活动目录介绍.ppt

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,活动目录介绍,学习目标,通过本课程的学习，能够高效地搭建一个适合自己需要的网络，简化网络管理。,课程内容,活动目录概念,活动目录的作用特性,活动目录的结构,重、难点分析,重点：,活动目录的结构,难点：,组织单元,站点,第一课 活动目录介绍,在Windows 2003的网络环境中，,Active Directory提供组织、管理与控制,网络资源的各种功能。,灵活的管理,Paris,Repair,Sales,User1,Computer1,Printer1,User2,简化管理,可伸缩性,降低总体拥有成本,提供安全性,提供集中的存贮,Server1,Server2,Active Directory的基本概念,何为目录?,日常生活中所用的,电话簿,计算机中的,文件系统,内记录文件名、大小、日期等,网站的,搜索功能,任务一、活动目录的概念,在Windows Server 2003域内的目录是用来存储用户账户、组、打印机、共享文件夹等对象的，这些对象的存储处称为“目录数据库”。在Win2003域内负责提供目录服务的组件是,活动目录，它负责目录数据库的,保存、新建、删除、修改与查询,等服务。,活动目录存储网络上的各种对象的相关信息，使域用户只用一个用户帐号,就可以访问活动目录中所有的资源（一次登录，全网使用）。,AD适用范围,AD适用范围非常广泛，小自一台计算机、一个小型局域网，大至数个广域网的结合。它可以包含此范围中的所有对象，例如文件、打印机、应用程序、服务器、域、用户帐户等。,网络环境,目录服务的功能,组织,管理,控制,资源,集中式管理,单点管理,用户只需登录一次，就可访问整个活动目录的资源,活动目录的概念,活动目录服务的功能是组织和管理网络中的全部资源对象。,AD概念理解,工作组原始社会:,各服务器（人）各自为政,域国家:,一定范围内实现集中管理，中央集权,AD森林联合国:,实现多个基本管理范围（国家，域）的联合管理。减少这些基本范围内的重复管理工作。方便之间资源调用。,AD概念理解,定义联合国,谁能加入联合国,共同遵守的设定和规则,不干涉别国内政,定义,AD,活动目录中能放哪些对象,通用性设定,各域数据原则上由数据所在的域进行管理,任务二 轻型目录访问协议（LDAP）,LDAP(Lightweight Directory Access Protocol),是一种用来查询和更新活动目录的目录服务的通信协议。Win 2003域是利用“LDAP命名路径”来表示对象在AD内的位置，以便访问对象。,所有对活动目录的访问都通过LDAP来进行。LDAP采用对象的区别名来为目录对象提供唯一的名字。,轻型目录访问协议（LDAP）,可分辨名称（Distinguished Name,DN），对象在AD中的完整路径:,DC=abc，DC=com,OU=Market,OU=Market1,CN=user1,CN=user1,OU=Market1,OU=Market,DC=abc，DC=com,DC,：域组件,OU,：组织单元,CN,：普通名字,轻型目录访问协议（LDAP）,相对可分辨名称（Releative Distinguished Name,RDN），对象在AD中的部分路径，:,CN=user1,DC=abc，DC=com,OU=Market,OU=Market1,CN=user1,轻型目录访问协议（LDAP）,轻型目录访问协议（LDAP）,全局唯一标识符（Global Unique Identifier,GUID）：,一个128 bit的数值，AD中每个对象系统都自动指定一个唯一的GUID。,轻型目录访问协议（LDAP）,用户规则名（User Principal Name,UPN）：,格式类似电子邮件账户：user1。,用户在登录域时，最好使用UPN登录，因为无论这个用户被移到哪个域，都不会改变他的UPN。,任务三 活动目录的特性,信息安全特性：,活动目录服务完成网络中的安全管理，不仅可以管理网络中的计算机和用户，还包括管理网络中的各种服务资源。这些访问资源的安全控制可以在活动目录中针对每个对象定义，也可以在对象的属性中调整。,良好的可伸缩特性：,活动目录包含了一个或多个域，每个域具有一个或多个域控制器，以便调整网络的规模。,集成DNS服务：,活动目录服务借用现有DNS服务命名体系来定义域环境的名称，这样使得活动目录的域环境更容易被记忆和使用。