1、本章學(xué)習(xí)目標(biāo) 理解Active Directory的概念 掌握Active Directory的域和域目錄 正確理解Active Directory域的信任關(guān)系 了解Active Directory中的對象,第三章 活動目錄與域控制,Active Directory的概念,3.1 活動目錄,Active Directory又稱活動目錄，是Windows 2000 Server和Windows Server 2003系統(tǒng)中非常重要的目錄服務(wù)。Active Directory存儲網(wǎng)絡(luò)上各種對象的有關(guān)信息，包括用戶賬戶、組、打印機(jī)、共享文件夾等，并把這些數(shù)據(jù)存儲在目錄服務(wù)數(shù)據(jù)庫中，便于管理員和用戶查

2、詢及使用。它有兩方面內(nèi)容，目錄和與目錄相關(guān)的服務(wù)。,Active Directory的特點(diǎn) Active Directory是一個(gè)完全可擴(kuò)展、可伸縮的目錄服務(wù)，方便了管理員在統(tǒng)一的環(huán)境下管理整個(gè)網(wǎng)絡(luò)的各種資源。其主要特點(diǎn)如下： 信息的安全性 集成性 多主復(fù)制方式 可擴(kuò)展性 可伸縮性 易用性,3.1 活動目錄,域和域控制器 域是在Windows Server 2003網(wǎng)絡(luò)環(huán)境中組建客戶/服務(wù)器網(wǎng)絡(luò)的實(shí)現(xiàn)方式。所謂域，是由網(wǎng)絡(luò)管理員定義的一組計(jì)算機(jī)的集合，實(shí)際上就是一個(gè)網(wǎng)絡(luò)。域具備多個(gè)優(yōu)點(diǎn)，能使得網(wǎng)絡(luò)管理變得十分簡單。 組織對象 域中的組織單元用來管理域中的賬號和資源。依據(jù)企業(yè)內(nèi)部的組織結(jié)構(gòu)，通過

3、設(shè)計(jì)、規(guī)劃域的組織結(jié)構(gòu)，有助于建立恰當(dāng)?shù)钠髽I(yè)網(wǎng)絡(luò)。 安全策略和設(shè)置 在一個(gè)域中的管理權(quán)利，或是對某一個(gè)網(wǎng)絡(luò)資源的訪問權(quán)利，不會因?yàn)榫W(wǎng)絡(luò)的連接而自動從一個(gè)域移動到另外一個(gè)域。,3.2 域、域目錄樹和域目錄林,域和域控制器 將組策略對象應(yīng)用到域中 域定義了策略生效的基本單位。組策略對象確立了訪問、配置和使用域資源方法的規(guī)則。將組策略對象應(yīng)用到域中可以加強(qiáng)對資源的安全性管理。這些策略只在域中應(yīng)用，而不是跨域應(yīng)用。 權(quán)利委派 理員可以將網(wǎng)絡(luò)管理權(quán)限委派給某些特殊用戶。使用組策略對象和組成員相互關(guān)聯(lián)作用的委派授權(quán)，允許管理員派放管理權(quán)限，以管理整個(gè)域或者域中一個(gè)或多個(gè)組織單元的對象,3.2 域、域目錄樹

4、和域目錄林,域目錄樹 當(dāng)要配置一個(gè)包含多個(gè)域的網(wǎng)絡(luò)時(shí)，應(yīng)該將網(wǎng)絡(luò)配置成域目錄樹結(jié)構(gòu)。一棵域目錄樹就是一個(gè)DNS名字空間。它有一個(gè)惟一的根域并且是一個(gè)嚴(yán)格的層次結(jié)構(gòu)，根域以下的每個(gè)域都只有一個(gè)父域，父域則可以有多個(gè)同級的子域。因此，根據(jù)這種層次結(jié)構(gòu)所創(chuàng)建的名字空間是鄰接的。,3.2 域、域目錄樹和域目錄林,域目錄林 如果網(wǎng)絡(luò)的規(guī)模比前面提到的域目錄樹還要大，甚至包含了多個(gè)域目錄樹，這時(shí)可以將網(wǎng)絡(luò)配置為域目錄林(也稱森林)結(jié)構(gòu)。 各域目錄樹之間地位相當(dāng)，由雙向傳遞的信任關(guān)系相關(guān)聯(lián)。 單個(gè)域組成一棵單域的域目錄樹，單棵域目錄樹組成單樹的域目錄林。 域目錄林跟活動目錄是同一個(gè)概念。 在同一片域目錄林中

