯上的管理單元，如打印機、計算機、應用程序和文件共享。一個域中的組織單元層次結(jié)構(gòu)獨立于其他域的

17、結(jié)構(gòu)；每個域可以組織自己的層次結(jié)構(gòu)。同樣，由一個集中的權(quán)威機構(gòu)管理的多個域可以實現(xiàn)相似的組織單元層次結(jié)構(gòu)。這種結(jié)構(gòu)是靈活的，它使得一個組織可以創(chuàng)建一個與其管理模型相同的環(huán)境，不管它是集中的還是分散的。22ppt課件（2）組策略 組策略（Group Policy）可以應用到組織單元上，來定義該組織單元中包含的計算機和用戶組的能力?？刂频募墑e范圍從完全的桌面鎖定到相對自治的用戶經(jīng)驗。組策略可以影響功能，如哪些應用程序?qū)σ唤M用戶可用，一個應用程序中的哪些特性可以從一臺特定的機器上訪問，文檔被保存在何處，應用程序和操作系統(tǒng)如何更新，特定的腳本如何應用等。 組策略設置在活動目錄中，被作為組策略對象存儲，

18、一個組策略對象可以與一個或多個活動目錄容器如一個站點、域或者組織單元相聯(lián)系。23ppt課件（3）控制的代理 基于對象的安全模型，Windows Server 2003實現(xiàn)了缺省的被沿著容器對象的一棵特殊的子樹向下傳播的訪問控制。使用這一技術，按照在包含著對象的組織單元中設定的安全（這些安全有效地代表了對組織中的管理控制）來確定一整組對象的安全。要完全利用目錄對象上的代理和繼承來的控制，最好的方式是組織層次結(jié)構(gòu)以跟該目錄所被管理的方式匹配。24ppt課件 對目錄對象的控制可以通過訪問控制應用于組織單元。下圖顯示了組織單元域中的結(jié)構(gòu)。組織單元的層次結(jié)構(gòu) 25ppt課件3、樹和森林 根據(jù)DNS命名標

19、準，活動目錄域被創(chuàng)建成一棵倒過來的樹形結(jié)構(gòu)，其根在頂部。另外，這種Windows Server 2003域?qū)哟谓Y(jié)構(gòu)基于信任關系，也就是說，各個域通過域間的信任關系相連接。 當同一個組織中的多個域需要有不同的名字空間時，要給各個名字空間創(chuàng)建一棵獨立的樹。在Windows Server 2003中，各棵樹的根之間自動地被雙向的、傳遞的（Transitive）信任關系所連接。由信任關系所連接的多棵樹形成森林，一棵不與其他任何樹相連的樹也構(gòu)成一座單樹的森林。 26ppt課件 整個Windows Server 2003森林的樹狀結(jié)構(gòu)都按父-子關系和樹-根關系的形式存儲在活動目錄中，而這些關系都被作為信任

20、帳戶對象（Trusted Domain類）存儲在一個特定的域目錄分區(qū)的系統(tǒng)容器中。對森林中的每個域，關于它與父域（如果它是樹根，則跟另一個樹根域）相聯(lián)系的信息被添加的被復制的森林中的每個域內(nèi)的配置數(shù)據(jù)中。因此，域控制器森林中的每臺域控制器都知道整個森林的樹狀結(jié)構(gòu)，包括樹之間的鏈接，用戶可以通過活動目錄域樹管理器（Domain Tree Manager）查看該樹狀結(jié)構(gòu)。27ppt課件（1）樹 一棵Windows Server 2003樹就是一個DNS名字空間，它有一個惟一的根域并且是一個嚴格的層次結(jié)構(gòu)，根域以下的每個域都只有一個父域。因此，根據(jù)這種層次結(jié)構(gòu)創(chuàng)建的名字空間是鄰接的-層次結(jié)構(gòu)中的每一