,另外，活动目录服务器和接受活动目录服务管理的计算机都使用DNS服务来查找和定位网络中的资源和服务。,完善的信息复制：,活动目录服务允许在一个域环境中保存多个活动目录服务数据库的副本，这样域环境中就可以有多个域控制器同时进行工作，为客户计算机和用户提供网络资源的管理和定位。,灵活的活动目录查询能力：,不论是域环境中的用户还是管理员，都可以使用计算机中的“网上邻居”或者是“开始”菜单中的“搜索”来查找活动目录中的现有对象。,任务四 活动目录的结构,逻辑结构,物理结构,运输部,运输部,合肥分公司,北京总公司,活动目录的逻辑结构,活动目录使用数据库组织和管理网络对象。为灵活组织和存储网络对象，活动目录数据库使用了灵活的分区机制组织和管理网络对象。,逻辑结构,Domain,域,域,目录树,域,子域,A域,目录树,目录林,域,OU,OU,OU,活动目录的逻辑结构,活动目录的相关术语,1、命名空间：,活动目录就是一个命名空间，是有特定边界的指定区域，主要用途是组织资源的说明，使用户按其特性或属性等有关信息来查找资源。,Win2003的AD与DNS紧密结合，域“命名空间”采用DNS的架构，域名也采用DNS的格式来命名。,2、对象与属性：,Win2003域内的资源以,对象,的形式存在，如用户、组、计算机、打印机等都是对象。而对象是通过,属性,描述它的基本特征，,即对象本身是一些“属性”的集合,。比如，一个用户账号的属性中可能包括用户姓名、电话号码、电子邮件地址和家庭住址等。,活动目录的相关术语,活动目录对象,Attributes,First Name,Last Name,Logon Name,Attributes,Printer Name,Printer Location,Active Directory,Printers,Printer1,Printer2,Suzan Fine,Users,Don Hall,Attribute,Value,Objects,Printers,Users,Printer3,3、容器与组织单位：,容器是活动目录名字空间的一部分，与目录对象一样，它也有属性，容器内可以存放其他的对象，也可以包含其他的容器。,组织单位是AD内一个比较特殊的容器。,AD通过层次式的架构，将对象、容器、OU等组合在一起，并将它们存储在AD数据库中。,活动目录的相关术语,组织单元：,组织单元（OU）是一种用来把活动目录中的对象（用户、组、计算机及其他单位）按照某种,管理需求,组织在一起的容器，从名称上理解，它是一个单位、一个容器，用来容纳活动目录中的各种对象。组织单元可包含用户、组、计算机、打印机、共享文件夹及其他组织单元。,活动目录的相关术语,理解方式,OU,相当于公司里面的部门机构，可以理解为生活中公司总经理（域管理员）按照职能把公司（活动目录域）划分成为部门（组织单元），并且任命部门经理（OU中的被委派用户），部门经理代替总经理在本部门内部行使管理权利。,通过组织OU，可建立一个层次结构，将域内的资源层次化。,利用OU可以简化域中对象的管理，可以把管理控制权,委派,给OU内的对象进行管理。,方便应用组策略,组织结,构,Sales,Vancouver,Repair,Users,Sales,Computers,网络管理模,式,4、域：,域是Win2003 Server网络系统的,安全性边界。,一个计算机网络最基本的单元就是“域”，活动目录可以贯穿一个或多个域。,每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后，活动目录可以被多个信任域共享。,活动目录的相关术语,域环境是活动目录中的逻辑结构的核心管理单元。,域内包含网络中的计算机、用户和网络服务等对象。每个活动目录域有唯一的名字。,特点：,1、,域环境定义了安全边界：,安全边界的作用保证了域环境的管理者只能在自己的域环境内部行使管理员的权利。,2、,域环境也是活动目录服务数据库的复制单元：,域内可以存在多台域控制器,所有的域控制器都能够执行对活动目录的查询等工作，同时把活动目录数据库的变化复制给其他的域控制器。,活动目录的相关术语,安全边界,复制,管理,安全策略,组策略,复制单元,Windows 2003,域,User1,User2,User1,User2,复制,理解方式,活动目录域环境可以理解为分布在地球上的各个国家。每个国家都有自己的安全管理法律，形成了地理上连接在一起而安全管理互相独立的“域”。,活动目录管理的网络也是物理上（可能）互相连接的众多计算机，其中的一部分主机遵守共同的安全管理机制，形成管理层次上相对独立的“域”。