5、的多棵域目錄樹并不構(gòu)成一個(gè)鄰接的名字空間，而是構(gòu)成一個(gè)基于不同的DNS根域名的不鄰接的名字空間，但對象的名字仍然可以由同一個(gè)活動目錄所解析。 一片域目錄林就像一個(gè)由交叉引用的對象和成員樹之間信任關(guān)系所組成的集合而存在。 位于每個(gè)名字空間根域的傳遞信任提供了對資源的相互訪問。,3.2 域、域目錄樹和域目錄林,全局編錄 有了域目錄林之后，同一域目錄林中的域控制器共享一個(gè)活動目錄，這個(gè)活動目錄是分散存放在各個(gè)域的域控制器上的，每個(gè)域中的域控制器存有該域的對象的信息。 如果一個(gè)域的用戶要訪問另一個(gè)域中的資源，這個(gè)用戶要能夠查找到另一個(gè)域中的資源才行。為了讓每一個(gè)用戶都能夠快速查找到另一個(gè)域內(nèi)的對象，微

6、軟設(shè)計(jì)了全局編錄(Global Catalog，GC)。 全局編錄包含了整個(gè)活動目錄中每一個(gè)對象的最重要的屬性(即部分屬性，而不是全部)，這使得用戶或者應(yīng)用程序即使不知道對象位于哪個(gè)域內(nèi)，也可以迅速找到被訪問的對象。,3.2 域、域目錄樹和域目錄林,域信任關(guān)系是建立在兩個(gè)域之間的關(guān)系，一個(gè)域中的用戶可由另一個(gè)域中的域控制器驗(yàn)證。所有域的信任關(guān)系只能有兩個(gè)域：信任域和受信任域。 活動目錄通過域間的信任關(guān)系提供跨域的安全。當(dāng)域之間有信任關(guān)系時(shí)，每個(gè)域的認(rèn)證機(jī)構(gòu)都信任其他所有它所信任的域的認(rèn)證機(jī)構(gòu)。如果一個(gè)用戶或應(yīng)用程序被一個(gè)域認(rèn)證后，所有信任這個(gè)認(rèn)證的域都認(rèn)可這種認(rèn)證。一個(gè)被信任域中的用戶可以訪問

7、信任域中的資源，并由信任域上的訪問控制所制約。 在Windows Server 2003中，所有信任關(guān)系都是可傳遞的而且是雙向的，信任關(guān)系中的兩個(gè)域自動相互信任。,3.3 域的信任關(guān)系,信任路徑 信任路徑是身份驗(yàn)證請求在域之間必須遵循的一組信任關(guān)系。在用戶可以訪問另一個(gè)域中的資源之前，系統(tǒng)安全機(jī)制必須確定信任域(含有用戶試圖訪問的資源的域)和受信任域(用戶的登錄域)之間是否有信任關(guān)系，在計(jì)算信任域中的域控制器和受信任域的域控制器之間建立信任路徑。在圖3-5中，信任路徑由顯示信任方向的箭頭標(biāo)出，其中所有的域信任關(guān)系都只能有兩個(gè)域：信任域和受信任域。,3.3 域的信任關(guān)系,信任路徑,單向信任和雙向

8、信任 單向信任 單向信任是域1信任域2的單一信任關(guān)系。所有的單向關(guān)系都是不可傳遞的，并且所有的不可傳遞信任都是單向的。身份驗(yàn)證請求只能從信任域傳到受信任域。即如果域1與域2有單向信任關(guān)系，域2與域3有單向信任關(guān)系，則域1與域3之間沒有單向信任關(guān)系。 雙向信任 Windows Server 2003樹林中的所有域信任都是雙向可傳遞信任。建立新的子域時(shí)，雙向可傳遞信任在新的子域和父域之間自動建立。在雙向信任中，域1信任域2，且域2信任域1。這意味著身份驗(yàn)證請求可在兩個(gè)目錄中的兩個(gè)域之間傳遞。,3.3 域的信任關(guān)系,可傳遞信任 Windows Server 2003樹林中的所有域信任都是可傳遞的?？?/p>

