1、第01部分,部署AD DS,部署AD DS,為什么需要域,如果資源分布在多臺服務(wù)器上，要在每臺服務(wù)器分別為每一員工建立一個賬戶（共M*N），用戶則需要在每臺服務(wù)器上（共M臺）登錄,域的好處,服務(wù)器和用戶的計算機(jī)都在同一個域中，用戶在域中只要擁有一個賬號 用戶只需要在域中擁有一個域賬戶，只需要在域中登錄一次就可以訪問域中的資源了。,本章重點(diǎn),部署 AD DS 計算機(jī)在域內(nèi)和域外的角色 將獨(dú)立服務(wù)器加入域 將Windows XP加入域 退出域和DC降級 林與域功能級別,部署AD DS,建立第1個域 具體來說,建立第1個域就是要建立第1部域控制器（Domain Controller,以下簡稱為DC）

2、 而建立DC的第1個動作就是執(zhí)行Dcpromo.exe但是必須具有系統(tǒng)管理員權(quán)限才能執(zhí)行此程序,因此務(wù)必先以具有系統(tǒng)管理員權(quán)限的用戶帳戶登入。 建立第一部DC 以下的示范步驟,系假設(shè)目前的網(wǎng)絡(luò)無任何域,所要建立的是整個網(wǎng)絡(luò)的第一個域又稱為根域（Root Domain）。,新增角色并未建立DC,安裝Windows Server 2008后,啟動時預(yù)設(shè)會自動開啟初始化設(shè)定工作視窗,雖然可以在此窗口中點(diǎn)選新增角色,接著選取安裝Active Directory域服務(wù),以使該計算機(jī)扮演DC角色。 然而,這種作法并未真正建立DC,到了最后一個畫面還是要求必須執(zhí)行Dcpromo.exe,如下圖。,新增角色并

3、未建立DC,所以我們建議無須使用新增角色功能,干脆直接執(zhí)行Dcpromo.exe吧！,執(zhí)行Dcpromo.exe,請按開始鈕,輸入dcpromo、按Enter鍵：,執(zhí)行Dcpromo.exe,之后按完成鈕,再按立即重新啟動鈕。 重新啟動后若要確認(rèn)此計算機(jī)是否已經(jīng)是DC,從開始/系統(tǒng)管理工具菜單是否出現(xiàn)關(guān)于Active Directory的命令即可得知：,執(zhí)行Dcpromo.exe,先前在第6步驟所設(shè)的密碼,系使用于當(dāng)AD數(shù)據(jù)庫毀損時,可在開機(jī)啟動Windows Server 2008之前按F8鍵,進(jìn)入目錄服務(wù)還原模式,重建AD數(shù)據(jù)庫。 由于此重建動作會改變既有的AD資料,為防止濫用,因此必須以

4、密碼保護(hù),而且此密碼不必和域系統(tǒng)管理員的密碼相同。,域中的計算機(jī),除了域控制器之外,域中的計算機(jī)還可區(qū)分成以下兩類： 成員服務(wù)器（Member Server） 工作站（Workstation）,成員服務(wù)器,安裝Windows Server 2008、Windows Server 2003 / 2003 R2、Windows 2000 Server等系統(tǒng),加入了域、但不是DC的計算機(jī)。 或是安裝Windows NT Server系統(tǒng),且加入域的電腦,都算是成員服務(wù)器。 由于這些服務(wù)器都是域的成員,所以審核使用者身份的工作,都交由DC執(zhí)行,使用者只要通過DC的身份驗證,即可依據(jù)設(shè)定的權(quán)限來使用服務(wù)

5、器所提供的服務(wù)。 換言之,成員服務(wù)器都信任DC的身分驗證。,最好停用成員服務(wù)器的本機(jī)賬戶,雖然加入了域,但是成員服務(wù)器上仍保留本機(jī)的帳戶數(shù)據(jù)庫,因此使用者仍可利用這些本機(jī)帳戶,登入該服務(wù)器。 對域的安全管理而言,這些本機(jī)賬戶可能會是漏洞,所以我們建議停用成員服務(wù)器的本機(jī)帳戶,強(qiáng)迫使用者一律以域賬戶登入。,工作站,所有安裝以下操作系統(tǒng),而且加入域的計算機(jī)都算是工作站： Windows NT Workstation Windows 2000 Professional Windows XP Professional Windows 7/vista商用入門版、商用進(jìn)階版和旗艦版,工作站,使用者可利用這

