扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
活动目录是Windows 2000网络中目录服务的实现方式。目录服务是一种网络服务,它存储网络资源的信息并使得用户和应用程序能访问这些资源。
活动目录对象
主要包括用户、组、计算机和打印机,然而网络中的所有服务器、域和站点等也可认为是活动目录中的对象。
活动目录架构
◆ 含有活动目录中所有对象的定义;
◆ 用对象类和对象属性来描述每个对象;
◆ 在Windows 2000的网络中,整个森林只有一个架构;
◆ 架构保存在活动目录中。
活动目录的逻辑结构
活动目录的逻辑结构用来组织网络资源。
域(Domain)
◆ 域是Windows 2000 活动目录的核心单元,是共享同一活动目录的一组计算机集合;
◆ 域是安全的边界,在缺省的情况下,一个域的管理员只能管理他自己的域,一个域的管理员要管理其他的域,需要专门的授权;
◆ 域是复制单位,一个域可包含多个域控制器,当某个域控制器的活动目录数据库修改以后,会将此修改复制到其他所有域控制器。
组织单元(Organizational Units,OU)
◆ OU是域下面的容器对象,用于组织对活动目录对象的管理,是Windows 2000中最小的管理单元;
◆ OU可用来匹配一个企业的实际组织结构,域的管理员可以指定某个用户去管理某个OU;
◆ OU也可以像域一样做成树状的结构,即OU下面还可以有OU;
◆ 使用OU可取代Windows NT4.0的多域网络,参见图1。
图1
树和森林(Trees and Forests)
树(Trees):由一个或多个域构成。Windows 2000中的树共享连续的名字空间;树具有双向、传递信任,即缺省情况下,Windows 2000中父域和子域、树和树之间的信任关系都是双向的,而且是可传递的。
森林(Forests):森林由一棵或多棵树组成。森林中的树不共享一个连续的名字空间,但共享一个普通架构和全局目录。
全局目录(Global Catalog)
Global Catalog(GC)是一个包含活动目录中所有对象的属性信息(不是完全信息,是常用属性的一个子集)的仓库,它为用户提供以下重要功能:
◆ 在整个森林中查找活动目录的信息;
◆ 使用通用组成员信息登录到网络;
◆ 活动目录中的第一个域控制器自动成为全局目录,为了平衡登录和查询流量,您可以设置额外的全局目录。
活动目录的物理结构
物理结构用来设置和管理网络流量。活动目录的物理结构由域控制器和站点组成。
域控制器(Domain Controller)
活动目录复制:多主复制模式(Multi-Master Replication Model)和活动目录的物理结构决定复制在什么时候发生和如何发生。
单主操作:对从森林中添加/删除域这样的操作,不适合用多主复制的模式,需要单主复制,执行单主操作的计算机称为操作主机。
站点(Sites)
◆ 站点由一个或多个高速连接的IP子网构成;
◆ 站点是网络的物理结构,站点和域没有必然联系,一个站点可包含多个域,一个域也可跨多个站点;
◆ 创建站点的主要理由是为了优化复制流量和使用户能够用可靠的高速线路连接到域控制器。
活动目录集成区域
要实现活动目录集成区域, DNS Server必须装有活动目录的DC。因为集成后DNS的区域数据库文件变成了活动目录的一部分,它的复制被包含在活动目录的复制中,所以不会再发生DNS区域传输(Zone Transfer)。但仍然能向非活动目录集成的辅助服务器执行区域传输,避免了主服务器失败后,DNS记录无法被更新。
安装和设置DNS以支持活动目录
若在安装活动目录时同时安装DNS,操作系统会自动配置DNS,并创建与活动目录域同名的DNS正向查询区域、配置此正向查询区域与活动目录集成。
活动目录对DNS的要求
◆ 支持SRV记录(强制);
◆ 支持动态更新协议(推荐);
◆ 支持增量区域传输(推荐)。
活动目录的用户登录名
主用户名(User Principal Name)
主用户名的格式同E-mail地址,例如,john@cyc.com,john称为主用户名前缀,cyc.com称为主用户名后缀,一般为根域的域名。主用户名只能用于登录Windows 2000的网络。
用户登录名(User Logon Name)
用于Pre-Windows 2000的环境或Windows 2000;登录时需要用户名和域名。
