( Active Directory )
Download
1 / 26

第 11 章 活动目录 - PowerPoint PPT Presentation


  • 197 Views
  • Uploaded on

( Active Directory ). 节点 / 组织单位 OU. 网络. 客户端 计算机. 客户端 计算机. 客户端 计算机. 客户端 计算机. 客户端 计算机. 客户端 计算机. 文件夹. 文件夹. 打印机. 打印机. 打印机. 用户. 用户. 用户. 服务器. 服务器. 用户组. 用户组. 服务器. 服务器. 服务器. 用户组. 文件. 文件. 随着资源的不断增多, 需要对网络有统一的管理。. 存在各种资源. 第 11 章 活动目录. 一、什么是活动目录:. * 目录. 根 / DN. 目 录.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' 第 11 章 活动目录' - selima


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

( Active Directory )

节点 / 组织单位OU

网络

客户端

计算机

客户端

计算机

客户端

计算机

客户端

计算机

客户端

计算机

客户端

计算机

文件夹

文件夹

打印机

打印机

打印机

用户

用户

用户

服务器

服务器

用户组

用户组

服务器

服务器

服务器

用户组

文件

文件

随着资源的不断增多,

需要对网络有统一的管理。

存在各种资源

第11章 活动目录

一、什么是活动目录:

*目录

根/ DN

网络中的任何资源都可称为“对象”


Win2003以"目录"的形式

对网络资源(对象)进行分层管理

从而提供一种建立在这种目录树型结构上的服务

目录服务

* 目录服务的功能:

(使得共享信息更容易、信息更安全)

1、维护目录信息:

2、合理组织信息结构:

3、全局编目:

(如同图书馆一样,活动目录可对网络中的所有资源进行信息提取,形成编目。

活动目录提供了对管理的资源信息的全局索引,方便了搜索,加快了查询速度。)

4、查询机制:

(用户不再只能通过位置信息来寻找到需要的对象,可以通过多方面的信息来

定位所需的对象。)

5、数据复制:

(域工作模式,使得一个域中可以存在多个域控制器,它们之间为保持相同的副本,

可以进行自动的信息复制。同样,我们可以利用它的复制能力,搭载我们需要的

服务信息。)


Active Directory 包括两个方面:

目录

目录服务

把物理上的各种资源逻辑地结合在一起(形成目录)

指使目录发挥作用,加强管理的服务

活动目录

活动目录的定义:

活动目录(Active Directory)是用于Windows 2003 Server的目录服务。

它存储网络上各种对象的有关信息,并使该信息易于管理员和用户查找

和使用。Active Directory目录服务使用结构化的数据存储作为目录信息

的逻辑层次结构的基础,并提供了命名、描述、定位、访问、管理和保

护网络资源的统一途径。


A

*目录

(信息分布在多台不同计算机上)

员工21

员工22

员工11

经理B

经理A

员工21

员工22

员工22

员工11

员工22

员工21

员工22

员工22

员工11

经理B

经理A

经理A

经理B

经理OU

二楼OU

员工OU

一楼OU

活动目录可以根据管理员的安排,

逻辑上的组合网络资源(对象)。

Active Directory

活动

(动态的)

*活动

原本这些信息并不是物理上在一起的,而是通过Active Directory产生关联,形成了一种动态的虚拟的分层结构(目录)。

活动目录是一个分布式的目录服务。

文件夹和文件的新关系举例

物理位置(结构)

逻辑结构


桌面环境

安装应用程序

* 目录服务的功能与优点:

优点:

1、降低了总体拥有成本;

(所谓总体拥有成本TCO是拥有计算机实际成本)

硬件购买 维护 培训 技术支持 软硬件升级

△ Active Directory 可 集中配置

2、信息的安全性大大增强;

因为Active Directory 与安全性完全集成,

活动目录会以统一的视图让管理员对整个网络进行规划,对每个对象

定义访问控制。

通过密码限制、访问权限、组策略,来提高安全性。

3、引入基于策略的管理;

管理员不再象过去那样,要针对每一个用户、每一个对象进行设置。

组策略对象使用户可以管理少量策略而不是大量用户和计算机。

用户策略举例(桌面和密码)

4、具有很强的扩展性。

引入类和属性的概念

当管理员向AD中添加一系列新的对象(具有相同属性)时,他可以先创建类,再对其添加属性。

新的对象属于新类,就具有相应的属性。


网络资源的分组

(需要相互通讯)

5、具有很强的可伸缩性

多个计算机形成“域”

域和域之间也存在一种上下从属关系(父子)。

对于父亲拥有的信任关系,可继承下来。

这样漫漫扩展,形成一棵树,称为“域树”。

多棵域树放在一起合并成“树林”。

所以,活动目录(AD)具有很强的可伸缩性。

(双向可传递信任关系)

信任关系


6、智能的信息复制能力

7、与DNS集成紧密

8、与其他目录服务具有互操作性

9、具有灵活的查询

* 为什么使用活动目录:

1、一次登录,全网使用。

2、动态更新,智能查询


我们把任何给定名称所能提供或关联映射到的信息(范围)就称为我们把任何给定名称所能提供或关联映射到的信息(范围)就称为名称空间。

。。

边界

用户名

密码

工作单位

电话

Email…..