6、些工作站登入域,存取域中的資源、執(zhí)行應(yīng)用程序等等,但是Windows Server 2008的某些新功能,必須搭配Windows 7的工作站才能發(fā)揮效果。 而工作站本身仍然保留了本機(jī)帳戶的數(shù)據(jù)庫,使用者利用本機(jī)賬戶登入工作站時,只能使用本機(jī)（該工作站）的資源,但無法存取域上的資源。,域外的計算機(jī),首選,應(yīng)該要知道哪些計算機(jī)不能加入AD域？ 執(zhí)行Linux、Unix等等非Windows系統(tǒng)的電腦,理所當(dāng)然地不能加入AD域。 此外, Windows 95 / 98 / Me、Windows XP家庭版、Windows 7家庭入門版、Windows 7家庭進(jìn)階版,也都沒有加入域的功能。,獨(dú)立服務(wù)器,

7、簡單地說,未加入域的服務(wù)器就是獨(dú)立服務(wù)器無論安裝的是Windows或非Windows的服務(wù)器操作系統(tǒng)。 它一旦加入域后,角色即轉(zhuǎn)換為成員服務(wù)器。 相反地,成員服務(wù)器如果退出域,則又成為獨(dú)立服務(wù)器。如果在獨(dú)立服務(wù)器上執(zhí)行Dcpromo.exe,則可升級為DC。,獨(dú)立服務(wù)器,客戶端計算機(jī),無論是執(zhí)行何種操作系統(tǒng),只要未加入域,而且不是獨(dú)立服務(wù)器的電腦,都可以歸為此類。 使用者雖然不能用它們登入域,但仍可利用域帳戶,透過這些計算機(jī)存取域資源。,將獨(dú)立服務(wù)器加入域,建立域之后,通常會優(yōu)先將網(wǎng)絡(luò)上的獨(dú)立服務(wù)器加入域,以便集中管理。 以下示范將Windows Server 2008獨(dú)立服務(wù)器加入域的步驟（

8、此步驟亦適用于Windows 7）。,1.修改首選DNS服務(wù)器的設(shè)定,加入域的先決條件是要能夠連結(jié)到該域的DC,而要連到DC就必須先設(shè)定正確的DNS服務(wù)器地址。 先前建立DC的時候,其實(shí)已經(jīng)將該域的DNS服務(wù)器和DC安裝在一起了。 換言之,域里的DC和DNS服務(wù)器實(shí)為同一部電腦,所以應(yīng)該將獨(dú)立服務(wù)器上的首選DNS服務(wù)器,設(shè)為DC的IP地址。,2.修改成員隸屬的設(shè)定,請按開始鈕,在電腦項目上按右鈕、執(zhí)行內(nèi)容命令：,修改成員隸屬的設(shè)定,加入域后的電腦,其名稱預(yù)設(shè)會出現(xiàn)在DC的Active Directory使用者和電腦窗口的Computers容器中：,退出域和DC降級,先前已經(jīng)介紹了升級為DC和加

9、入域的方法,這一節(jié)將繼續(xù)說明退出域和DC降級的方法。 退出域 加入工作組 DC降級 運(yùn)行dcpromo,林與域功能級別,先前在升級為DC的過程,曾遇到選擇林功能級別（Forest Functional Level）和域功能級別（Domain FunctionalLevel）的交談窗,當(dāng)時都暫時采用默認(rèn)值。 Windows Server 2008提供的林功能級別 Windows 2000、Windows Server 2003和Windows Server 2008 域功能級別 Windows 2000原生、Windows Server 2003和Windows Server 2008,功能級別

10、的種類與高低,愈新的操作系統(tǒng)代表愈高的功能級別,因此Windows Server 2008的等級最高；Windows Server 2003次之；Windows2000（原生）的等級最低。 在選擇林和域功能級別時,要注意域功能級別不能低于林功能級別。 假設(shè)林功能級別為Windows Server 2003,則域功能級別就只有Windows Server 2003和Windows Serer 2008可選。,不同功能級別的影響,選擇不同的功能級別,對于林或域會造成以下的影響： 哪些DC可以加入林或域：雖然都是DC,但是所執(zhí)行的操作系統(tǒng)可能是Windows 2000、Windows 2003或Wi

11、ndows 2008,因此在不同的功能級別會限制某些DC不能加入林或域。 林或域支持哪些功能：在不同的功能級別,林或域所支持的功能也有差異。 功能級別愈高,所支持的功能愈多。,林功能差異,不同林功能級別的主要功能差異如下表：,域功能差異,不同域功能級別的限制條件與功能差異如下表：,變更域/林功能級別,請以隸屬于Domain Admin群組的使用者賬戶登入,而后執(zhí)行開始/系統(tǒng)管理工具/ Active Directory域及信任命令,并如下操作：,變更功能級別時的注意事項,Functional levels:,Determine the AD DS features available in a

