《微软系统工程师、微软企业架构专家课程实现Active Directory森林和域结构.ppt》由会员分享,可在线阅读,更多相关《微软系统工程师、微软企业架构专家课程实现Active Directory森林和域结构.ppt(35页珍藏版)》请在三一办公上搜索。
1、,微软系统工程师、微软企业架构专家课程(13期),第十一次课程,实现Active Directory森林和域结构,Overview,Active Directory介绍Active Directory的逻辑结构Active Directory的物理结构管理Windows2003网络的方法,Lesson1:Active Directory介绍,Active Directory的概念Active Directory对象Active Directory架构轻量级目录访问协议(LDAP),Active Directory的概念,AD存储着整个网络上的资源(用户、组、共享目录等)信息,并且可以很方便地让
2、用户查找、管理和使用这些资源。AD是由多个组件组成的AD的组件:对像架构LDAPAD提供目录服务集中式管理,什么是目录服务?,有关人员和组织中的资源的信息的结构化存储库,Active Directory对象,AD存储着网络对象的信息。AD对象(Objects)代表着网络资源,例如:用户、组、计算机和打印机。而且网络中所有的服务器、域和站点都被表示为对象。当创建对象时,对象的属性或特性(Attributes)存储着用来描述对象的信息。用户可以在整个AD中通过搜索特定的属性来定位对像。例用户可以通过查找打印机的位置属性来确定打印机的确切位置。,什么是架构?,对象的类和可以扩展的属性的全林性定义架构
3、更改可以重新定义或停用,轻量级目录访问协议(LDAP),轻量级目录访问协议(LDAP,Lightweight Directory Access Protocol)是用于查询和更新AD的目录服务协议。LDAP协议规范表明,AD对象可以由一系列域组件、组织单位(OU)和公用名来代表,它们在AD里创建了LDAP命名路径。LDAP命名路径被用于访问AD对象,并包括下面两类:可分辨的名称相对可分辨的名称,可分辨的名称,在AD中每一个对象都有一个可分辨的名称。可分辨的名称(distinguished name)用于标识对象所在的域和到达该对象完整路径。下面是可分辨的名称的典型例子CN=Sunzan Fin
4、e、OU=Sales、DC=contoso、DC=msft,什么是相对的可辨的名称?,可分辨的名称标识对象的域和路径到达它,CN=Suzan Fine,OU=Sales,OU=Finance,DC=contoso,DC=msft,相对的可分辨的名称,Lesson2:Active Directory的逻辑结构,多媒体:Active Directory 逻辑结构域组织单位树和树林全局编录,多媒体:Active Directory 逻辑结构,Active Directory 逻辑结构,AD的逻辑结构具有伸缩性,并且提供了一种在AD中层次结构的方法,该方法对于用户和管理员来说是易于理解的。AD结构的逻
5、辑组件包括域组织单位树与树林全局编录,域,域是AD中逻辑结构的核心单位。域是由管理员定义的计算机集合,它共享一个公用的目录数据庫。域有惟一的名称,并提供对由域管理员集中维护的用户帐户和组账户的访问。安全边界复制单位,组织单位,OU是一个容器对象,该容器对象用来在一个域中组织对象。OU可以包含的对象包括用户账户、组、计算机、打印机和其他OU。,(1)OU层次结构可以使用OU把对象分组成一个最适应公司需求的逻辑层次结构。(2)管理控制可以把管理控制权委派给OU内的对象。要委派OU的管理控制权,必须把OU及OU包含的对象的特殊权限指派给一个或多个用户和组。对OU来说,既可以给它指派全部管理控制权。,
6、树和树林,asia.Nwtraders.msft,树,树(tree)是Windows2003域的层次结构排列,这些域共享连续的名称空间。把一个域添加到现存的树中时,这个新的域就是现存的父域的域名相结合形成它的DNS域名。每个域和父域之间都有一个双向,可传递的信任关系。树具有以下共同特征遵循DNS标准,子域的域名是子域附加其父域名的相对名在一个树中所有的域共享一个公用的架构,它是可以存储在AD配置中的对象类型的正式定义在一个树中的所有的域共享一个公用的全局编录,该全局编录是树中对象的中心信息庫。,双向、可传递信任,双向、可传递信任关系是Windows2003域之间的默认信任关系。双向、可传递信任
7、是可传递信任和双向信任的结合。可传递信息是指扩展到一个域的信任关系也会自动扩展到信任该域所有其他域。双向信任是指在两个域之间存在着两条方向相反的信任路径。在Windows2003的域中,双向可传递信任的优点是在AD域层次结构的所有域之间存在着完全信任关系。这样,由这种信任关系链接起来的树就形成了树林。,树林(forest),树林是一个或多个树,树林中的树并不共享连续的名称空间,然而,树林中的树共享公共架构和全局编录。一个不与其他树相关联的单一树组成一个只有一个树的树林。这样,每个树的根域与树林根域之间存在着可传递信任关系。树林根域的名称用于表示给定的树林。树林中的每个树都有它自己惟一的名称空间