(所有关联的信息)

当我们了解网络连接的基本构成和Windows2003如何利用活动目录管理网络后,

二、与Active Directory相关的名词术语:

* 名称空间:

(从本质上讲,活动目录就是一个名称空间。)

(例:如果我们指定一个用户,那它的边界是什么

(王海)

(你会想到活动目录中有多少相关联的信息)

处理过程

名称----->边界

名称解析


属性我们把任何给定名称所能提供或关联映射到的信息(范围)就称为

对象

节点 / 组织单位OU

用户

根/ DN

客户端

客户端

客户端

计算机

打印机

用户

服务器

服务器

用户组

* 对象:

是指信息实体,是一组属性的集合。

(我们把网络中的所有资源都看成AD对象)

属性值

用户名

密码

工作单位

电话

Email…..

Wanghai

661075

Intel Comp

27456755

[email protected]

(任何对象都会有其相应的一组属性)

* 容器:

容器是活动目录名称空间的一部分,是代表存放对象的空间。

(对象实体集合的一个空间)

在活动目录中容器就是指组织单位OU


(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)

形成了一棵树

* 目录树:

是指由容器和对象构成的层次结构。


客户端(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)

计算机

客户端

计算机

客户端

计算机

客户端

计算机

打印机

用户

服务器

用户组

* 域:

(当网络中计算机越来越多后,管理网络变得有些复杂。

人们就提出对网络中所有资源要进行分组。)

这样,网络对象的分组就称为域。

域是逻辑上的划分,分组后,形成域。这样好比形成了一个堡垒,对内要管理

(比如用户登陆帐号管理、资源访问权限管理等)、对外要起到一定的防御和

保护作用。

那每个域至少应有一个或多个管理器来管理这个域。

---------- 域控制器


用来存储文件、打印机、应用程序服务等(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)

用来存储用户和组的帐户

Jack

123456 未通过

用户

X

域控制器

△ 域通常按照主域和资源域两种类型进行分组。

域是组网计算机的逻辑数据包,这些计算机共同分享同一领域中存储的安全信息。

通过域可以提供一种集中化管理网络资源的方法。

Jack

456123 通过

用户只要在域控制器中通过认证,它就可以访问网络中的共享资源(有适当权限),

未通过认证,即使硬件上是连通的,也不能访问各资源。

也就是说,每个域都有一个安全界限。


B (正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)域

A 域

建立信任关系

用户

域控制器

域控制器

域的安全界限,在默认情况下某个域的管理权限只限于该域,不能跨越不同的域。

也就是说:

双向可传递信任关系

△Windows2003中的任何关系都是双向可传递信任关系。


root.com(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)

域树中的第一个域称作根域

child.root.com

grandchild.child.root.com

(前面都是些平等关系,在域中还存在上下级关系)

父域

相同域树中的其它域称作子域

* 域树:

域树是Windows2003中共享同一名称的域的一种层次布局方式。


root.com(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)

child.root.com

Jack

grandchild.child.root.com

问题产生:

Jack是当前域树的合法用户,请问他在grandchild.child.root.com登录时,

他的登录帐户是什么?

1、[email protected] grandchild.child.root.com

2、[email protected] child.root.com

3、[email protected] root.com

域之间的信任关系是双向可传递的,域控制器之间凭借着这种信任关系,复制

相互的备份。

也就是这些信任关系,允许了单一登录过程,在域树中任何地点都可对用户身

份进行验证。(所以用户帐户为 用户名@根域 )


建立信任关系(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)

给定名称

存在相关联的信息

(为什么会形成域树,为什么会有这样的联系)

域的目的就是把资源能分组,那为什么还要这样联系起来??

名称空间

(或存在上下级的管理关系)

* 树林:

名称空间不形成领接的域树的集合称作树林。

树林也有根域-----是树林中创建的第一个域

树林中所有域树的根域与树林的根域可以建立

可传递信任关系。


全局目录域控制器(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)

A域的活动目录

B域的活动目录

全局目录上动态存储着

域A域B域C的活动目录副本

到现在为止,一个很大的网络由于名称空间分成多个域树,再有域树的层次关系

分成域(根、父、子)。在一个域中,也许也存在很多对象(大型公司网络)。

这时,我们就在考虑,是否能再细分,按逻辑上的功能或区域地理位置的不同再

划分呢?

