第3章域和组策略2020/1/19工程技术部鄢创辉版权所有谢绝盗版学习要点理解什么是AD(重点)理解工作组和域的管理模式掌握组织单位的管理掌握组策略和组策略的设置理解域、组织单位和组策略的关系2020/1/19工程技术部鄢创辉版权所有谢绝盗版前提知识2020/1/19工程技术部鄢创辉版权所有谢绝盗版1、什么是活动目录WindowsServer2000相对于NT4.0而言最重要的改变是增加了活动目录(AD),AD也是Windows2000最主要的特性。WindowsServer2003仍然提供了对AD的支持。从字面上看,活动目录由“活动”和“目录”两部分组成。“活动”是用来修饰“目录”,其核心是“目录”两个字;目录代表的是目录服务(DirectoryService)。目录:决定存放的内容及存放的方式。服务:对我们提出的要求的正确响应。2020/1/19工程技术部鄢创辉版权所有谢绝盗版1、什么是活动目录(续)目录服务有多种,如:NT4.0的SAM;NETWARE-NDS;UNIX;MACINTOISH。而活动目录是WindowsServer2003网络中目录服务的实现方式。它的“活动”体现在:活动目录中对象的数目是没有限制的;活动目录中对象的属性是可以增加的;可以方便地添加或删除域。2020/1/19工程技术部鄢创辉版权所有谢绝盗版2、活动目录的特点方便的组织资源;活动目录将目录组织居能够存储大量对象的容器,因此活动目录能够随着组织机构的扩大而增长。方便的信息组织和查找;活动目录提供了收集和分发网络中对象的集中存储场所,这些网络信息包括用户、组和打印机等。2020/1/19工程技术部鄢创辉版权所有谢绝盗版2、活动目录的特点(续)集中管理和分散管理的相结合;利用活动目录工具能够对活动目录中的资源进行统一管理,如统一执行组策略等。也可以根据不同用户的需要进行分散的管理,如为不同的组织单位执行不同的组策略。资源的分级管理。通过登录认证和目录中对象的访问控制,安全性和活动目录紧密地集成在一起。管理员能够管理整个网络的目录数据,并且可以授权用户能够访问网络上任何位置的资源及权限。2020/1/19工程技术部鄢创辉版权所有谢绝盗版3、活动目录的好处降低总体拥有成本这些成本包括维护的成本、培训的成本、技术支持成本及相应的升级成本。一次登录即能访问所有的资源每个用户只要在登录一次提供用户信息,就可以访问网络中所有该用户有权限访问的资源。2020/1/19工程技术部鄢创辉版权所有谢绝盗版4、ActiveDirectory的逻辑架构活动目录的逻辑结构可以公司的组织机构框图结合起来,通过对资源进行逻辑组织,使用户可以通过名称而不是通过物理位置来查找资源,并且使网络的物理结构对用户来说是透明的。活动目录的逻辑结构包括:域(Domain)、域树(DomainTree)、域目录林(Forest森林林)和组织单位(OrganizationUnit)。2020/1/19工程技术部鄢创辉版权所有谢绝盗版5、ActiveDirectory的逻辑架构域域域域域域OUOUOU域树域林组织单位对象2020/1/19工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory的逻辑架构域:ActiveDirectory逻辑结构中的核心功能单位,域提供下列三种功能:对象的管理边界管理共享资源安全性的方法对象的复制单元域树:以层次结构的方式组合到一起的域,子域的名称与其父域名称组合在一起,形成它自身唯一的域名系统森林:林是ActiveDirectory的完整实例。其中包含一个或多个树组织单位:是活动目录中的一个特殊容器。2020/1/19工程技术部鄢创辉版权所有谢绝盗版为什么需要域如果资源分布在多台服务器上,要在每台服务器分别为每一员工建立一个账户(共M*N),用户则需要在每台服务器上(共M台)登录2020/1/19工程技术部鄢创辉版权所有谢绝盗版为什么需要域服务器和用户的计算机都在同一个域中,用户在域中只要拥有一个账号用户只需要在域中拥有一个域账户,只需要在域中登录一次就可以访问域中的资源了。