8、树林具有下列特点树林中的所有树共享一个公共的架构根据树林中树所在的域不同,树有不同的命名结构树林中的所有域共享一个全局编录虽然树林中的域是独立操作的,然而树林去能使通信遍布整个个公司在域和域树之间存在隐含的双向、可传递信任,什么是全局编录?,全局编录(Globalcatalog)是一个信息库,它包含的 Active Directory 中的所有对象的属性子集。,全局编录,全局编录使用户能够执行下列两种重要的功能:无论数据在什么位置,都可以通过整个树林中AD信息进行查找使用能用组成员身份登录网络全局编录服务器是一个域控制器,可以存储查询的副本并奖其整理到全局编录中。在AD中建立的第一个域控制器会
9、自动成为全局编录服务器。用户可以通过配置额外的全局编录服务器平衡来自于登录身份验证和查询的通信量对于正在AD中搜索某个对像的用户来说,全局编录使树林内的目录结构变得透明全局编录还包含存储在全局编录中每个对象和属性的访问权限。,Lesson3:Active Directory的物理结构,多媒体:Active Directory 物理结构域控制器(DC)站点,多媒体:Active Directory 物理结构,站点域控制器WAN 链接,Active Directory 物理结构,在AD中,逻辑结构与物理结构不,并且是相互独立的。逻辑结构一般用来组织网络资源,而物理结构一般用来配置和管理网络通信。域
10、控A制器和站点构成了AD的物理结构AD的物理结构定义了复制和登录发生的时间和地点。理解AD物理组件对于优化网络通信和登录处理是很重要的。同进,知道物理结构将有助于复制和登录问题的疑难解答组件包括:域控制器(DC)站点(site),域控制器(DC),域控制器是一台运行Windows2003server的计算机,用来存储目录的副本。同时,域控制器管理目录信息的变化,并把这些变化自制给该域上的其他域控制器域控制器负责存储目录数据,管理用户登录、验证和目录搜索。一个域可以有一个或多个域控制器。使用单个局域网(LAN)的小公司只需要一个有两个域控制器的域来提供合适的有效性和容错性,而一个跨越许多地理位置
11、的大公司在每个区域都需要一个或多个域控制器来提供合适的有效性和容错性。,(续)域控制器(DC),(1)Active Directory复制域或树林中的域控制器能够把AD数据庫的变化自动自制给对方。复制确保了AD中的所有信息对于整个网络上所有的域控制器和客户端计算机都是可用的。AD的物理结构决定了复制发生的时间和复制是如何发生的。AD使用的是多主机复制模型。在多主机复制模型中,每个windows2003域都有一个或多个域控制器。每个域控制器为该域存储着AD数据庫的可写副本,并管理目录副本的变化和更新。当用户或管理员执行了引起域控制器目录更新的操作时,这种更新将被复制到该域中有的域控制器上,然而在
12、所有的域控制器把它们的变化都同步到AD中以前,域控制器在短时间内可能有不同的信息,(续)域控制器(DC),(2)单主机操作由于某些操作上可能潜在的冲突,一些AD的变化对于执行多主机方式复制来说是不可行的,因此出现了单主机操作,单主机操作(single master operations)就是只指派给特定的域控制器,在AD的域或树林中,已经被指派为一个或多个单主机操作角色原域控制器就是操作主机。被分派了这些角色的域控制器所执行的操作,不允许在网络中的其他域控制器上同时执行。例如:在树林中添加或删除一个域,什么是操作主机?,站点(site),站点由一个或多个通过高速链接的IP子网组成。通过定义站点
13、,可以为AD配置访问和复制拓扑。这样,Windows2003就可以为复制和登录通信使用最有效的链接和日程安排。创建站点的两个主要原因:优化复制通过使用可靠的高速链接使用户能够连接到域控制器站点映射网络的物理结构,而域映射公司的逻辑结构。AD逻辑结构和物理结构是彼此独立的,主要有下列特点:在网络的物理结构和它的域结构之间没有必然的相互联系AD允许在一个站点中有多个域,同时允许在一个域中有多个站点在站点和域名称空间之间没有必然的联系,多媒体:如何 Active Directory 启用一个单一登录-on,Domain Controller,Server XYZ,Lesson:管理Windows20
14、03网络的方法,使用Active Directory进行集中管理管理用户环境委派管理控制,使用Active Directory进行集中管理,Active Directory:使单管理员能集中管理资源允许管理员很容易地查找信息允许管理员将对象分组到OU中使用组策略来指定基于策略的设置,管理用户环境,组策略把Active Directory容器(站点、域和OU)作为管理单位。设置在容器上的组策略可以影响容器内所有的用户和计算机。利用组策略管理用户环境,可以:控制用户登录时能执行的操作,锁定用户不可以访问的资源。集中管理应用程序的安装、服务包、操作系统更新和软件的修复、更新和删除。配置跟踪(follow)用户数据,委派管理控制,指派权限:为特定的OU指定其他的管理员修改单个OU中对象的特定属性在所有的OU中执行同一任务自定义管理工具映射给委派的管理任务简化界面设计,