21、級都直接與其上一級和下一級（如果存在）相連，如下圖所示。28ppt課件樹狀層次結(jié)構(gòu)29ppt課件 在Windows Server 2003中，下面幾條規(guī)則確定在名字空間中樹如何起作用：一棵樹只有一個名字，即位于樹根處的域的DNS名字。在根域下面創(chuàng)建的域（子域）的名字總是與根域的名字鄰接。一棵樹的根域的子域的DNS名字反映該組織，因此，叫做“某域”（“somedomain”）的子域在DNS名空間中總是該域的兒子（如child1.somedomain；child2.somedomain等等）。30ppt課件 子域可以表示地理上的實體（如美國和歐洲）、組織中的管理實體（如銷售部與市場部），或者其他由

22、組織所指定的范圍，這些視組織的需要而定。域在根域下創(chuàng)建，以減少活動目錄副本，并且提供一種創(chuàng)建不變的域名的方法。整個域體系結(jié)構(gòu)的改變，如域崩潰或域重新創(chuàng)建，都會帶來一些困難和潛在的對IT業(yè)影響強烈的支持要求，好的名字空間設計應該能夠在不需要重新組織現(xiàn)存的域?qū)哟谓Y(jié)構(gòu)的情況下，經(jīng)受住公司的重組要求。31ppt課件（2） 森林 一座森林是一棵或多棵Windows Server 2003活動目錄樹的集合，各樹之間地位相當，由雙向、傳遞的信任關系相關聯(lián)。單個域組成一棵單域的樹，單棵樹組成單樹的森林。因此，一座森林跟活動目錄是同一個概念，也就是說，在一個特定的目錄服務實例（包括所有的域和所有的配置和模式信息

23、）中的全部目錄分區(qū)的集合組成一座森林。32ppt課件 在同一座森林中的多棵樹并不構(gòu)成一個鄰接的名字空間，而是構(gòu)成一個基于不同的DNS根域名的不鄰接的名字空間。然而，一座森林中的多棵樹共享一個公共的目錄模式、配置數(shù)據(jù)以及全局編目。這種對公共的模式和配置數(shù)據(jù)的共享，再加上樹根之間的信任關系，將一座森林與由一些不相聯(lián)系的樹組成的一個集合區(qū)分開來。盡管每棵樹根的名字跟其他樹根的名字不相鄰接，所有的樹還是共享一個全局名字空間，因為對象的名字仍然可以由同一個活動目錄所解析。一座森林像一個由交叉引用的對象和成員樹所知道的信任關系所組成的集合而存在，位于每個名字空間的根域的傳遞信任提供了對資源的相互訪問。33

24、ppt課件 森林結(jié)構(gòu)給公司提供了從獨立的、明確的、不相鄰接的名字空間建設自己的事業(yè)的選擇。如果公司有一些有獨立的DNS名字的商業(yè)部門，可以創(chuàng)建另外的樹來容納這些名字。下圖顯示了這種類型的一個組織的例子。有兩棵樹的森林結(jié)構(gòu) 34ppt課件 在一座活動目錄森林中的多個域共享一個目錄模式、配置信息和全局編目，它們也擁有傳遞的信任關系，使得每個域中的用戶可以訪問樹中所有其他域內(nèi)的可用資源。 森林中第一個創(chuàng)建的域稱為森林根域，它不可以被刪除、更改或重命名。當用戶創(chuàng)建一棵新的樹時，要指定初始樹的根域，在第二棵樹的根域和森林根域間建立起一種信任關系。因為信任關系是傳遞和雙向的，第三棵樹的根域跟第二棵樹的根域

25、之間也存在一個雙向的信任關系。35ppt課件（3）信任關系 活動目錄通過域間的信任關系提供跨域的安全。當域之間有信任關系時，每個域的認證機構(gòu)都信任其他所有它所信任的域的認證機構(gòu)。如果一個用戶或應用程序被一個域認證后，所有信任這個認證域的域都認可這種認證。一個被信任域中的用戶可以訪問信任域中的資源，并要受施加于信任域上的訪問控制所制約。36ppt課件1）傳遞和非傳遞信任 在Windows NT 3.51和Windows NT 4.0中，信任關系必須明確地朝一個方向創(chuàng)建，一個雙向的信任關系通過創(chuàng)建兩個單向的信任關系而建立。為達到可以訪問資源的目的，各個域可以通過明確的設置為單向或雙向信任關系來連接