2020/1/19工程技术部鄢创辉版权所有谢绝盗版为什么需要域用户信息存放在域中的域控制器(DC,DomainController)上。当网络有十万个用户甚至更多,域控制器存放的用户数据量将很大,更为关键的是如果用户频繁登录,域控制器可能因此而不堪重负。分成多个域,每个域的规模控制在一定的范围之内。实际上,分成小的域不仅仅出于服务器不堪重负的原因,更多的是出于管理上的要求。2020/1/19工程技术部鄢创辉版权所有谢绝盗版为什么需要域网络划分成多个域2020/1/19工程技术部鄢创辉版权所有谢绝盗版域的概念域是活动目录逻辑结构的核心单元,是活动目录的容器。域定义了一个安全的边界(域是一个安全的堡垒),域中的所有对象都保存在域中,都在这个安全的范围内接受统一的管理.同时每个域只保存属于本域的对象,所以域管理员只能管理本域.安全边界的作用就是保证域的管理者只能在该域内拥有必要的管理权限,如果要让一个域的管理员去管理其他域,除非管理者得到了其他域的明确授权。2020/1/19工程技术部鄢创辉版权所有谢绝盗版域的概念(续)域是复制的单元。域是一种逻辑的组织形式,因此一个域可以跨越多个物理位置。例如北京和广州的两个网段属于同一个域,它们之间通过WAN相连。如果只有一台域控制器(安装了活动目录的计算机)在北京,那么广州的用户也只能在北京的域控制器上进行身份验证。为了提高对用户的响应速度可以在广州的网段上也创建一台域控制器。这样就需要北京和广州的域控制器之间实现数据同步,而同步的内容就是域的信息,所以说域是复制的单元。2020/1/19工程技术部鄢创辉版权所有谢绝盗版域树的概念域树是一组具有连续命名空间的域组成的。例如我们学院最初一个域名为kgy.com,后来为了管理方便或者是为了安全的需要,需要新建一个域(域是安全的最小边界),这样就可以把这个新域添加到现有的目录当中去.这个新域jdx.kgy.com就是kgy.com的子域。2020/1/19工程技术部鄢创辉版权所有谢绝盗版域树的概念(续)组成一棵树的第一个域称为树的根域,上图中kgy.com为树的根域,而其他的域称为该树的结点域。2020/1/19工程技术部鄢创辉版权所有谢绝盗版域目录林的概念域目录林(Forest)是由一棵或多棵域树组成的,每棵域树独享连续的命名空间,不同的域树之间没有命名空间的连续性。2020/1/19工程技术部鄢创辉版权所有谢绝盗版域和信任关系什么是信任关系?域是安全的最小边界,对于树和目录林而言,如果不同的域之间进行访问,就需要不同域之间有一种信任关系。信任关系的方向信任是有方向的,信任的方向决定了资源访问的方向。2020/1/19工程技术部鄢创辉版权所有谢绝盗版关于信任的方向A域信任B域,A称为信任域(TrustingDomain),B称为被信任域(TrustedDomain),B域的用户可以访问A域中的资源。单向信任关系双向信任关系2020/1/19工程技术部鄢创辉版权所有谢绝盗版信任的传递性信任具有传递性,即如果A信任B,B又信任C,如果信任关系是可传递的,A就信任C。在WindowsServer2003中默认建立的信任关系是可传递的,但手工建立的信任关系有些是可传递的,有些则不传递的。2020/1/19工程技术部鄢创辉版权所有谢绝盗版信任的类型在创建树和目录林的结构时,活动目录安装向导会自动创建两种默认的信任关系:父子信任:在现有域当中添加新的子域时,父域和子域之间会建立父子信任关系,该关系是双向可传递的;树根信任:当在现有的目录中添加新的域树时,目录林的根域和树的根域之间会建立树根信任,关系是双向可传递的。2020/1/19工程技术部鄢创辉版权所有谢绝盗版组织单位(OUOrganizationUnit)组织单位:是活动目录中的一个特殊容器,它可以所用户、计算机、打印机和组等对象组织起来。