12、domain or forest,Restrict which Windows Server operating systems can be run on domain controllers in the domain or forest,Supported Domain Controller Operating Systems,Windows 2000,Windows 2000 native,Windows Server 2003,Windows Server2003,Windows Server 2008,Windows Server 2008,Forests,Domain,Windo

13、ws Server 2008 Windows Server 2003 Windows 2000,Windows Server 2008 Windows Server 2003,Windows Server 2008,Supported functional levels:,demo,實(shí)驗1-1 Windows Server 2008之AD DS 活動目錄詳細(xì)部署步驟,第01部分,AD對象,AD對象,內(nèi)容,Kerberos概念 Kerberos V5 工作原理 Ticket的安全傳遞 啟用 Kerberos V5 身份驗證 目錄服務(wù)的基本觀念 目錄的架構(gòu) X.500和LDAP LDAP對象名稱

14、AD對象的特性,引言,Kerberos最初是MIT（麻省理工學(xué)院）為Athena項目開發(fā)的，是TCP/IP網(wǎng)絡(luò)設(shè)計的可信任的第三方認(rèn)證協(xié)議 Kerberos提供了一種在開放式網(wǎng)絡(luò)環(huán)境下進(jìn)行身份認(rèn)證的方法，并允許個人訪問網(wǎng)絡(luò)中不同的機(jī)器，它使網(wǎng)絡(luò)上的用戶可以相互證明自己的身份,Kerberos這一名詞來源于希臘神話“三個頭的狗地獄之門守護(hù)者”,引言,Kerberos采用對稱密鑰體制（采用DES，也可用其它算法代替）對信息進(jìn)行加密 基本思想是：由于Kerberos是基于對稱密碼體制，它與網(wǎng)絡(luò)上的每個實(shí)體分別共享一個不同密鑰，能正確對信息進(jìn)行解密的用戶就是合法用戶。 用戶在對應(yīng)用服務(wù)器進(jìn)行訪問之前，

15、必須先從第三方（Kerberos服務(wù)器）獲取該應(yīng)用服務(wù)器的訪問許可證（ticket）,Kerberos概述,網(wǎng)絡(luò)上的Kerberos服務(wù)器起著可信仲裁者的作用，可提供安全的網(wǎng)絡(luò)鑒別，允許個人訪問網(wǎng)絡(luò)中不同的機(jī)器。 基于對稱密碼學(xué)，與網(wǎng)絡(luò)上的每個實(shí)體分別共享一個不同的秘密密鑰，是否知道該秘密密鑰便是身份的證明。主要包括以下幾個部分： 客戶機(jī)(client) 服務(wù)器(server) 認(rèn)證服務(wù)器(AS) 票據(jù)授予服務(wù)器（ticket-granting server，TGS）,Kerberos V5 工作原理概述,Ticket的安全傳遞,概括起來說Kerberos協(xié)議主要做了兩件事 1、Ticket的

16、安全傳遞。 2、Session Key的安全發(fā)布。,目錄服務(wù)的基本觀念,何謂目錄 目錄與數(shù)據(jù)庫的差異 何謂目錄服務(wù) 計算機(jī)網(wǎng)絡(luò)為何需要目錄服務(wù),何謂目錄,其實(shí)目錄早已存在日常生活中,例如電話簿可用來查詢用戶的電話號碼、姓名與地址,就是一種目錄。 而計算機(jī)的文件系統(tǒng)記錄了文件夾與檔案的名稱、建立日期、修改日期、儲存位置等等 從以上的例子可知,目錄是用來記載特定環(huán)境中、一群對象的相關(guān)信息。 在此所謂的對象,泛指環(huán)境中的各種獨(dú)立個體包括人、事、物。,目錄與數(shù)據(jù)庫的差異,目錄與數(shù)據(jù)庫都是用來儲存資料,兩者的確很相似。不過,深入比較其細(xì)節(jié),就會發(fā)現(xiàn)通常有以下兩點(diǎn)差異： 目錄強(qiáng)調(diào)查詢,數(shù)據(jù)庫重視異動。 目

17、錄對于查詢動作做過優(yōu)化,因此查詢的速度很快,適合處理變動少、查詢多的數(shù)據(jù)。 數(shù)據(jù)庫則是重視異動（Transcation）,適合處理變動較多的數(shù)據(jù)。 目錄以樹狀架構(gòu)為主,數(shù)據(jù)庫以關(guān)系型數(shù)據(jù)表為主。,目錄的架構(gòu),目錄的架構(gòu)是指在目錄中儲存對象的方式,明白這方面的知識,有助于未來的維護(hù)和設(shè)計工作。 目錄樹 對象的屬性,目錄樹,若目錄中的對象是以階層式樹狀架構(gòu)來組織,則該架構(gòu)稱為目錄樹(Directory Tree),包含以下兩類的對象： 容器對象(Container Object)：這類對象的下層可再存放其他對象。位于整個目錄樹頂端的容器對象,稱為根對象(Root Object)。 非容器對象(No

