活动目录与企业管理

目录服务基础结构设计与管理活动目录概述课程主要内容活动目录与企业管理创建基于活动目录的域网络企业网络用户和组管理在域中发布企业网络资源委派管理和控制在域网络中实现组策略桌面标准化管理客户端软件管理创建和管理目录树和目录林管理活动目录的复制活动目录数据库维护企业活动目录规划方案实例第一章活动目录与企业管理目录服务基础结构设计与管理活动目录概述议程•企业为什么需要活动目录•活动目录逻辑结构•活动目录物理结构•如何利用活动目录管理企业网络目录服务基础结构设计与管理活动目录概述企业为什么需要活动目录•一个企业网管的故事引出的思考•小张所在的某企业早期的时候10台计算机，工作组管理模式。哪台机器有问题，小张就去那台机器上解决，工作强度也不是很大，网络配置很轻松，几乎不用管理。•但随着信息化的深入，公司的计算机台数增加到了50台，小张仍采用同样的管理方式，每天都很忙碌，刚开始还可以勉强应付，但公司规模不断扩在。•计算机数量已达到100台左右了，部门间的访问也需要安全策略，此时小张感到力不从心了，从早上到公司到晚上离开，一直在解决网络中用户的计算机故障问题，木马、病毒、IE首页篡改、甚至出现了公司内部恶意攻击的事件，经常晚上加班，通宵达旦的工作，但问题总是解决不了。•一个月后，小张因不能胜任被辞退了。•为什么会出现这样的问题呢，这个网络管理员小张难以理解，自认为了公司已近拼命的工作了，但最终还遭解雇。•……Windows网络管理网络基础架构工作组网络的特点•1、工作组中，每一台计算机都独立维护自己的资源，不能集中管理所有网络资源。•2、每一台计算机都在本地存储用户的帐户，一个账户只能登陆到创建它的这一台计算机。在一台计算机上创建的帐号不能在其它计算机上登录访问资源。•3、工作组中计算机都是平等的，对于其他计算机来说即是服务器，也是客户机。•4、工作组的网络规模一般少于10台计算机，网络扩展性差。•5、管理不灵活，随着计算机数量增多，难以管理。目录服务基础结构设计与管理活动目录概述工作组分散管理•如果资源分布在多台服务器上，要在每台服务器分别为每一员工建立一个账户（共M*N），用户则需要在每台服务器上（共M台）登录目录服务基础结构设计与管理活动目录概述域的好处-简化管理使之更加清晰•活动目录资源帐号集中管理•服务器和用户的计算机都在同一个域中，用户在域中只要拥有一个域账号，只需要在域中登录一次就可以访问域中的资源了。目录服务基础结构设计与管理活动目录概述什么是活动目录•目录服务：集中存储、组织和管理网络中的对象和信息并控制用户查找、访问和使用这些资源。如WindowsAD和NetwareNDS。•WindowsAD的特点：1、以domain、site、ou等形式组织资源(user、printer、computer、application等)更容易扩展和管理。2、它允许网络用户通过单个登录过程就可访问网上所有资源。(一个用户、一个帐号，无须知道资源的具体位置)3、给网络管理员提供了直观的网络层次结构视图和对所有网络对象的单点管理。4、具有较好的扩展性和可伸缩性。目录服务基础结构设计与管理活动目录概述活动目录对象•活动目录对象代表了网络资源。•一个对象包含了很多属性。AttributesFirstNameLastNameLogonNameAttributesPrinterNamePrinterLocationActiveDirectoryPrintersPrinter1Printer2SuzanFineUsersDonHallAttributeValueObjectsPrintersUsersPrinter3目录服务基础结构设计与管理活动目录概述活动目录的功能•活动目录存储整个网络上的资源信息。•网络上的用户一次登录就可以访问任何网络资源。•管理人员便于集中管理活动目录。•智能的信息复制能力和容错能力。•加强了网络安全性。•活动目录的其它优势–与DNS紧密集成–与其它目录服务具有互操作性–信息查询更加灵活目录服务基础结构设计与管理活动目录概述增强的安全性•活动目录集成了登录身份验证以及目录对象的访问控制•管理员可以管理分散在网络各处的目录数据•经过授权的用户才可访问网络各处的资源•活动目录通过对象访问控制列表及用户凭据保护其存储的用户账户和组信息目录服务基础结构设计与管理活动目录概述Windows208活动目录新增功能•在WindowsServer2008中，活动目录名称改变为ActiveDirectory域服务（ADDS）。ADDS不仅用户界面有了很大变化，而且还增加了如下新特性：•审核策略。在WindowsServer2008中，管理员可以建立一个新的审核策略子类别（目录服务变化），以便对ADDS对象及其属性进行更改时记录新旧属性值，并在安全日志中记录以便审核。•颗粒化密码策略。颗粒化的密码策略允许管理员在同一个域中建立多样化的密码策略，如针对域中不同的用户集应用不同的密码和帐号策略。目录服务基础结构设计与管理活动目录概述Windows208活动目录新增功能•只读域控制器（RODC）。只读域控制器是WindowsServer2008中新出现的一种域控制器类型，其包含了ADDS中只读部分，主要布署在物理安全得不到保证的分支，并通过缓存用户和计算机帐户信息为分支用户提供登录验证。•可以重启的ADDS。在WindowsServer2008中，管理员可以不用对域控制器进行重启，而是采用通过微软管理控制台（MMC）或命令行工具来停止或重启ADDS，从而减少了特定操作所需要的时间。•数据装载工具。采用数据装载工具，管理员能够比较在不同时间点采集的快照或备份中的数据，以决定恢复那些数据。目录服务基础结构设计与管理活动目录概述ActiveDirectory架构-1•1、架构定义了AD中的对象类(可创建的对象如user、computer等)和对象属性。