9、傳遞信任始終為雙向的，即此關(guān)系中的每兩個(gè)域相互信任。 可傳遞信任不受信任關(guān)系中兩個(gè)域的約束。每次當(dāng)建立新的子域時(shí)，在父域和新子域之間就隱含(自動)地建立起雙向可傳遞信任關(guān)系。這樣，可傳遞信任關(guān)系在域樹中按其形成的方式向上流動，并在樹林中的所有域之間建立起可傳遞信任。 因?yàn)橛?和域2有可傳遞信任關(guān)系，域2和域3有可傳遞信任關(guān)系，所以域3中的用戶(在獲得相應(yīng)權(quán)限時(shí))可訪問域1中的資源。因?yàn)橛?和域A具有可傳遞信任關(guān)系，并且域A的域樹中的其他域和域A具有可傳遞信任關(guān)系，所以域B中的用戶(當(dāng)授予適當(dāng)權(quán)限時(shí))可訪問域3中的資源。 可傳遞信任只能存在于相同樹林中的域之間。由于信任關(guān)系的流動，在相同樹林中的

10、域之間不可能有不可傳遞信任。,3.3 域的信任關(guān)系,信任協(xié)議 Windows通過使用Kerberos v5和NTLM認(rèn)證協(xié)議中的一個(gè)，對用戶或應(yīng)用程序進(jìn)行認(rèn)證。對協(xié)議的選擇由客戶機(jī)與服務(wù)器的能力來決定。如果客戶機(jī)不識別Kerberos v5協(xié)議(比如一臺運(yùn)行Windows NT 4.0的計(jì)算機(jī))，則使用NTLM(ChallengeResponse)協(xié)議來進(jìn)行認(rèn)證；反之，如果資源服務(wù)器不支持Kerberos認(rèn)證，客戶機(jī)就應(yīng)使用NTLM來給服務(wù)器認(rèn)證。 在運(yùn)行Windows Server 2003的計(jì)算機(jī)上，Kerberos v5協(xié)議是用于網(wǎng)絡(luò)認(rèn)證的默認(rèn)協(xié)議。而在Windows NT 4.0和Wi

11、ndows 95/98的計(jì)算機(jī)中，NTLM是默認(rèn)的用于網(wǎng)絡(luò)認(rèn)證的協(xié)議。為了與這些版本兼容，Windows Server 2003中保留了NTLM。,3.3 域的信任關(guān)系,樹、樹林信任關(guān)系 對于運(yùn)行Windows Server 2003的計(jì)算機(jī)，可以通過基于Kerberos v5安全協(xié)議的雙向可傳遞信任關(guān)系啟用域之間的賬戶驗(yàn)證。 在域樹中創(chuàng)建域時(shí)，相鄰域(父域和子域)之間自動建立信任關(guān)系。樹林中，在樹林根域和添加到樹林的每個(gè)域樹的根域之間自動建立信任關(guān)系。因?yàn)檫@些信任關(guān)系是可傳遞的，所以可以在域樹或樹林中的任何域之間進(jìn)行用戶和計(jì)算機(jī)的身份驗(yàn)證。 將Windows 2000 Server以前版本的

12、Windows域升級為Windows Server 2003域時(shí)，保留域和任何其他域之間現(xiàn)有的單向信任關(guān)系，包括Windows 2000 Server以前版本的Windows域的所有信任關(guān)系。如果要安裝新的Windows Server 2003域并且希望與任何Windows 2000 Server以前版本的域建立信任關(guān)系，則必須創(chuàng)建與那些域的外部信任關(guān)系。 外部信任創(chuàng)建了與樹林外部的域的信任關(guān)系。創(chuàng)建外部信任的優(yōu)點(diǎn)在于使用戶可以通過樹林的信任路徑不包含的域進(jìn)行身份驗(yàn)證。所有的外部驗(yàn)證都是單向非傳遞的信任，當(dāng)然，在需要時(shí)也可以將兩個(gè)單向信任合并為一個(gè)雙向信任關(guān)系。,3.3 域的信任關(guān)系,Acti