26、，但它們不一定要以其他任何方式相聯(lián)系。在Windows Server 2003中，域可以加入到一個域樹或森林中，每個子域與父域有一個自動的雙向信任關系，這種信任關系也是傳遞的。傳遞信任指延伸到一個域的信任關系也自動地延伸到該域所信任的任何一個域上。 37ppt課件 傳遞信任自動地應用于域樹或森林的所有成員域上。因此，當一個孫域被創(chuàng)建時，父域與子域之間的信任關系被孫域所認可，反之亦然。例如，如果一個用戶帳戶已經(jīng)由父域認證，該用戶就可以訪問孫域中的資源；同樣，如果用戶已由子域認證，則他就可以訪問父域中和孫域中的資源。 Windows Server 2003域中的傳遞信任的結(jié)果是：一座活動目錄森林中

27、的所有域之間完全是信任的，每個域與其父域有一個傳遞信任關系，每棵樹的根域都與森林的根域有一個傳遞信任關系。38ppt課件 當一個傳遞信任關系不合適時，可以在Windows Server 2003域間創(chuàng)建一個非傳遞信任關系，但是這種信任關系必須明確地創(chuàng)建。例如，可以在不處在同一座森林中的Windows Server 2003域之間創(chuàng)建非傳遞信任關系。 Windows Server 2003域和Windows NT 4.0域之間的信任關系總是非傳遞信任關系。如果兩個域中一個是帳戶域而另一個是資源域的話，該信任關系通常被創(chuàng)建為單向的；如果兩個域中都有用戶帳戶，則它們之間可以創(chuàng)建雙向的信任關系。兩個域

28、之間的信任關系（不管單向還是雙向、傳遞還是非傳遞）在活動目錄中都被存儲為一個域間的信任帳戶對象（Interdomain Trust Account Object）。39ppt課件2）信任的方向 在描述信任關系時，箭頭以如下方式說明域間的信任方向：如果B是信任域，A是被信任域，BA表示域B信任域A。（相同的信任關系可以表示為AB，即A被B所信任。）當域B信任域A（BA）時，在域A中擁有帳戶的用戶可以被認證訪問域B中的資源。然而，在域B中擁有帳戶的用戶不被信任，因此不能被認證訪問域A中的資源。40ppt課件 japan. china. 目錄樹目錄林japan. china. Tree(root)域

29、 Windows NT 4.0單向不可傳遞信任關系雙向可傳遞信任關系41ppt課件 Windows Server 2003域的一個層次結(jié)構(gòu)由域間的信任關系實現(xiàn)。在活動目錄中，一個父域與一個子域間的信任關系是雙向的（AB），但有如下的限制：一個域樹中的兩個域間的父-子關系由一個下級的名字關系定義。例如，是的一個兒子，但并不是的兒子。父-子信任關系不僅要求一個父子關系，還要求一個信任方向如下：只有當BA并且B是A的一個下一級的名字時，域A才可以被指定為域B的父親。當一個新域作為一個兒子加入一棵域樹時，就自動地定義了一個建立雙向的、傳遞的信任關系的父-子信任關系。42ppt課件 使用雙向的、傳遞的信

30、任關系減少了管理時間，因為它減少了超過一半的必須被管理的信任關系數(shù)，如下圖所示。NT4.0中域間的顯式雙向信任關系 Windows Server 2003中域間的自動43ppt課件三 活動目錄物理結(jié)構(gòu) 1、域控制器 域控制器是使用Active Directory安裝向?qū)渲玫倪\行Windows Server 2003的計算機。Active Directory安裝向?qū)О惭b和配置為網(wǎng)絡用戶和計算機提供Active Directory目錄服務的組件。域控制器存儲著目錄數(shù)據(jù)并管理用戶域的交互，其中包括用戶登錄過程、身份驗證和目錄搜索。44ppt課件 一個域可有一個或多個域控制器。使用單個局域網(wǎng)（LAN