18、n-container Object)：這類對象的下層不可再存放其他對象。非容器對象必定是位于目錄樹的末端,又稱為葉對象(Leaf Object)。,目錄樹,整體的架構(gòu)圖如下：,對象的屬性,在目錄樹中,各對象都有所謂的屬性 (Attribute),記載著該對象的特性。對象與屬性的關(guān)系,類似于數(shù)據(jù)庫中紀(jì)錄與字段的關(guān)系。 舉例來說：使用者（User）對象有公司名稱部門名稱和電話號碼這些屬性,但是文件夾對象就沒有這些屬性,而有建立日期和大小等屬性。 屬性的內(nèi)容通常稱為屬性值,不同對象的某些屬性值可以相同、某些則必須唯一。 例如：A、B兩位使用者隸屬于相同部門,所以它們的公司名稱、部門名稱,甚至電話號

19、碼都相同,但是員工編號就絕對不能相同。,X.500和LDAP,目錄觀念剛萌芽時, ITU-T發(fā)表了一系列名為X.500 Recommandation文件,探討目錄的觀念、模型、存取協(xié)議等等技術(shù)。 業(yè)界便以X.500作為目錄的標(biāo)準(zhǔn),以DAP (Directory Access Protocol)協(xié)議作為存取X.500目錄的共同方式。 但是廠商在實(shí)作時,發(fā)覺DAP協(xié)定過于復(fù)雜,而且客戶端程序的負(fù)荷太大,于是將其改良,推出了LDAP (Lightweight Directory Access Protocol)協(xié)定。,LDAP (Lightweight Directory Access Protoc

20、ol),顧名思義, LDAP為輕量級(Lightweight)的DAP,一方面簡化架構(gòu)、易于設(shè)計,另一方面也減輕客戶端軟件的負(fù)荷,因此成為主流。 Lotus Domino、Sun One Directory Server、Novell Directory Services (NDS)和微軟的Active Directory Services等等目錄服務(wù)產(chǎn)品,都標(biāo)榜支持LDAP協(xié)定。,LDAP名稱(對象名稱),AD是采用LDAP 3協(xié)議的目錄服務(wù),因此客戶端可透過LDAP協(xié)定來存取AD中的對象。 存取時所指定的對象名稱,可區(qū)分為以下2類： DN (Distinguished Name)與RDN

21、(Relative Distinguished Name) 標(biāo)準(zhǔn)名稱,DN與RDN,RDN DN 其中, CN (Common Name)通常用來代表對象名稱,例如用戶名稱、打印機(jī)名稱等等；OU (Organizational Unit)代表組織單位名稱；DC (Domain Component)代表域名。,標(biāo)準(zhǔn)名稱,標(biāo)準(zhǔn)名稱是以簡化方式表示LDAP的DN,假設(shè)對象的DN為： 則在AD中此對象的標(biāo)準(zhǔn)名稱為： 換言之,標(biāo)準(zhǔn)名稱省略了DN中的CN=、OU=等等保留字,并改用DNS域名來表示DN中的域名。,AD目錄服務(wù),微軟自Windows 2000 Server開始提供完整的目錄服務(wù),命名為AD（

22、ActiveDirectory）目錄服務(wù)。 搭配該服務(wù)的目錄便稱為AD目錄許多文件是以AD數(shù)據(jù)庫來稱呼AD目錄。 雖然AD目錄與AD目錄服務(wù)大致上符合X.500及LDAP規(guī)范,但是難免加入了微軟獨(dú)家的規(guī)格與技術(shù),因此本節(jié)將介紹其中比較值得注意的一些特性。,AD目錄的架構(gòu),AD目錄仍然是以對象組合成樹狀架構(gòu),不過卻多了域（Domain）對象。將一般對象先整合到域中,再形成所謂的域樹（Domain Tree）,AD對象的特性,在AD目錄中的對象稱為AD對象。雖然大多數(shù)AD對象的特性各不相同,但是卻有一些共同點(diǎn)。 GUID ACL AD Schema,GUID,Windows Server 2008會賦予各對象一個獨(dú)一無二的代碼,稱為GUID(Globally Unique Identifier,全局唯一識別元)。 GUID的長度高達(dá)128位,以確保不會彼此重復(fù)。 對象的GUID一旦產(chǎn)生,永遠(yuǎn)不會改變,因此不論對