13、ve Directory是一個(gè)分布式目錄服務(wù)系統(tǒng)，目錄中的對象分布在一個(gè)域樹林中的域控制器中，同一個(gè)域中的所有域控制器可以被直接更新。Active Directory的復(fù)制，是一個(gè)使域控制器的改變與該域樹林中保存有信息副本的其他域控制器同步的過程。通過跟蹤每個(gè)域控制器的改變并且有計(jì)劃地更新其他域控制器，可以保證整個(gè)目錄數(shù)據(jù)的完整性。,3.4 Active Directory的復(fù)制,多主機(jī)復(fù)制方式 Active Directory的復(fù)制采用多主機(jī)復(fù)制方式，這樣可以迅速保持目錄信息的同步。多主機(jī)復(fù)制方式與Windows NT的主從復(fù)制方式有很大的不同。主從復(fù)制方式要求所有更新都必須對位于主域控制器

14、的目錄的主副本進(jìn)行，然后復(fù)制到各個(gè)副本。這種方式在副本較少的目錄和所有變化較集中的應(yīng)用環(huán)境中適用，對于大規(guī)模組織或分布式組織則顯得效率低下。在Windows Server 2003的活動目錄中，所有的域控制器都是平等的，無主域控制器和備份域控制器之分。任何域控制器的改變都會對目錄數(shù)據(jù)進(jìn)行更新。 在多主機(jī)復(fù)制方式中，一個(gè)域控制器不必對其他每一個(gè)域控制器進(jìn)行復(fù)制。系統(tǒng)自動設(shè)計(jì)了一套功能較好的連接，該連接決定從哪些域控制器復(fù)制到其他哪些域控制器中，以確保網(wǎng)絡(luò)不會因復(fù)制通信過載以及復(fù)制延遲而對網(wǎng)絡(luò)通信帶來影響。這組用于將變化復(fù)制給域控制器的連接稱為復(fù)制拓?fù)浣Y(jié)構(gòu)。這樣的自動機(jī)制可大大減輕網(wǎng)絡(luò)管理員的負(fù)擔(dān)

15、。,3.4 Active Directory的復(fù)制,站點(diǎn)間的復(fù)制 站點(diǎn)間的復(fù)制，主要是指發(fā)生在處于不同地理位置的主機(jī)之間的Active Directory站點(diǎn)復(fù)制。站點(diǎn)之間的目錄更新可根據(jù)配置的日程安排自動進(jìn)行。在站點(diǎn)之間進(jìn)行的目錄更新被壓縮以節(jié)省帶寬。 Active Directory站點(diǎn)復(fù)制服務(wù)，使用用戶提供的關(guān)于站點(diǎn)連接的信息，自動建立最有效的站點(diǎn)間復(fù)制拓?fù)洹Ｃ總€(gè)站點(diǎn)被指派一個(gè)域控制器(稱為站點(diǎn)間拓?fù)渖沙绦?以建立該拓?fù)?，使用最低開銷跨越樹算法，以消除站點(diǎn)之間的冗余復(fù)制路徑。站點(diǎn)間復(fù)制拓?fù)鋵⒍ㄆ诟?，以響?yīng)網(wǎng)絡(luò)中發(fā)生的任何更改。 Active Directory站點(diǎn)復(fù)制服務(wù)，通過最小化

