第10章 活动目录域、树和树林

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

新华网技windowsServer2003EnterpriseWindows2003中的活动目录介绍10新华网技windowsServer2003Enterprise教学目的:1.掌握添加单位到域中2.掌握配置活动目录3.掌握创建用户4.掌握管理用户5.掌握在单位中创建其他成员6.熟悉活动目录站点管理7.熟悉活动目录域8.熟悉添加组成员并进行管理9.了解活动目录简介10.了解活动目录域的管理11.了解用户和计算机管理工具新华网技windowsServer2003Enterprise重点:活动目录域的概念用户和计算机管理工具难点:活动目录站点管理新华网技windowsServer2003Enterprise讲解过程新华网技windowsServer2003Enterprise•活动目录存储整个网络上资源的信息–便于用户查找、管理和使用这些资源–小型网络:UNC(通一命名标准)路径–大型网络:难以确定资源位置、名称–所以需要目录服务快速定位资源•对用户透明、高效•不需要知道资源的物理位置,如何连接10-1活动目录介绍新华网技windowsServer2003Enterprise10-1.1什么是活动目录?目录服务的功能组织管理控制资源集中管理单点管理用户只需登录一次,就可访问整个活动目录的资源目录服务:存储网络资源的信息,使信息可有效利用实质为后台服务,表现为管理、用户工具目录服务新华网技windowsServer2003Enterprise活动目录对象•对象:网络资源•属性:关于对象的信息属性名姓登录名属性打印机名打印机位置活动目录PrintersPrinter1Printer2SuzanFineUsersDonHall属性值对象打印机用户Printer3新华网技windowsServer2003Enterprise目录服务使用用户可以通过查找对象的一个或多个具体属性来确定对象的位置新华网技windowsServer2003Enterprise活动目录架构(Schema)对象类例如:打印机计算机用户用户属性可能包括:accountExpiresdepartmentdistinguishedNamemiddleName属性列表accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName…属性例如:•活动目录架构•动态获得•动态更新•通过DACLs保护对象和属性新华网技windowsServer2003Enterprise轻型目录访问协议(LDAP)•为活动目录中的对象标识LDAP命名路径•标识名DN(完整路径)–如:CN=SuzanFine,OU=Sales,DC=contoso,DC=msft•相对标识名RDN–如:CN=SuzanFine•DC域组件•OU组织单元•CN普通名字新华网技windowsServer2003Enterprise新华网技windowsServer2003Enterprise10-2活动目录的逻辑结构(logicStructure)•具有伸缩性,包括下列组件:–域Domain:核心单元–组织单元OU–域目录树与目录树Tree\Forest–全局目录GC新华网技windowsServer2003Enterprise•活动目录使你能够通过名字(属性)找到资源,而不是物理位置,这样使网络的物理结构对用户透明域Domains组织单元OU树Tree和林Forest•Domain•域•域•目录树•域•域•域•目录树•目录林•域•OU•OU•OU逻辑结构:组织网络资源新华网技windowsServer2003Enterprise域安全边界–域管理员只能在域内进行管理,除非明确得到其它域的授权复制单元–域控制器DC在域内参加复制,并且包含它的域目录信息的完整副本Windows2003域复制新华网技windowsServer2003Enterprise安全边界复制管理安全策略组策略新华网技windowsServer2003Enterprise组织单元OU(OrganizationalUnits)组织结构SalesVancouverRepairUsersSalesComputers网络管理模式•利用OU可以把对象组织到一个逻辑结构中,使其最好地适应你的组织需求•可以把管理控制权委派给OU内的对象,通过指定权限到一个或几个用户和组新华网技windowsServer2003Enterprise组织结构通过组织OU,可建立一个层次结构ouououououou深层次/浅层次的结构ouououou新华网技windowsServer2003Enterprise目录树和目录林japan.contoso.comchina.contoso.com目录树目录林japan.nwtraders.comchina.nwtraders.comnwtraders.comTreecontoso.com域WindowsNT4.0单向不可传递信任关系双向可传递信任关系新华网技windowsServer2003Enterprise什么是目录树父域子域连续的名字空间,(域后缀延续)sales.contoso.msft父域子域新域目录树根域contoso.msftsales.contoso.msft新华网技windowsServer2003Enterprise什么是目录林?nwtraders.msftmarketing.nwtraders.msftsales.nwtraders.msftcontoso.msftsales.contoso.msft在目录林中的所有域共用一个公共配置、架构Schema、全局目录GC一个目录林是一个或多个目录树在目录林中的目录树不共同一个连续的名字空间目录林目录树目录树新华网技windowsServer2003Enterprise什么是目录林根域?