31、）的小單位可能只需要一個具有兩個域控制器的域。具有多個網(wǎng)絡位置的大公司在每個位置都需要一個或多個域控制器以提供高可用性和容錯能力。 Active Directory支持域中所有域控制器之間目錄數(shù)據(jù)的多宿主復制。但是，某些更改以多宿主方式進行是不實際的，因為這樣只有一個稱作操作主機的域控制器可接受這些更改請求。45ppt課件2、全局編目服務器 全局編目服務器包含了目錄中所有對象的信息，這使得用戶和管理員可以在不知目錄中究竟哪個域包含數(shù)據(jù)的情況下查找目錄信息。 一座森林中的每臺域控制器都存儲本域的完整目錄信息。全局編目服務器是一個不僅存儲本域的完整目錄，同時還存儲森林中所有域目錄的一個部分的、只讀

32、的副本域控制器。額外的目錄分區(qū)之所以是“部分”的，是因為盡管它們合起來包含了目錄中的每個對象，但對每個對象只包含一個受限的不完整的屬性集合。全局編目由活動目錄副本復制系統(tǒng)自動地建立。 46ppt課件3、站點 站點就是具有高帶寬連接的網(wǎng)絡的一個區(qū)域。為方便起見，將站點考慮為由一個或多個 IP 子網(wǎng)中的一組計算機定義。這樣會工作得比較好，因為要確保目錄信息的有效交換，站點中的計算機需要很好地連接，尤其是子網(wǎng)內(nèi)的計算機。如果站點包括多個子網(wǎng)，由于相同原因那些子網(wǎng)也必須良好地連接。廣域網(wǎng)（WAN）應使用多個站點，如果未使用，整個廣域網(wǎng)內(nèi)的服務請求或復制目錄信息可能效率非常低。 47ppt課件 如后圖所

33、示，站點反映網(wǎng)絡的物理結(jié)構(gòu)，而域通常反映企業(yè)的邏輯結(jié)構(gòu)。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)相互獨立，其具有下列因果關系：網(wǎng)絡的物理結(jié)構(gòu)及其域結(jié)構(gòu)之間沒有必要的相關性Active Directory允許單個站點中有多個域，單個域中有多個站點站點和域名稱空間之間沒有必要的連接48ppt課件 Active Directory站點和服務允許用戶指定站點信息。Active Directory使用該信息確定如何充分地使用可用網(wǎng)絡資源。這使得下列類型的操作更有效：（1） 服務請求 當客戶從域控制器請求服務時，只要相同域中的域控制器有一個可用，此請求就將會發(fā)給這個域控制器。選擇與發(fā)出請求的客戶連接良好的域控制器將使該請求的處

34、理效率更高。49ppt課件（2） 復制 站點使目錄信息以流水線的方式復制。目錄架構(gòu)和配置信息分布在整個樹林中，而且域數(shù)據(jù)分布在域中的所有域控制器之間。通過有策略地減少復制，網(wǎng)絡擁塞也會同樣減少。Active Directory在一個站點內(nèi)比在站點之間更頻繁地復制目錄信息。這樣，連接最好的域控制器中最可能需要特定目錄信息的域控制器首先接收復制的內(nèi)容。其他站點中的域控制器接收對目錄所進行的更改，但不頻繁，可以降低網(wǎng)絡帶寬的消耗。 如果配置方案未組織成站點，則域和客戶之間的信息交換可能非?；靵y。站點能提高網(wǎng)絡使用的效率。50ppt課件 站點成員身份分別針對域控制器和客戶機確定，可能會有所不同?？蛻魴C