用户名惟一性原则
◆ 全名在所属的容器内惟一;
◆ 用户登录名在所属的域内惟一;
◆ 主用户名在整个森林内惟一。
活动目录中的组
全局组(Global Groups);
域本地组(Domain Local Groups);
通用组(Universal Groups):通用组一般用于多域的情况,通用组的成员信息保存在GC中。尽量避免通用组直接包含用户账号成员,而使用全局组作为通用组的成员。
在域中使用组的策略
使用A-G-DL-P策略;
使用A-G-G-DL-P策略;
使用A-G-U-DL-P策略。
这里,A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。其余类推。
在活动目录中出版资源
所有Windows 2000的共享打印机都被自动出版在活动目录中;
删除打印机时也会自动删除活动目录中的打印机;
打印服务器负责在活动目录中出版打印机;
当修改打印机属性时,会自动更新活动目录中打印机的属性。
活动目录安全组件
安全主体(Security Principals)
安全主体是一个能够对它分配权限的对象,例如,用户、组和计算机;
每一个Windows 2000域中的安全主体都有一个惟一的安全标识符。
安全标识符(Security Identifier——SIDs)
安全标识符是用来标识一个安全主体的一个数值,它在这个主体被创建时产生,绝对不会重用。Windows 2000中的访问控制机制是基于SIDs,而不是基于名字。
安全描述符(Security Descriptors)
安全描述符是包含与一个可以设置安全对象相关的安全信息的数据结构,主要包括以下内容:
头部:安全描述符的版本信息和一组控制标志;
所有者:此对象所有者的SID;
主要组:所有者所属的主要组的SID;
DACL(Discretionary Access Control List):用户对此对象的访问控制列表;
SACL (System Access Control List):对用户进行审核的访问控制列表。
如果在一个对象上设置了权限,这个对象的安全描述符中将包含一个DACL。DACL中包含允许或拒绝访问这个对象的用户和组的SIDs;如果还对这个对象设置了审核,它的安全描述符中还包含一个SACL。
活动目录权限
权限是一种对象所有者的授权,通过授权,用户可以对特殊对象进行操作。如果对象是所有者,可以分派给其他用户或组部分或全部任务的权限,还可以分派所有权的权限。
◆ 允许权限或拒绝权限:拒绝权限比任何允许权限优先级高;
◆ 间接否定或直接否定(Implicitly Deny or Explicitly Deny):例如不是明确指定的操作权限是间接否定;
◆ 标准权限和特殊权限:标准权限是经常分派的权限,而特殊权限是对分派访问权限的更细致的控制:
◆ 完全控制;
◆ 读出:查看对象和对象属性;
◆ 写入:修改对象内容和属性;
◆ 创建所有子对象:向OU中添加对象;
◆ 删除所有子对象:从OU中删除对象。
实验技术
安装活动目录
1.必备条件:计算机必须安装Windows 2000 Server, Advanced Server、Datacenter Server和最小250M的可用磁盘空间;必须有NTFS磁盘分区或卷用于保存SYSVOL文件夹;必须运行TCP/IP协议和DNS服务(可在安装活动目录的同时安装DNS),计算机须安装网卡。
2.在Windows 2000上使用dcpromo命令,将出现“AC安装向导”对话框,若在网络中第一次安装活动目录时,所创建的是森林的根域,此时选择“新域的域控制器”单选钮。
3.选择“创建一个新的目录树”和“创建新的域目录树”单选钮,输入新域的DNS全名,例如,cyc.com,输入NetBIOS名,它一般取DNS域名的第一部分或前15位,这里是cyc,然后指定AD数据库和SYSVOL保存的文件,后者必须位于NTFS分区。
4.最后指定权限和密码等,此时开始安装AD并创建一个Windows 2000的域cyc.com。活动目录安装后,将在“程序/管理下产生三项:Active Directory用户和计算机、Active Directory域和信任关系、Active Directory站点和服务。
5.若用无人值守的安装脚本去安装活动目录,则使用命 。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。