目录林根域是在林中第一个建立的域contoso.msft目录林目录林根域nwtraders.msft目录树目录树根域全局目录配置和架构企业EnterpriseAdminsSchemaAdminsmarketing.nwtraders.msftsales.contoso.msft目录树新华网技windowsServer2003Enterprise全局目录服务器(GC服务器)全局目录GC服务器对象属性DomainDomainDomainDomainDomainDomain查询利用通用组成员身份的信息登录网络新华网技windowsServer2003EnterpriseGC和登录过程•GC提供•为用户帐号提供通用组权利信息•当用户登录用一个用户主要名称UPN(如:@gpmsce.com)时,提供域信息•User登录•域•域•域•域•域GC服务器新华网技windowsServer2003Enterprise建立一个GC服务器ADSitesandServicesConsoleWindowHelpActiveViewTreeNameTypeDescriptionActiveDirectorySitesandServicesSitesDefault-First-Site-NameServersInter-SiteTransportsSubnetsATLANTALONDONNewActiveDirectoryConnectionNewAllTasksNewWindowfromHereDeleteRefresh属性HelpNTDSSettingsPropertiesGeneralObjectSecurityNTDSSettingsDescription:QueryPolicy:全局编录DomainControllerDefaultQueryPolicy启用或者禁用全局编录GC新华网技windowsServer2003Enterprise10-3活动目录的物理结构(PhysicalStructure)–与逻辑结构相互独立,之间没有必然的联系–一般用来配置管理网络流量–DC和站点组成活动目录的物理结构•定义复制和登录发生的时间和地点•域控制器DC–存储AD的副本,管理信息的变化和复制–一至多个,建议最少两个容错新华网技windowsServer2003Enterprise10-4概述•DNS和AD集成—2003关键特性–使用相同的分层命名结构–域、计算机成为AD的对象/DNS资源记录–客户机可通过查询DNS找到DC(或其它对象)–使DNS主区域结构存储于AD,并随AD复制•指DNS的AD集成区域新华网技windowsServer2003Enterprise10-5活动目录中的DNS角色介绍•名字解析(正向,反向)–DNS将计算机名称转化为IP地址–计算机使用DNS在网络中互相查找•Windows2003域的命名协定–2003AD使用DNS的域名命名标准–DNS域和AD域共享一公共的分层命名结构•如microsoft.com•查找活动目录的物理成分–DNS通过提供的服务来验证域服务器–计算机使用DNS来查找DC和GC新华网技windowsServer2003Enterprise•DNS域和AD域使用相同的–分层命名结构和域名–但实际上域名空间是不同的•好处:–使2003网络计算机能够利用DNS•查找提供AD相关服务的DC和计算机10-6DNS和活动目录新华网技windowsServer2003EnterpriseDNS和活动目录的域名空间microsoft.comsales.microsoft.comtraining.microsoft.comtrainingmicrosoftDNS域名空间AD域名空间=DNS节点(域/计算机)=AD域salescomputer1(DNS根域)“.”com.Internet新华网技windowsServer2003Enterprise•要点:–使域和计算机成为•DNS的节点•AD的对象•并相对应•活动目录和Internet–如DNS的.com服务器中包含microsoft.com–使别的域利用Internet来查找microsoft.com–反之,你也可通过microsoft.com—.com来查找Internet上的域名服务器的资源记录新华网技windowsServer2003EnterpriseDNS主机名称和Windows2003计算机名称DNS的主机记录和AD计算机对象对应同一物理计算机DNS允许计算机查找AD中的DC活动目录training.microsoft.comBuiltinComputersComputer1Computer2DNS“.”com.salestrainingcomputer1microsoftFQDN=computer1.training.microsoft.comWindows2003计算机名=Computer1新华网技windowsServer2003Enterprise•DNS主机名与AD中计算机帐号是相同的–计算机名可认为是特殊的域名•FQDN:完全有效域名–计算机的全称域名–计算机的全名新华网技windowsServer2003Enterprise10-7活动目录中DNS名字解析•服务资源记录(SRV记录)–2003计算机通过DNS的SRV记录来查找DC•本域、特定域、树状结构中的域•还可查找全局目录GC、KerberosKDC服务器的域控制器–将服务和DNS计算机名称一一对应•服务记录和资源记录新华网技windowsServer2003EnterpriseSRV记录格式_ldap._tcp.contoso.msft600INSRV0100389london.contoso.msft.字段描述Service指定服务名,如LDAP或kerberosProtocol指出传输协议的形式,如TCP或UDPName指定资源记录中提到的域名Ttl指定标准D

1 / 45
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功