,5、域树：,要架设一个内含多个域的网络，则可以将网络设置成“域树”的架构，即这些域是以树状形式存在。,域树由多个域组成，这些域共享同一个结构和配置，形成一个,连续的名字空间,。域树中的域通过双向可传递信任关系连接在一起。,活动目录的相关术语,域目录树的概念,如果多个域环境使用了连续的命名空间（类似我们平时说的都姓一个姓氏），称这样的多域结构为,活动目录树,。,活动目录树中的下层域成为其上层域的,子域,，上层域称为,父域,。,从形式上来讲，如果父域名称是，那么子域的名称应该是XXX。,域目录树的概念,域树内的所有域共享一个Active Directory，即这个域树只有一个Active Directory。这个Active Directory内的数据分散地存储在各个域内，且每一个域内只存储该域内的数据，如该域内的用户账户、计算机账户等。Windows Server 2003将存储在各个域内的对象总称为Active Directory。,父域,子域,连续的名字空间，,（域后缀延续）,sales.contoso.msft,父域,子域,新域,目录树根 域,contoso,.,msft,sales.,contoso.msft,域目录树的概念,域树,nwtraders.msft,marketing.,nwtraders.msft,sales.,nwtraders.msft,contoso.msft,sales.,contoso.msft,目录林,目录树,目录树,6、信任,两个域之间必须建立了“信任关系”之后，才可以访问对方域内的资源。,任何一个Win2003域被加入到域树后，会自动信任其前一层的父域，同时父域也会自动信任这个新域，具有“双向传递性”。,7、域林：,域林是指由一个或多个,非连续名字空间,的域树组成，它与域树最明显的区别就在于这些域树之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成。但域林中的所有域树仍共享同一个表结构、配置和全局目录。,活动目录的相关术语,域林,使用一个活动目录树或者多个活动目录树组成的更大范围的多域环境，在目录林中，存在不连续的域名称空间。但是它们之间的信任关系是一样的双向可传递式信任。,活动目录树中的第一个域环境成为目录树的根域。,活动目录林中的第一个建立的目录树的根域称为目录林的根域。,域林,在建立林时，会自动建立根域（root domain）之间的具有双向传递性的信任关系。由于这种双向信任关系具备传递性，因此每一个域树中的所有域内的用户，只要拥有适当的权限就可以访问其他任何一个域树内的资源，也可以登录其他任何一个域树内的计算机。,目录林根域,目录林根域是在林中第,一个建立的域,contoso.msft,目录林,目录林根域,nwtraders.msft,目录树,目录树根域,全局目录,marketing.nwtraders.msft,sales.contoso.msft,目录树,域,域,域,域树,Domain,域,域,域树,域森林,Domain,域林,目录树和目录林,japan.,china.,目录树,目录林,japan,.,china,.,Tree,(root),域,Windows NT 4.0,单向不可传递信任关系,双向可传递信任关系,8.架构,Active Directory内的对象类与属性数据时定义在架构（Schema）内的，例如，定义了“用户”这个对象类包含哪些属性（姓、名、电话等）以及每一个属性的数据类型与其范围等信息。,系统管理员（Schema Admins组内的用户）与应用程序可以在架构内新增对象类或属性。一个林内的所有域树使用相同的架构。,9、全局编录（GC-Glable Catalog）,全局编录服务是包含着目录林中的所有活动目录对象的属性的一个子集的服务。也就是说全局目录是活动目录林中信息的仓库。可以让用户很容易的找到所需的对象。,全局目录由域控制器来实现，它包含了活动目录中的每一个对象，不过只存储对象经常被查询的,部分,属性，例如用户帐户、用户的姓氏、用户的登录名称等。全局编录 让用户及时在不自导对象是位于哪一个域捏的情况下，仍然可以很快速地找的找到所需对象。,还负责提供用户登录时，该用户所隶属的“通用组”的数据；或当用户利用UPN登录时，提供该用户是隶属于哪一个域的数据。,全局编录服务器,一个森林中的每台域控制器都存储本域的完整目录信息(一个林内的所有域树使用相同的架构)。