与一般容器仅能容纳对象不同,组织单元不仅可以包含对象,而且可以进行策略设置和委派管理,这是普通容器不具备的。2020/1/19工程技术部鄢创辉版权所有谢绝盗版组织单位(续)组织单位是活动目录中最小的管理单元。如果一个域中的对象数目非常多的时候,我们可以把一些具有相同管理要求的对象组织在一起,这样就可以实现分级管理。作为域管理员还可以指定某个用户去管理某个OU,管理权限可视情况而定。2020/1/19工程技术部鄢创辉版权所有谢绝盗版组织单位(续)组织单位可以和公司的行政机构相结合,这样可以方便管理员对活动目录对象的管理。市场部、技术部、财务部。。。。在规划组织单位时可以根据两个原则:地点和部门职能。2020/1/19工程技术部鄢创辉版权所有谢绝盗版全局编录(GC,GlobalCatalog)一个域的活动目录只能存储该域的信息,相当于这个域的目录。而当一个目录林中有多个域时,由于每个域都有一个活动目录,因此如果一个域的用户要在整个目录林范围内查找一个对象时就要搜索目录中每个域,这时全局编录就派上用场。默认情况下域中的第一台域控制器自动会成为全局编录服务器。2020/1/19工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory的物理架构在活动目录中,逻辑结构和物理结构是两个载然不同的概念。逻辑结构是用来组织网络资源的,而物理结构是用来设置和管理网络流量的。物理结构由域控制器和站点组成。2020/1/19工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory的物理架构域控制器:运行MicrosoftWindowsServer2003(或Windows2000Server)和ActiveDirectory的服务器。每台域控制器执行存储和复制功能一台域控制器只能支持一个域ActiveDirectory站点:通过建立站点实现网络流量优化,对不同位置的域控制器之间的带宽达到最佳利用2020/1/19工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory的物理架构站点域控制器广域网连接站点域控制器广域网连接站点2020/1/19工程技术部鄢创辉版权所有谢绝盗版运行WindowsServer2003操作系统计算机至少250MB磁盘空间一个使用NTFS文件系统格式化的分区或卷创建域必需的管理特权安装有TCP/IP,并且配置其使用DNS一台管理DNS域的DNS服务器,并且支持SRV资源记录ActiveDirectory安装要求2020/1/19工程技术部鄢创辉版权所有谢绝盗版安装过程启动安全协议和设置安全策略创建:ActiveDirectory分区、数据库和日志文件林根域SYSVOL文件夹NetLogon文件夹配置域控制器的站点成员关系在目录服务和文件复制文件夹上启用安全特性将用户提供的密码应用到管理员账户(针对系统还原模式)ActiveDirectory安装过程2020/1/19工程技术部鄢创辉版权所有谢绝盗版演示:验证以下文件夹是否创建SYSVOL和共享目录数据库和日志文件缺省的的ActiveDirectory架构是否创建通过事件查看器日志查看安装结果验证ActiveDirectory安装2020/1/19工程技术部鄢创辉版权所有谢绝盗版DNS和ActiveDirectory名称空间ActiveDirectory集成区域SRV资源记录域控制器注册的SRV记录检查域控制器注册的记录客户端计算机使用DNS定位域控制器和服务的过程检查集成了DNS的ActiveDirectory2020/1/19工程技术部鄢创辉版权所有谢绝盗版安装AD后操作系统的变化2020/1/19工程技术部鄢创辉版权所有谢绝盗版ActiveDirectory集成区域是作为对象存储在ActiveDirectory数据库中的主DNS区域和存根DNS区域可以在Acti