35、確定它打開時所在的站點，所以其站點位置經(jīng)常動態(tài)更新。域控制器的站點位置由其目錄內(nèi)服務器對象所屬的站點決定，這樣除非域控制器的服務器對象被有意地移動到不同的站點，否則其站點位置應該一致。如果域控制器或客戶機具有未包含在任何站點中的地址，則客戶機或域控制器包含在創(chuàng)建的初始站點內(nèi)（Default-First-Site）。客戶或域控制器的操作就如同Default-First-Site的成員一樣處理，而與實際IP地址或子網(wǎng)位置無關。因此，所有站點總是有相關的域控制器，因為最近的域控制器將自己與沒有域控制器的站點相關聯(lián)（除非刪除站點Default-First-Site）。51ppt課件站點對目錄復制的影響

36、 52ppt課件四活動目錄的安裝 1、活動目錄的安裝過程 Windows Server 2003提供了一個活動目錄安裝向?qū)磉M行活動目錄的安裝，在活動目錄安裝完成后計算機會發(fā)生一些變化。為了驗證這些變化，在安裝活動目錄之前，在【計算機管理】工具下創(chuàng)建一個本地用戶賬號xhce，如后圖所示。53ppt課件創(chuàng)建本地用戶帳戶xhce54ppt課件 下面是在一臺Windows Server 2003計算機上安裝活動目錄的步驟：第1步 在Windows Server 2003計算機上打開【運 行】窗口，在【打開】欄中輸入“dcpromo”命 令，如下圖所示。輸入“dcpromo”命令 55ppt課件第2步

37、 單擊【確定】按鈕，出現(xiàn)【Active Directory 安裝向?qū)А繉υ捒?，如下圖所示。 Active Directory安裝向?qū)υ捒?56ppt課件第3步 單擊【下一步】按鈕，出現(xiàn)【操作系統(tǒng)兼容 性】對話框。在此提示關于操作系統(tǒng)的兼容 性的信息，如下圖所示。操作系統(tǒng)兼容性對話框 57ppt課件第4步 單擊【下一步】按鈕，出現(xiàn)【域控制器類 型】對話框。在此我們選擇【新域的域控制 器】，如下圖所示。選擇新建域控制器的類型 58ppt課件第5步 單擊【下一步】按鈕，出現(xiàn)【創(chuàng)建一個新 域】對話框。在此選擇要創(chuàng)建的域的類型， 此處選擇【在新林中的域】選項，如下圖。選擇新建域的類型 59ppt課件第

38、6步 單擊【下一步】按鈕，出現(xiàn)【新的域名】對 話框。在此為要創(chuàng)建的域指定DNS名稱，此 處指定的DNS名稱為“”，如下圖。指定新域的DNS名稱 60ppt課件第7步 單擊【下一步】按鈕，出現(xiàn)【NetBIOS域名】 對話框。為新域指定的NetBIOS名，如下圖。指定新域的NetBIOS名稱 61ppt課件第8步 單擊【下一步】按鈕，出現(xiàn)【數(shù)據(jù)庫和日志 文件文件夾】對話框，在此選擇活動目錄數(shù) 據(jù)庫和日志的存放位置，如下圖所示。指定Active Directory數(shù)據(jù)庫和日志的存放位置 62ppt課件第9步 單擊【下一步】按鈕，出現(xiàn)【共享的系統(tǒng) 卷】對話框。在此指定SYSVOL文件夾的位 置，如下圖

39、。指定SYSVOL文件夾的位置 63ppt課件第10步 單擊【下一步】按鈕，系統(tǒng)會自動到DNS服 務器中查找是否有相應的DNS區(qū)域，如果在 DNS服務器上有相應的DNS區(qū)域并已設置了 區(qū)域?qū)傩栽试S動態(tài)更新，則立即進行安裝。 如果沒有相應的DNS區(qū)域則出現(xiàn)如后圖所示 【DNS注冊診斷】對話框。此處選擇【在這 臺計算機上安裝并配置DNS服務器，并將這 臺DNS服務器設為這臺計算機的首選DNS服 務器】選項。64ppt課件DNS診斷信息 65ppt課件第11步 單擊【下一步】按鈕，出現(xiàn)【權(quán)限】對話 框。在此選擇用戶和組對象的默認權(quán)限。此 處按系統(tǒng)默認設置選擇【只與Windows 2000或Windo