,全局编录服务器是一个不仅存储本域的完整目录，同时还存储,森林中所有域目录,的一个部分的、只读的副本的域控制器。（子域对象属性的子集，只包含约4%，可查子集对象的常用属性）,全局编目服务器包含了,域目录,林中所有对象的信息,，只要给出目标对象的一个或几个属性，用户和应用程序就可以在 AD域目录,林,中找到这些对象。,全局目录,全局编录服务器是在林中,第一个建立的域控制器,contoso.msft,目录林,目录林根域,nwtraders.msft,目录树,目录树根域,全局目录,marketing.nwtraders.msft,sales.contoso.msft,目录树,理解指南,在我国部分地区，一个家族的人为了理顺亲人之间的亲属关系，建立了“族谱”之类的管理某一家族的全体人员的“全局目录”。“家谱”用来在亲友之间检验亲戚关系。家族就相当于活动目录林，而“全局目录”服务就相当于目录林的“族谱”。,活动目录的物理结构：,网络的配置和优化,域控制器（domain controller）,站点（site）,Domain Controllers（域控制器）:,参与活动目录复制,在一个活动目录中执行单主控操作,Domain Controller,Domain Controller,Domain,Replication,User1,User2,User1,User2,=A Writeable Copy of the Active Directory Database,一份可写入的AD数据库,活动目录的物理结构,域控制器：,运行Win2003 Server的活动目录服务的计算机，存储活动目录服务的数据库副本。域控制器是管理员执行活动目录服务管理的对象的调整的位置，域控制器管理活动目录服务信息的变化，并将其写入活动目录服务数据库。一个域可有一个或多个域控制器。,活动目录的物理结构,提高域的容错能力，,为每个站点架设一台DC，提升使用效率。,复制,DC-B,DC-C,DC-A,控制器之间的复制,复制拓扑,域中计算机角色,域控制器,域控制器必须是一台运行Win2003 Server的计算机，一个域可以有一个或多个域控制器：,1、提供AD服务。,2、存储与复制AD数据库。,3、管理域中的活动，包括“用户登录”，“身份验证”与“目录查询”。,成员服务器,运行 Win2003 Server 的计算机，但它不是 Win2003 Server域的域控制器。成员服务器加入域，但不存储目录数据库的副本，,不存储目录数据库不处理帐户登录过程,。常作文件服务器、应用程序服务器或数据库服务器等。,域中计算机角色,工作站,所有运行Win2000 Pro、WinXP Pro等系统，且加入域的计算机。,域中计算机角色,站点（site）：,站点是指包括活动目录域服务器的一个网络位置，通常是一个或多个通过TCP/IP连接起来的子网。站点内部的子网通过可靠、快速的网络连接起来。站点的划分使得管理员可以很方便地配置活动目录的复杂结构，更好地利用物理网络特性，使网络通信处于最优状态。,活动目录中的站点与域是两个完全独立的概念，一个站点中可以有多个域，多个站点也可以位于同一域中。,活动目录的物理结构,站点（site）是根据网络的物理特征定义的活动目录服务网络物理结构，把一组高速可靠的物理链路划分为一个站点，站点间实行计划复制，把两站点之间的复制量压缩到15%。,站点,优化复制交流，增进AD数据更新频率：加强站点内AD数据的一致性。,加速验证性能：让客户计算机定位到站点中离它最近的DC，使用户能够使用可靠、高速的连接登录到域控制器上。,站点,IP subnet,IP subnet,Los Angeles,Seattle,Chicago,New York,站点,IP 子网,IP 子网,桥头堡,服务器,站点内复制,站点,IP 子网,IP子网,桥头堡,服务器,站点内复制,慢速网络链路上,的复制,优化复制交流,用户可靠、高带宽登录,一个站点可有几个域,一个域也可有几个站点,本课总结,Windows2003 server利用活动目录来有效管理网络中的对象；,活动目录具有安全性、可扩展性、可伸缩性、信息复制、与DNS集成、灵活的查询、LDAP等特性。,Windows2003 server活动目录逻辑结构有域、域树、域森林，物理结构可分为域控制器、站点组成。,作业,书面题：,在Win2003 Server中活动目录的作用是什么？,什么是站点和域控制器？,什么是域目录树和目录林，它们之间的区别？,DNS在活动目录网络中起什么样的作用？,实验题：,安装和配置DNS来支持活动目录,