•2、每个对象类均是一组属性的集合，不同类中的属性分别定义，每个属性只定义一次，可分为公共属性与专用属性等。•3、在W2K中，整个森林中只有一个架构存在，所有DC均有其副本并相互进行复制。在AD中创建的对象均遵守同样的规则。•4、其对于用户应用程序来说是可以动态获得的。用户应用程序可以通过读架构来发现哪些对象和性质是可以利用的。•5、架构是动态更新的，开发人员和管理人员可定义新类、新属性来动态地扩展之并可立即使用。•6、可通过DACLs(自由访问控制列表)来保护架构，只让授权用户可以改变它。目录服务基础结构设计与管理活动目录概述ActiveDirectory架构-2ObjectsClassExamplesPrintersComputersUsersAttributesofUsersMightContain:accountExpiresdepartmentdistinguishedNamemiddleNameListofAttributesaccountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName…AttributeExamplesActiveDirectorySchemaIs:DynamicallyAvailableDynamicallyUpdateableProtectedbyDACLs目录服务基础结构设计与管理活动目录概述轻量级目录访问协议(LDAP)•LDAP是一种开放的Internet标准，主用于TCP/IP网络，它也是用于访问AD的主要协议，它定义了目录客户如何访问目录服务器及如何进行目录操作(查询和更新AD)并共享目录数据库。其用命名路径来定义如何访问目录对象的。•LDAPNamingPathsInclude:–Distinguishednames(标识名)–Relativedistinguishednames(相对标识名)：其为标识名的一部份，在父对象中唯一。CN=SuzanFine,OU=Sales,DC=contoso,DC=msftSuzanFineCN：普通名DN=Fullname+path目录服务基础结构设计与管理活动目录概述AD逻辑结构-1•Domains（域）1、AD逻辑结构的核心单元。一个域中至少一个DC，也可有多个DC。2、DC中存放AD信息，并通过复制使域中所有DC都有AD信息的副本。3、在AD中，域起着安全边界的作用。每个域存放自己域中的资源，本域的管理员负责本域的安全，除非得到其他域的授权。•OrganizationalUnits（组织单元）1、可以把AD中对象组织到其中的逻辑容器。2、可将不同的OU管理控制权委派给不同用户或组。3、不能跨域。每个域只能执行各自的层次结构。Windows2003DomainReplicationOrganizationalStructureSalesVancouverRepair目录服务基础结构设计与管理活动目录概述AD逻辑结构-2•TreesandForests（树和森林）1、域树中的第一个域为根域，其余为子域。共用连续的命名空间，子域的名字与父域结合构成其DNS名。2、TREE中的W2K域通过双向可传递的信任关系连在一起。而通过双向可传递信任关系联系起来的一个或多个TREE就构成了目录林(森林)。3、森林不共享同样的命名空间，但共享同样的架构和GC。•GlobalCatalog(全局目录)1、在AD中建立的第一个DC自动成为GCServer。它存储了AD中所有对象的关键属性(查询中常用到)的副本，为用户查询AD信息提供最快的响应。2、通用组对象的所有属性放在GC中，登录时，GC将通用组成员信息提供给DC来启动登录。3、可分布于森林中的每个DC上，也可在AD中建立多个GC以平衡查询验证的流量。目录服务基础结构设计与管理活动目录概述树和森林contoso.msftau.contoso.msftasia.contoso.msftTreeTwo-WayTransitiveTrustsau.nwtraders.msftasia.nwtraders.msftnwtraders.msftForestTreeTwo-WayTransitiveTrust目录服务基础结构设计与管理活动目录概述全局编录GlobalCatalogServerGlobalCatalogSubsetoftheAttributesofAllObjectsDomainDomainDomainDomainDomainDomainQueriesGroupmembershipwhenuserlogson目录服务基础结构设计与管理活动目录概述AD的物理结构•DomainControllers1、确定域名，存放目录副本。2、一个域中可有多个DC，目录数据库存放于每个DC上并相互自动地进行多主控复制。3、每个DC上均可修改目录信息，都可提供用户身份验证。4、允许复制延时，可能产生冲突(同步前，各DC可能有不同信息，也可能同时对一个对象作出了不同的修改，可用单主控操作来解决)。•Sites1、通过高速连接的一个或多个IP子网的集合。2、site是物理结构，用来配置和管理网络流量，一个site可含多个domain。3、domain是逻辑结构，用来组织网络资源，一个domain可以跨越多个site，domain和site相互独立。4、创建site的基本原因是：优化复制和登录验证流量，使用户能使用高速可靠的连接登录在DC上。目录服务基础结构设计与管理活动目录概述DomainControllers（域控制器）DomainControllerDomainControllerDomainReplication=AWriteableCopyoftheActiveDirectoryDatabaseDomainControllers:ParticipateinActiveDirectoryreplicationPerf