40、ws Server 2003操作系統(tǒng)兼容 的權(quán)限】，如下圖所示。選擇用戶和組對象的默認權(quán)限 66ppt課件第12步 單擊【下一步】按鈕，出現(xiàn)【目錄服務還原 模式的管理員密碼】對話框。在此需要指定 【目錄服務還原模式】下的管理員密碼，如 下圖所示。指定“目錄服務還原模式”下的管理員密碼 67ppt課件第13步 單擊【下一步】按鈕，出現(xiàn)【摘要】對話 框，如下圖所示。在此會給出以上各步驟選 擇結(jié)果的匯總，此時如果要修改先前所做配 置只要單擊【上一步】按鈕即可。復查并確認選定的選擇 68ppt課件第14步 單擊【下一步】按鈕開始安裝活動目錄，如 下圖所示。開始執(zhí)行Active Directory的安裝

41、 69ppt課件第15步 在安裝過程中需要提供Windows Server 2003 的安裝文件，如下圖所示。單擊【瀏覽】按 鈕選擇安裝文件的位置，然后單擊【確定】 按鈕即可。指定Windows Server 2003的安裝文件 70ppt課件第16步 根據(jù)計算機的配置不同，活動目錄的安裝過 程可能需要幾分鐘或幾十分鐘的時間。安裝 完成后會看到如下圖所示對話框，顯示活動 目錄安裝成功。Active Directory安裝成功 71ppt課件第17步 單擊【完成】按鈕出現(xiàn)如下圖所示對話框。 這表示活動目錄安裝成功后必須重新啟動計 算機才會生效。重新啟動計算機提示對話框 72ppt課件第18步 單

42、擊【立即重新啟動】按鈕，重新啟動后該 計算機就以域控制器的角色出現(xiàn)在網(wǎng)絡中， 如下圖所示。域控制器登錄對話框 73ppt課件2、安裝活動目錄后操作系統(tǒng)的變化 （1） 查看域控制器的計算機名 安裝活動目錄后DC（Domain Controller，即域控制器）的計算機名會發(fā)后 變化，在DC上右鍵單擊【我的電腦】，選擇 【屬性】，在彈出的【系統(tǒng)屬性】對話框中選 擇【計算機名】標簽，可以查看當前域控制器 的計算機名，如后圖所示。74ppt課件查看域控制器的計算機名 75ppt課件（2） 查看管理工具 在DC上依次打開【開始】【程序】【管理工具】，可以看到新增加5個與活動目錄相關的工具，如下圖所示。在

43、后面的章節(jié)中將分別講解這些工具的使用。與活動目錄相關的五個工具 76ppt課件Active Directory用戶和計算機：該工具用于管理域中的用戶、組、計算機賬號及OU等Active Directory域和信任關系：該工具用于管理活動目錄域之間的信任關系Active Directory站點和服務：該工具用于管理與活動目錄復制相關的站點信息域安全策略：該工具用于創(chuàng)建和管理域的安全策略域控制器安全策略：該工具用于創(chuàng)建和管理域控制器的安全策略77ppt課件（3） 查看用戶和組賬號的位置 活動目錄安裝成功后，計算機上的用戶和組賬號的位置會發(fā)生變化。在DC上打開【計算機管理】控制臺，發(fā)現(xiàn)已經(jīng)看不到【本地用戶和組】工具，如下圖所示。計算機管理控制臺工具 78ppt課件 在DC上使用【Active Directory用戶和計算機】工具來管理用戶和組賬號。在DC上依次打開【開始】【程序】【管理工具】【Active Directory用戶和計算機】，在控制臺下打開Users容器，在這里可以看到先前創(chuàng)建的用戶賬號qiufen。如下圖所示。qiufen【Active Directory用戶和計算機】工具管理用