16、復(fù)制的頻率，以及允許安排站點(diǎn)復(fù)制鏈接的可用性，來節(jié)省站點(diǎn)之間的帶寬。在默認(rèn)情況下，跨越每個(gè)站點(diǎn)鏈接的站點(diǎn)間每180分鐘(3小時(shí))進(jìn)行一次復(fù)制，可以通過調(diào)整該頻率來滿足自己的具體需求。但是，提高此頻率將增加復(fù)制所帶來的帶寬量。此外，還可以將復(fù)制限制在每周的特定日子和每天的具體時(shí)間。,3.4 Active Directory的復(fù)制,站點(diǎn)內(nèi)的復(fù)制 站內(nèi)復(fù)制可以實(shí)現(xiàn)速度優(yōu)化，站點(diǎn)內(nèi)的目錄更新根據(jù)更改通知自動進(jìn)行。在站點(diǎn)內(nèi)復(fù)制的目錄更新并不壓縮。 每個(gè)域控制器上的知識一致性檢查(KCC)，使用雙向環(huán)式設(shè)計(jì)自動建立站內(nèi)復(fù)制的最有效的復(fù)制拓?fù)?。這種雙向環(huán)式拓?fù)渲辽賹槊總€(gè)域控制器創(chuàng)建兩個(gè)鏈接(用于容錯(cuò))，任

17、意兩個(gè)域控制器之間不多于3個(gè)躍點(diǎn)(以減少復(fù)制滯后時(shí)間)。為了避免出現(xiàn)多于3個(gè)躍點(diǎn)的連接，此拓?fù)淇梢园绛h(huán)的快捷連接。,3.4 Active Directory的復(fù)制,管理復(fù)制 ctive Directory依靠站點(diǎn)配置信息來管理和優(yōu)化復(fù)制過程。在某些情況下，Active Directory可自動配置這些設(shè)置。此外，用戶可以使用“Active Directory站點(diǎn)和服務(wù)”為自己的網(wǎng)絡(luò)配置與站點(diǎn)相關(guān)的信息，包括站點(diǎn)鏈接、站點(diǎn)鏈接橋和橋頭服務(wù)器的設(shè)置等。,3.4 Active Directory的復(fù)制,對象 活動目錄對象代表組成一個(gè)網(wǎng)絡(luò)的物理實(shí)體。一個(gè)對象就是一個(gè)架構(gòu)的存儲實(shí)例，一個(gè)架構(gòu)在活動目

18、錄模式中定義為一個(gè)確定的、強(qiáng)制的和可選的屬性集合。架構(gòu)也包含一些確定哪些架構(gòu)的對象可以高于(作為其父親)該架構(gòu)特定對象的規(guī)則。每個(gè)屬性也在活動目錄模式中定義。 當(dāng)用戶在活動目錄中創(chuàng)建一個(gè)對象時(shí)，要為對象的屬性提供值，該值必須根據(jù)目錄模式中的規(guī)則提供。例如，當(dāng)創(chuàng)建一個(gè)用戶對象時(shí)，要提供用戶姓名的字母數(shù)字組合的值并登錄名字；也許還要提供另外一些值，如電話號碼和地址等。只有為用戶名和登錄名提供可接受的值，才可以成功地創(chuàng)建用戶對象，因?yàn)楦鶕?jù)目錄模式這些屬性是強(qiáng)制的。 在活動目錄中創(chuàng)建或修改對象的應(yīng)用程序，要使用目錄模式來確定該對象必須有哪些屬性。由于這個(gè)原因，需要在整個(gè)樹林范圍內(nèi)維持目錄模式，以使該目錄中創(chuàng)建的全部對象遵從同樣的規(guī)則。,3.5 Active Directory中的對象,組織單位 活動目錄允許管理員在一個(gè)域內(nèi)創(chuàng)建一個(gè)滿足其組織需要的層次結(jié)構(gòu)。建立這些層次結(jié)構(gòu)要選擇的對象是組織單位(Organizational Unit)。這是一個(gè)通用容器，該容器可以因管理上的目的而將其他大多數(shù)對象組合到一起?；顒幽夸浀囊粋€(gè)組織單元與文件系統(tǒng)中的一個(gè)目錄是類似的，它是一個(gè)可以包容其他對象的容器。 可以在域中創(chuàng)建組織單位的層次結(jié)構(gòu)。組織單位可包含用戶、組、計(jì)算機(jī)、打印機(jī)和共享文件夾，