* 组织单位( OU ------- Organizational Unit ):

----是一个容器对象,把域中的对象组织成逻辑组,可以帮助管理员再

简化管理的对象工作。

△ 组织单位中还可包含其他组织单位。

* 全局目录

全局目录是一个包含了活动目录中所有对象属性子集的一个信息库。

(存储所有域对象的最常搜索,以提供高效的搜索)


三、活动目录的结构:(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)

活动目录的结构

要理解

物理结构

逻辑结构

物理结构是侧重于网络的配置和优化

逻辑结构侧重于网络资源的管理

(两个重要概念)

(逻辑结构又称逻辑组建,有)

域树

树林

组织单位

全局分类

站点

域控制器


((正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)升级)

* 站点

站点是由包括活动目录域服务器的一个网络位置,通常是一个或多个由高速链路

通过TCP/IP连接起来的子网。

使用站点的意义:在于提高了验证过程、平衡了复制的频率、可提供站点链接信息。

(站点往往由企业的物理位置、分布情况决定)

* 域控制器

域控制器是运行Active Directory 的 Win2K服务器。

在域控制器上,Active Directory存储了所有的域范围内的帐户和策略信息。

系统和安全策略

用户身份验证数据

目录搜索

要创建域,用户必须将一个或多个运行Windows2000 Server的计算机升级为

域控制器。

域控制器

* 注意:每个域至少要包含一个域控制器。

+安装AD

Win2K Server


(以上所说的(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)站点和域控制器是活动目录的物理结构,在AD的逻辑结构中我们再讲一下域)

  • 域 是组网的计算机的一个逻辑数据包,这些计算机共同分享同一领域中存储的

  • 安全信息,通过域可以提供一种集中化管理网络资源的方法,同一域中的资源可

  • 以相互共享。

(这就意味着有一道安全界限,由域逻辑地划分出来的)

域提供下列有用的特性:

* 活动目录是一个分布式的目录服务。(因为信息是分散在多台不同计算机上的)

* Active Directory的作用:

  • 保证各计算机用户快速访问网络和容错

  • 向用户提供统一的视图

  • 集成了Win2003的关键服务(DNS,MSMQ,……)

  • 集成了关键应用(电子邮件,网络管理,……)


用户(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)

计算机

其它对象

+组织单位

* 组织单位管理:

包含在域中特别有用的目录对象类型是组织单位。

* 添加新的组织单位

* 在组织单位中添加对象

组织单位是一个容器

* 删除一个组织单位

1、把域中对象分层

组织单位的作用:

2、把域的数量减至最小

3、管理方便、安全性


权限(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)

组织单元

组或用户

* 用户管理:

* 组管理:

* 组(Group)与组织单位(Organizational Unit)的区别:

1、组主要用于权限设置(是权限赋予的对象),而组织单位则主要

用于网络的构件(是权限的施予者)。

2、组织单元只表示单个域中的对象集合,而组可以包含用户和计算机

等资源。

配置组织单位属性

(用户登陆时不显示驱动器C和驱除桌面上的所有图标)


如: 打印机资源(对象)(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)

共享文件夹发布

该对象

可以包含

*、发布(Publish)

是指在活动目录中创建对象,这样登录的用户就可访问这些资源(对象)。

创建用户对象

例:要发布用户信息资源

发布信息

引用(参考)信息

电话、Email……

创建文件夹对象

要发布文件夹资源

定位信息

(该文件夹位于网络中的某台计算机中)


客户端(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)

客户端

根/ DN

网络

Jack

打印机

用户

服务器

服务器

用户组

访问

文件

重定向

* 在活动目录中发布的信息其主要特征是相对静态的、不经常变化的。

(为了避免网络上大量的复制流量 如:适配器统计信息)

* 发布信息对象的基本要求是,要确保能定位资源。

* 发布与共享的区别:

Publish Shared

在活动目录中,被发布的对象与实际的共享资源之间是有不同的(或者说是完全

分离的)

虽然他们最终都是能使其他用户来访问自己,但发布对象还包括共享资源的参考

信息,比如说,位置(定位)信息。 <做>

发布 = 共享 + 引用(参考)信息

发布名称

t.doc

共享名

tst.doc

NTFS

本地文件名test.doc


((正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)可否任意访问)

DACL

DACL

DACL

( R )

( WR )

(WRD)

客户端

客户端

根/ DN

网络

Jack

Jack

打印机

用户

发布名称

t.doc

服务器

服务器

用户组

访问

共享名

文件

重定向

tst.doc

NTFS

本地文件名test.doc

* 网络资源的访问权限

共享对象访问权限

发布对象访问权限

NTFS访问权限


3(正是由于各结点的不断结合,由对象结合到容器,在由容器不断结合到上一层容器)、讲解实验:

1、发布打印机

(共享就自动发布)

(共享对象定位 \\servername\sharedname)

3、发布共享文件夹

(需要共享后,再发布-----在活动目录中填加对象)


ad